交换机安全浅析

作者:课课家教育更新于： 2016-09-09 17:34:39

      这篇文章想要给大家介绍交换机上比较常见的几个安全威胁，包括MAC地址泛洪，伪DHCP服务器欺骗，ARP中间人欺骗等等。大家如果对思科认证感兴趣的话可以关注一下。

　　（一）查看某IP所属端口

　　在工作中的交换机上的MAC地址可能会有几百甚至几千条，想要找出IP对应的MAC地址亦或是某个MAC地址对应端口都是费时间的事情，根据以下方法能查找出某个IP对应的MAC和端口，首先配置下图，然后在IOU交换机中，查找192.168.1.2的MAC在交换机MAC表中对应的端口：

　　如图，IOU1是IOU虚拟机中的交换机，3台vpsc模拟3台PC，SW1是GNS3中不可网管交换机"Ethernetswitch"；

　　PC1~3配置：

　　IOU交换机配置：

　　在PC1~3上启用连续ping，模拟与外界的通信：

　　这时，查看交换机上的arp表，就可以看到输出：

　　不能关闭PC1~3的ping，继续下面的实验。

　　（二）MAC地址泛洪防范

　　MAC地址泛洪(Flooding)攻击的原理：按照交换机工作原理，就是根据数据帧中的源MAC地址学习。某台主机伪造大量的虚假MAC地址发往交换机的时候，交换机的地址表容量有限，交换机的MAC地址表填满之后，交换机就不再学习其他MAC地址，这时不管是单播组播，交换机都进行泛洪转发。这样的话，攻击主机只需要在本地开启一个抓包软件即可捕获局域网中的所有数据包，MAC地址表的时间默认是5分钟，保证这种攻击有效性，攻击主机要持续发动攻击。

　　MAC地址泛洪攻击的防范方法：

　　在接入端口上配置每个端口允许学习的MAC地址数量；

　　查看某个接入端口的安全规则：

　　然后增加一台vpcs，配置IP如图：

　　用PC4去ping交换机的Vlan1，就会发现ping不通，原因是IOU-SW的mac表中学习了三台设备的mac，按照我们的端口安全配置，交换机不会再去学习PC4的mac，要是把交换机的端口安全violation设置成shutdown，再用PC4去ping一次，e0/0接口就会直接关闭：

　　交换机能使用range命令配置多个端口：

　　（三）DHCP欺骗防范

　　如图，R1以及R2都运行了DHCP服务，R1-2和PC1-2连接在IOU虚拟机中运行的交换机中，PC1-2是两台vpcs来模拟PC终端，要是让两台vpcs自动获取IP，就随机从R1或R2上获取到IP地址，要是现在R1所在线路出现故障，那全部的PC将获得R2上DHCP地址池中的地址，要是连接R2的线路有安全隐患，就让其他人使用这种方法在这条线路上搭建一个DHCP服务器来欺骗正常的PC获取到他指定的IP，如下例：

　　R1配置：

　　R2配置：

　　PC获取IP：

　　然后配置IOU交换机，让PC1-2只在R1上获取，并且限制其他端口DHCP请求发送速率：

　　再从PC上面用DHCP获取IP，只能获取到R1上面的IP了：

　　（四）ARP攻击原理与防范

　　在小型局域网中，能使用双向绑定的方法，arp命令或者第三方ARP防火墙绑定网关MAC，在交换设备或路由上用下面的命令静态绑定计算机IP对应的MAC地址：

　　有一些大型的局域网可以在交换亦或是路由设备上使用ARP动态绑定技术。

　　（五）其他的安全威胁

　　我们需要注意的地方还有：交换机远程登录密码过于简单导致的暴力破解、Telnet明文传输（注意：在命令行登录路由器时，建议使用SSH代替明文telnet）、CDP攻击（注意：不建议使用这个协议的时候关闭它，由于攻击者能从CDP信息中获得设备的IP以及iOS版本，有的IOS版本存在Bug）、DOS攻击等。

　　上面就是关于交换机上最常见的，包括MAC地址泛洪，伪DHCP服务器欺骗，ARP中间人欺骗的全部内容了。只要大家按照教程，相信大家很容易就可以掌握更多网络技能。如果大家继续关注课课家教育的话，就可以了解更多关于cnna的内容啦。