介绍下一些攻击及解决办法

    mac addresses flooding
    通过模拟大量的源mac地址来让switch的mac表爆满
    可通过port security解决。

    vlan hopping
    通过改变packet的vlan-id来访问其他的vlan
    严格设置trunk允许哪些vlan通过,把没用的port放到common vlan里(也就是vlan1)

    attacks between devices on a common vlan
    属于同一vlan间的设备也可以相互攻击的
    通过pvlan来解决

    dhcp starvation
    攻击者发送无数dhcp请求,来吧dhcp服务器地址池中的地址耗尽
    用dhcp snooping解决

    stp compromises
    攻击者把自己的bridge priority设为最大,这样就成为bridge root了
    手工设置bridge priority为0,并设置一个backup root,开启root guard

    mac spoofing / arp spoofing
    攻击者把自己的mac地址改为攻击目标的mac地址,这样就能收到被攻击者的数据了
    手工绑定mac地址和接口,或者arp inspection

    cdp manipulation
    由于cdp信息是明文的,攻击者可以抓取其信息
    在不需要跑cdp的接口上,把cdp关掉

    ssh and telnet attacks
    对于ssh和telnet的一些攻击
    使用ssh v2,对于telnet则使用access-class

发表评论

发表评论