常見的四種交換機(jī)防范欺騙攻擊方法及相應(yīng)命令，交換機(jī)防范欺騙攻擊中有很多種欺騙攻擊，這里我們主要介紹防動(dòng)態(tài)中繼協(xié)議DTP攻擊，防范VLAN跨越式攻擊，防范DHCP欺騙攻擊和防范ARP欺騙攻擊的防范方案。

交換機(jī)防范欺騙攻擊：防動(dòng)態(tài)中繼協(xié)議DTP攻擊

交換機(jī)通過交換DTP協(xié)議，動(dòng)態(tài)協(xié)商中繼鏈路的用法和封裝模式。然而，如果交換機(jī)中繼端口模式為Auto，它將等待處于模式Auto或On的另一臺交換機(jī)的請求建立連接。這時(shí)，如果惡意用戶利用DTP嘗試同交換機(jī)端口協(xié)商建立中繼鏈路，攻擊者將可以捕獲任何通過該VLAN的數(shù)據(jù)流。

交換機(jī)防范欺騙攻擊方法是：將任何連接到用戶的端口配置為Access模式，從而使它不能以Auto模式使用DTP。需要使用的命令為：
Switch(config-if)#switchport mode access

交換機(jī)防范欺騙攻擊：防范VLAN跨越式攻擊

在這種攻擊方法中，攻擊者位于普通VLAN，發(fā)送被雙重標(biāo)記的幀，就像使用的是802.1q中繼鏈路。當(dāng)然，攻擊者連接的并非中繼線路，他通過偽造中繼封裝，欺騙交換機(jī)將幀轉(zhuǎn)發(fā)到另一個(gè)VLAN中，實(shí)現(xiàn)VLAN跨越式攻擊，從而在數(shù)據(jù)鏈路層就可非法訪問另一VLAN。

交換機(jī)防范欺騙攻擊方法是：首先，修改本征VLAN ID并在中繼鏈路兩端將本征VLAN修剪掉命令為：
Switch(config-if)#switchport trunk native vlan 200
Switch(config-if)#switchport trunk allowed vlan remove 200
然后，強(qiáng)制所有的中繼鏈路給本征VLAN加標(biāo)記，交換機(jī)防范欺騙攻擊命令為：
Switch(config)#vlan dotlq tagnative

交換機(jī)防范欺騙攻擊：防范DHCP欺騙攻擊

DHCP欺騙的原理可以簡述為，攻擊者在某計(jì)算機(jī)上運(yùn)行偽造的DHCP服務(wù)器，當(dāng)客戶廣播DHCP請求時(shí)，偽造服務(wù)器將發(fā)送自己的DHCP應(yīng)答，將其IP地址作為默認(rèn)網(wǎng)關(guān)客戶收到該應(yīng)答后，前往子網(wǎng)外的數(shù)據(jù)分組首先經(jīng)過偽網(wǎng)關(guān)。如果攻擊者夠聰明，他將轉(zhuǎn)發(fā)

該數(shù)據(jù)分組到正確的地址，但同時(shí)他也捕獲到了這些分組。盡管客戶信息泄露了，但他卻對此毫無所知。防范方法是：在交換機(jī)上啟用DHCP探測。首先，在交換機(jī)的全局模式下啟用DHCP探測，其交換機(jī)防范欺騙攻擊命令為：
Switch(config)#ip dhcp snooping
接下來，指定要探測的VLAN，交換機(jī)防范欺騙攻擊命令為：
Switch(config)#ip dhcp snooping vlan 2
然后，將DHCP服務(wù)器所在端口設(shè)置為信任端口，交換機(jī)防范欺騙攻擊命令為：
Switch(config-if)#ip dhcp snooping trust
最后，限制其他不可信端口的DHCP分組速率，交換機(jī)防范欺騙攻擊命令為：
Switch(config-if)#ip dhcp snooping limit rate rate

交換機(jī)防范欺騙攻擊：防范ARP欺騙攻擊

ARP地址欺騙類病毒是一類特殊的病毒，該病毒一般屬于木馬病毒，不具備主動(dòng)傳播的特性，不會(huì)自我復(fù)制。但是由于其發(fā)作的時(shí)候會(huì)向全網(wǎng)發(fā)送偽造的ARP數(shù)據(jù)包，干擾全網(wǎng)的運(yùn)行，因此它的危害比一些蠕蟲還要嚴(yán)重得多。其實(shí)， 我們只需要在交換機(jī)上綁定MAc地址，就能讓ARP病毒無用武之地。

首先，在交換機(jī)上啟用端口安全，交換機(jī)防范欺騙攻擊命令為：
Switch(config-if)#switchport port-security
然后，指定允許的MAC地址，以便允許合法的MAC地址訪問，交換機(jī)防范欺騙攻擊命令為：
Switch(config-if)#switchport port-security mac-address 000A.E698.84B7
當(dāng)然，上述操作是靜態(tài)指定地址，比較麻煩。我們也可以動(dòng)畫獲悉MAC，然后在端口上限制最大允許學(xué)習(xí)的MAC數(shù)目，命令為：
Switch(config-if)#switchport port-security 24
然后定義如果MAC地址違規(guī)則采取怎樣的措施，交換機(jī)防范欺騙攻擊命令為：
Switch(config-if)#switchport port-security vislation shutdown
其中shutdown是關(guān)閉，restrrict是丟棄并記錄、警報(bào)，protect是丟棄但不記錄。

以上就是有關(guān)交換機(jī)防范欺騙攻擊的技術(shù)細(xì)節(jié)。相信確保交換機(jī)這三個(gè)方面的安全設(shè)置，并配合相應(yīng)的規(guī)章、制度，就一定能夠保證交換機(jī)的安全。