一、MAC洪泛

創(chuàng)新互聯(lián)建站專業(yè)提供成都移動(dòng)機(jī)房服務(wù)，為用戶提供五星數(shù)據(jù)中心、電信、雙線接入解決方案，用戶可自行在線購買成都移動(dòng)機(jī)房服務(wù)，并享受7*24小時(shí)金牌售后服務(wù)。

原理：由于交換機(jī)具備自動(dòng)學(xué)習(xí)能力，將數(shù)據(jù)幀中的源MAC與進(jìn)入的端口形成映射形成MAC地址表，存放在內(nèi)存中；若***者發(fā)送大量偽造的源MAC數(shù)據(jù)幀給交換機(jī)，那么交換機(jī)會(huì)產(chǎn)生大量的錯(cuò)誤對應(yīng)一個(gè)MAC；

              將這個(gè)端口對應(yīng)的MAC靜態(tài)綁定；

1、//進(jìn)入交換機(jī)接口接口MAC條目，最終導(dǎo)致內(nèi)存溢出。

2、防御方法：限制一個(gè)端口下能進(jìn)入主機(jī)的數(shù)量——學(xué)習(xí)MAC地址的數(shù)量；

             在接入層開啟特性，默認(rèn)一個(gè)交換機(jī)

Switch(config)#int 接口

//將這個(gè)端口對應(yīng)的MAC靜態(tài)綁定

Switch(config-if)#switchport mode access

Switch(config-if)#switchport port-security

Switch(config-if)#switchport port-security mac-address ?

  H.H.H   48 bit mac address

//動(dòng)態(tài)學(xué)習(xí)數(shù)據(jù)幀的MAC地址，然后自動(dòng)安全綁定為靜態(tài)

Switch(config-if)#switchport port-security mac-address sticky

//限定大對應(yīng)MAC地址數(shù)量

Switch(config-if)#switchport port-security maximum 2

//若違反了定義的規(guī)則，那么默認(rèn)實(shí)施的規(guī)則是自動(dòng)關(guān)閉這個(gè)接口

Switch(config-if)#switchport port-security violation ?

  protect   Security violation protect mode

  restrict  Security violation restrict mode

  shutdown  Security violation shutdown mode

Protect：當(dāng)違反規(guī)則，那么將丟棄違反規(guī)則的數(shù)據(jù)，并 且保持端口是開啟的

restrict：若違反規(guī)則，將會(huì)發(fā)送一個(gè)trap陷阱消息到SNMP服務(wù)器，同時(shí)丟棄違反規(guī)則的數(shù)據(jù)，保持端口開啟

查看驗(yàn)證：

Switch#show port-security address

Secure Mac Address Table

-------------------------------------------------------------------------------

VlanMac AddressTypePortsRemaining Age

(mins)

-------------------------------------

------------------------------------------------------------------------------

Total Addresses in System (excluding one mac per port)     : 0

Max Addresses limit in System (excluding one mac per port) : 1024

Switch#show port-security interface f0/1

Port Security              : Enabled

Port Status                : Secure-down

Violation Mode             : Shutdown

Aging Time                 : 0 mins

Aging Type                 : Absolute

SecureStatic Address Aging : Disabled

Maximum MAC Addresses      : 2

Total MAC Addresses        : 0

Configured MAC Addresses   : 0

Sticky MAC Addresses       : 0

Last Source Address:Vlan   : 0000.0000.0000:0

Security Violation Count   : 0

二、基于VLAN的跳躍***

1、VLAN跳躍***

***原理：默認(rèn)情況下交換機(jī)的端口模式是出于動(dòng)態(tài)協(xié)商模式的，要么是auto，或者是desirable 模式，這樣就有可能導(dǎo)致，主機(jī)和交換之間鏈路形成TRUNK；

當(dāng)然了這個(gè)前提，交換機(jī)的那個(gè)端口要么是沒有被定義到access模式；要么是這端口就是默認(rèn)沒有任何的配置；交換機(jī)將會(huì)把其他VLAN的洪泛流量發(fā)送到這個(gè)***主機(jī)；

解決的辦法：不使用的接口全都關(guān)閉；將接口模式改變?yōu)閍ccess；

2、雙重標(biāo)記的802.1Q數(shù)據(jù)幀跳躍***

***原理：通過在發(fā)送數(shù)據(jù)時(shí)候，優(yōu)先增加一個(gè)***目標(biāo) VLAN的標(biāo)簽，同時(shí)***者原有所有的VLAN是交換與交換相連TRUNK上的指定native VLAN，那么在這個(gè)優(yōu)先被加上標(biāo)簽的數(shù)據(jù)轉(zhuǎn)發(fā)到第一個(gè)交換的時(shí)候，這個(gè)交換將不會(huì)對數(shù)據(jù)進(jìn)行再次的打標(biāo)簽，原因----這個(gè)數(shù)據(jù)就是native  VLAN的數(shù)據(jù)；而當(dāng)?shù)竭_(dá)其他的交換的時(shí)候，那些交換將會(huì)檢查tag，就查看到了內(nèi)層標(biāo)簽--***目標(biāo) VLAN的標(biāo)簽；接著轉(zhuǎn)發(fā)這個(gè)數(shù)據(jù)進(jìn)入***目標(biāo)VLAN之內(nèi)；

