Vlan攻擊：

1、Vlan跳轉

攻擊原理：通過改變Trunk鏈路中封裝的數(shù)據(jù)包的VLAN ID,攻擊設備可以發(fā)送或者接收不同VLan中的數(shù)據(jù)包，而繞過三層安全性機制

解決方法：加強Trunk配置和未使用端口的協(xié)商狀態(tài)；把未使用的端口放入公共Vlan

2、公共設備vlan之間的攻擊

攻擊原理：即使是公共vlan中的設備，也需要逐一進行保護，尤其是為多個客戶提供設備的服務提供商尤為如此

解決方法：實施私用vlan（Pvlan）

欺騙攻擊：

1、DHCP耗竭和DHCP欺騙

DHCP耗竭攻擊原理

擊設備可以在一段時間內，發(fā)送大量DHCP請求信息，類是與ＤＯＳ攻擊，消耗完DHCP服務器上面的可用地址空間

DHCP欺騙攻擊的實施順序如下：

黑客把未授權的DHCP服務器鏈接到交換機端口

客戶端發(fā)送廣播，來請求DHCP配置信息

未授權的DHCP服務器在合法的DHCP服務器之前進行應答，為客戶端分配攻擊者定義的IP配置信息

主機把攻擊者提供的不正確的DHCP地址當作網(wǎng)關，從而把數(shù)據(jù)包發(fā)送給攻擊者的地址

解決方法:使用DHCP偵聽

DHCP偵聽是一種DHCP安全特性，它能夠顧慮來自網(wǎng)絡中主機或著其它設備的非信任DHCP報文。通過建立并維護DHCP監(jiān)聽綁定表，DHCP能夠實現(xiàn)上述級別的安全。通過該特性將端口設置為可信端口和不可信端口

DHCP監(jiān)聽特性通常與接口跟蹤特性結合使用，交換機將在DHCP報文中插入選項82(Option 82)--中繼代理選項

DHCP Snooping配置指南

全局下啟用DHCP偵聽

sw(config)#ip dhcp snooping

啟用DHCP option 82

sw(config)#ip dhcp snooping information option

把DHCP服務器所連接接口或上行鏈路接口配置為可信端口

sw(config-if)#ip dhcp snooping trust

配置該端口上每秒可接受的DHCP數(shù)據(jù)包數(shù)量

sw(config-if)#ip dhcp snooping limite rate rate

在指定vlan上啟用DHCP snooping特性

sw(config)#ip dhcp snooping vlan number number

2、生成樹欺騙

攻擊原理：攻擊設備偽裝成為STP的跟網(wǎng)橋，若成功了，網(wǎng)絡攻擊者就可以看到整個網(wǎng)絡中的數(shù)據(jù)幀

解決方法：主動配置主用和備用根設備，啟用根防護

3、MAC欺騙

攻擊原理：攻擊設備偽裝成為當前CAM表中的合法MAC地址，這樣交換機就能把去往合法設備的數(shù)據(jù)發(fā)送到攻擊設備上

解決方法：DHCP偵聽；端口安全

4、ARP欺騙

工具原理：攻擊設備故意為合法主機偽造ARP響應，攻擊設備的MAC地址就會成為該合法網(wǎng)絡設備所發(fā)出的數(shù)據(jù)幀的2層目的地址.

解決方法：使用動態(tài)ARP檢測；DHCP偵聽；端口安全

交換機設備上的攻擊：

1、CDP修改

攻擊原理：通過CDP發(fā)送的信息是明文形式且沒有加密，若攻擊者截取CDP信息，就能獲取整個網(wǎng)絡拓撲信息

解決方法：在所有無意使用的端口上關閉CDP

2、SSH和Telnet攻擊

攻擊原理：telnet數(shù)據(jù)包可以以明文形式查看，SSH可以對數(shù)據(jù)進行加密，但是版本1中仍然存在安全問題

解決方法：使用SSH版本2；使用telnet結合VTY ACL

交換安全

風暴控制和errdisable關閉的解決

MAC洪泛攻擊防御

DHCP snooping、arp欺騙、IP欺騙

802.1X

VLAN跳躍攻擊和802.1Q雙重標記數(shù)據(jù)幀攻擊

RACL\VACL\PVLAN、MAC ACL

STP安全----BPDU、ROOT、LOOP

一、風暴控制

注意：只能對進入的廣播、組播、未知單播形成的風暴進行控制；

由于某些錯誤而導致接口自動關閉

二、MAC洪泛攻擊

攻擊原理：具有唯一無效源MAC地址的數(shù)據(jù)幀向交換機洪泛，消耗交換機的CAM表空間，從而阻止合法主機的MAC地址生成新條目。去往無效主機的流量會向所有端口洪泛

解決方法：端口安全；MAC地址vlan訪問控制列表

端口安全是一種2層特性，并且能夠提供如下5種保護特性

基于主機MAC地址允許流量

基于主機MAC地址限制流量

在期望的端口上阻塞單播擴散

Switch(config-if)switchport block｛unicast| multicast｝

避免MAC擴散攻擊

避免MAC欺騙攻擊

配置端口安全：

Switch(config)interface FastEthernet0/1

Switch(config-if)switchport mode access ----接口模式為接入模式

Switch(config-if)switchport port-security ----開啟端口安全特性

Switch(config-if)switchport port-security maximum 3 ----最大學習的MAC地址數(shù)是3個

Switch(config-if)switchport port-security mac-address sticky ----該端口學習到MAC地址的方法

Switch(config-if)#switchport port-security violation ? ----違背了端口安全特性的處理方式

protect   Security violation protect mode ----交換機繼續(xù)工作，但是把來自新主機的數(shù)據(jù)包丟棄

restrict  Security violation restrict mode ----交換機繼續(xù)工作，但把來自未授權主機的數(shù)據(jù)包丟棄

shutdown  Security violation shutdown mode ----交換機將永久性或者在在特定時間周期內Err-disabled端口