交换机在企业中的地位是毋庸置疑的,提升交换机的安全与稳定是企业网络管理人员的主要责任。那么要知道,交换机自身存在着诸多漏洞,使得其成为了入侵的重点对象。那么,洞悉交换机漏洞攻击形式,成为了企业管理员的必修课。
交换机漏洞攻击之VLAN跳跃攻击
虚拟局域网(VLAN)是对广播域进行分段的方法。VLAN还经常用于为网络提供额外的安全,因为一个VLAN上的计算机无法与没有明确访问权的另一个VLAN上的用户进行对话。不过VLAN本身不足以保护环境的安全,恶意黑客通过VLAN跳跃攻击,即使未经授权,也可以从一个VLAN跳到另一个VLAN.
VLAN跳跃攻击(VLAN hopping)依靠的是动态中继协议(DTP)。如果有两个相互连接的交换机,DTP就能够对两者进行协商,确定它们要不要成为802.1Q中继,洽商过程是通过检查端口的配置状态来完成的。
VLAN跳跃攻击充分利用了DTP,在VLAN跳跃攻击中,黑客可以欺骗计算机,冒充成另一个交换机发送虚假的DTP协商消息,宣布他想成为中继;真实的交换机收到这个DTP消息后,以为它应当启用802.1Q中继功能,而一旦中继功能被启用,通过所有VLAN的信息流就会发送到黑客的计算机上。
中继建立起来后,黑客可以继续探测信息流,也可以通过给帧添加802.1Q信息,指定想把攻击流量发送给哪个VLAN.
交换机漏洞攻击之生成树攻击
生成树协议(STP)可以防止冗余的交换环境出现回路。要是网络有回路,就会变得拥塞不堪,从而出现广播风暴,引起MAC表不一致,最终使网络崩溃。
使用STP的所有交换机都通过网桥协议数据单元(BPDU)来共享信息,BPDU每两秒就发送一次。交换机发送BPDU时,里面含有名为网桥ID的标号,这个网桥ID结合了可配置的优先数(默认值是32768)和交换机的基本MAC地址。交换机可以发送并接收这些BPDU,以确定哪个交换机拥有最低的网桥ID,拥有最低网桥ID的那个交换机成为根网桥(root bridge)。
根网桥好比是小镇上的社区杂货店,每个小镇都需要一家杂货店,而每个市民也需要确定到达杂货店的最佳路线。比最佳路线来得长的路线不会被使用,除非主通道出现阻塞。
根网桥的工作方式很相似。其他每个交换机确定返回根网桥的最佳路线,根据成本来进行这种确定,而这种成本基于为带宽所分配的值。如果其他任何路线发现摆脱阻塞模式不会形成回路(譬如要是主路线出现问题),它们将被设成阻塞模式。
恶意黑客利用STP的工作方式来发动拒绝服务(DoS)攻击。如果恶意黑客把一台计算机连接到不止一个交换机,然后发送网桥ID很低的精心设计的BPDU,就可以欺骗交换机,使它以为这是根网桥,这会导致STP重新收敛(reconverge),从而引起回路,导致网络崩溃。
交换机漏洞攻击之MAC表洪水攻击
交换机的工作方式是: 帧在进入交换机时记录下MAC源地址,这个MAC地址与帧进入的那个端口相关,因此以后通往该MAC地址的信息流将只通过该端口发送出去。这可以提高带宽利用率,因为信息流用不着从所有端口发送出去,而只从需要接收的那些端口发送出去。
MAC地址存储在内容可寻址存储器(CAM)里面,CAM是一个128K大小的保留内存,专门用来存储MAC地址,以便快速查询。如果恶意黑客向CAM发送大批数据包,就会导致交换机开始向各个地方发送大批信息流,从而埋下了隐患,甚至会导致交换机在拒绝服务攻击中崩溃。
交换机漏洞攻击之ARP攻击
ARP(Address ResolutionProtocol)欺骗是一种用于会话劫持攻击中的常见手法。地址解析协议(ARP)利用第2层物理MAC地址来映射第3层逻辑IP地址,如果设备知道了IP地址,但不知道被请求主机的MAC地址,它就会发送ARP请求。ARP请求通常以广播形式发送,以便所有主机都能收到。
恶意黑客可以发送被欺骗的ARP回复,获取发往另一个主机的信息流。一个ARP欺骗过程,其中ARP请求以广播帧的形式发送,以获取合法用户的MAC地址。假设黑客Jimmy也在网络上,他试图获取发送到这个合法用户的信息流,黑客Jimmy欺骗ARP响应,声称自己是IP地址为10.0.0.55(MAC地址为05-1C-32-00-A1-99)的主人,合法用户也会用相同的MAC地址进行响应。结果就是,交换机在MAC地表中有了与该MAC表地址相关的两个端口,发往这个MAC地址的所有帧被同时发送到了合法用户和黑客Jimmy.
