SwitchRouter 第14课-端口安 全.ppt

* * 第6章 交换机端口安全 学习目标： ? 了解网络安全隐患 ? 掌握交换机端口安全技术 大量的攻击工具随手拾来 攻击工具更加“人性化” 导致的结果：人人都可以说： 核心层 汇聚层 核心设备攻击 应用层攻击 应用服务器群 网络层攻击 网络层攻击 网络层攻击 数据链路层攻击 数据链路层攻击 数据链路层攻击 接入层 非法ARP请求、DHCP请求、非法访问 交换机需要防范攻击，保证全网安全 每秒钟一万个MAC攻击、IP扫描、DoS/DDoS攻击 网络攻击对各网络层次的影响 FF.FF.FF.FF.FF.FF 广播MAC地址 00.d0.f8. 00.07.3c 前3个字节：IEEE分配给网络设备制造厂商的 后3个字节：网络设备制造厂商自行分配的，不重复，生产时写入设备 MAC地址：链路层唯一标识 接入交换机 MAC Port A 1 B 2 C 3 MAC地址表：空间有限 MAC攻击 MAC攻击 攻击： 交换机内部的MAC地址表空间是有限的，MAC攻击会很快占满交换机内部MAC地址表，使得单播包在交换机内部也变成广播包向同一个VLAN中所有端口转发，每个连在端口上的客户端都可以收到该报文，交换机变成了一个Hub，用户的信息传输也没有安全保障了 交换机 PC A MAC A PC B MAC B PC C MAC C MAC Port A 1 X 2 Y 3 交换机内部的MAC地址表空间很快被不存在的源MAC地址占满。没有空间学习合法的MAC B，MAC C 流量 C－B 流量 C－B 流量C－B 单播流量在交换机内部以广播包方式在所有端口转发，非法者也能接受到这些报文 MAC攻击：每秒发送成千上万个随机源MAC的报文 MAC攻击 交换机 攻击者 当端口学习的源MAC地址数量1个或源MAC地址和端口绑定的不一样，受到的数据帧丢弃/发送警告信息通知网管员/端口可关闭 MAC攻击 MAC攻击 防范： 利用交换机端口安全功能下的MAC动态地址锁/端口静态绑定MAC，来限定交换机某个端口上可以学习的源MAC数量或源MAC地址，当该端口学习的MAC数量超过限定数量时，交换机将产生违例动作。 DHCP攻击： 恶意用户通过更换MAC地址的方式向DHCP Server发送大量的DHCP请求，以消耗DHCP Server可分配的IP地址为目的，使得合法用户的IP请求无法实现 DHCP攻击 DHCP攻击 DHCP Server PC Client DHCP攻击之一：恶意DHCP请求 攻击者 不断变化MAC地址 Denial of Service IPPool被耗尽 DHCP Discover (广播包)XDHCP可以分配的IP数量 DHCP Offer (单播包) XDHCP可以分配的IP数量 DHCP Request (广播包) XDHCP可以分配的IP数量 DHCP ACK (单播包) XDHCP可以分配的IP数量 防范： 利用交换机端口安全功能：MAC动态地址锁和端口静态绑定MAC，来限定交换机某个端口上可以访问网络的MAC地址，从而控制：那些通过变化MAC地址来恶意请求不同IP地址和消耗IP资源的DHCP攻击。当交换机一个端口的MAC地址的数目已经达到允许的最大个数后，如果该端口收到一个源地址不属于端口上的MAC安全地址的包时，交换机则采取措施 DHCP攻击 MAC欺骗：盗用合法用户的MAC地址，侵入网络，使得正常用户无法上网； IP欺骗： 盗用合法用户的IP地址，使得到合法用户的通讯得不到响应，造成Ping of death，和ICMP不可达风暴 不断修改IP，发送TCP SYN连接，攻击Server，造成SYN Flood IP/MAC欺骗攻击 IP/MAC欺骗攻击 1、使用静态ARP缓存（应急办法）　　用arp -s命令在各主机上绑定网关的IP和MAC地址，同时在网关上绑定各主机的IP和MAC地址的方法。　　如果是WIN主机可编写一个批处理文件rarp.bat内容如下：（其中192.168.16.254 00-22-aa-00-22-aa是网关的IP和MAC地址）　　@echo off 　　arp -d 　　arp -s 192.168.16.254 00-22-aa-00-22-aa 　　将文件中的网关IP地址和MAC地址更改为您自己的网关IP地址和MAC地址即可。 　　将这个批处理软件拖到“windows--开始--程序--