首页 > 代码库 > 交换网络中存在的攻击及加固方法概括

交换网络中存在的攻击及加固方法概括

1. MAC Flood

配置端口安全,对端口可学习到的MAC地址数量进行限制

 

2. STP中的抢根及DoS攻击

抢根可用root guard来解决,DoS可用BPDU guard来解决

 

3. VLAN跳跃攻击(Double Tagging,DTP协商)

——关闭所有不使用的接口

——将除trunk接口之外的接口明确设置为access模式

——将所有未使用的接口分到一个不使用的vlan中

——关闭CDP:no cdp

——关闭trunk协商:swithport nonegotiate

——设置trunk放行的VLAN,精确匹配:swithport trunk allowed vlan [add]

——将native vlan设置为一个不使用的vlan,即native vlan中不放任何接口

 

4. DHCP中的DoS攻击和中间人攻击

用DHCP Snooping技术,对交换机的端口进行信任与否的划分,将除DHCP服务器所在端口之外的端口设为非信任端口,以此防止攻击者架设虚假DHCP服务器,造成中间人攻击。再对各端口单位时间内可收到的DHCP申请数量进行控制,防止DHCP饥饿攻击。

 

5. ARP欺骗造成的DoS攻击和中间人攻击

用ARP审查技术,划分端口为信任端口或非信任端口,丢弃非信任端口连接的设备发送的ARP数据包,以此防止中间人攻击,限制各个端口在单位时间内向外发送的ARP数据包数量,以此防止DoS攻击。

 

6. 源地址欺骗攻击(IP、MAC)

用IP source guard技术,将接入端口进来的数据包的源IP地址和源MAC地址跟DHCP Snooping binding表进行比对,一致则转发,不一致则丢弃。

 

7. 控制平面中的DoS攻击

用CoPP技术对控制平面的流量进行限速,防止DoS攻击,并对各端口可接收到的不同控制流量进行细分,防止接收到意外的控制流量。

 

如果对局域网进行加固,应从以下几点考虑:

1.物理安全:对机房进行严格监管,网线排布注意被破坏

2.对接入用户进行控制,对每个用户的权限进行细分,同时做好审计(802.1x)

3.对以上交换机中可能存在的攻击进行加固

交换网络中存在的攻击及加固方法概括