解決辦法：第一將native VLAN設(shè)定為沒有用戶的VLAN；

          第二對native  VLAN也進(jìn)行打標(biāo)簽；

      

三、DHCP監(jiān)聽、DAI動(dòng)態(tài)ARP截取、IP源防護(hù)

1、以上的方法，是被用于企業(yè)網(wǎng)絡(luò)內(nèi)部；

2、DHCP 的欺騙

***原理：因?yàn)镈HCP在獲取地址的時(shí)候，總共分為了4個(gè)過程

client發(fā)送DHCP 發(fā)現(xiàn)消息------廣播發(fā)送；找dhcp server

DHCP server 發(fā)送offer響應(yīng)------廣播發(fā)送；告知了dhcpserver是誰，并且描述能分配的地址有哪些

Client------發(fā)送request-------廣播發(fā)送；請求得到那個(gè)地址；

server發(fā)送 ACK---廣播發(fā)送；

如果一個(gè)***者充當(dāng)DHCP server，而響應(yīng)的速度比正常的server 快，那么client將會(huì)選擇***者分配的IP地址和網(wǎng)關(guān)等信息；

防御原理：通過設(shè)定上行連接dhcpserver的接口為信任接口，從信任接口進(jìn)入的dhcp消息都是可以的；剩余的接口都是不信任接口，不能進(jìn)入dhcp的offer消息；從而避免下方的接入層主機(jī)發(fā)送offer；通過監(jiān)聽從那些接口進(jìn)入了dhcp  offer；

部署：

開啟dhcp的監(jiān)聽

設(shè)定監(jiān)聽的VLAN

設(shè)定dhcp snooping 信任接口

驗(yàn)證辦法，在開啟dhcp snooping的交換上驗(yàn)證

也可以在DHCp server上查看DHCP下發(fā)地址綁定信息

3、DAI：動(dòng)態(tài)ARP截取

ARP欺騙的原理：實(shí)際上是用***者的MAC地址來替代網(wǎng)關(guān)的（目標(biāo)）MAC地址；arp條目是動(dòng)態(tài)；后來的ARP信息會(huì)覆蓋原有；

DAI防御原理：在做DAI的時(shí)候，必須優(yōu)先開啟dhcp snooping，通過dhcp的snooping將會(huì)在交換上留下一個(gè)綁定的信息表----IP和MAC的信息表；

設(shè)定上行接口為DAI的信任接口，而其他的接口為不信任接口，那么從不信任接口進(jìn)入的ARP信息，將會(huì)被DAI進(jìn)行審查，若發(fā)現(xiàn)IP和MAC是不匹配的，那么這個(gè)數(shù)據(jù)就被丟棄；

部署

第一步--開啟dhcp snooping；

第二步，開啟arp的DAI功能

第三步，設(shè)定DAI的信任端口-----uplink的上行接口；

4、IP源防護(hù)特性

ip欺騙：***原理，通過偽造源IP地址，而源MAC地址是正確的或者也是偽造，那么將這種數(shù)據(jù)發(fā)送給其他的主機(jī)，而本身這個(gè)源IP地址是存在的；就會(huì)為DDOS或者DOS***能夠形成機(jī)會(huì)；

防御原理：在交換上通過已經(jīng)存在dhcp  snooping綁定信息，檢查，從這個(gè)端口進(jìn)入的數(shù)據(jù)的源IP地址和MAC地址是否是匹配的，以及這個(gè)數(shù)據(jù)是否應(yīng)該從這個(gè)端口進(jìn)入；若不一致，那么就丟棄這個(gè)數(shù)據(jù)；源防護(hù)在不信任的端口開啟；

另外有需要云服務(wù)器可以了解下創(chuàng)新互聯(lián)scvps.cn，海內(nèi)外云服務(wù)器15元起步，三天無理由+7*72小時(shí)售后在線，公司持有idc許可證，提供“云服務(wù)器、裸金屬服務(wù)器、高防服務(wù)器、香港服務(wù)器、美國服務(wù)器、虛擬主機(jī)、免備案服務(wù)器”等云主機(jī)租用服務(wù)以及企業(yè)上云的綜合解決方案，具有“安全穩(wěn)定、簡單易用、服務(wù)可用性高、性價(jià)比高”等特點(diǎn)與優(yōu)勢，專為企業(yè)上云打造定制，能夠滿足用戶豐富、多元化的應(yīng)用場景需求。

本文題目：交換安全：MAC、dhcp、DAI、IP源防護(hù)-創(chuàng)新互聯(lián)
網(wǎng)址分享：http://weahome.cn/article/gejcs.html