针对交换机的攻击主要有以下几类:
1、ARP欺骗
2、VTP攻击
3、DHCP欺骗攻击
4、MAC和IP欺骗攻击
5、交换机配置/管理的攻击
6、VLAN跳跃攻击
7、STP攻击
8、MAC泛洪攻击
为了防止交换机被攻击者探测或控制,必须在交换机上配置基本的安全:
使用合格的密码
关闭CDP
使用ACL,限制管理访问
配置系统警告用语
禁用不需要的服务
启用系统日志
使用SSH替代Telnet
关闭SNMP或使用SNMP V3
交换机的端口安全
交换机依赖MAC地址表转发数据帧,如果MAC地址不存在,则交换机将帧转发到交换机上的每一个端口(泛洪),然而MAC地址表的大小是有限的。
MAC泛洪攻击利用这一限制用虚假源MAC地址轰炸交换机,直到交换机MAC地址表变满。交换机随后进入称为 “失效开放” (Fail-open)的模式,开始像集线器一样工作,将数据包广播到网络上的所有机器。
因此,攻击者可看到发送到无MAC地址表条目的另一台主机的所有帧。要防止MAC泛洪攻击,可以配置端口安全特性,限制端口上所允许的有效MAC地址的数量,并定义攻击发生时端口的动作:关闭、保护、限制。
DHCP Snooping
当交换机开启了 DHCP-Snooping后,会对DHCP报文进行侦听,并可以从接收到的DHCP Request或DHCP Ack报文中提取并记录IP地址和MAC地址信息。
另外,DHCP-Snooping允许将某个物理端口设置为信任端口或不信任端口。信任端口可以正常接收并转发DHCP Offer报文,而不信任端口会将接收到的DHCP Offer报文丢弃。
这样,可以完成交换机对假冒DHCP Server的屏蔽作用,确保客户端从合法的DHCP Server获取IP地址。
- 下一篇:赫斯曼MS系列交换机环网配置操作方法
- 上一篇:赫斯曼交换机的三种交换形式及功能