攻击分类

攻击方法

攻击描述

抵御措施

MAC层攻击

MAC地址泛洪

具有唯一且无效源MAC地址的数据帧向交换机泛洪，消耗完交换机的CAM表空间，从而阻止合法主机的MAC地址生成新条目，去往无效主机的流量会向所有端口泛洪

端口安全

MAC地址VLAN访问控制列表

VLAN攻击

VLAN跳转

通过改变Trunk链路中封装的数据包的VLAN ID，攻击设备可以发送或接收不同VLAN中的数据包，而绕过三层安全机制

加强Trunk的配置和未使用端口的协商状态。

把未使用的端口放入公共VLAN

公共VLAN设备

之间的攻击

即使是公共VLAN中的设备，也需要逐一进行保护，尤其是在为多个客户提供设备的服务提供商网段中

实施私有VLAN（PVLAN）

欺骗攻击

DHCP耗竭和

DHCP欺骗

攻击设备可以在一段时间内，消耗完DHCP服务器上的可用地址空间，或者在中间人攻击中，把自己伪装成DHCP服务器

DHCP侦听

生成树欺骗

攻击设备伪装成STP拓扑中的根网桥。若成功了，攻击者就可以看到各种数据帧

主动配置主用和备用根设备

启用根防护

MAC欺骗

攻击设备伪装成当前CAM表中合法设备的MAC地址，这样交换机就会把去往合法设备的数据帧发到攻击设备上。

DHCP侦听

端口安全

ARP欺骗

攻击设备故意为合法主机伪造ARP应答。攻击设备的MAC地址就会成为该合法网络设备所发出的数据帧的二层目的地址。

动态ARP检测

DHCP侦听

端口安全

交换机设备安全

CDP修改

通过CDP发送的信息是明文形式且未加密，若攻击者截获CDP消息，就可以获得整个网络拓扑信息

在所有无意使用的端口上禁用CDP

SSH和

Telnet攻击

Telnet数据包可以以明文形式查看

SSH可以对数据包进行保护，但版本1中仍存在安全问题

使用SSH版本2

使用Telnet结合VTY ACL