局域網安全功防

歡×××陳師傅」

mac泛洪功擊與防禦

mac學習機制

在最初的時候，交換機裏是沒有mac地址表信息的，那麼交換機就要進行學習，假如交換機上鍊接着兩個主機PC1和PC2，當PC1要與PC2進行通訊時，PC1的數據幀流入交換機，交換機會把PC1的MAC地址和PC1鏈接的端口記錄到交換機的mac表中，可是交換機的mac地址表中並無PC2的mac地址信息和端口綁定，因此交換機會將數據幀向全網發送廣播，當主機收到數據幀後會把目的mac地址和本身的進行比對，若是同樣就應答，不同就丟棄，當PC2收到與本身mac地址相同的數據幀後，會進行應答，當應答的數據幀流經交換機的時候，交換機會把應答的數據幀的mac地址信息和所進入的端口記錄在交換機的mac地址表中，而後交換機會尋找與應答數據幀對應的目的mac地址，交換機發現PC1的mac地址表信息已經存在，會根據PC1綁定的端口號直接將應答數據幀發送給PC1，這樣就完成了一次mac地址學習。

mac老化機制

若交換機與某臺主機長時間未通訊，交換機就會把該主機的mac地址從mac地址表裏刪除掉，等下次通訊時從新學習地址。

mac地址泛洪功擊

經過僞造大量未知的mac地址進行通訊，在交換機不斷地學習以後，交換機的mac地址表被充滿，正常的主機mac地址通過老化以後就沒法添加到交換機的mac地址表中，這樣就會強迫交換機進行廣播，從而達到功擊主機能夠獲取兩個主機之間進行的通訊數據的目的

mac地址泛洪功擊測試

實驗環境：

kali中有一款名爲macof的工具能夠進行mac泛洪功擊測試，本次使用macof在功擊機上進行測試，ip地址爲192.168.2.130
下面的實驗中交換機均採用神州數碼DCRS6200設備
PC1爲Windows xp主機，ip地址爲192.168.2.140
PC2爲神州數碼設備DCFW防火牆，ip地址爲192.168.2.2

開始測試

開始以前咱們先查看交換機的mac地址信息

使用macof進行mac地址泛洪功擊

再次查看交換機的mac地址表，能夠看到mac地址表被大量僞造的mac堆滿

如今在PC1上訪問DCFW，也就是PC2，而後打開wireshark進行監聽
wireshark過濾規則爲ip.addr == 192.168.2.140 and http
能夠在wireshark上監聽到PC1傳入的用戶名和密碼

mac泛洪功擊的防禦

在進行mac泛洪功擊的時候，交換機的CPU利用率是偏高的

1.能夠在功擊機所鏈接端口配置Port Security特性，阻止功擊機發起的mac泛洪功擊

CS6200-28X-EI(config-if-ethernet1/0/5)#sw port-security #開啓端口安全性
CS6200-28X-EI(config-if-ethernet1/0/5)#sw port-security maximum 5 #設置接口容許接入的最大MAC地址數量爲5
CS6200-28X-EI(config-if-ethernet1/0/5)#sw port-security mac-address 00-0c-29-b0-81-4f #綁定指定的mac地址，並添加到交換機的運行配置中，交換機的端口收到源mac數據幀與設置的mac地址進行比較，若是一致則會轉發，若是不一致，則會丟棄源mac的數據幀
DCRS(config-if-ethernet1/0/5)#sw port-security mac-address sticky #啓用mac地址粘滯性，粘滯性能夠將端口配置爲動態得到MAC地址，而後將這些MAC地址保存到運行配置中，若是禁止Port Security特性，粘滯安全mac地址仍保留在運行配置中。
DCRS(config-if-ethernet1/0/5)#sw port-security violation restrict #設置安全違規操做爲安全違背限制模式，默認狀況下是安全關閉模式，安全違背限制模式將會丟棄未受權地址發來的數據幀，建立日誌消息併發送SNMP Trap消息。有關其餘安全違規操做可使用DCRS(config-if-ethernet1/0/5)#sw port-security violation ？ 進行查看

