局域网的安全与防御

关键词：

    提到安全攻击，往往会想到攻击来自于互联网，而内部的局域网安全问题被忽略。在企业局域网中也存在很多安全隐患，本篇博客介绍几种局域网内部的安全攻击与防御

常见的局域网攻击

1、MAC地址扩散攻击

    我们知道，交换机在转发数据帧时，会查询MAC地址表中该接口对应的源MAC地址条目，如果没有数据帧的源MAC地址，交换机将学习源MAC地址并与接口对应，添加到MAC地址表中，再根据目的MAC地址进行查找。如果目的MAC地址没找到，就会以广播的形式转发数据帧。而MAC地址扩散攻击就是利用交换机的这种特性

    攻击原理：每台交换机的MAC地址表空间是有限的，如果某主机发送大量的伪造源MAC地址数据帧，使得交换机MAC地址表溢出。这时，交换机在接收正常的数据帧，MAC地址表将找不到对应的条目，该数据帧会被转发，攻击者将得到正常的通信数据，如下图：

    使用MAC地址扩散攻击时，有个明显现象就是交换机CPU利用率偏高，容易被发现。使用“show processes cpu”命令可以查看设备的CPU利用率

2、ARP攻击与欺骗

（1）ARP攻击的原理

● 攻击主机制造假的ARP应答，并发送给被攻击主机之外所有主机。ARP应答中包括攻击主机的IP地址和虚假的MAC地址

● 攻击主机制造假的ARP应答，并发送给被攻击主机。ARP应答中包括攻击主机之外所有主机的IP地址和虚假的MAC地址

    只要执行上边的一种攻击就可以实现被攻击主机与其他主机无法正常通信

（2）ARP欺骗的原理

    ARP欺骗不是使网络无法正常通信，而是通过冒充网关或其他主机，从而控制流量或窃取机密信息

3、DHCP服务器欺骗与地址耗尽

（1）DHCP服务器欺骗：客户端将自己配置为DHCP服务器分发虚假的IP地址，或直接响应DHCP请求

（2）DHCP地址耗尽：客户端不断地冒充新客户机发送DHCP请求，请求服务器为自己分派IP地址，从而使服务器地址耗尽，而正常主机无法获得IP地址

4、IP地址欺骗

    客户端使用自己配置的IP地址冒充其他客户端或网络管理员，对其他主机、设备、服务器等进行非法操作.0

防御攻击的解决方案

方案1：交换机的端口安全配置

    Cisco交换机提供一种基于MAC地址控制端口访问权限的安全特性，对MAC地址进行流量限制、设定端口允许接入的主机数量，也可以手动在端口上设置MAC地址。只有绑定的MAC地址才能转发

    端口安全是一种网络接入的验证，只有符合设置规则的客户端才可以接入局域网，避免未授权的客户端接入网络，可实现以下功能：

● 基于MAC地址限制、允许客户端流量

● 避免MAC地址扩散攻击

● 避免MAC地址欺骗攻击

（1）启动交换机接口安全特性

    在接口模式下配置命令如下：

switch(config-if)# switchport port-security

注意：启动安全特性的接口不能是动态（Dynamic）协商模式，必须是接入（Access）或干道（Trunk）模式

（2）配置允许访问的网络MAC地址

    限制允许访问网络的最大的MAC地址数和静态绑定MAC地址，命令如下：

switch(config-if)# switchport port-security maximum {max-addr}        //max-addr默认为1，范围是1-8192
switch(config-if)# switchport port-security mac-address {mac-addr}      //mac-addr为静态绑定的MAC地址，格式为X.X.X

 

（3）配置老化时间

    默认情况下，交换机不删除接口获得的MAC地址，如果接口的客户端经常变换，而旧MAC地址一直保留，可能导致新连接的客户端无法通信。可以配置老化时间，让交换机删除一段时间没有流量的MAC地址 ，配置命令如下：

switch(config-if)# switchport port-security aging time {time}      //time范围是1-1440min，默认为0，不删除
switch(config-if)# switchport port-security aging type {absolute | inactivity}

