实验3Layer2交换器装置之安全性设定与操作.ppt

實驗 3：Layer 2 交換器裝置之安全性設定與操作 實驗 3：Layer 2 交換器裝置之安全性設定與操作 實驗目的 本實驗講解如何設定Port Security、DHCP Snooping、BPDU Guard等方法來抵御下列幾種攻擊： CAM table overflow MAC address spoofing DHCP starvation STP manipulation 而在講解如何在交換器上設定對應的防禦機制前，將會簡述以上四種攻擊法，能夠讓各位更能了解這些防禦機制的工作原理。 CAM table overflow 攻擊簡述 CAM table overflow的目的是透過發送大量偽造MAC address的封包，使得交換器的CAM table紀錄的對應資料中不含有正常的主機MAC address，在這種狀況下交換器的工作方式就如同集線器一樣，將收到的封包將所有的連接埠送(除了來源的連接埠)，攻擊者便可藉此竊聽所有流經交換器的訊息。 場景如左圖1，一開始交換器上的CAM table存有主機A位於連接埠1、主機B位於連接埠2的對應資訊，當主機A要傳送資料給主機B時，由於CAM table中存在主機B存在連接埠2這項對應資訊，所以A傳送給B的訊息會直接送往連接埠2。 如圖2，之後主機C發送偽造MAC address的封包，當交換器收到後會更新CAM table中的資料，此時因為數量超過了CAM table所能紀錄的大小，所以會將先前存在的對應資料覆蓋掉，可以看到CAM table中紀錄到了X、Y這兩個不存在的MAC address位在連接埠3的資訊。 如圖3，最後假設主機A要傳訊息給主機B，交換器收到封包後發現CAM table中沒有紀錄主機B是位在哪個連接埠，因此將該訊息送往連接埠2、3。此時主機C就可收到主機A傳給主機B的訊息，。 MAC address spoofing 攻擊簡述 MAC address spoofing的目的是藉由送出一個來源MAC address為攔截目標的MAC address的封包給交換器，讓交換器上的CAM table紀錄錯誤的訊息，讓其後要送給目標主機的訊息都傳送攻擊者所在的連接埠。注意MAC address spoofing與CAM table overflow的差別在於MAC address spoofing只會收到攻擊目標的封包，而CAM table overflow則是會竊聽到所有流經交換器的封包。 我們用左方的圖來簡述MAC address spoofing的攻擊流程，場景如左圖1，一開始CAM table中紀錄主機A在連接埠2、主機B在連接埠1、主機C在連接埠3。 之後主機B送出一個來源MAC address欄位填上A的MAC address的封包，當交換器收到後，會更新CAM table，使得交換器認為主機A在連接埠1，如圖2。 接著所有要送給主機A的訊息，全部都會往連接埠1傳送，使得主機B可以收到原本要傳給主機A的訊息，如圖3。直到A主機再度送出訊框更新CAM table中的資訊，A主機才能夠收到原本該收到的封包。 DHCP starvation 攻擊簡述 DHCP starvation的目的是發送偽造MAC address的封包將合法的DHCP伺服器所有可用的IP位址佔用，使得合法使用者無法從DHCP伺服器取得可用IP位址。然後攻擊者架設一個DHCP伺服器，偽裝成合法的DHCP伺服器，當使用者發出DHCP request時，當合法的DHCP伺服器收到後因為本身已無可用的IP位置而不做任何的回應，而此時就由攻擊者所偽裝的DHCP伺服器來回應給使用者。而通常DHCP除了分派IP位址之外，同時會指定DNS伺服器與預設的閘道器，而攻擊者就是利用將這些位址指向自已所擁有的主機位址藉此達成man-in-the-middle attack。 我們用下方的圖來簡述DHCP starvation的攻擊流程，如圖1，首先攻擊者發送大量偽造來源MAC address的DHCP request給合法的DHCP伺服器，嘗試找出DHCP伺服器所有可分配的IP位址範圍並佔用所有可用的IP位址。 如圖2，當攻擊者將合法的DHCP伺服器的所有可用IP佔用後，自已設置一個偽裝的DHCP伺服器，當合法使用者發出DHCP request時由攻擊者偽裝的DHCP伺服器回應給使用者。 STP manipulation 攻擊簡述 STP manipulation的目的是為了要竊聽網路上流經的封包，做法是攻擊者將自已偽裝成Root Bridge，使得原本不該流經過攻擊者的封包送往攻擊者端。除了竊聽之外，也可做到DoS的效果，利用發送STP configuration/topology