交换安全：MAC、dhcp、DAI、IP源防护

一、MAC洪泛原理：由于交换机具备自动学习能力，将数据帧中的源MAC与进入的端口形成映射形成MAC地址表，存放在内存中；若***者发送大量伪造的源MAC数据帧给交换机，那么交换机会产生大量的错误对应一个MAC；将这个端口对应的MAC静态绑定；1、//进入交换机接口接口MAC条目，最终导致内存溢出。2、防御方法：限制一个端口下能进入主机的数量——学习MAC地址的数量；在接入层开启特性，默认一个交换机Switch(config)#int接口//将这个端口对应的MAC静态绑定Switch(config-if)#switchportmodeaccessSwitch(config-if)#switchportport-securitySwitch(config-if)#switchportport-securitymac-address?H.H.H48bitmacaddress//动态学习数据帧的MAC地址，然后自动安全绑定为静态Switch(config-if)#switchportport-securitymac-addresssticky//限定最大对应MAC地址数量Switch(config-if)#switchportport-securitymaximum2//若违反了定义的规则，那么默认实施的规则是自动关闭这个接口Switch(config-if)#switchportport-securityviolation?protectSecurityviolationprotectmoderestrictSecurityviolationrestrictmodeshutdownSecurityviolationshutdownmodeProtect：当违反规则，那么将丢弃违反规则的数据，并且保持端口是开启的restrict：若违反规则，将会发送一个trap陷阱消息到SNMP服务器，同时丢弃违反规则的数据，保持端口开启查看验证：Switch#showport-securityaddressSecureMacAddressTable——————————————————————————-Vla免费云主机域名nMacAddressTypePortsRemainingAge(mins)————————————-——————————————————————————TotalAddressesinSystem(excludingonemacperport):0MaxAddresseslimitinSystem(excludingonemacperport):1024Switch#showport-securityinterfacef0/1PortSecurity:EnabledPortStatus:Secure-downViolationMode:ShutdownAgingTime:0minsAgingType:AbsoluteSecureStaticAddressAging:DisabledMaximumMACAddresses:2TotalMACAddresses:0ConfiguredMACAddresses:0StickyMACAddresses:0LastSourceAddress:Vlan:0000.0000.0000:0SecurityViolationCount:0二、基于VLAN的跳跃***1、VLAN跳跃******原理：默认情况下交换机的端口模式是出于动态协商模式的，要么是auto，或者是desirable模式，这样就有可能导致，主机和交换之间链路形成TRUNK；当然了这个前提，交换机的那个端口要么是没有被定义到access模式；要么是这端口就是默认没有任何的配置；交换机将会把其他VLAN的洪泛流量发送到这个***主机；解决的办法：不使用的接口全都关闭；将接口模式改变为access；2、双重标记的802.1Q数据帧跳跃******原理：通过在发送数据时候，优先增加一个***目标VLAN的标签，同时***者原有所有的VLAN是交换与交换相连TRUNK上的指定nativeVLAN，那么在这个优先被加上标签的数据转发到第一个交换的时候，这个交换将不会对数据进行再次的打标签，原因—-这个数据就是nativeVLAN的数据；而当到达其他的交换的时候，那些交换将会检查tag，就查看到了内层标签–***目标VLAN的标签；接着转发这个数据进入***目标VLAN之内；解决办法：第一将nativeVLAN设定为没有用户的VLAN；第二对nativeVLAN也进行打标签； 三、DHCP监听、DAI动态ARP截取、IP源防护1、以上的方法，是被用于企业网络内部；2、DHCP的欺骗***原理：因为DHCP在获取地址的时候，总共分为了4个过程client发送DHCP发现消息——广播发送；找dhcpserverDHCPserver发送offer响应——广播发送；告知了dhcpserver是谁，并且描述能分配的地址有哪些Client——发送request——-广播发送；请求得到那个地址；server发送ACK—广播发送；如果一个***者充当DHCPserver，而响应的速度比正常的server快，那么client将会选择***者分配的IP地址和网关等信息；防御原理：通过设定上行连接dhcpserver的接口为信任接口，从信任接口进入的dhcp消息都是可以的；剩余的接口都是不信任接口，不能进入dhcp的offer消息；从而避免下方的接入层主机发送offer；通过监听从那些接口进入了dhcpoffer；部署：开启dhcp的监听设定监听的VLAN设定dhcpsnooping信任接口验证办法，在开启dhcpsnooping的交换上验证也可以在DHCpserver上查看DHCP下发地址绑定信息3、DAI：动态ARP截取ARP欺骗的原理：实际上是用***者的MAC地址来替代网关的（目标）MAC地址；arp条目是动态；后来的ARP信息会覆盖原有；DAI防御原理：在做DAI的时候，必须优先开启dhcpsnooping，通过dhcp的snooping将会在交换上留下一个绑定的信息表—-IP和MAC的信息表；设定上行接口为DAI的信任接口，而其他的接口为不信任接口，那么从不信任接口进入的ARP信息，将会被DAI进行审查，若发现IP和MAC是不匹配的，那么这个数据就被丢弃；部署第一步—开启dhcpsnooping；第二步，开启arp的DAI功能第三步，设定DAI的信任端口—–uplink的上行接口；4、IP源防护特性ip欺骗：***原理，通过伪造源IP地址，而源MAC地址是正确的或者也是伪造，那么将这种数据发送给其他的主机，而本身这个源IP地址是存在的；就会为DDOS或者DOS***能够形成机会；防御原理：在交换上通过已经存在dhcpsnooping绑定信息，检查，从这个端口进入的数据的源IP地址和MAC地址是否是匹配的，以及这个数据是否应该从这个端口进入；若不一致，那么就丢弃这个数据；源防护在不信任的端口开启；

相关推荐: linux中能不能用ghost

本文小编为大家详细介绍“linux中能不能用ghost”，内容详细，步骤清晰，细节处理妥当，希望这篇“linux中能不能用ghost”文章能帮助大家解决疑惑，下面跟着小编的思路慢慢深入，一起来学习新知识吧。 linux中能使用ghost；ghost是一个用于备…