网站主页   操作系统    网络工程    服务器    网页制作    数据库    程序开发    网络安全    办公软件   
讲座日期: 本周六下午1点30分 抢座
讲座地点: 北大青鸟马甸校区
主讲老师: 王老师 金牌讲师
讲座主题: 网络安全
讲座内容: 检测、防御、黑客信息,如何过滤不安全的网站,如何防御黑客的进攻。
订座电话: 010-82011432/33
  您当前位置:主页 > 网络学院 > 网络工程 > VLAN技术 >

常见VLAN攻击手段及如何避免




  配置三个或更多的交换机支持一个和一个网络的分区是非常简单的和直截了当的过程。然而,确保一个虚拟专用网经得起攻击则完全是另外一回事!为了保证一个的安全,你需要了解要保护它避免受到什么的攻击。下面是几种常见的攻击的手段、你同这些攻击手段作斗争的方法以及在某种情况减小攻击损失的方法。

  跳跃攻击

  跳跃攻击(hopping attack)的基本方式是以动态中继协议为基础的,在某种情况下还以中继封装协议(trunking encapsulation protocol或802.1q)为基础。动态中继协议用于协商两台交换机或者设备之间的链路上的中继以及需要使用的中继封装的类型。

  中继协商功能可以在交换机接口打开,可在接口级上输入如下指令:Switch(config-if)#switchport mode dynamic。

  虽然这个设置能够让配置交换机的过程更方便,但是,它在你的中隐藏了一个严重的隐患。一个站点能够很容易证明它自己在使用802.1q封装的交换机,从而创建了一个中继链接,并成为所有中的一个成员。

  幸亏思科最新的IOS操作系统修复了这个安全漏洞。要避免可能出现的跳跃攻击,请不要在接口级使用“动态”模式,并且把网络配置为“中继”或者“接入”类型。

  地址解析协议攻击

  地址解析协议攻击在黑客领域是很常见的。现有的工具可以绕过交换机的安全功能。交换机能够在两个节点之间创建一个虚拟通信频道,并且禁止其他人“偷听”他们的谈话。

  在地址解析攻击中,入侵者获得了IP地址以及有关他想攻击的网络的其它统计数据,然后利用这些信息实施攻击。入侵者向这个网络交换机发送大量的地址解析广播,告诉这个交换机所有的IP地址或者一部分IP地址是属于这个交换机的,从而在入侵者对数据进行侦察时,迫使交换机把所有的数据包和谈话数据都发送给他。

  你可以在高端Catalyst交换机上使用“端口安全”指令避开这个问题,这些交换机的型号包括4000、4500、5000和6500系列交换机。

  一旦在端口打开了“端口安全”功能,你就可以指定MAC地址的数量,或者指定允许的MAC地址通过这个端口进行连接。

  打开这个安全功能的指令是:Switch(config)#set port security port enable

  对重要的路由器和服务器等主机应该使用静态地址解析协议。

  最后,入侵检测系统能够跟踪和报告导致这种攻击的地址解析协议广播。

  中继协议攻击

  中继协议(VTP)是思科专有的协议,旨在通过自动向整个网络的交换机传播信息使生活更加方便。

  中继协议的设置包括负责传播所有的信息的一台VTP服务器和一台交换机。除了这个VTP服务器交换机之外,所有的交换机都要设置为客户端交换机,负责收听VTP服务器发出的有关变化的任何声明。

  VTP攻击包括一个站点向网络发送VTP信息,广播在网络上没有。因此,所有的客户端VTP交换机都删除了他们合法的的信息库。

  如果一台交换机接入一个网络,这个网络配置为VTP服务器而且包含的VTP配置版本高于现有的VTP服务器,就可能发生这种攻击。在这种情况下,所有的交换机都会用“新的”VTP服务器获得的信息覆盖他们合法的信息。

  幸运的是有很多方法可以保护避免出现这种情况。你可以关闭VTP(五台以上交换机的大型网络不建议使用),或者对所有的VTP信息使用MD5验证,保证客户端交换机不处理VTP信息,如果信息中包含的口令不正确的话。

  为你的VTP域名设置VTP口令的指令是:

  Switch# database

  Switch()# vtp domain password

  Switch()#apply

  Switch()#exit


上一篇:Vlan的两种特殊情况  
下一篇:如何应用VLAN和NAT提供静态IP地址?
相关信息:

·模拟C3640交换机实现VLAN通信 ·与应用IP子网相比,应用VLAN有何益处?
·解决VLAN疑难问题:如何监控802.1q标记流量 ·如何应用VLAN和NAT提供静态IP地址?
·Vlan的两种特殊情况 ·菜鸟学划分VLAN
·VLAN的Hybrid和Trunk端口有何区别? ·虚拟网络VLAN的配置管理与维护
·VLAN实验——三层交换原理 ·解析光纤到户接入技术FTTH应用策略

Copyright © 2002-2015 版权所有
学校地址:北京市海淀区西三旗建材城中路29号北大青鸟
招生热线:010-82011433/32 京公网安备110102004704  京ICP备05043413号 京公网安备110102004704