- 1、本文档共13页,可阅读全部内容。
- 2、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
查看更多
目录:
1. MAC/CAM 攻击的防范
1.1MAC/CAM 攻击的原理和危害
1.2 典型的病毒利用 MAC/CAM 攻击案例
1.3 使用 Port Security feature 防范MAC/CAM 攻击
1.4 配置
1.5 使用 其它技术 防范MAC/CAM 攻击
2. DHCP 攻击的防范
2.1 采用 DHCP 管理的常见问题:
2.2DHCP Snooping 技术概况
2.3 基本防范
2.4 高级防范
3. ARP 欺骗/ MITM(Man-In-The-Middle)攻击原理和防范
3.1 MITM(Man-In-The-Middle)攻击原理
3.2 攻击实例
3.3 防范方法
3.4 配置示例
3.5 配置 DAI 后的效果:
4. IP/MAC 欺骗的防范
4 .1 常见的欺骗攻击的种类和目的
4.2 攻击实例
4.3IP/MAC 欺骗的防范
4.4 配置示例:
5. IP 地址管理和病毒防范的新思路
5.1IP 地址管理
5.2 使用 DHCP Snooping 、DAI 、IP Source Guard 技术能解决的有关病毒问题
本文所提到的攻击和欺骗行为主要针对链路层和网络层。在网络实际环境中,其来源可
概括为两个途径:人为实施;病毒或蠕虫。人为实施通常是指使用一些黑客的工具对网络进
行扫描和嗅探,获取管理帐户和相关密码,在网络上中安插木马,从而进行进一步窃取机密
文件。攻击和欺骗过程往往比较隐蔽和安静,但对于信息安全要求高的企业危害是极大的。
而来自木马或者病毒及蠕虫的攻击和往往会偏离攻击和欺骗本身的目的,现象有时非常直
接,会带来网络流量加大、设备 CPU 利用率过高、二层生成树环路直至网络瘫痪。
目前这类攻击和欺骗工具已经非常成熟和易用,而目前企业在部署这方面的防范还存在
很多不足,有很多工作要做。思科针对这类攻击已有较为成熟的解决方案,主要基于下面的
几个关键的技术:
• Port Security feature
• DHCP Snooping
• Dynamic ARP Inspection (DAI)
• IP Source Guard
下面部分主要针对目前非常典型的二层攻击和欺骗说明如何在思科交换机上组合运用
和部署上述技术,从而实现防止在交换环境中实施“ 中间人”攻击、 MAC/CAM 攻击、 DHCP
攻击、地址欺骗等,更具意义的是通过上面技术的部署可以简化地址管理,直接跟踪用户 IP
和对应的交换机端口;防止 IP 地址冲突。同时对于大多数对二层网络造成很大危害的具有
地址扫描、欺骗等特征的病毒可以有效的报警和隔离。
1 MAC/CAM 攻击的防范
1.1MAC/CAM 攻击的原理和危害
交换机主动学习客户端的 MAC 地址,并建立和维护端口和 MAC 地址的对应表以此
建立交换路径,这个表就是通常我们所说的 CAM 表。 CAM 表的大小是固定的,不同的
交换机的 CAM 表大小不同。 MAC/CAM 攻击是指利用工具产生欺骗 MAC ,快速填满
CAM 表,交换机 CAM 表被填满后,交换机以广播方式处理通过交换机的报文,这时攻
击者可以利用各种嗅探攻击获取网络信息。 CAM 表满了后,流量以洪泛方式发送到所有
接口,也就代表 TRUNK 接口上的流量也会发给所有接口和邻接交换机,会造成交换机负
载过大,网络缓慢和丢包甚至瘫痪。
• 1.3 使用 Port Security feature 防范MAC/CAM 攻击
思科 Port Security feature 可以防止 MAC 和 MAC/CAM 攻击。通过配置 Port
Security 可以控制:
• 端口上最大可以通过的 MAC 地址数量
• 端口上学习或通过哪些 MAC 地址
• 对于超过规定数量的 MAC 处理进行违背处理
端口上学习或通过哪些 MAC 地址,可以通过静态手工定义,也
文档评论(0)