网络二层,三层典型攻击及防护

1、二层攻击:MAC地址相关攻击泛洪攻击：攻击者会制造大量的伪造的 MAC地址，使交换机的 MAC地址表溢出。原本正常 的单播流量，会变成未知单播帧。产生的效果：1 .交换机的交换速度大大减慢2 .黑客可以通过嗅探器截获用户敏感信息，如Telnet , Ftp等账号密码。欺骗攻击：攻击者通过改变MAC地址，与受害者地址一样，截获受害者信息，使受害者不能 连接网络。产生的效果：1 .受害者不能上网。2 .受害者信息被截获，受害者被冒充。效果图：受攻击前：SWshov mac-address-t ableDestAddress Address 丁阿色 VLAUina-tion PartccOO.117

2、0, 0000Self1 Vlanl受攻击后:macaddresst ableVLAUDesrtinatxon. Pori;Dstinalion A-ddres1Address TyyeccOO. 1170. OODOSelf1HaulO<i. 1025. dODODynamic1Fast Ether net 0/0aBlS.Wc. 52f5DyrLAJiLic1F ast Ethe met 0/0cSc2. 055c. 4dc0DynanuLc1F asl Ethe rnert 0/09Qf7.46lQ. caa2Dyrianiic1FastEthemetO/O2e58. 3d227bl

3、Dynam.ic1FastEthernet0/03032. ed5&* d313Dynauiic1Fast Ether net 0/0822s. f 678, 7bSDynajuic1FastEtherne-fcO/O321S. e029. el24DynajiLie1FaslEtherrLe,+ 0/010f&. e-f 15. 35f aDjmajuic1Fast Ethe met 0/0a26d. 447, afclDynajuic1F astEthemel i/0胡 c6U 5a3YDynamicFast Ethe met 0/053btp. 6f40. 3b44Dynajuic1Fa

4、st Ethe met 0/0bsiti. 0c39. fOafDynajuic1Fast Ether rift 0/04u0c. f91448aDjm 剂Lie1F asi Ethe met 0/04220. Ie2d. 3cefDynandc1Fast Ethe met 0/0dcSS.f 171, cl98Dynand-Q1F ast Et lie rjiwt 0/00824, aL7f. 6b9dDyn antic1F asl Ethe met 0/0S200. 2b70+ u333Dynajuic1F ast Ethe rnet 0/08e6i. 803K fl 9bBynajuic

5、1FastEtherne-tO/Obeea. ee38. d8e2Dynajkie1Fa.stEthern&tO/OMore-層SWshov mac-address-t atle eoufftNM Slot: 0Dynajnic Address Count:8188Secure Address (Userdefined) Count:0Static Address (Userdefined) Count:0S/.Eteii Self Address Count：1Total MAC addresses;S3S9Mainvum MAC address&s;S192防护方法:switchport

6、port-security绑定MAC地址switchport port-security violatio n restrict|protect|shudow n /处罚动态绑定switchport port-security mac-address stiky /switchport port-security maxium X /接口最大MAC地址数STP相关攻击BPDU攻击：发送大量的BPDU信息，消耗交换机资源。产生效果：1 .管理员无法登入交换机2 .生成树信息絮乱3.网络瘫痪抢占根桥:发送最优根选举信息，成为根桥产生效果：1 .局域网内无法传输数据2 .局域网所有数据都经过攻击者，

7、敏感信息被截获效果图:u r Lr u ieiTL-i r.-H. ? ErTjeTrvTeuriZTTZiSWhov spannirie-tree interface f0/0Port 1 (FastEthernet0/(1) of VLAJI1 ir forwardingPort path cost 1匕 Pert priority 128 Port Identifier 128. L Desinatsri root h豆 priority 32M& address ceOO.0000DasirLitsd bridge ha priority 32708, address eeDO. Ib

8、3e. 0030Des inat ed port id is 128. 1, designa+ed path c ost 0 Me LI a i s peridirtg, Topol oy change is setTiners: Message age Q forward de lay (X hold UNfuinhei of transitions to forvFar diTig st at e ： 】BPDU： sent 385, received 152223SWshoiAr pro cesses epuCPU Lit ilization for five seconds: SB%/

9、1 0U%: one wiinate: 75SS: five ninutes: 26%FIDRuntime jue)InvokeduS&cs5死GlWin5IinTTTProcesst040IL Cl 哪o. cm0. 00H0Chunk Han昶日工220leg1180. OOK0. OMfi0. 00%0Load let err.J87856153365T2S43. 52%3S.4BK13. 5侧(JSpatmmg Tree4010o.oa%0. 0M0. oo0EDDRI.MAIN5103811295350.00%0. 05S0.倔0Check heaps63230.00%d DOSS0