absolute表示老化时间到后，删除所有MAC地址并重新学习

inactivity表示一段时间（老化时间）没有流量，就将其MAC地址从地址表中删除

注意：静态绑定的MAC地址不受老化时间影响

    有些工作环境要求静态绑定的MAC地址也受老化时间影响，配置命令如下：

switch(config-if)# switchport port-security aging static

（4）配置MAC地址违规后的策略

    当出现以下情况时，就出现MAC地址违规

● 最大安全数目的MAC地址表之外的一个新的MAC地址访问该端口

● 配置在其他端口安全的MAC地址试图访问这个端口

     当出现MAC地址违规是，有三种处理方法，配置命令如下：

switch(config-if)# switchport port-security violation {protect | restrict | shutdown}

protect将违规的MAC地址的分组丢弃，但端口处于up状态。交换机不记录违规分组

restrict将违规的MAC地址的分组丢弃，但端口处于up状态。交换机记录违规分组

shutdown端口成为err-disabled状态，相当于关闭端口。

    在出现err-disabled状态时，默认不会自动恢复。恢复端口有两种方法：

手动恢复：先关闭端口（shutdown），在打开端口（no shutdown）

自动恢复：设置计时器，端口进入err-disabled状态时开始计时，计时器超过后，自动恢复。计时器配置命令如下：

switch(config)# errdisable recovery cause psecure-violation    //配置出现err-disabled状态的原因
switch(config)# errdisable recovery interval {time}         //time为30-86400，单位为s

（5）配置端口安全的Sticky（粘连）特性

    如果为每个端口配置静态绑定，工作量非常大，用端口安全Sticky特性，动态的将交换机学习的MAC地址转换为Sticky MAC地址，并加入运行配置中，自动形成了端口安全允许的静态MAC地址表项。保存配置，交换机重启将不会重新学习。配置命令如下：

switch(config)# switchport port-security mac-address  sticky

 

（6）查看和清除端口状态

switch# show port-security int f0/1         //查看启用端口安全的状态
switch# show interfaces status err-disabled      //查看处于err-disabled状态的端口摘要信息
switch# show port-security                 //查看端口安全的摘要信息
switch# clear port-security dynamic {address mac-addr | int f0/1}    //清除接口的MAC地址或全部端口缓存

案例：在交换机配置端口安全，命令如下：

switch(config)# int f0/1
switch(config-if)# switchport mode access
switch(config-if)# switchport access vlan 2
switch(config-if)# switchport port-security         //启用端口安全
switch(config-if)# switchport port-security mac-address 0025.1234.1258    //静态绑定MAC地址                
switch(config-if)# switchport port-security aging time 1        //配置老化时间1min 
switch(config-if)# switchport port-security aging type inactivity       //配置删除端口MAC的策略
switch(config-if)# switchport port-security violation restrict        //配置出现违规时的策略

    在端口f0/1启用端口安全，允许最大MAC地址为1，并静态绑定MAC地址

查看启用端口安全的状态

switch# show port-security int f0/1
Port Security              : Enabled              //端口安全启用
Port Status                : Secure-up            //端口状态为up
Violation Mode             : Restrict             //出现违规MAC地址采取的策略
Aging Time                 : 1 mins               //老化时间
Aging Type                 : Inactivity           //端口MAC地址删除策略
SecureStaticAddress Aging  : Disabled             //是否允许端口删除静态绑定MAC地址
Maximum MAC Addresses      : 1                    //最大MAC地址数量
Total MAC Addresses        : 1                    //端口活跃MAC地址数（包括静态绑定MAC地址）
Configured MAC Addresses   : 1                    //静态绑定的MAC地址数
Sticky MAC Addresses       : 0                    //粘连的MAC地址数
Last Source Address:Vlan   : 0025.1234.1258:2     //最新的源MAC地址及其所在的VLAN
Security Violation Count   : 0                    //安全违规次数

方案2：DHCP监听

    DHCP监听（DHCP Snooping）是一种保护DHCP服务器的安全机制，可以通过过滤来着网络中的主机或其他设备的非信任DHCP报文，以保证客户端能够从正确的DHCP服务器获得IP地址，避免DHCP服务器欺骗和DHCP地址耗尽

