局域網安全-生成樹攻擊-ARP攻擊-MAC攻擊-VTP攻擊-動態VLAN的攻擊

1、MAC layer attacks

1.CAM表的OVERLOAD 第三方設備不斷髮送變化的MAC地址，填滿CAM表，對於後來合法的MAC地址不能學習到從而泛洪，這時攻擊者將學習到合法者的數據包。

2.MAC地址的SPOOFING 攻擊者模擬合法用戶的MAC地址。

解決方案：

    一、基於源MAC地址容許流量：端口安全

    二、基於源MAC地址限制流量：static CAM

    三、阻止未知的單/組播幀

    四、802.1x基於端口的認證

 

2、VLAN attacks

有些報告稱，某些交換機在高流量負載下會發生VLAN間數據泄露-不現實

 

可行的攻擊方法：

1.DTP濫用（VLAN攻擊的基礎）

用主機發送on模式或者DES模式的的DTP報文，使得成爲Trunk鏈路，這樣其餘用戶的數據就能夠發送過來了，也能夠發送出去了

攻擊軟件：Yersinia，sniffer pro

 

2.DOT1Q攻擊和ISL攻擊（單向）

用主機發送雙TAG，但裏面的必須是Native VLAN的幀，也就是說網絡裏面的Native VLAN必須和攻擊者相同

 

3.用PVLAN跳躍攻擊

對ISL也有效，二層交換機不關心IP地址，路由器通常也不會作MAC的過濾

經過PVLAN隔離的主機仍然使用共同的網關，發送這樣一種數據包，源MAC及IP地址有效，但目的MAC替換成網關路由器的MAC地址，那麼交換機將轉發此數據包到路由器上，而路由器查看其IP地址，將其定向到目標上，數據包的源MAC地址會被路由器的MAC地址替換掉，又一次單向攻擊

 

4.VTP攻擊

大多數網絡管理員沒有設置MD5認證，先用DTP攻擊，而後設置高修訂號的VTP消息便可

 

5.動態VLAN的攻擊（使用VLAN查詢協議VQP攻擊）

 

6.繞過VLAN分段進行迂迴攻擊

使用CST時，全部VLAN的流量都會經過根橋

 

解決方案：一、switch mode access 可是依然接受帶標記的幀

          二、VACL

          三、PVLAN

 

3、生成樹攻擊

1.插入惡意根網橋

讓本身的主機成爲根橋，使得局域網流量流向本身，又分爲單宿主和多宿主兩種方式

 

2.在無需成爲根的條件下修改流量路徑

經過更改鏈路的COST，致使STP從新收斂，使流量流向本身

 

3.重算STP及數據嗅探

發TCN報文，致使STP從新收斂，並且全部交換機的MAC地址老化時間變成15S，而且MAC地址清空，這樣就能夠收到全部流量，好比說此時進行MAC泛洪，這樣每臺交換機都成了HUB了，嘿嘿

 

4.STP DoS攻擊

目的：主要是阻斷網絡，而不是使網絡中止工做

好比說，使得去往IDS和IPS的流量減小，隱藏本身的蹤影

或者切分網絡，就是有2個如出一轍的根網橋

 

後果，沒完沒了的根網橋選舉或根網橋失蹤

 

作法：泛洪TC BPDU和TCN，而且能夠將max-age設到最小值來使根網橋失蹤

 

使用工具：STP-SPOOF，Yersinia

用Yersinia不斷的發送TC和TCN的BPDU便可

 

解決方案:1.Portfast         

         2.BPDU保護

         3.BPDU過濾

         4.根保護

 

 

4、spoof attacks

    一、DHCP spoof

       流氓DHCP服務器，設置網關爲本身，騙取客戶的流量

       解決方案：DHCP snooping

    二、IP spoof

       僞造別人使用的合法IP地址，來使用網絡

       解決方案：IP 源防禦

    三、ARP spoof

       對路由器的ARP欺騙

       對PC的ARP欺騙

欺騙方式：一種是欺騙主機做爲「中間人」，按期發送無端ARP，被欺騙主機的數據都通過它中轉一次，這樣欺騙主機能夠竊取到被它欺騙的主機之間的通信數據；另外一種讓被欺騙主機直接斷網。

       

       解決方案：一、由網關等設備或者軟件按期發送正確的ARP信息（沒啥用）

                二、靜態綁定ARP條目，在網關和PC上雙向綁定

                三、DAI（完全解決）

 

5、attacks on switch devices

    一、關閉CDP

    二、限制廣播/組播流量

    三、爲交換機設置登陸密碼

    四、使用SSH實現安全的登陸