前置知识(了解):计算机基础。
作为架构师,我们所设计的系统很少为单机系统,因此有必要了解计算机和计算机之间是怎么联系的。局域网的集群和混合云的网络有啥区别。系统交互的时候网络会存在什么瓶颈。
1 CAM表溢出攻击与端口安全
当与交换机相连的设备箱交换机发送数据帧时,交换机会立刻将数据帧的源MAC地址与接收到该数据帧的端口作为一个条目保存到CAM表中。
溢出攻击:当CAM表已满时,如果交换机收到了以CAM表中没有记录的MAC地址作为目的地址的数据包,就会像集线器一样将数据帧通过所有端口进行泛洪。如果攻击者想要接收自己所在VLAN中的所有数据帧,可以设法用不同MAC地址将CAM填满即可。
防御策略:Cisco交换机提供端口安全特性,限制交换机通过一个端口接收到的源MAC地址数量。
**2.操纵生成树协议(STP,SpanningTree Protocol)与BPDU防护技术。 **
为防止设备之间不断循环转发相同数据产生广播风暴或MAC地址翻动问题,STP通过阻塞一部分端口获得一个无环的树形拓扑。选举一个根网桥,选择各非根网桥的跟端口来发送和接收流量,选择各个网段的指定端口,非指定端口就是为了避免逻辑环路而阻塞的端口。
STP协议通过桥协议数据单元(BPDU)来判断根网桥、根端口和指定端口,若攻击者制造出一个BPDU赢得根网桥选举,那么可以获得很多重要信息。
防御策略:一般位于网络末端的设备不应参与根网桥选举,不会生成BPDU信息,这类终端设备的接入端口上适宜部署BPDU防护机制。配置了BPDU的接入端口一旦受到BPDU消息,就会进入err-disabled状态,该端口禁用。
3. DHCP耗竭、DHCP欺骗与DHCP snooping(DHCP,动态主机配置协议)
步骤1:客户端发送DHCPDISCOVER广播消息来寻找DHCP服务器。
步骤2:DHCP服务器通过DHCPOFFER向客户端提供配置参数(IP地址、MAC地址、域名、租期等)
步骤3:客户端为使用提供给它的IP地址向DHCP服务器返回正式请求DHCPREQUEST。
步骤4:DHCP服务器向客户端发送DHCPACK,允许将IP地址分配给客户端。
DHCP耗竭:伪装客户端向服务器大量请求地址直至IP地址全部耗尽,新连接进网络的客户端无地址可用,达到拒绝服务的攻击效果。
DHCP欺骗:伪装成DHCP服务器,以实现信息劫持,例如将网关地址设为自己的地址,劫持所有发送给网关的信息,实现中间人攻击。
防御策略:DHCP窥探(DHCPsnooping)技术将交换机上端口分为信任端口和不信任端口,信任端口配置在连接DHCO服务器的端口和上行链路的端口上,其余为不信任端口。如果不信任端口接收到了本应由DHCP服务器发送的消息则予以丢弃。此外,受到DHCPDISCOVER数据包MAC地址与硬件地址字段信息不符则丢弃,达到缓解DHCP耗竭的作用。
4. ARP欺骗与动态ARP监控 网络判官
当一台设备想要向另一台设备发送IP数据包时将广播ARP请求信息,收到消息的设备将提供MAC地址,请求方将更新自己的ARP表。有时主机也可以向网络中其他主机主动发送ARP相应消息,告知自己的IP-MAC关系,收到的所有主机都会更新自己的ARP表。
ARP欺骗:ARP也是一种缺乏认证机制的协议,攻击者可以利用这个将自己伪装成另一台主机或网关路由器,实现中间人攻击,拒绝服务攻击等。
防御策略:动态ARP监控简称DAI,是三层交换机利用DHCPsnooping特性生成的DHCP snooping表来监控ARP消息的功能。若端口发来的ARP响应消息与DHCP不符合则丢弃数据包且端口进入err-disabled状态。
扩展阅读:
《数据链路层常见威胁与防御技术》数据链路层常见威胁与防御技术_链路内部的预防机制-CSDN博客
《链路层攻击》http://blog.sina.com.cn/s/blog_4e49cd230102voon.html
《网络判官 攻击》(内网安全等)http://blog.sina.com.cn/s/blog_4e49cd230102voon.html https://www.static.ixueshu.com/document/6880d4cbb106d1b5541e6e24a32dda7c318947a18e7f9386.html
《数据链路层攻击》https://wenku.baidu.com/view/121bcdef81c758f5f61f67d1.html
版权归原作者 架构师虎哥 所有, 如有侵权,请联系我们删除。