    DHCP监听将交换机端口分为：

非信任端口：连接终端设备的端口。该端口客户端只能发送DHCP请求报文，丢弃来着该端口的其他所有DHCP报文

信任端口：连接合法的DHCP服务器或汇集端口

    DHCP监听还可以限制客户端发送DHCP的请求速率，从而减缓DHCP资源耗尽攻击。Cisco交换机支持在每个VLAN上启用DHCP监听

DHCP监听的配置

（1）启用DHCP监听的命令如下：

switch(config)# ip dhcp snooping

    设置DHCP监听作用于哪个VLAN的命令如下：

switch(config)# ip dhcp snooping vlan number     //number为VLAN号，可以一次设多个VLAN，如2、3-5

（2）配置端口信任或非信任

    启用DHCP监听后，默认所有端口为非信任。若要配置端口为信任，配置命令如下：

switch(config-if)# ip dhcp snooping trust

（3）配置预防DHCP耗尽攻击

    限制DHCP报文速率，减缓DHCP耗尽攻击，在非信任端口配置以下命令：

switch(config-if)# ip dhcp snooping limit rate {rate}     //rate为报文速率，单位p/s，Cisco2960交换机1-2048p/s

    还可以启用核实MAC地址功能，避免虚假MAC地址请求IP地址，从而实现DHCP耗尽攻击，配置命令如下：

switch(config)# ip dhcp snooping verify mac-address

    

    当非信任端口的DHCP报文速率大于规定值，就会出现违规情况，端口将出现err-disabled状态。和上面MAC地址违规一样，也可以手动恢复，下面介绍下自动恢复，设置err-disabled计时器，命令如下：

switch(config)# errdisable recovery cause dhcp-rate-limit    //配置出现err-disabled状态的原因
switch(config)# errdisable recovery interval {time}         //time为30-86400，单位为s

（4）DHCP监听状态查询

switch# show ip dhcp snooping                 //查看当前DHCP监听状态及各端口情况
switch# show ip dhcp snooping binding          //查看当前DHCP监听表
switch# clear ip dhcp snooping binding         //清除DHCP监听表

案例：在交换机上启用DHCP监听，限制非信任端口DHCP报文速率为100p/s

switch(config)# ip dhcp snooping                 //启用DHCP监听
switch(config)# ip dhcp snooping vlan 1          //监听的VLAN 
switch(config)# int f0/21
switch(config-if)# ip dhcp snooping trust 
switch(config-if)# exit
switch(config)# int range f0/1 - 20
switch(config-if-range)# ip dhcp snooping limit rate 100
switch(config-if-range)# exit
switch(config)# int range f0/22 - 24
switch(config-if-range)# ip dhcp snooping limit rate 100
switch(config-if-range)# exit

    如果上面的DHCP服务器是一台路由器是，客户端可能无法获得IP地址，可以在其上面配置以下任意一台命令：

router(config-if)# ip dhcp relay information trusted       //接收DHCP报文的接口
或者
router(config)# ip dhcp relay information trust-all        //全局模式，对所有接口生效

方案3：部署网络版防病毒软件

    网络版和单机版防病毒软件最大的不同在于可以通过控制中心管理网络中任意一台计算机，统一杀毒、升级病毒库等，实现全网管理。一般有服务器端和客户端组成，具有以下特点：

（1）可以远程安装或卸载客户端防病毒软件

（2）可以禁止用户自行卸载客户端防病毒软件

（3）可以全网范围统一制定、分发、执行防病毒策略

（4）可以远程监控客户端系统健康状态

（5）提供远程报警手段，自动将病毒信息发送给网络管理员

（6）允许客户端自定义防病毒策略

本文出自 “杨书凡” 博客，请务必保留此出处http://yangshufan.blog.51cto.com/13004230/1972253

web安全入门-arp测试与防御

...存中的IP-MAC条目，造成网络中断或中间人测试。特点由于局域网的网络流通不是根据IP地址进行，而是根据MAC地址进行传输。所以，MAC地址在A上被伪造成一个不存在的MAC地址，这样就会导致网络不通，A不能Ping通C! 查看详情

dhcp攻击的实施与防御

...信息化》，转发到博客。更多相关资料可参看视频教程“局域网安全实战”，http://edu.51cto.com/course/10348.html DHCP攻击针对的目标是网络中的DHCP服务器，原理是耗尽DHCP服务器所有的IP地址资源，使其无法正常提供地址分配服务... 查看详情

arp渗透与攻防之arp攻击防御(代码片段)

