中文字幕av专区_日韩电影在线播放_精品国产精品久久一区免费式_av在线免费观看网站

溫馨提示×

溫馨提示×

您好,登錄后才能下訂單哦!

密碼登錄×
登錄注冊×
其他方式登錄
點擊 登錄注冊 即表示同意《億速云用戶服務條款》

交換安全:MAC、dhcp、DAI、IP源防護

發布時間:2020-06-22 22:34:36 來源:網絡 閱讀:1412 作者:Garcia648 欄目:安全技術

一、MAC洪泛

原理:由于交換機具備自動學習能力,將數據幀中的源MAC與進入的端口形成映射形成MAC地址表,存放在內存中;若***者發送大量偽造的源MAC數據幀給交換機,那么交換機會產生大量的錯誤對應一個MAC

              將這個端口對應的MAC靜態綁定;

1、//進入交換機接口接口MAC條目,最終導致內存溢出。

2、防御方法:限制一個端口下能進入主機的數量——學習MAC地址的數量;

             在接入層開啟特性,默認一個交換機

Switch(config)#int 接口

 

//將這個端口對應的MAC靜態綁定

Switch(config-if)#switchport mode access 

Switch(config-if)#switchport port-security 

Switch(config-if)#switchport port-security mac-address ?

  H.H.H   48 bit mac address

 

//動態學習數據幀的MAC地址,然后自動安全綁定為靜態

Switch(config-if)#switchport port-security mac-address sticky 

 

//限定最大對應MAC地址數量

Switch(config-if)#switchport port-security maximum 2

 

//若違反了定義的規則,那么默認實施的規則是自動關閉這個接口

Switch(config-if)#switchport port-security violation ?

  protect   Security violation protect mode  

  restrict  Security violation restrict mode  

  shutdown  Security violation shutdown mode

 

Protect:當違反規則,那么將丟棄違反規則的數據,并 且保持端口是開啟的 

restrict:若違反規則,將會發送一個trap陷阱消息到SNMP服務器,同時丟棄違反規則的數據,保持端口開啟

 

查看驗證:

Switch#show port-security address 

Secure Mac Address Table

-------------------------------------------------------------------------------

VlanMac AddressTypePortsRemaining Age

(mins)

-------------------------------------

------------------------------------------------------------------------------

Total Addresses in System (excluding one mac per port)     : 0

Max Addresses limit in System (excluding one mac per port) : 1024

 

Switch#show port-security interface f0/1

Port Security              : Enabled

Port Status                : Secure-down

Violation Mode             : Shutdown

Aging Time                 : 0 mins

Aging Type                 : Absolute

SecureStatic Address Aging : Disabled

Maximum MAC Addresses      : 2

Total MAC Addresses        : 0

Configured MAC Addresses   : 0

Sticky MAC Addresses       : 0

Last Source Address:Vlan   : 0000.0000.0000:0

Security Violation Count   : 0

 

二、基于VLAN的跳躍***

1、VLAN跳躍***

***原理:默認情況下交換機的端口模式是出于動態協商模式的,要么是auto,或者是desirable 模式,這樣就有可能導致,主機和交換之間鏈路形成TRUNK;

當然了這個前提,交換機的那個端口要么是沒有被定義到access模式;要么是這端口就是默認沒有任何的配置;交換機將會把其他VLAN的洪泛流量發送到這個***主機;

解決的辦法:不使用的接口全都關閉;將接口模式改變為access;

2、雙重標記的802.1Q數據幀跳躍***

***原理:通過在發送數據時候,優先增加一個***目標 VLAN的標簽,同時***者原有所有的VLAN是交換與交換相連TRUNK上的指定native VLAN,那么在這個優先被加上標簽的數據轉發到第一個交換的時候,這個交換將不會對數據進行再次的打標簽,原因----這個數據就是native  VLAN的數據;而當到達其他的交換的時候,那些交換將會檢查tag,就查看到了內層標簽--***目標 VLAN的標簽;接著轉發這個數據進入***目標VLAN之內;