2.配置Access Management特性也能夠阻止功擊機發起的mac泛洪功擊

AM(access management)又名訪問管理，它利用收到數據報文的信息(源IP 地址
或者源IP+源MAC)與配置硬件地址池(AM pool)相比較，若是找到則轉發，不然丟棄。
DCRS(config)#am enable #在配置模式下開啓認證管理
DCRS(config-if-ethernet1/0/5)#am port #進入功擊機的接口下，配置端口使能
DCRS(config-if-ethernet1/0/5)#am mac-ip-pool 01-00-5e-00-00-16 192.168.2.22 #配置mac-ip地址池，指定該端口上用 戶的源MAC 地址和源IP 地址信息，當AM使能的時候，AM模塊會拒絕全部的IP報文經過(只容許IP地址池內的成員源地址經過)

arp欺騙功擊與防禦

ARP協議

ARP（地址解析協議）是在網絡協議包中經過解析網絡層地址來找尋數據鏈路層地址的一個在網絡協議包中極其重要的網絡傳輸協議。在以太網協議中規定，同一局域網中的一臺主機要和另外一臺主機進行直接通訊，必需要知道目標主機的MAC地址。而在TCP/IP協議中，網絡層和傳輸層只關心目標主機的IP地址。這就致使在以太網中使用IP協議時，數據鏈路層的以太網協議接到上層IP協議提供的數據中，只包含目的主機的IP地址。因而須要一種方法，根據目的主機的IP地址，得到其MAC地址。這就是ARP協議要作的事情。所謂地址解析（address resolution）就是主機在發送幀前將目標IP地址轉換成目標MAC地址的過程。
每檯安裝有TCP/IP協議的主機(包括網關)都有一個ARP緩存表。該表中保存這網絡中各個電腦的IP地址和MAC地址的映射關係。
PC1要與PC2通訊，會先查看本身的ARP緩存表，若是有PC2的IP與MAC地址的映射關係，會直接將數據幀發送給PC2，若是沒有的話，會廣播發送ARP請求，請求中包含着PC2的IP地址，當PC2收到PC1的ARP請求後，會把PC1的IP地址和Mac地址存放在本身的ARP緩存表中，而後會把回覆ARP應答給PC1，這時候PC1收到回覆，則會把pc-2的ip地址和pc-2的mac地址緩存到arp表中。

ARP欺騙原理

假設PC3是功擊機，那麼PC3會向PC1發送一個ARP請求，請求中的IP地址是PC2的IP地址，而Mac地址則是PC3的地址，同時也會向PC2發送一個，IP地址是PC1的IP地址，Mac地址是PC3的MAC地址，這樣PC1和PC2的ARP緩存表中都有了PC3的Mac地址，那麼PC1若是和PC2互相通訊，其實是都把數據發送給了PC3，再從PC3將數據幀轉發給目標地址，PC3實際上在這裏充當了一箇中間人的角色，這樣就完成了一次ARP欺騙
ARP功擊測試
本次測試是對局域網中的IP爲192.168.179.131的主機進行測試

首先須要在功擊機上開啓IP轉發功能

查看目標主機的arp緩存表

開始功擊，這裏使用的是命令行工具arpspoof，kali中arp欺騙的工具備不少，若是使用圖形界面來操做能夠選擇ettercap工具


再次查看目標主機的arp緩存表，發現網關的MAC地址已經變爲功擊機的MAC地址，arp欺騙成功，這時候就可使用一些抓包工具來獲取他的信息了

ARP欺騙防禦

1.配置Access Management特性能夠阻止功擊機發起的arp欺騙功擊

內容同Mac泛洪的防護方法

2.配置IP DHCP Snooping Bind特性來阻止功擊機發起的arp欺騙

DHCP Snooping會創建一張DHCP監聽綁定表，對於已存在於綁定表中的mac和ip對於關係的主機，不論是dhcp得到，仍是靜態指定，只要符合這個表就能夠了。若是表中沒有就阻塞相應流量。DCRS(Config)#ip dhcp snooping enable #使能DHCP Snooping功能DCRS(Config)#ip dhcp snooping binding enable DCRS(Config)#ip dhcp snooping binding arpDCRS(Config)#interface ethernet 0/0/1DCRS(Config-Ethernet0/0/1)# ip dhcp snooping trust #配置接口爲信任接口