Mac地址攻击(针对交换机)
DHCP欺骗攻击
防止攻击者模拟DHCP server发送的错误的DHCP信息
解决方案:DHCP snooping在交换机上定义信任和非信任接口(默认都为非信任接口)
首先开启DHCP snooping(注意保存表到不易丢失存储)
sw1(config)#ip dhcp snooping vlan ?
添加信任接口sw1(config-if)#ip dhcp snooping trust
在dhcp server 上开启dhcp中继的信任(进入该vlan)
sw1(config-if)#ip dhcp relay information trusted
当从非信任接口收到请求信息则插入option 82 上行交换机如果收到含有82的请求Cisco默认丢弃有82的数据(高版本取消丢弃功能)
检查dhcp包的mac和二层的mac是否一致: sw1(config)#ip dhcp snooping verify mac-address
查看:show ip dhcp snooping binding(含有 MAC IP 接口 vlan)
在客户端设备和DHCP服务器不在同一广播域内的时候,中间设备即路由器(路由功能的设备)在三层交换机指定vlan上输入ip helper-address ?指向含有DHCP pool 的路由器接口的地址
ARP中间人攻击(针对pc机攻击)
解决方法:(1)DAI技术(在snooping的基础上,查看binding表与发出的不符则shutdown)可以针对特定vlan
ip arp inspection vlan ?
(2) 如果没有binding表则sw1(config)#ip arp inspection validatie 源mac 目的mac 源ip
IP欺骗
解决方案:IPSG技术(基于dhcp snooping ) 在接口下:ip verify source port-security
手工添加:sw #ip source binding MAC VLAN ip地址 接口
硬件攻击
自然灾害,硬件损坏
解决方案:干燥恒温,定期检查
优化机制
(1)在启用了端口安全接口上关闭未知单播组播洪泛
sw1(config-if)# switchport block ?(端口锁定比如打印机)
(2)针对广播报文上述方法无法抑制使用风暴控制,从而限制广播报文的发送,超过阈值,开始惩罚(设置两个阈值超过高得阈值停止发送低于低的继续发送)
风暴抑制sw1(config-if)# storm-control broadcast level 20 10
惩罚:sw1(config-if)# storm-control action ?(shutdown,trap将超过的丢弃)
在项目配置完结后关闭CDP协商
no cdp run
原文地址:http://blog.51cto.com/13610914/2083947
