国产一级a片免费看高清,亚洲熟女中文字幕在线视频,黄三级高清在线播放,免费黄色视频在线看

打開APP
userphoto
未登錄

開通VIP,暢享免費(fèi)電子書等14項(xiàng)超值服

開通VIP

首頁(yè)

好書

留言交流

下載APP

聯(lián)系客服
使用Cisco Packet Tracer之交換機(jī)端口安全之MAC地址洪泛攻擊 - 網(wǎng)絡(luò)乄...
使用Cisco Packet Tracer之交換機(jī)端口安全之MAC地址洪泛攻擊 2009-10-06 02:07:36
我們都知道,組建我們的網(wǎng)絡(luò),交換機(jī)是必不可少的一個(gè)設(shè)備,我們都會(huì)用它來做一些相應(yīng)的配置,如劃分VLAN、VTP、以及生成樹這些,,但是當(dāng)我們配置了這些以后呢?我們?nèi)绾蝸肀WC我們局域網(wǎng)內(nèi)的端口安全呢?這是一個(gè)必要的操作。那么下面我們就使用Cisco Packet Tracer 5.2來做做這方面的實(shí)驗(yàn),但是還是有一些不足,哎……,這也沒有辦法,畢竟是模擬器不是真實(shí)的交換機(jī)。
我們知道交換機(jī)在網(wǎng)絡(luò)中存在規(guī)模最大,
通過這個(gè)圖我們得出一個(gè)結(jié)論那就是:離接入層越近風(fēng)險(xiǎn)越大,所以問題主要集中在接入層。
那么下來我們就來分析一下這個(gè)交換機(jī)倒底存在那些安全呢?
交換機(jī)所面臨攻擊的層面:
MAC layer attacks    
VLAN attacks
Spoofing attacks
Attacks on switch devices
那么我們知道了交換機(jī)所面臨這四種攻擊,我們現(xiàn)在來一個(gè)一個(gè)的分析一下這些:
Mac Flooding Attack:
利用偽造數(shù)據(jù)幀或數(shù)據(jù)包軟件,不停變化源MAC地址向外發(fā)包,讓有限的MAC地址表空間無法容納進(jìn)而破壞MAC地址表。
應(yīng)對(duì):限定端口映射的MAC數(shù)量
在這里三臺(tái)PC的IP地址如下:
以下我們?cè)诮粨Q機(jī)上面配置MAC地址綁定。
Switch(config)#interface fastEthernet 0/1        
Switch(config-if)#switchport mode access        (當(dāng)端口連接是主機(jī)時(shí),接入鏈路)
Switch(config-if)#switchport port-security        (啟動(dòng)端口安全)
Switch(config-if)#switchport port-security mac-address 00E0.A342.20E6   (綁定一個(gè)MAC地址,默認(rèn)只能綁定一個(gè)MAC地址)
Switch(config-if)#switchport port-security violation ?
  protect   Security violation protect mode             (不轉(zhuǎn)發(fā)數(shù)據(jù))
  restrict  Security violation restrict mode                (不轉(zhuǎn)發(fā)數(shù)據(jù),上報(bào)網(wǎng)管平臺(tái))
  shutdown  Security violation shutdown mode      (關(guān)閉接口,并上報(bào)網(wǎng)管平臺(tái))
Switch(config-if)#switchport port-security violation shutdown
那現(xiàn)我們來測(cè)試一下看看能否正常使用。
從這里我們可以看見,PC0能夠正常使用。那我們?cè)傩绿砑右慌_(tái)PC并將這臺(tái)PC接到FA0/1端口上面看看會(huì)是什么效果。
從這個(gè)圖我們可以看見,PC3接在FA0/1接口上面,當(dāng)PC3沒有向其它網(wǎng)段發(fā)送數(shù)據(jù)包的時(shí)候一切正常,那么下面我們來發(fā)送一個(gè)數(shù)據(jù)包看看呢?會(huì)有什么樣的反應(yīng)?
我們可以看出來,當(dāng)交換機(jī)的FA0/1接口接PC0的時(shí)候,能夠正常使用,但是當(dāng)我的PC3接入到交換機(jī)的FA0/1上,當(dāng)我發(fā)送數(shù)據(jù)包PC2上面時(shí)候,而交換機(jī)發(fā)現(xiàn)我PC3的MAC地址不是我當(dāng)初指定的那個(gè)MAC地址,所以就執(zhí)行將此接口shutdown掉,從上圖我們也可以看見,PC3連接的FA0/1已經(jīng)被shutdown了。
那么當(dāng)有其它MAC地址的計(jì)算機(jī)接入一我們這個(gè)端口以后,該端口會(huì)自動(dòng)shutdown,那么當(dāng)shutdown以后的接口如何恢復(fù)呢?
注意以下來?xiàng)l命令不能在Cisco Packet Tracer 5.2中使用,這個(gè)軟件里面現(xiàn)在還沒有集成這幾條命令。
Switch(config)#errdisable recovery interval ?
