Cisco安全技术系列之一：2层攻击防范技术

Cisco安全技术系列之一：2层攻击防范技术

1.　　　　　 VLAN跳跃攻击（VLAN Hopping）

　　分析：用户可以将自己的端口配置为trunk，将自己加入到所有的Vlan中。另一方法是伪造数据包，在包头中添加双重tag标记，这样即使管理员关闭了该接口的trunk功能，仍可以将数据包发送到其他Vlan。

　　防范：关闭不用的端口或者将他们放在一个隔离的VLAN中。

　　2.　　　　　 MAC攻击

　　分析：交换机的MAC的地址表的空间大小是固定的，攻击者可以通过发送随机地址的数据包将地址表空间填满，该交换机就会成为一个HUB，攻击者可以通过监听工具收集和分析网络中的所有数据。

　　防范：启用端口安全功能，限制每个端口允许的MAC地址数量并发送syslog日志。

Switchport port-security
Switchport port-security maximum 1 vlan access
Switchport port-security violation restrict
Switchport port-security aging time 2
Switchport port-security aging type inactivity
Snmp-server enable traps port-security trap-rate 5

　　3.　　　　　 DHCP攻击

　　分析：攻击者可以将自己伪装为DHCP服务器向用户提供DHCP服务，从而将数据引向自身，获得用户数据的内容和流向控制。

　　防范：启用DHCP Snooping功能

　　用户端口： no ip dhcp snooping trust

　　DHCP服务器端口：ip dhcp snooping trust

　　4.　　　　　 ARP攻击

　　分析：攻击者可以将自己MAC伪装成网关的MAC地址，从而将同网段的所有流量引向自己。获得用户数据的内容和控制。流行的ARP病毒就是通过这种方式实现的。

　　防范：DHCP环境（启用动态ARP检测－DAI，可以监控网络中ARP数据）

　　 全局配置：

　　　　　　 Ip arp inspection vlan 4,104
　　　　　　 Ip arp inspection log buffer entries 1024
　　　　　　 Ip arp inspesction log-buffer logs 1024 interval 10

　　 端口配置：

　　　　　　 Ip arp inspection trust
　
　　　　　　 非DHCP环境（为网关和服务器设置静态IP和MAC绑定）
　　　　　　 Ip source binding 0000.0000.0001 vlan 4 10.1.1.1 interface fastethernet 3/1

　　5.　　　　　 IP/MAC欺骗攻击

　　分析：攻击者可以伪装成合法的IP和MAC地址，从而影响用户的正常通讯和获得非法的权限。

　　防范：启用ip source guard，可以检测数据包的源IP地址或者源MAC地址，过滤掉非法的数据，ip source guard需要先启用DHCP snooping功能。

　　全局配置：

　　　　　　 Ip dhcp snooping vlan 4,104
　　　　　　 No ip dhcp snooping information option
　　　　　　 Ip dhcp snooping
　　　　　　 端口配置
　　　　　　 Ip verify source vlan dhcp-snooping

　　6.　　　　　 STP攻击

　　分析：攻击者可以发送BPDU引起根桥的变化，从而获得非法的数据并造成网络的震荡。

　　防范：接入层交换机端口启用BPDU Guard

　　 Spanning-tree portfast bpdugurad

　　 核心层交换机端口启用Root Guard

　　 Spanning-tree guard root

　　总结：　 Cisco 2层攻击防范架构

　　参考资料：

　　Networkers 2009 BRKSEC－2002 Understanding and Preventing Layer 2 Attacks

　　出处: http://edwardlee.blog.51cto.com/153979/157807