cisco交换机防止欺骗及攻击大全.pdf

目录： 1. MAC/CAM 攻击的防范 1.1MAC/CAM 攻击的原理和危害 1.2 典型的病毒利用 MAC/CAM 攻击案例 1.3 使用 Port Security feature 防范MAC/CAM 攻击 1.4 配置 1.5 使用 其它技术 防范MAC/CAM 攻击 2. DHCP 攻击的防范 2.1 采用 DHCP 管理的常见问题： 2.2DHCP Snooping 技术概况 2.3 基本防范 2.4 高级防范 3. ARP 欺骗/ MITM(Man-In-The-Middle)攻击原理和防范 3.1 MITM(Man-In-The-Middle)攻击原理 3.2 攻击实例 3.3 防范方法 3.4 配置示例 3.5 配置 DAI 后的效果： 4. IP/MAC 欺骗的防范 4 ．1 常见的欺骗攻击的种类和目的 4.2 攻击实例 4.3IP/MAC 欺骗的防范 4.4 配置示例： 5. IP 地址管理和病毒防范的新思路 5.1IP 地址管理 5.2 使用 DHCP Snooping 、DAI 、IP Source Guard 技术能解决的有关病毒问题 本文所提到的攻击和欺骗行为主要针对链路层和网络层。在网络实际环境中，其来源可 概括为两个途径：人为实施；病毒或蠕虫。人为实施通常是指使用一些黑客的工具对网络进 行扫描和嗅探，获取管理帐户和相关密码，在网络上中安插木马，从而进行进一步窃取机密 文件。攻击和欺骗过程往往比较隐蔽和安静，但对于信息安全要求高的企业危害是极大的。 而来自木马或者病毒及蠕虫的攻击和往往会偏离攻击和欺骗本身的目的，现象有时非常直 接，会带来网络流量加大、设备 CPU 利用率过高、二层生成树环路直至网络瘫痪。 目前这类攻击和欺骗工具已经非常成熟和易用，而目前企业在部署这方面的防范还存在 很多不足，有很多工作要做。思科针对这类攻击已有较为成熟的解决方案，主要基于下面的 几个关键的技术： • Port Security feature • DHCP Snooping • Dynamic ARP Inspection (DAI) • IP Source Guard 下面部分主要针对目前非常典型的二层攻击和欺骗说明如何在思科交换机上组合运用 和部署上述技术，从而实现防止在交换环境中实施“ 中间人”攻击、 MAC/CAM 攻击、 DHCP 攻击、地址欺骗等，更具意义的是通过上面技术的部署可以简化地址管理，直接跟踪用户 IP 和对应的交换机端口；防止 IP 地址冲突。同时对于大多数对二层网络造成很大危害的具有 地址扫描、欺骗等特征的病毒可以有效的报警和隔离。 1 MAC/CAM 攻击的防范 1.1MAC/CAM 攻击的原理和危害 交换机主动学习客户端的 MAC 地址，并建立和维护端口和 MAC 地址的对应表以此 建立交换路径，这个表就是通常我们所说的 CAM 表。 CAM 表的大小是固定的，不同的 交换机的 CAM 表大小不同。 MAC/CAM 攻击是指利用工具产生欺骗 MAC ，快速填满 CAM 表，交换机 CAM 表被填满后，交换机以广播方式处理通过交换机的报文，这时攻 击者可以利用各种嗅探攻击获取网络信息。 CAM 表满了后，流量以洪泛方式发送到所有 接口，也就代表 TRUNK 接口上的流量也会发给所有接口和邻接交换机，会造成交换机负 载过大，网络缓慢和丢包甚至瘫痪。 • 1.3 使用 Port Security feature 防范MAC/CAM 攻击 思科 Port Security feature 可以防止 MAC 和 MAC/CAM 攻击。通过配置 Port Security 可以控制： • 端口上最大可以通过的 MAC 地址数量 • 端口上学习或通过哪些 MAC 地址 • 对于超过规定数量的 MAC 处理进行违背处理 端口上学习或通过哪些 MAC 地址，可以通过静态手工定义，也