10、. 000Fool Manager防护方法:1 . BPDU防护spa nnin g-tree portfast bpduguardII 所有 portfast 接口都开启 bpduguardint fx/x; spa nnin g-tree bpduguard en ableII所在接口开启bpduguarderrdisable recovery cause bpduguardII 由 bpduguard 引起的端口 errdisable恢复errdisable recovery interval 30II 进入 errdisable 状态 30s 后恢复2. BPDU过滤int fxIx;

11、spa nnin g-tree bpdufilter en ableIIBPDU 信息将会被悄无声息地丢掉3. 根防护int fxIx;spa nnin g-tree rootguardII开启根防护VLAN攻击双标签vlan跳跃:DstSrs8101081020080DATMACMAC000A当思科交换机收到从 VLAN10接口的打着双标签流量， 会先把VLAN10标签除去, 然后在TRUNK里面传输，实现两个 VLAN间的跳跃。但是前提条件是， VLAN10是 本地VLAN。产生效果：1 .跨VLAN访问2 .只是单向性访问防护方法:1. 将VLAN1设置为NATIVE VLAN，然后不将

12、任何主机划入 VLAN1 。2. 或: TRUNK 上过滤 NATIVE VLAN3 .或：总是打上TAG。Vian dotlq tag n ativeInt trunk; switchport trunk n ative vla n tag.DTP攻击：DTP 就是 Dynamic Trunk Protocol,动态的 trunk 协议。在 cisco 2900s , 3500s很多版本的IOS都是默认开启的。就是两台交换机之间一接，就自动协商成Trunk 口的协议。命令是： switchport mode dyn amic desirable|auto |on|off攻击方法：首先攻击者跟

13、交换连接，起 Trunk，然后就跨VLAN访问其他VLAN的主机，然后 把获取敏感信息。攻击命令：#yersi nia dtp-attack 2防护方法：1 .不用的接口都尽量给 shutdown 。2.把交换接口模式都改成 access三层攻击:DHCP攻击：DHCP地址耗尽：攻击者向DHCP服务器伪造多个 MAC client地址，申请多个IP,直至DHCP服务 器储备地址完全耗光。产生的效果：1.服务器负荷过重2 .局域网内主机无法获得IP上网攻击方法：#yersi nia DHCPttack 3假冒DHCP服务器：攻击者耗尽真DHCP服务器IP之后，自己伪装成 DHCP服务器，分配IP

14、，并且把 局域网内主机网关指向自己，自己也开启路由功能。产生的效果：1 .局域网内所有主机信息都往一个接口送，某台交换机奔溃2 .局域网内所有主机敏感信息可能被截获防护方法：1 .端口安全port-security ，一个 MAC 对应一个IP,限制 MAC client 的数量。2. DHCP Snooping全局下：ip dhcp sno opi ngIp dhcp snooping vlanX / 监控 VLANX 的 DHCP 包状态Int fO/X;switchport mode access;switchport access vianX/ 在 DHCP 服务器所在接口敲Ip dh

15、cp snooping trust / 改为信任端口3.端口绑定：动态绑定：Ip verity source port-security;(sw port-s)ARP欺骗ARP spoofi ng:攻击者发送伪装的 MAC地址包，2层()广播到局域网，抢占IP 地址，制造冲突。或者伪装网关地址，并开启路由功能，截获局域网内的敏感信息。攻击方法：防护方法：1 . DAI， Dynamic Arp Inspection，动态 ARP 检测。首先开启DHCP Snooping，产生一张绑定表，然后在全局开启arp inspection,交换机会根据bin di ng表里面的信息将不违规的 ARP包丢

16、弃。相关命令：Show ip dhcp snooping bindingIp arp inspection vlan 7/ 在某个 VLAN 下开启 ARP 检测Int faX/X; ip arp inspection trust/ 对某可接口发送过来的 ARP 包，放行。2 .从主机上入手，静态绑定映射HSRP 和 VRRPHSRP:HSRP是依靠UDP建立的，端口号是 1985。靠发HELLO维护建立机制：1 .全新的IP和MAC （虚拟）。2 .所有组成员都加入的组播组。3. HSRP包的TTL为1，不能跨网攻击。建立命令：Sta ndby 1 Sta ndby 1 priority 1