<30-86400> timer-interval(sec)
可以調(diào)整在30-86400秒,缺省是300秒。
這種方法只能對(duì)付下掛交換機(jī)的情況,不能對(duì)付下掛路由器的情況。
如果產(chǎn)生err-disable的原因是udld,下面有一條命令非常管用:
Switch#udld reset
No ports are disabled by UDLD.
同時(shí),接口在被置為err-disable的時(shí)候,通常有一系列的日志產(chǎn)生,如下:
*Mar 15 15:47:19.984: %SPANTREE-2-BLOCK_BPDUGUARD: Received BPDU on port FastEthernet0/47 with BPDU Guard enabled. Disabling port.
sw1#
*Mar 15 15:47:19.984: %PM-4-ERR_DISABLE: bpduguard error detected on Fa0/47, putting Fa0/47 in err-disable state
sw1#
*Mar 15 15:47:21.996: %LINK-3-UPDOWN: Interface FastEthernet0/47, changed state to down
收集這些日志也非常管用。
所以建議配置一個(gè)syslog server,收集log信息。
剛才在上面我們綁定的那個(gè)MAC地址是PC0的,我們現(xiàn)在查看一下交換機(jī)上面的MAC地址表看看:
Switch#show mac-address-table
          Mac Address Table
-------------------------------------------
Vlan    Mac Address       Type        Ports
----    -----------       --------    -----
   1    0009.7c11.89e7    DYNAMIC     Fa0/3              而這一條是動(dòng)態(tài)學(xué)習(xí)到的
   1    000a.41a9.79b0    DYNAMIC     Fa0/2              這條也是動(dòng)態(tài)學(xué)習(xí)到的
   1    00e0.a342.20e6    STATIC      Fa0/1 這一個(gè)端口的MAC地址我們可以看見是靜態(tài)指定的。
Switch#
但是針對(duì)Cisco Packet Tracer 5.2來說,我們不能直接使用no shutdown命令來啟用,也不能使用我們上面的那條命令,那么我們現(xiàn)在就只能將我們上面的那條的那條命令改成當(dāng)發(fā)現(xiàn)有其他的MAC地址接入到此端口的時(shí)候我們就將它設(shè)置不不轉(zhuǎn)發(fā)數(shù)據(jù)并且上報(bào)網(wǎng)管平臺(tái)。
Switch(config)#interface fastEthernet 0/1        
Switch(config-if)#switchport port-security violation restrict
從上面我們可以看見,當(dāng)設(shè)置為數(shù)據(jù)包不轉(zhuǎn)發(fā)以后,我們從PC3上面還是ping不通我們的PC2,而我們的交換機(jī)只是不轉(zhuǎn)發(fā)此數(shù)據(jù)包,當(dāng)我們的PC3不發(fā)送數(shù)據(jù)而我們交換FA0/1這個(gè)端口沒有被shutdown。
那么我們又出現(xiàn)一個(gè)新的問題?我們不可能一個(gè)端口只綁定一個(gè)MAC地址吧!那么我們?nèi)绾谓o一個(gè)端口綁定多個(gè)MAC地址通行呢?
SW1(config)#interface fastethernet 0/1
Switch(config-if)#Switch port-security maximum 3 設(shè)置綁定多少個(gè)MAC地址,而這里我設(shè)置的是3條
Switch(config-if)#Switchport port-security max-address ***        第一條的MAC地址。
Switch(config-if)#Switchport port-security mac-address ***        第二條的MAC地址。
Switch(config-if)#Switchport port-security max-address ***        第三條的MAC地址。
但是這個(gè)設(shè)置手工綁定多條MAC地址的命令在這里沒有,所以這個(gè)也不能使用。
但是在這里如果我設(shè)置了maximum設(shè)置為100的話,那么不是我們手工需要綁定100條?而且我們還需要去收集這100個(gè)MAC地址。這對(duì)于我們網(wǎng)管員來說是一個(gè)非常煩瑣的事,那么有沒有一種辦法讓它將接入到此端口的MAC地址自動(dòng)綁定到這個(gè)MAC地址中呢?
SW1(config)#interface fastethernet 0/1
Switch(config-if)#Switch port-security maximum 3 設(shè)置綁定多少個(gè)MAC地址,而這里我設(shè)置的是3條