解決辦法:第一將native VLAN設定為沒有用戶的VLAN

          第二對native  VLAN也進行打標簽;

       交換安全:MAC、dhcp、DAI、IP源防護

三、DHCP監聽、DAI動態ARP截取、IP源防護

1、以上的方法,是被用于企業網絡內部;

2DHCP 的欺騙

***原理:因為DHCP在獲取地址的時候,總共分為了4個過程

client發送DHCP 發現消息------廣播發送;找dhcp server

DHCP server 發送offer響應------廣播發送;告知了dhcpserver是誰,并且描述能分配的地址有哪些

Client------發送request-------廣播發送;請求得到那個地址;

server發送 ACK---廣播發送;

 

如果一個***者充當DHCP server,而響應的速度比正常的server 快,那么client將會選擇***者分配的IP地址和網關等信息;

防御原理:通過設定上行連接dhcpserver的接口為信任接口,從信任接口進入的dhcp消息都是可以的;剩余的接口都是不信任接口,不能進入dhcpoffer消息;從而避免下方的接入層主機發送offer;通過監聽從那些接口進入了dhcp  offer

部署:

開啟dhcp的監聽

 

交換安全:MAC、dhcp、DAI、IP源防護

 

 

設定監聽的VLAN

交換安全:MAC、dhcp、DAI、IP源防護

 

設定dhcp snooping 信任接口

交換安全:MAC、dhcp、DAI、IP源防護

 

驗證辦法,在開啟dhcp snooping的交換上驗證

交換安全:MAC、dhcp、DAI、IP源防護

 

也可以在DHCp server上查看DHCP下發地址綁定信息

交換安全:MAC、dhcp、DAI、IP源防護

 

3DAI:動態ARP截取

ARP欺騙的原理:實際上是用***者的MAC地址來替代網關的(目標)MAC地址;arp條目是動態;后來的ARP信息會覆蓋原有;

DAI防御原理:在做DAI的時候,必須優先開啟dhcp snooping,通過dhcpsnooping將會在交換上留下一個綁定的信息表----IPMAC的信息表;

設定上行接口為DAI的信任接口,而其他的接口為不信任接口,那么從不信任接口進入的ARP信息,將會被DAI進行審查,若發現IPMAC是不匹配的,那么這個數據就被丟棄;

部署

第一步--開啟dhcp snooping

第二步,開啟arpDAI功能

交換安全:MAC、dhcp、DAI、IP源防護

第三步,設定DAI的信任端口-----uplink的上行接口;

4IP源防護特性

ip欺騙:***原理,通過偽造源IP地址,而源MAC地址是正確的或者也是偽造,那么將這種數據發送給其他的主機,而本身這個源IP地址是存在的;就會為DDOS或者DOS***能夠形成機會;

 

防御原理:在交換上通過已經存在dhcp  snooping綁定信息,檢查,從這個端口進入的數據的源IP地址和MAC地址是否是匹配的,以及這個數據是否應該從這個端口進入;若不一致,那么就丟棄這個數據;源防護在不信任的端口開啟

 

 

 

 

 


向AI問一下細節

免責聲明:本站發布的內容(圖片、視頻和文字)以原創、轉載和分享為主,文章觀點不代表本網站立場,如果涉及侵權請聯系站長郵箱:is@yisu.com進行舉報,并提供相關證據,一經查實,將立刻刪除涉嫌侵權內容。

AI

同江市| 正镶白旗| 惠安县| 虎林市| 临沭县| 平邑县| 鱼台县| 高碑店市| 白沙| 大姚县| 洛阳市| 潞西市| 岑溪市| 那曲县| 甘南县| 延津县| 化州市| 乡城县| 石屏县| 玉田县| 阿克| 永泰县| 林甸县| 沈丘县| 沛县| 河曲县| 山西省| 贵阳市| 衡山县| 安泽县| 高雄县| 田林县| 化隆| 徐汇区| 读书| 天水市| 竹山县| 华亭县| 灌南县| 项城市| 怀集县|