為什么需要關(guān)注交換機安全?？？？

縱軸：網(wǎng)絡(luò)設(shè)備（防火墻、路由器、交換機）???

橫軸：網(wǎng)絡(luò)模型（邊界和DMZ、核心和分布層、接入層）

這個圖主要是說，防火墻、路由器、交換機一般分別放在邊界或者DMZ、核心和分布層、接入層；

這些設(shè)備里面，為什么交換機最缺乏安全性呢？

首先，防火墻或者路由器一般都是放在核心機房，核心機房物理安全得到最大的保障（非管理人員一般無法進(jìn)出核心機房）

其次，接入交換機一般零散分布，提供終端用戶的接入（非管理人員都能比較輕易接觸到接入層交換機）

?

交換機層面可能涉及的攻擊形式以及防御措施：

?

?

針對這么多的攻擊形式，我們大致可以分為四類：

MAC Layer Attacks

VLAN Attacks

Spoofing Attacks

Switch Device Attacks

?

?

?一、VLAN跳躍攻擊

?利用Trunk或Double Tag（native）實現(xiàn)從對其他VLAN的信息嗅探或攻擊

應(yīng)對措施：?

1.將空閑端口置為access模式（trunk off），甚至shutdown；?

2.修改Native VLAN，避免與在用VLAN相同。

?

二、STP欺騙攻擊

?

通過偽造錯誤的BPDU消息影響生成樹拓?fù)?/p>

應(yīng)對措施：?

1.在接主機或路由器的接口(access)配置bpdu guard，這類接口不應(yīng)收到BPDU，如果收到則將接口置為error disable狀態(tài)。

接口下spanning-tree bpduguard enable

2.或在上述接口配置Root Guard，這類接口可以收到BPDU，但若是更優(yōu)的BPDU，則接口置為error disable?狀態(tài)，避免根橋改變。

接口下spanning-tree guard root

?

三、MAC欺騙攻擊

?

盜用他人MAC地址偽造攻擊，或非法接入網(wǎng)絡(luò)竊取信息

應(yīng)對措施：?

1.端口安全，設(shè)置某物理端口可以允許的合法MAC地址，將非法MAC地址發(fā)送的流量丟棄，甚至將接口err-disable

2.靜態(tài)添加CAM表項（MAC和端口、VLAN的綁定關(guān)系）

?

四、CAM/MAC泛洪攻擊

?

通過不斷偽造MAC地址并發(fā)送報文，促使交換機CAM表短時間內(nèi)被垃圾MAC地址充斥，真實MAC被擠出，已知單播變未知單播，被迫泛洪，導(dǎo)致數(shù)據(jù)被嗅探。

應(yīng)對措施：?

端口安全，限制端口可允許學(xué)習(xí)的最大MAC地址個數(shù)

?

五、DHCP服務(wù)器欺騙攻擊

?

通過非法DHCP服務(wù)器搶先為客戶分配地址，通過下發(fā)偽造的gateway地址，將客戶流量引導(dǎo)到“中間人”從而實現(xiàn)信息嗅探。

應(yīng)對措施：?

在三層交換機上配置DHCP Snooping，監(jiān)聽DHCP消息，攔截非法DHCP服務(wù)器的地址分配報文。

?

六、DHCP饑餓（地址池耗盡）?

?

不斷變換MAC地址，偽造DHCP請求消息，短時間內(nèi)將DHCP服務(wù)器地址池中的地址消耗殆盡，導(dǎo)致合法用戶無法獲取IP地址。

應(yīng)對措施：?

1.同樣使用端口安全技術(shù)，限制端口可允許學(xué)習(xí)的最大MAC地址個數(shù)，阻止攻擊者通過變換MAC地址的方式偽造DHCP請求報文。

2.針對不變換MAC，僅變換CHADDR的情況下，在啟用了DHCP Snooping技術(shù)的交換機配置DHCP限速，設(shè)定滿足常規(guī)地址獲取需求頻率的閥值，超出的情況下阻塞、隔離試圖異常獲取地址的端口。

?

七、ARP欺騙

?

發(fā)布虛假的ARP reply消息，將客戶消息引導(dǎo)至“中間人”，從而實現(xiàn)數(shù)據(jù)嗅探。

應(yīng)對措施：?

1.結(jié)合DHCP Snooping技術(shù)所記錄的合法地址綁定表（正常通過DHCP獲取的地址都在表中），利用Dynamic ARP inspection(DAI)技術(shù)，判斷ARP reply內(nèi)容是否合法，檢驗并丟棄非法ARP reply報文。

2.靜態(tài)添加ARP與IP的關(guān)聯(lián)表項（無需ARP request）

?

八、IP地址欺騙

?

盜用IP地址，非法訪問網(wǎng)絡(luò)或冒充他人發(fā)送攻擊流量

應(yīng)對措施：?

1.?結(jié)合DHCP Snooping記錄的合法地址綁定表，利用IP Source Guard技術(shù)，判斷IP地址是否合法，檢驗并丟棄非法IP流量。

2.?使用基于接口的ACL，在相關(guān)接口只僅允許合法IP地址流量（deny非法IP）

?

九、針對交換機設(shè)備本身的攻擊

?

截獲CDP（明文）報文，獲取交換機管理地址，后續(xù)進(jìn)行密碼暴力破解；截獲Telnet報文（明文），嗅探口令。獲取交換機管理權(quán)限后為所欲為。

應(yīng)對措施：?

1.?在不必要的接口關(guān)閉CDP消息

2.?重要設(shè)備盡可能不使用Telnet協(xié)議，轉(zhuǎn)而使用加密傳輸?shù)腟SH協(xié)議登陸管理設(shè)備。由于SSH v1有眾所周知的安全漏洞，建議采用v2。

《新程序員》：云原生和全面數(shù)字化實踐50位技術(shù)專家共同創(chuàng)作，文字、視頻、音頻交互閱讀

總結(jié)

以上是生活随笔為你收集整理的【干货】连交换机的攻击、防御都不懂，还做什么网络工程师的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。