Switch(config-if)#switchport port-security mac-address sticky 這條命令就是將前三個(gè)接入到這個(gè)端口的計(jì)算機(jī)的MAC地址自動(dòng)的加入到我們的MAC地址表中。
那么我們?cè)賮碓囋嚳茨兀?/div>
Switch(config)#interface fastEthernet 0/2
Switch(config-if)#switchport mode access
Switch(config-if)#switchport port-security
Switch(config-if)#switchport port-security mac-address sticky
我們使用接入到交換機(jī)端口FA0/2這個(gè)接口的計(jì)算機(jī)發(fā)送一點(diǎn)數(shù)據(jù)包來看看。
現(xiàn)在來在交換機(jī)上面來查看一下MAC地址表。
這個(gè)表是沒有發(fā)達(dá)數(shù)據(jù)包之前的。我們可以看見還是動(dòng)態(tài)學(xué)習(xí)到的。
Switch#show mac-address-table
          Mac Address Table
-------------------------------------------
Vlan    Mac Address       Type        Ports
----    -----------       --------    -----
   1    0009.7c11.89e7    DYNAMIC     Fa0/3
   1    000a.41a9.79b0    DYNAMIC     Fa0/2
   1    00e0.a342.20e6    STATIC      Fa0/1
Switch#
而下面的是我們命令了動(dòng)態(tài)學(xué)習(xí)的到第一臺(tái)通過這個(gè)端口發(fā)送數(shù)據(jù)包的那臺(tái)計(jì)算機(jī)的MAC地址。而自動(dòng)變成靜態(tài)綁定的。
Switch#show mac-address-table
          Mac Address Table
-------------------------------------------
Vlan    Mac Address       Type        Ports
----    -----------       --------    -----
   1    0009.7c11.89e7    DYNAMIC     Fa0/3
   1    000a.41a9.79b0    STATIC      Fa0/2
   1    00e0.a342.20e6    STATIC      Fa0/1
Switch#
看看,這樣是不是就解決了我們手工去綁定MAC地址那些煩瑣的事件了。這樣是不是給我們減輕了很大的工作量。
下面這條命令是查看端口安全的,以及每一個(gè)端口
Switch#show port-security
Secure Port MaxSecureAddr CurrentAddr SecurityViolation Security Action
               (Count)       (Count)        (Count)
--------------------------------------------------------------------
        Fa0/1        1          1                 3         Restrict
        Fa0/2        1          1                 0         Shutdown
----------------------------------------------------------------------
Switch#
從上面我們可以看出FA0/1端口有3條違反我們策略的。指行的是Restrict。而Fa0/2沒有違反我們的策略,如果說現(xiàn)有呢就執(zhí)行Shutdown。
 
以上就是我們基于MAC地址的限制。我想這個(gè)功能對(duì)于大家在實(shí)際工程中應(yīng)用的還是比較廣泛。我們用來做端口安全的還有一種方法那就是使用802.1x認(rèn)證。
而這里使用這個(gè)軟件不能做基于交換機(jī)的802.1x認(rèn)證。那么那天用到真機(jī)以后我再將這方面的內(nèi)容發(fā)送出來!
這里只是解決了Mac Flooding Attack現(xiàn)在由于時(shí)間太晚了,剩下的明天繼續(xù)。
本站僅提供存儲(chǔ)服務(wù),所有內(nèi)容均由用戶發(fā)布,如發(fā)現(xiàn)有害或侵權(quán)內(nèi)容,請(qǐng)點(diǎn)擊舉報(bào)。
打開APP,閱讀全文并永久保存 查看更多類似文章
猜你喜歡
類似文章
生活服務(wù)
分享 收藏 導(dǎo)長(zhǎng)圖 關(guān)注 下載文章
綁定賬號(hào)成功
后續(xù)可登錄賬號(hào)暢享VIP特權(quán)!
如果VIP功能使用有故障,
可點(diǎn)擊這里聯(lián)系客服!

聯(lián)系客服