为什么需要关注交换机安全 ???
这个图主要是说,防火墙、路由器、交换机一般分别放在边界或者DMZ、核心和分布层、接入层;
这些设备里面,为什么交换机最缺乏安全性呢?
交换机层面可能涉及的攻击形式以及防御措施:
针对这么多的攻击形式,我们大致可以分为四类:
一、VLAN跳跃攻击
利用Trunk或Double Tag(native)实现从对其他VLAN的信息嗅探或攻击
应对措施:
二、STP欺骗攻击
通过伪造错误的BPDU消息影响生成树拓扑
应对措施:
(1) 在接主机或路由器的接口(access)配置bpdu guard,这类接口不应收到BPDU,如果收到则将接口置为error disable状态。
接口下spanning-tree bpduguard enable
(2) 或在上述接口配置Root Guard,这类接口可以收到BPDU,但若是更优的BPDU,则接口置为error disable 状态,避免根桥改变。
接口下spanning-tree guard root
三、MAC欺骗攻击
盗用他人MAC地址伪造攻击,或非法接入网络窃取信息
应对措施:
四、CAM/MAC泛洪攻击
通过不断伪造MAC地址并发送报文,促使交换机CAM表短时间内被垃圾MAC地址充斥,真实MAC被挤出,已知单播变未知单播,被迫泛洪,导致数据被嗅探。
应对措施:
端口安全,限制端口可允许学习的最大MAC地址个数
五、DHCP服务器欺骗攻击
通过非法DHCP服务器抢先为客户分配地址,通过下发伪造的gateway地址,将客户流量引导到“中间人”从而实现信息嗅探。
应对措施:
在三层交换机上配置DHCP Snooping,监听DHCP消息,拦截非法DHCP服务器的地址分配报文。
六、DHCP饥饿(地址池耗尽)
不断变换MAC地址,伪造DHCP请求消息,短时间内将DHCP服务器地址池中的地址消耗殆尽,导致合法用户无法获取IP地址。
应对措施:
七、ARP欺骗
发布虚假的ARP reply消息,将客户消息引导至“中间人”,从而实现数据嗅探。
应对措施:
八、IP地址欺骗
盗用IP地址,非法访问网络或冒充他人发送攻击流量
应对措施:
九、针对交换机设备本身的攻击
截获CDP(明文)报文,获取交换机管理地址,后续进行密码暴力破解;截获Telnet报文(明文),嗅探口令。获取交换机管理权限后为所欲为。
应对措施:
12月24日消息,在日前举办的国新办发布会上,工信部新闻发言人闻库表示,今年我...
自 2019 年以来,由政府发起的有关 AI 的倡议在整个亚太地区激增。这些举措包括...
本文转载自公众号读芯术(ID:AI_Discovery) 人工智能在市场营销领域取得的成功,...
以下内容为腾讯研究院法律研究中心副主任、首席研究员蔡雄山演讲实录: 很多时候...
5G即将带来新的工业物联网机会。这就是制造业不应忽视5G对运营产生影响的原因。 ...
【51CTO.com原创稿件】2020年10月23日,思科在北京办公室举办了一场协作业务媒体...
什么是AR?AR(AugmentedReality),即增强现实,也被称为扩增现实。AR技术是一种将...
本文转载自公众号读芯术(ID:AI_Discovery) 如果你对数据科学感兴趣,那么可能对...
采用卷积神经网络(CNN)和卫星图像数据来预测区域收入水平的方法已经越来越广泛...
最近一段时间以来,关于HTTP/3的新闻有很多,越来越多的国际大公司已经开始使用H...