局域网安全-生成树攻击-ARP攻击-MAC攻击-VTP攻击-动态VLAN的攻击

一、MAC layer attacks1.CAM表的OVERLOAD 第三方设备不断发送变化的MAC地址，填满CAM表，对于后来合法的MAC地址不能学习到从而泛洪，这时攻击者将学习到合法者的数据包。2.MAC地址的SPOOFING 攻击者模拟合法用户的MAC地址。解决方案：    1、基于源MAC地址允许流量：端口安全    2、基于源MAC地址限制流量：static CAM    3、阻止未知的单/组播帧    4、802.1x基于端口的认证 二、VLAN attacks有些报告称，某些交换机在高流量负载下会发生VLAN间数据泄露-不现实 可行的攻击方法：1.DTP滥用（VLAN攻击的基础）用主机发送on模式或者DES模式的的DTP报文，使得成为Trunk链路，这样其他用户的数据就可以发送过来了，也可以发送出去了攻击软件：Yersinia，sniffer pro 2.DOT1Q攻击和ISL攻击（单向）用主机发送双TAG，但里面的必须是Native VLAN的帧，也就是说网络里面的Native VLAN必须和攻击者相同 3.用PVLAN跳跃攻击对ISL也有效，二层交换机不关心IP地址，路由器一般也不会做MAC的过滤通过PVLAN隔离的主机仍然使用共同的网关，发送这样一种数据包，源MAC及IP地址有效，但目的MAC替换成网关路由器的MAC地址，那么交换机将转发此数据包到路由器上，而路由器查看其IP地址，将其定向到目标上，数据包的源MAC地址会被路由器的MAC地址替换掉，又一次单向攻击 4.VTP攻击大多数网络管理员没有设置MD5认证，先用DTP攻击，然后设置高修订号的VTP消息即可 5.动态VLAN的攻击（使用VLAN查询协议VQP攻击） 6.绕过VLAN分段进行迂回攻击使用CST时，所有VLAN的流量都会通过根桥 解决方案：1、switch mode access 但是依然接受带标记的帧          2、VACL          3、PVLAN 三、生成树攻击1.插入恶意根网桥让自己的主机成为根桥，使得局域网流量流向自己，又分为单宿主和多宿主两种方式 2.在无需成为根的条件下修改流量路径通过更改链路的COST，导致STP重新收敛，使流量流向自己 3.重算STP及数据嗅探发TCN报文，导致STP重新收敛，而且所有交换机的MAC地址老化时间变成15S，并且MAC地址清空，这样就可以收到所有流量，比如说此时进行MAC泛洪，这样每台交换机都成了HUB了，嘿嘿 4.STP DoS攻击目的：主要是阻断网络，而不是使网络停止工作比如说，使得去往IDS和IPS的流量减少，隐藏自己的踪迹或者切分网络，就是有2个一模一样的根网桥 后果，没完没了的根网桥选举或根网桥失踪 做法：泛洪TC BPDU和TCN，并且可以将max-age设到最小值来使根网桥失踪 使用工具：STP-SPOOF，Yersinia用Yersinia不断的发送TC和TCN的BPDU即可 解决方案:1.Portfast                  2.BPDU保护         3.BPDU过滤         4.根保护  四、spoof attacks    1、DHCP spoof       流氓DHCP服务器，设置网关为自己，骗取客户的流量       解决方案：DHCP snooping    2、IP spoof       伪造别人使用的合法IP地址，来使用网络       解决方案：IP 源防护    3、ARP spoof       对路由器的ARP欺骗       对PC的ARP欺骗欺骗方式：一种是欺骗主机作为“中间人”，定期发送无故ARP，被欺骗主机的数据都经过它中转一次，这样欺骗主机可以窃取到被它欺骗的主机之间的通讯数据；另一种让被欺骗主机直接断网。              解决方案：1、由网关等设备或者软件定期发送正确的ARP信息（没啥用）                2、静态绑定ARP条目，在网关和PC上双向绑定                3、DAI（彻底解决） 五、attacks on switch devices    1、关闭CDP    2、限制广播/组播流量    3、为交换机设置登录密码    4、使用SSH实现安全的登录