17、50Stan dby 1 preemptSta ndby 1 n ame XXX针对HSRP的攻击:1 . DOS攻击，攻击者假冒自己是交换机， priority 255 ，开抢占。2. Man-in-middle 攻击，假冒网关虚拟的 MAC地址，然后攻击者开启路由功能,所有流量都通过攻击者，截取信息。3.信息泄露，因为HSRP默认是明文认证的。而且默认是ciscoq HSRP: 号 HSPP- Q HSRP: _J HSEF; J HSEP; _J HSRP; _J HSRP;巾 HSRP; 3 HSRP;Vexs i onOpcodeSending routersHello tinsHo

18、ld tineReuters priority Group number Reserved=D0 (Hello)16 (Active)310IDS1j HSRP;Avthent icatio二ciscoESihsrp：IF addressx10:；:1:1O0|防护方法:1 .强认证stan dby 1 authe ntication md5 key-chain HSRPKEY2. VLAN MAPVLAN MAPaocess-ist W1 permit 14host 192,166.7 host224L,0,21905cess-ist 1C1 permit 1 应国 1935 旬 1995

19、眩 access map 诞 1Caction forwardrnaixh Ip adefeess 101眩 access-map 谕 20action dropmatch 炽 adcbiess 102 access-币旳 诞 30action forward帧制冋戚蕊吐88IOS ACLterface FastEthernetO/Oip cte；5-group 101 incaress-list L01 permit ijrfphost IT.168.0.7 host 224j0.0.2 1935 WQWK-list 11 permit Mifc192，iee.Ql9ho5t aocess-

20、ist UOldeny 感行n# 瓢说 1965ocess-list W1 permit ip any 迥VRRP是一样的，不过协议改成 112d. VUXN MAPaccess-Ifst 101 permit H2host 1921663 hostaccess-list 101 permit host 224.0,0.18 access-list 102 permit 112 any host 8 臓 access-map 帕 IDactcn forwardmatch ip address LOL砂顚 access-map bCT 20action dropmatch jp

21、 adcfre?s 1Q2砂敢 socsss-msp to 30artian forwardtbn filter lrp Yjri liSt 88ACLinterface FagtEthernetO/lD屮 3匸匚9-歹口up 101 inaccess-list 101 permit 112 host IB access-list 1D1 permit 112 host access-list 101 deny 112 rty 剜 access-list 101 permit iq any 戢址CDPCDP组播发送的明文信息，组播地址是，类型字段是2000攻击方式：1 .攻击者抓包就可发现网络

22、内设备硬软件信息。2 . CDP里面还可携带 VOICE VLAN 信息，会泄露 VOICE VLAN ID3. DOS攻击。a) CDP cache overflow 大量cdp包造成交换机重启b) CDP cache pollution大量消耗资源，使 SW 不可用c)攻击者发送伪装CDP包，调节POE，使IP电话无法工作。Ce-nter.cdn ne 1Capdbilit Codes; R - Raul er, 1 S Sun ich, H- Frdns Etr iige. B - Source Lciute Br Ldye Hostt I 1GMP. r - Repedlerh P -

23、 PhoneDevice ID iCH9G8V 9?QIIULC 2JMNR1 0F3T27FTVPH7KJ 2S2S7XG CZ9G4G4 VMCHD9H SH6AJNW H0V4CGP T3TKSJfi 71CH4PY T3BG3B3 rMOSRTM 26 醐 6RJ U29CLUL V&TV8C7 5D9H9H0 鬧NHHF S JMi甌胆 I Ufl 0S2 IKUGLTK TK7K0F J PBKIX7B M 16UILocdl lotrfeeFas 0/5Fus 0/5 g 0/5Fas 0/5 F髓 0/5Fas 0/5Fas 0/5Fas 0/5Fas 0/5Fas 0/5Fa

24、s 0/5Fas 0/5Fas 0/5 F fas H/5Fas 0/SFas /SFas 0/S f ds 少 5匸昭0/b Fds 0/5 0/5d219 999 88888 76 6 bi 43 39 222211332 2?2AZ2?2222 222 22 ?2 222 2202 22 2C2?2 22222 2? 2?2 22 22222防护方法：不用的接口关掉 CDP , int Fx/x;no cdp enable。如果设备不需使用 CDP，全局关掉：no cdp runH rH IFB r SI Ir ss H H I TTH -ODB Hs T B R s T RRB TT SR RRRRR T B rK T B I rR T H rR S I rR T B S rS HT H rR S H I rR H IB $ H I rR S H I T S H iPldtfarm ursinia vtrsinid ini a yersinid jers inid ycrsinid i/ersinia sihi & yersinia yersinia yersinia ersini r ersini a pensin i a vergini 0如果user表存在的话，并且大于 0的话，明显条件是真的。那么，就会返回正常页