一、常见的网站攻击
1、MAC地址扩散攻击
我们知道,在转发数据帧时,交换机会查询MAC地址表中对应接口的MAC地址项。如果没有与数据帧对应的源MAC地址,交换机将学习源MAC地址并将其添加到接口对应的MAC地址表中,然后根据目标MAC地址进行搜索。如果没有找到目标MAC地址,则将数据帧作为广播转发。MAC地址扩散攻击就是利用交换机的这一特性。
2、ARP攻击与欺骗
(1)ARP攻击的原理
攻击主机制造假的ARP应答,并发送给被攻击主机之外所有主机。ARP应答中包括攻击主机的IP地址和虚假的MAC地址;只要执行这两种的其中一种攻击就可以实现被攻击主机与其他主机无法正常通信。
(2)ARP欺骗的原理
ARP欺骗不是使网络无法正常通信,而是通过冒充网关或其他主机,从而控制流量或窃取机密信息。
3、DHCP服务器欺骗与地址耗尽
(1)DHCP服务器欺骗
客户端将自己配置为DHCP服务器分发虚假的IP地址,或直接响应DHCP请求;
(2)DHCP地址耗尽
客户端不断地冒充新客户机发送DHCP请求,请求服务器为自己分派IP地址,从而使服务器地址耗尽,而正常主机无法获得IP地址。
4、IP地址欺骗
客户端使用自己配置的IP地址冒充其他客户端或网络管理员,对其他主机、设备、服务器等进行非法操作。
二、解决方案
1、交换机的端口安全配置
Cisco交换机提供一种基于MAC地址控制端口访问权限的安全特性,对MAC地址进行流量限制、设定端口允许接入的主机数量,也可以手动在端口上设置MAC地址。只有绑定的MAC地址才能转发。
(1)启动交换机接口安全特性
(2)配置允许访问的网络MAC地址
限制允许访问网络的最大的MAC地址数和静态绑定MAC地址
(3)配置老化时间
默认情况下,交换机不会删除接口获取MAC地址,如果接口的客户端频繁变化而旧的MAC地址不变,则新连接的客户端可能无法通信。您可以配置老化时间,让交换机删除一段时间内没有流量的MAC地址。
(4)配置MAC地址违规后的策略
1)protect将违规的MAC地址的分组丢弃,但端口处于up状态。交换机不记录违规分组;
2)restrict将违规的MAC地址的分组丢弃,但端口处于up状态。交换机记录违规分组;
3)shutdown端口成为err-disabled状态,相当于关闭端口。
(5)配置端口安全的Sticky(粘连)特性
如果每个端口配置静态绑定,工作负载非常大,具有端口安全stick 功能,动态的将交换机学习的MAC地址转到stick MAC地址,并加入运行配置,自动形成端口安全允许的静态MAC地址表。保存配置,使交换机重新启动将不会重新学习。
(6)查看和清除端口状态
2、部署网络版的防病毒软件
网络版与单机版杀毒软件最大的区别在于,网络中的任何一台计算机都可以通过控制中心,统一杀毒、升级病毒库等方式进行管理,实现整个网络的管理。通常由服务器端和客户端组成。
