MAC層攻擊 |
|
|
MAC地址泛洪 |
攻擊者以不同的源MAC地址發送多個數據包,短時間內交換機的CAM表被填滿,無法接受新的條目,這時交換機把它接受到的所有數據向所有端口泛洪,因此攻擊者可能獲取網絡中發給別的端口的包 |
交換機端口上限定一個具體的MAC地址或限定MAC地址數量 |
VLAN攻擊 |
|
|
VLAN跳轉 |
動態中繼協議爲基礎,在VLAN跳躍攻擊中,黑客可以欺騙計算機,冒充成另一個交換機發送虛假的DTP協商消息,宣佈它想成爲中繼,真實的交換機接收到這個消息後,以爲它應當啓用802.1Q中繼功能,而一旦中繼功能啓用,所有VLAN信息流就會發送到黑客的計算機上。 |
將全部接入層端口劃分爲access模式並關閉,將所有未使用的端口劃入一個未使用的VLAN中,將所有未使用的中級端口的本地VLAN設置爲一個未使用的VLAN |
欺騙攻擊 |
|
|
DHCP欺騙 |
PC A接入網絡,希望通過DHCP獲得IP地址等信息,於是PC A發送了一個DHCP請求包(廣播),同一網段內的PC B按理會比DHCP服務器早收到DHCP請求包,那麼PC B可以先於DHCP服務器回覆請求,PC B和PC A建立通信,PC A以爲是在和互聯網通信,造成欺騙行爲 |
DHCP snooping |
生成樹欺騙 |
攻擊設備僞裝成STP拓撲中的根網橋,成爲網絡中的二層轉發核心,配合使用SPAN,可以監聽網絡中所有通信流量 |
主動配置主用和備用根設備,啓用根防護、BPDU防護、BPDU過濾等 |
MAC欺騙 |
欺騙了MAC/PORT的對應關係,攻擊者知道受害者的MAC,發送數據包到網關,網關以爲受害者的MAC和攻擊者的PORT對應,於是將發給受害者的數據發給了攻擊者的PORT,在PORT和MAC對應關係恢復後,攻擊者將已經收到的發給受害者的數據進行修改,然後轉發給受害者,完成一次劫持。 |
端口安全 |
ARP欺騙 |
欺騙了IP/MAC對應關係 |
動態ARP監測,端口安全 |
交換機設備攻擊 |
|
|
CDP修改 |
截獲CDP發送的明文,獲悉網絡拓撲和設備信息 |
端口禁用CDP |
SSH和Telnet |
Telnet明文傳輸,SSH v1有漏洞 |
使用SSH V2結合VTY ACL |