一院尔、常見的網(wǎng)站攻擊
1、MAC地址擴(kuò)散攻擊
? ? ? ? 我們知道锥忿,在轉(zhuǎn)發(fā)數(shù)據(jù)幀時,交換機(jī)會查詢MAC地址表中對應(yīng)接口的MAC地址項怠肋。如果沒有與數(shù)據(jù)幀對應(yīng)的源MAC地址敬鬓,交換機(jī)將學(xué)習(xí)源MAC地址并將其添加到接口對應(yīng)的MAC地址表中,然后根據(jù)目標(biāo)MAC地址進(jìn)行搜索笙各。如果沒有找到目標(biāo)MAC地址钉答,則將數(shù)據(jù)幀作為廣播轉(zhuǎn)發(fā)。MAC地址擴(kuò)散攻擊就是利用交換機(jī)的這一特性杈抢。
2数尿、ARP攻擊與欺騙
(1)ARP攻擊的原理
? ? ? ? 攻擊主機(jī)制造假的ARP應(yīng)答,并發(fā)送給被攻擊主機(jī)之外所有主機(jī)惶楼。ARP應(yīng)答中包括攻擊主機(jī)的IP地址和虛假的MAC地址右蹦;只要執(zhí)行這兩種的其中一種攻擊就可以實現(xiàn)被攻擊主機(jī)與其他主機(jī)無法正常通信诊杆。
(2)ARP欺騙的原理
? ? ? ? ?ARP欺騙不是使網(wǎng)絡(luò)無法正常通信,而是通過冒充網(wǎng)關(guān)或其他主機(jī)何陆,從而控制流量或竊取機(jī)密信息晨汹。
3、DHCP服務(wù)器欺騙與地址耗盡
(1)DHCP服務(wù)器欺騙
? ? ? ? 客戶端將自己配置為DHCP服務(wù)器分發(fā)虛假的IP地址贷盲,或直接響應(yīng)DHCP請求淘这;
(2)DHCP地址耗盡
? ? ? ? 客戶端不斷地冒充新客戶機(jī)發(fā)送DHCP請求,請求服務(wù)器為自己分派IP地址巩剖,從而使服務(wù)器地址耗盡铝穷,而正常主機(jī)無法獲得IP地址。
4球及、IP地址欺騙
? ? ? ? ?客戶端使用自己配置的IP地址冒充其他客戶端或網(wǎng)絡(luò)管理員氧骤,對其他主機(jī)、設(shè)備吃引、服務(wù)器等進(jìn)行非法操作筹陵。
二、解決方案
1镊尺、交換機(jī)的端口安全配置
? ? ? ?Cisco交換機(jī)提供一種基于MAC地址控制端口訪問權(quán)限的安全特性朦佩,對MAC地址進(jìn)行流量限制、設(shè)定端口允許接入的主機(jī)數(shù)量庐氮,也可以手動在端口上設(shè)置MAC地址语稠。只有綁定的MAC地址才能轉(zhuǎn)發(fā)。
(1)啟動交換機(jī)接口安全特性
(2)配置允許訪問的網(wǎng)絡(luò)MAC地址
? ? ? ? 限制允許訪問網(wǎng)絡(luò)的最大的MAC地址數(shù)和靜態(tài)綁定MAC地址
(3)配置老化時間
? ? ? ? 默認(rèn)情況下弄砍,交換機(jī)不會刪除接口獲取MAC地址仙畦,如果接口的客戶端頻繁變化而舊的MAC地址不變,則新連接的客戶端可能無法通信音婶。您可以配置老化時間慨畸,讓交換機(jī)刪除一段時間內(nèi)沒有流量的MAC地址。
(4)配置MAC地址違規(guī)后的策略
1)protect將違規(guī)的MAC地址的分組丟棄衣式,但端口處于up狀態(tài)寸士。交換機(jī)不記錄違規(guī)分組;
2)restrict將違規(guī)的MAC地址的分組丟棄碴卧,但端口處于up狀態(tài)弱卡。交換機(jī)記錄違規(guī)分組;
3)shutdown端口成為err-disabled狀態(tài)住册,相當(dāng)于關(guān)閉端口婶博。
(5)配置端口安全的Sticky(粘連)特性
? ? ? ? 如果每個端口配置靜態(tài)綁定,工作負(fù)載非常大界弧,具有端口安全stick 功能凡蜻,動態(tài)的將交換機(jī)學(xué)習(xí)的MAC地址轉(zhuǎn)到stick MAC地址搭综,并加入運(yùn)行配置,自動形成端口安全允許的靜態(tài)MAC地址表划栓。保存配置兑巾,使交換機(jī)重新啟動將不會重新學(xué)習(xí)。
(6)查看和清除端口狀態(tài)
2忠荞、部署網(wǎng)絡(luò)版的防病毒軟件
? ? ? ? 網(wǎng)絡(luò)版與單機(jī)版殺毒軟件最大的區(qū)別在于蒋歌,網(wǎng)絡(luò)中的任何一臺計算機(jī)都可以通過控制中心,統(tǒng)一殺毒委煤、升級病毒庫等方式進(jìn)行管理堂油,實現(xiàn)整個網(wǎng)絡(luò)的管理。通常由服務(wù)器端和客戶端組成碧绞。