交换机漏洞攻击之VTP攻击
VLAN中继协议(VTP,VLAN TrunkProtocol)是一种管理协议,它可以减少交换环境中的配置数量。就VTP而言,交换机可以是VTP 服务器 、VTP客户端或者VTP透明交换机,这里着重讨论VTP服务器和VTP客户端。用户每次对工作于VTP服务器模式下的交换机进行配置改动时,无论是添加、修改还是移除VLAN,VTP配置版本号都会增加1,VTP客户端看到配置版本号大于目前的版本号后,就知道与VTP服务器进行同步。
恶意黑客可以让VTP为己所用,移除网络上的所有VLAN(除了默认的VLAN外),这样他就可以进入其他每个用户所在的同一个VLAN上。不过,用户可能仍在不同的网络上,所以恶意黑客就需要改动他的IP地址,才能进入他想要攻击的主机所在的同一个网络上。 服务器安全产品
恶意黑客只要连接到交换机,并在自己的计算机和交换机之间建立一条中继,就可以充分利用VTP.黑客可以发送VTP消息到配置版本号高于当前的VTP服务器,这会导致所有交换机都与恶意黑客的计算机进行同步,从而把所有非默认的VLAN从VLAN数据库中移除出去。
【编辑推荐】
我想知道网络工程师需要学那些内容?
网络工程师部分考试大纲一、考试说明1. 考试要求01 熟悉计算机系统的基础知识;02 熟悉网络操作系统的基础知识;03 理解计算机应用系统的设计和开发方法;04 熟悉数据通信的基础知识;长春ccnp培训认证 吉林CCNA培训05 熟悉系统安全和数据安全的基础知识;06 掌握网络安全的基本技术和主要的安全协议与安全系统;07 掌握计算机网络体系结构和网络协议的基本原理;08 掌握计算机网络有关的标准化知识;09 掌握局域网组网技术,理解城域网和广域网基本技术;测试评审方法分为以下几种:测试方法,评审方法,测试设计和管理方法项目管理基础知识:制定项目计划,质量计划、管理和评估,过程管理(PERT图、甘特图、工作分解结构、进度控制、关键路径)长春ccnp培训认证 吉林CCNA培训配置管理、人员计划和管理、文档管理(文档规范、变更手续)开发组织和作用系统可审计性:审计方法和审计跟踪。长春ccnp培训认证 吉林CCNA培训要对设备硬件维护、软件维护,维护合同网络体系结构,网站拓扑结构,应用层协议等等
合肥迪巴格的思科CCNA CCNP培训怎么样?
首先,你选择考思科的认证,说明你很有先见意识。 要比你同学考虑的多。 迪巴格网络是安徽首家思科认证机构和思科正式授权的合肥考试中心,比较方便的是,你在那里上课就直接在那边考试,只要好好学,基本是能过。 思科CCNA认证是Cisco售后工程师认证体系的入门认证,获得思科CCNA认证证明你已掌握网络基础知识技能,可安装、配置Cisco路由器、交换机。 思科CCNA认证已成为近年网络工程师的基本认证证书,CCNA认证所要求的内容符合当今企业IT环境最主流网络技术需求,考试内容随技术的发展而更新保证了CCNA的市场竞争力,是最具价值的网络培训之一。 思科CCNA认证也是获得CCNP认证的必经之路。 合肥迪巴格网络技术有限公司是一家以Cisco,H3C和Linux高级技术认证为主的培训机构。 迪巴格网络是一家年轻并充满生机活力的IT高科技企业,是一家以IT方向为主导的高端教育培训机构,在新科技的发展浪潮中懂得把握技术的最新发展趋势,是倡导新一代信息通信技术、信息服务的积极实践者与创新者。 祝你好运!@
ARP欺骗攻击是什么
ARP欺骗是黑客常用的攻击手段之一,ARP欺骗分为二种,一种是对路由器ARP表的欺骗;另一种是对内网PC的网关欺骗。 第一种ARP欺骗的原理是——截获网关数据。 它通知路由器一系列错误的内网MAC地址,并按照一定的频率不断进行,使真实的地址信息无法通过更新保存在路由器中,结果路由器的所有数据只能发送给错误的MAC地址,造成正常PC无法收到信息。 第二种ARP欺骗的原理是——伪造网关。 它的原理是建立假网关,让被它欺骗的PC向假网关发数据,而不是通过正常的路由器途径上网。 在PC看来,就是上不了网了,“网络掉线了”。 一般来说,ARP欺骗攻击的后果非常严重,大多数情况下会造成大面积掉线。 有些网管员对此不甚了解,出现故障时,认为PC没有问题,交换机没掉线的“本事”,电信也不承认宽带故障。 而且如果第一种ARP欺骗发生时,只要重启路由器,网络就能全面恢复,那问题一定是在路由器了。 为此,宽带路由器背了不少“黑锅”。
发表评论