还做什么网络工程师 进攻都疑问 连替换机的攻打

为什么须要关注替换机安保 ???

这个图关键是说，防火墙、路由器、替换机普通区分放在边界或许DMZ、外围和散布层、接入层;

这些设施外面，为什么替换机最不足安保性呢?

替换机层面或许触及的攻打方式以及进攻措施：

针对这么多的攻打方式，咱们大抵可以分为四类：

一、VLAN腾跃攻打

应用Trunk或Double Tag(native)成功从对其余VLAN的信息嗅探或攻打

应答措施：

二、STP诈骗攻打

经过伪造失误的BPDU信息影响生成树拓扑

应答措施：

(1) 在接主机或路由器的接口(access)性能bpdu guard，这类接口不应收到BPDU，假设收到则将接口置为error disable形态。

接口下spanning-tree bpduguard enable

(2) 或在上述接口性能Root Guard，这类接口可以收到BPDU，但若是更优的BPDU，则接口置为error disable 形态，防止根桥扭转。

接口下spanning-tree guard root

三、MAC诈骗攻打

盗用他人MAC地址伪造攻打，或合法接入网络窃取信息

应答措施：

四、CAM/MAC泛洪攻打

经过始终伪造MAC地址并发送报文，促使替换机CAM表短期间内被渣滓MAC地址充满，实在MAC被挤出，已知单播变未知单播，自愿泛洪，造成数据被嗅探。

应答措施：

端口安保，限度端口可准许学习的最大MAC地址个数

五、DHCP主机诈骗攻打

经过合法DHCP主机当先为客户调配地址，经过下发伪造的gateway地址，将客户流量疏导到“两边人”从而成功信息嗅探。

应答措施：

在三层替换机上性能DHCP Snooping，监听DHCP信息，阻拦合法DHCP主机的地址调配报文。

六、DHCP饥饿(地址池耗尽)

始终变换MAC地址，伪造DHCP恳求信息，短期间内将DHCP主机地址池中的地址消耗殆尽，造成合法用户不可失掉IP地址。

应答措施：

七、ARP诈骗

颁布虚伪的ARP reply信息，将客户信息疏导至“两边人”，从而成功数据嗅探。

应答措施：

八、IP地址诈骗

盗用IP地址，合法访问网络或混充他人发送攻打流量

应答措施：

九、针对替换机设施自身的攻打

截获CDP(明文)报文，失掉替换机治理地址，后续启动明码暴力破解;截获Telnet报文(明文)，嗅探口令。失掉替换机治理权限后得心应手。

应答措施：