二层攻击和防范.ppt

二层攻击和防范 网络攻击对二层交换机产生严重影响的有： MAC 攻击 DHCP攻击 ARP攻击 IP/MAC欺骗攻击 STP攻击 网络设备管理安全 MAC攻击 MAC攻击 MAC攻击 S21系列交换机防范配置实例： interface interface-id switchport port-security switchport port-security maximum 2 switchport port-security mac-address 00d0.f800.073c switchport port-security violation{protect | restrict | shutdown} switchport port-security aging time 8 protect： 保护端口，当安全地址个数满后，安全端口将丢弃未知名地址 (不是该端口的安全地址中的任何一个)的包 restrict： 当违例产生时，将发送一个Trap通知 shutdown：当违例产生时，将关闭端口并发送一个Trap通知。当端口因为 违例而被关闭后，你可以在全局配置模式下使用命令 errdisable recovery 来将接口从错误状态中恢复过来 DHCP攻击 DHCP攻击 DHCP攻击之一： 恶意用户通过更换MAC地址的方式向DHCP Server发送大量的DHCP请求，以消耗DHCP Server可分配的IP地址为目的，使得合法用户的IP请求无法实现 DHCP攻击 DHCP攻击 DHCP攻击 防范： 利用交换机端口安全功能：MAC动态地址锁和端口静态绑定MAC，来限定交换机某个端口上可以访问网络的MAC地址，从而控制：那些通过变化MAC地址来恶意请求不同IP地址和消耗IP资源的DHCP攻击。当交换机一个端口的MAC地址的数目已经达到允许的最大个数后，如果该端口收到一个源地址不属于端口上的MAC安全地址的包时，交换机则采取措施 DHCP攻击 DHCP攻击 S21防范配置实例： interface interface-id switchport port-security switchport port-security maximum 1 switchport port-security violation{protect | restrict | shutdown} switchport port-security aging time 8 protect： 保护端口，当安全地址个数满后，安全端口将丢弃未知名地址 (不是该端口的安全地址中的任何一个)的包 restrict： 当违例产生时，将发送一个Trap通知 shutdown：当违例产生时，将关闭端口并发送一个Trap通知。当端口因为 违例而被关闭后，你可以在全局配置模式下使用命令 errdisable recovery 来将接口从错误状态中恢复过来 DHCP攻击 DHCP攻击 DHCP攻击 DHCP攻击 DHCP攻击 S21防范配置实例： S21交换机支持DHCP Relay功能。 configure terminal service dhcp 打开DHCP Relay Agent ip helper-address address 须设置DHCP Server的IP地址 DHCP攻击 DHCP攻击 ARP攻击 ARP攻击 ARP攻击 ARP攻击 ARP攻击 ARP攻击 S21系列ARP欺骗防范配置实例： configure terminal port-security arp-check [cpu] 打开端口安全的ARP报文检查. ? 其中cpu是ARP Check的选项，检查送到交换机CPU的ARP报文，源IP和源MAC是否符合端口安全设定的对应关系。 打开该选项可能导致CPU负载提升。cpu选项必须打开了arp-check后才生效 查看系统中的所有安全地址 Switch# show port-security address Vlan MacAddress IPAddress Type Port Remaining Age(mins)