常见的四种交换机防范欺骗攻击方法及相应命令,交换机防范欺骗攻击中有很多种欺骗攻击,这里我们主要介绍防动态中继协议DTP攻击,防范VLAN跨越式攻击,防范DHCP欺骗攻击和防范ARP欺骗攻击的防范方案。
交换机防范欺骗攻击:防动态中继协议DTP攻击
交换机通过交换DTP协议,动态协商中继链路的用法和封装模式。然而,如果交换机中继端口模式为Auto,它将等待处于模式Auto或On的另一台交换机的请求建立连接。这时,如果恶意用户利用DTP尝试同交换机端口协商建立中继链路,攻击者将可以捕获任何通过该VLAN的数据流。
交换机防范欺骗攻击方法是:将任何连接到用户的端口配置为Access模式,从而使它不能以Auto模式使用DTP。需要使用的命令为:
Switch(config-if)#switchport mode access
交换机防范欺骗攻击:防范VLAN跨越式攻击
在这种攻击方法中,攻击者位于普通VLAN,发送被双重标记的帧,就像使用的是802.1q中继链路。当然,攻击者连接的并非中继线路,他通过伪造中继封装,欺骗交换机将帧转发到另一个VLAN中,实现VLAN跨越式攻击,从而在数据链路层就可非法访问另一VLAN。
交换机防范欺骗攻击方法是:首先,修改本征VLAN ID并在中继链路两端将本征VLAN修剪掉命令为:
Switch(config-if)#switchport trunk native vlan 200
Switch(config-if)#switchport trunk allowed vlan remove 200
然后,强制所有的中继链路给本征VLAN加标记,交换机防范欺骗攻击命令为:
Switch(config)#vlan dotlq tagnative
交换机防范欺骗攻击:防范DHCP欺骗攻击
DHCP欺骗的原理可以简述为,攻击者在某计算机上运行伪造的DHCP服务器,当客户广播DHCP请求时,伪造服务器将发送自己的DHCP应答,将其IP地址作为默认网关客户收到该应答后,前往子网外的数据分组首先经过伪网关。如果攻击者够聪明,他将转发
该数据分组到正确的地址,但同时他也捕获到了这些分组。尽管客户信息泄露了,但他却对此毫无所知。防范方法是:在交换机上启用DHCP探测。首先,在交换机的全局模式下启用DHCP探测,其交换机防范欺骗攻击命令为:
Switch(config)#ip dhcp snooping
接下来,指定要探测的VLAN,交换机防范欺骗攻击命令为:
Switch(config)#ip dhcp snooping vlan 2
然后,将DHCP服务器所在端口设置为信任端口,交换机防范欺骗攻击命令为:
Switch(config-if)#ip dhcp snooping trust
最后,限制其他不可信端口的DHCP分组速率,交换机防范欺骗攻击命令为:
Switch(config-if)#ip dhcp snooping limit rate rate
交换机防范欺骗攻击:防范ARP欺骗攻击
ARP地址欺骗类病毒是一类特殊的病毒,该病毒一般属于木马病毒,不具备主动传播的特性,不会自我复制。但是由于其发作的时候会向全网发送伪造的ARP数据包,干扰全网的运行,因此它的危害比一些蠕虫还要严重得多。其实, 我们只需要在交换机上绑定MAc地址,就能让ARP病毒无用武之地。
首先,在交换机上启用端口安全,交换机防范欺骗攻击命令为:
Switch(config-if)#switchport port-security
然后,指定允许的MAC地址,以便允许合法的MAC地址访问,交换机防范欺骗攻击命令为:
Switch(config-if)#switchport port-security mac-address 000A.E698.84B7
当然,上述操作是静态指定地址,比较麻烦。我们也可以动画获悉MAC,然后在端口上限制最大允许学习的MAC数目,命令为:
Switch(config-if)#switchport port-security 24
然后定义如果MAC地址违规则采取怎样的措施,交换机防范欺骗攻击命令为:
Switch(config-if)#switchport port-security vislation shutdown
其中shutdown是关闭,restrrict是丢弃并记录、警报,protect是丢弃但不记录。
以上就是有关交换机防范欺骗攻击的技术细节。相信确保交换机这三个方面的安全设置,并配合相应的规章、制度,就一定能够保证交换机的安全。
