生成树攻防
设备:
DCRS-5950交换机
虚拟机中的kali(采用桥接模式)192.168.1.1
笔记本(需要RJ45的转接线和USB的转接线)【或者两台电脑】
笔记本物理机的ip:192.168.1.2 默认网关:192.168.1.254
我在这里的实验用的是一个台式机和一个笔记本,台式机连接交换机,笔记本上的kali机。
1. 在DCRS交换机开启生成树协议,生成树协议模式为STP,DCRS交换机优先级为0,防止网络出现物理环路,显示DCRS交换机生成树协议的状态
在这里先简单的配置下VLAN,好做实验
STP配置
2. 在kali向DCRS交换机发起TAKE Over The Root Bridge渗透测试,使DCRS交换机认为Kali为Root Brige,显示DCRS交换机生成树协议的状态,并将该信息截屏:
启动yersinia的图形界面
选择STP会直接出现一条结果
选用Claim Root Role 进行攻击【Claiming Root Role 破坏树协议中的根的选择,导致广播风暴 】
(注:Root ID:为kali的ID(Root ID近似等于Self Bridge ID))
3. 配置DCRS交换机生成树协议安全特性,阻止TAKE Over The Root Bridge渗透测试
这里我台式机连的是e1/1(vlan10下的每个接口都要这么做)
方法一:
方法二
输入:spanning-tree portfast bpduguard recoverver (任意值 )
值的范围取决于设备可通过打问号来选择值spanning-tree portfast bpduguard recoverver ?
方法三:
spanning-tree portfast bpdufilter
4. 在DCRS交换机配置生成树协议安全特性的条件下,DCRS交换机不会认为kali为Root Brige ,由Kali再次向DCRS交换机发起TAKE Over The Root Bridge渗透测试,再次显示DCRS交换机生成树协议的状态,并验证:
###################################################################
###################################################################
这里我换设备了,CS6200比RS-5650交换机好,RS-5650还缺少一些命令,毕竟是老设备了。
#注:cs-6200#hostname cs
Cs#
设备:CS6200 台式机 笔记本上的kali
5. 由kali向CS交换机发起BPDU DOS渗透测试,提高DCRS交换机CPU的利用率,显示cs交换机CPU的利用率:
渗透前交换机CPU的利用率
选择sending conf BPDUs
渗透测试之后交换机CPU的利用率:
6. 配置cs交换机生成树协议安全特性,阻止BPDU DOS渗透测试,并将配置截屏:
Vlan10的每一个接口都做
CS#spanning-tree portfast bpduguard recovery (任意值)
或者这样做:
7.在CS6200交换机配置生成树协议安全特性的条件下,CS6200交换机不会受kalid 的BPDU DOS渗透测试影响,此时由kali再次向CS6200交换机发起BPDU DOS渗透测试。显示cs6200交换机的利用率,并验证:
渗透前交换机CPU的利用率
选择sending conf BPDUS
渗透后
#结论CPU的利用率在渗透前后无明显变化
(注:设置了安全特性之后:如果kali再次攻击,交换机会直接断开与kali的链接)
