二層***類型:
1、MAC layer attacks
撐滿MAC地址表
MAC地址欺騙--將自已的MAC地址僞裝成網絡上一臺主機的MAC地址,這樣就可以收到發向這個MAC地址的數據
解決方法:端口安全
SW(config-if)#switchport port-security 開啓端口安全,默認只允許學習到一個MAC地址
SW(config-if)#switchport port-security maximum 2 設置可以允許學到兩個MAC地址
SW(config-if)#switchport port-security aging time 1 (分鐘)設定多長時間後能重新學習MAC地址,也就是設定現有MAC地址的有效期。
SW(config-if)#switchport security-port violation [protect|restrict|shutdown] 設定處理措施
protect 丟棄非法幀
restrict 丟棄非法幀,併發送log信息
shutdown 接口變爲err-disable
SW(config-if)#switchport port-security mac-address 2222.2222.2222 靜態綁定一個MAC地址
SW(config-if)#switchport port-security mac-address sticky 開啓這一命令後,sh run時,可以看到接口學習到的MAC地址
SW(config-if)#switchport port-security aging time static 2 (分鐘) 正常情況下,靜態配置的MAC地址老化時間是無限期的,通過這一命令,也可以爲靜態MAC地址設定一個老化時間
如果有一個非法的MAC地址接入,接口會進入err-disable狀態
SW(config)#errdisable recovery cause psecure-violation 如果因爲端口安全使一個端口進入err-disable狀態,用這一命令讓它自動恢復,默認300S後自動恢復。
SW(config)#errdisable recovery interval 30 手動設定30S後恢復
show port-security 查看哪些端口配置了端口安全
show port-security address
show mac-dynamic 查看動態學習到了哪些MAC地址
clear mac-address-table
2、VLAN attacks VLAN***
VLAN hopping (VLAN跳躍)
解決方法:
1、把所有連接主機的端口都配置爲access端口
2、做二層的ACL
一、設置你要在哪一個VLAN上過濾
SW(config)#vlan filer VLAN-F vlan-list 1 (VLAN號)
二、設置VLAN access-map 設置滿足條件的轉發或者drop
SW(config)#vlan access-map VLAN-F 10
match ip address 101
action drop
vlan access-map VLAN-F 20
action forward
access-map最後隱含的是drop操作。所以類似route-map,也要寫一條空map,允許其它流量通過。
三、定義訪問列表
access-list 101 permit ip 10.1.1.0 0.0.0.255 10.2.2.0 0.0.0.255
例:
vlan access-map DROP-VINES 10
action drop
match mac address VINES
vlan access-map DROP-VINES 20
action forward
vlan filter DROP-VINES vlan-list 50
mac access-list extended VINES
permit any any vines-ip
MAC地址訪問控制列表:
mac access-list extended AAA
permit aaaa.bbbb.cccc 1234.1234.1234
3、Spoofing attacks
DHCP的starvation(餓死)
通過一個主機不斷的變換MAC地址,將DHCP服務器上的地址用盡。
1、DHCP snooping 可以防止架設非法的DHCP
通過將所有其它端口設置爲untrusted端口,不允許這種端口做DHCP的響應
將真正接DHCP的端口設置爲trusted端口,允許可以做DHCP的響應
ip dhcp snooping
ip dhcp snooping vlan 100
shwo dhcp snooping
int e0
ip dhcp snooping trusted
ip dhcp snooping limit rate 100 設定端口一秒鐘只能發送100個包,減緩DHCP的starvation
ing e1
ip dhcp snooping untrusted
debug ip dhcp server packet 在DHCP服務器端調試
debug ip dhcp packet 在客戶端調試
2、ip source guard 另一種防止snooping***的方法
ip cef
int e0
ip verify unicast reverse-path
ip verify unicast reverse-path 1 這是一個訪問列表,訪問列表中定義的流量有特權,即使不合規則,也會轉發。
int e0
ip verify source vlan dhcp-snooping port-security
3、dynamic arp inspection
也要利用到 dhcp snooping的表
4、Attacks on switch devices