[IT认证]Exploration_LAN_Switching_Chapter_2_CN.ppt

* * * 下面的步骤演示了如何在 Cisco IOS 交换机上配置 DHCP 侦听： 步骤 1. 使用 ip dhcp snooping 全局配置命令启用 DHCP 侦听。 步骤 2. 使用 ip dhcp snooping vlan number [number] 命令对特定 VLAN 启用 DHCP 侦听。 步骤 3. 使用 ip dhcp snooping trust 命令定义可信端口，从而在接口级别将端口定义为可信或不可信。 步骤 4.（可选）使用 ip dhcp snooping limit raterate 命令限制攻击者通过不可信端口向 DHCP 服务器连续发送伪造 DHCP 请求的速率。 * CDP 包含有关设备的信息，如 IP 地址、软件版本、平台、性能和本机 VLAN。如果攻击者得到这些信息，他们就可以利用这些信息来查找漏洞以攻击网络，通常的攻击形式是拒绝服务 (DoS) 攻击。 图中为部分 Ethereal 数据包跟踪，其中显示了 CDP 数据包的内容。通过 CDP 发现的 Cisco IOS 软件版本特别有利于攻击者研究和确定该特定版本的代码是否有任何特有的安全性漏洞。此外，由于 CDP 未经过身份验证，因此攻击者可以伪造 CDP 数据包，并让与自己直接相连的 Cisco 设备收到。 * * * * * * * * * * * * * * * MAC 地址表以前称为内容可寻址存储器 (CAM) 或 CAM 表。 动态地址是交换机获得的源 MAC 地址，而且当这些地址不使用时，交换机将使其老化。 网络管理员可以为某些端口专门分配静态 MAC 地址。静态地址不会老化，并且交换机总是知道应从哪个端口发出目的地为特定 MAC 地址的流量。 要在 MAC 地址表中创建静态映射，请使用 mac-address-table static MAC address vlan {1-4096, ALL} interfaceinterface-id 命令。 * MAC 地址表以前称为内容可寻址存储器 (CAM) 或 CAM 表。 动态地址是交换机获得的源 MAC 地址，而且当这些地址不使用时，交换机将使其老化。 网络管理员可以为某些端口专门分配静态 MAC 地址。静态地址不会老化，并且交换机总是知道应从哪个端口发出目的地为特定 MAC 地址的流量。 要在 MAC 地址表中创建静态映射，请使用 mac-address-table static MAC address vlan {1-4096, ALL} interfaceinterface-id 命令。 * * * * * * * * * * Cisco 交换机上可以有很多 vty 端口。多端口允许多位管理员连接并管理交换机。 小心：如果未定义任何口令，而仍然要求登录，则用户将无法访问控制台。 * * * * * * * * 理解 MAC 地址表溢出攻击工作方式的关键是要知道 MAC 地址表的大小有限。MAC 泛洪利用这一限制用虚假源 MAC 地址轰炸交换机，直到交换机 MAC 地址表变满。交换机随后进入称为“失效开放”(fail-open) 的模式，开始像集线器一样工作，并将数据包广播到网络上的所有机器。因此，攻击者可看到从受害主机发送到无 MAC 地址表条目的另一台主机的所有帧。 * 使用网络攻击工具可以执行 MAC 泛洪。网络入侵者使用攻击工具以大量无效的源 MAC 地址泛洪攻击交换机，直到 MAC 地址表充满。当 MAC 地址表变满时，交换机将传入流量泛洪传送到所有端口，因为它在 MAC 地址表中找不到对应特定 MAC 地址的端口号。交换机实际上是在起类似于集线器的作用。 某些网络攻击工具每分钟可以在交换机上生成 155,000 个 MAC 条目。MAC 地址表的最大大小因交换机而异。在图中，攻击工具在屏幕右下角 MAC 地址为 C 的主机上运行。此工具用伪造的数据包来泛洪攻击交换机，数据包中包含随机生成的源和目的 MAC 地址以及源和目的 IP 地址。经过很短时间之后，交换机中的 MAC 地址表将被填满，直到无法接受新条目。当 MAC 地址表中充满无效的源 MAC 地址时，交换机开始将收到的所有帧都转发到每一个端口。 * 半双工：半双工通信依赖于单向数据流，在单向数据流中，发送数据和接收数据不会同时执行。 全双工： 在全双工通信中，数据流为双向，因此可以同时发送数据和接收数据。 * * * * * * * * * * * * 直通交换有两种变体： 快速转发交换：快速转发交换提供最低程度的延时。快速转发交换在读取目的地址之后立即转发数据包。由于快速转发交换在收到整个数据包之前就开始转发，因此有时候中继数据包时会出错。这种情况并不经常发生，而且目的网络适配器在