交换路由CCIE之路——常见园区网攻击.doc

下载文档

9
0
约3.78千字
约 4页
2018-11-25 发布于河南
举报
版权申诉
保障服务

交换路由CCIE之路——常见园区网攻击.doc

1、本文档共4页，可阅读全部内容。
2、有哪些信誉好的足球投注网站（book118）网站文档一经付费（服务费），不意味着购买了该文档的版权，仅供个人/单位学习、研究之用，不得用于商业用途，未经授权，严禁复制、发行、汇编、翻译或者网络传播等，侵权必究。
3、本站所有内容均由合作方或网友上传，本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺！文档内容仅供研究参考，付费前请自行鉴别。如您付费，意味着您自己接受本站规则且自行承担风险，本站不退款、不进行额外附加服务；查看《如何避免下载的几个坑》。如果您已付费下载过本站文档，您可以点击这里二次下载。
4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等，请点击“版权申诉”（推荐），也可以打举报电话：400-050-0827(电话支持时间：9:00-18:30)。

交换路由CCIE之路——常见园区网攻击

实验常见园区网攻击解决一实验拓扑二实验要求针对各种攻击做出防御三实验内容针对MAC溢出的防御原理：MAC地址溢出，可能是由于人为原因制造大量MAC，使相应局域网MAC地址溢出,其它用户MAC将无法记录进MAC.因此可以采取限制端口MAC最大数及MAC地址绑定技术来防止恶意攻击。在没进行防御配置时，各端口相关MAC 10 0010.7b81.6f56 DYNAMIC Fa0/1 20 0010.7b7f.a91c DYNAMIC Fa0/3 20 0050.736b.b104 DYNAMIC Fa0/2 安全解决方案配置端口安全 r1(config)#int f0/2 r1(config-if)#switchport port-security //端口下开启端口安全 r1(config-if)#switchport port-security maximum 1 //限制通过的最大MAC数 r1(config-if)#switchport port-security mac-address sticky //粘贴学到的MAC,这样就不要手工绑定MAC 配置完成后改变PC1的MAC 地址，端口会变为errdisable状态，因为端口安全对非法客户的默认处理是Shutdown. r7(config)#int e0 r7(config-if)#mac-address 0001.0001.0001 01:53:43: %PM-4-ERR_DISABLE: psecure-violation error detected on Fa0/2, putting Fa0/2 in err-disable state r1(config-if)# 01:53:43: %PORT_SECURITY-2-PSECURE_VIOLATION: Security violation occurred, caused by MAC address 0001.0001.0001 on port FastEthernet0/2. r1#show ip int br Interface IP-Address OK? Method Status Protocol Vlan1 unassigned YES unset administratively down down FastEthernet0/2 unassigned YES unset down down 若对非法数据包动作为保护状态，则接口不会断开，只是数据包将被丢弃。 r1(config-if)#switchport port-security violation protect r7#ping 172.16.20.3 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 172.16.20.3, timeout is 2 seconds: ..... Success rate is 0 percent (0/5) r1#show ip int br Interface IP-Address OK? Method Status Protocol FastEthernet0/2 unassigned YES unset up up 将PC1的地址恢复为原来地址 r7(config)#default int e0 Building configuration... Interface Ethernet0 set to default configuration r7(config)#Translating r7 int e0 r7(config-if)#ip add 172.16.20.2 255.255.255.0 r7(config-if)#no shu r7(config-if)#end 数据包合法，故能传输 r7#ping 172.16.20.3 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 172.16.20.3, timeout is 2 seconds: !!!!! Success rate i