mac洪泛攻击
发大量的垃圾mac地址 交换机疯狂学到cam表里
导致ARP表满
交换机无法再加新的条目
则此时当A B发入的帧因为arp表中没有A与B的arp对应关系则认为A、B发的帧未知单播帧
而交换机对未知单播帧 组播帧 广播帧洪泛
因此C可以得到A B发送的数据
Cam表毒化攻击(中间人攻击)
PC发送别人的MAC地址从自己处发向交换机 则交换机会将别人的MAC地址与连接我的接口相绑定(mac地址漂移) 则交换机需要发送给别人的流量会给我 (cam表总是记录最新的)然后C洪泛 AB能正常接收数据 同时C已经得到了AB数据
arpspoof -i eth0 -t 192.168.1.5 192.168.1.3
arp攻击 -i 网卡 -t 数据发起者和目标
echo 1 >/proc/sys/net/ipv4/ip_forward
开启网卡转接功能
macof mac攻击
防御arp攻击:
启用DAI
DAI(Dynamic ARP Inspection 动态ARP检查)可以防止ARP欺骗,它可以帮助保证接入交换机只传递“合法的”ARP请求和应答信息。DAI基于DHCP Snooping来工作,DHCP Snooping的监听绑定表包括IP地址与MAC地址的绑定信息,并将其与特定的交换机端口相关联,DAI可以用来检查所有非信任端口的ARP请求和应答(主动式ARP和非主动式ARP),确保应答来自真正的MAC所有者。交换机通过检查端口记录的DHCP绑定信息和ARP应答的IP地址决定其是否是真正的MAC所有者,不合法的ARP包将被拒绝转发。
DAI针对VLAN配置,对于同一VLAN内的接口,可以开启DAI也可以关闭,如果ARP包是从一个可信任的接口接收到的,就不需要做任何检查;如果ARP包是从一个不可信任的接口上接收到的,该包就只能在绑定信息被证明合法的情况下才会被转发出去。这样,DHCP Snooping对于DAI来说也成为必不可少的。DAI是动态使用的,相连的客户端主机不需要进行任何设置上的改变。对于没有使用DHCP的服务器,个别机器可以采用静态添加DHCP绑定表或ARP access-list的方法实现。另外,通过DAI可以控制某个端口的ARP请求报文频率。一旦ARP请求频率超过预先设定的阀值,立即关闭该端口。该功能可以阻止网络扫描工具的使用,同时对有大量ARP报文特征的病毒或攻击也可以起到阻断作用
DAI根据DHCP监听绑定表来工作;DAI也分为信任端口和非信任端口,默认所有端口都为非信任端口;DAI检查所有非信任端口请求和响应的ARP数据包,对不符合DHCP监听绑定表要求的ARP数据包丢弃。所以交换机中必须要有所有非信任端口主机的监听绑定条目,否则该主机将不能通信。这将使所有主机都被迫采用DHCP获取IP地址(或管理员指定的IP地址),因为DHCP监听绑定表已经对其进行了绑定,可以有效地防止用户私自更改指定IP地址。
防御命令:
SW1(config)#ip arp inspection vlan 1 //在Vlan1启用
SW1(config)#ip arp inspection validate src-mac dst-mac ip //检查ARP(请求和响应)报文中的源MAC地址、目的MAC地址、源IP地址和DHCP Snooping绑定中的信息是否一致
SW1(config)#int f0/1
SW1(config-if)#ip arp inspection trust //配置本接口为信任接口
SW1(config)#int range f0/11 - 12
SW1(config-if)#ip arp inspection limit none //取消ARP包的限制,默认15个包/秒
SW(config-if)#ip arp inspection limit 10
dhcp 打开yersinia -G —> Lauch attack 选择dhcp发送discover包
MAC地址漂移:中间人攻击、出环(广播风暴)
二层出环漂的巨快 巨危险
↓↓↓↓↓↓
端口安全技术 or 静态MAC表
interface FastEthernet0/11
switchport port-security 启用端口安全
switchport port-security maxnum 1 设置端口安全连接设备最大值
switchport port-security mac-address sticky 设置端口mac地址粘连
Switch(config-if)#switchport port-security violation { protect | restrict | shutdown}
惩罚机制:
protect—当新的计算机接入时,如果该端口的mac条目超过最大数
则这个新的计算机将无法接入,而原计算机不受影响,交换机不会
发送警告信息;
restrict—当有新的计算机接入时,如果端口mac条目超过最大数量,
则新的计算机无法接入,并且交换机会发出警告信息;
shutdown—当有新计算机接入时,如果该端口的mac条目数量超过
最大值,则该端口将会被关闭,则这个新的计算机和原来的计算机
都无法接入网络,这个时候需要接入原有的计算机,并且在该端口
下使用shutdown和no shutdown命令重新打开端口;
DHCP SNOOPING
Dhcp仿冒攻击
交换机上信任的口可以发出DHCP的ack offer报
为所有非信任口做表 绑定接口和pcmac
然后记下dhcp ack下放的信息
这张表就是可信表
↑此图转自哪个老哥我忘了 (由于懒得上虚拟机截图)【偷懒】侵删
DHCP耗尽攻击
拿光dhcp服务器的地址
攻击者需要伪造大量的mac地址来对应拿地址
可以通过前面的交换机端口安全防止
但是 dhcp不是从二层识别mac地址 而是在dhcp option字段的mac地址
将二层的mac地址复制到dhcp option(CHADDR client mac address)中
构造数据包 二层任然是自己 但是option中的mac地址修改 这样可以绕过交换机端口安全
在交换机中开启 检查二层mac和option中mac是否一致 解决耗尽攻击
但是 DHCP下放地址后 PC任可向DHCP要地址 DHCP必须回复 则如果够快 DHCP也得凉
但是可以在接口配置 限制流速 将流速控制在服务器可以接受的阈值内 消耗资源
Option82
中继产生(插内容) 从snooping 非信任口产生(插0)
当DHCP服务器和客户端不在同一个子网内时,客户端要想从DHCP服务器上分配到IP地址,就必须由DHCP中继代理(DHCP Relay Agent)来转发DHCP请求包。DHCP中继代理将客户端的DHCP报文转发到DHCP服务器之前,可以插入一些选项信息,以便DHCP服务器能更精确的得知客户端的信息,从而能更灵活地按相应的策略分配IP地址和其他参数。
802.1X和AAA服务器----解决大规模IP地址欺骗 ISE LADP
AAA:认证 授权 统计
另,所有通过正当请求 耗尽资源 而引起无法提供服务 都叫做DOS攻击