...ff1a;https://www.360.cn/2.选择网络安全3.选择流量防火墙4.选择局域网防护开启防火墙5.kali开启ARP攻击arpspoof-ieth0-r192.168.110.1-t192.168.110.246.查看防护效果2.设置静态 查看详情

网络安全与网站安全及计算机安全：我们的计算机或电脑如何进行arp网络安全防御？

...安全卫士-->功能大全-->我的工具-->流量防火墙-->局域网防护，开启自动绑定网关，ARP主动防御等功能。二、使用ARP命令进行绑定在物理机中，打开命令提示符，使用arp-sip地址mac地址，在这之前需要得... 查看详情

信息安全工程师笔记-网络安全主动防御技术与应用

入侵防御系统（IPS）入侵防御系统（IntrusionPreventionSystem）是一种主动的、积极的入侵防范及阻止系统（防火墙是被动的），它部署在网络的进出口处，当检测到攻击企图后，自动地将攻击包丢... 查看详情

局域网态势感知与安全运营(转）

局域网???????局域网的概念应该不用再复杂的赘述一遍，大家都懂。但在这里局域网并非指得是传统概念上的局域网、城域网、广域网中的局域网，而是属于一个组织的所有资产所构成的网络以及其与外界通信信道的集合。态势... 查看详情

网络安全思维导图

...itcodemonkey.com/article/730.html本文包含以下思维导图：●网络安全绪论●扫描与防御技术●网络监听及防御技术●口令破解及防御技术●欺骗攻击及防御技术●拒绝服务供给与防御技术●缓冲区溢出攻击及防御技术●Web攻击及防御技... 查看详情

如何应对全面安全问题

...过滑动标尺模型理解攻击、防御与叠加创新当前，能力型安全厂商普遍互认的公共模型——滑动标尺模型将整个安全能力体系划分为五个阶段，分别是架构安全、被动防御、积极防御、威胁情报和进攻。从架构安全的角度来看，... 查看详情

终端安全检测与防御技术(代码片段)

终端安全风险利用僵尸网络，来实现渗透、监视、窃取敏感数据等目的僵尸网络的主要危害：看不见的风险各种病毒变种和恶意代码隐藏在应用流量中，传统的边界防御基于静态特征检测技术，会存在特征库不全... 查看详情

web安全入门-icmp测试与防御

ICMP简介：ICMP（InternetControlMessageProtocol）Internet控制报文协议。它是TCP/IP协议簇的一个子协议，用于在IP主机、路由器之间传递控制消息。控制消息是指网络通不通、主机是否可达、路由是否可用等网络本身的消息。这些控制消息... 查看详情

web前后端漏洞分析与防御技巧

...授Web前后端漏洞分析与防御技巧项目终于上线了，却面临安全威胁，你怕不怕？本课程以一个实战项目演示XSS、CSRF、点击劫持、SQL注入等主要安全问题和防御措施，打消你对项目安全的担忧，为自己开发的项目撑起一把保护伞... 查看详情

网络安全-webshell详解（原理攻击检测与防御）(代码片段)

目录简介原理常见一句话木马phpaspaspxjsp攻击WebShell管理工具webshell隐藏检测与防御静态检测参考webshellwebshell查杀参考简介Webshell是通过服务器开放的端口获取服务器的某些权限。webshell又称脚本木马，一般分为大马、小马、一... 查看详情

web安全入门-tcp压力测试与防御

TCP简介：传输控制协议（TCP，TransmissionControlProtocol）是一种面向连接的、可靠的、基于字节流的传输层通信协议有三次握手和四次挥手的过程。三次握手四次挥手TCP压力测试1、IP欺骗技术假设现在有一个合法用户(1.1.1.1)已经同服... 查看详情

网络安全-dos与ddos攻击原理（tcpudpcc攻击等）与防御

目录DoS简介DDoS相关事件GithubDDoS事件原理TCPSYNFloodUDPCC攻击（HttpFlood）防御参考DoS简介DoS，是DenialofService的简称，即拒绝服务，造成DoS的攻击行为被称为DoS攻击，其目的是使计算机或网络无法提供正常的服务... 查看详情

无线安全专题_攻击篇--mac泛洪攻击

...战，还要进行技术原理和防御方法的讲解。本篇讲解的是局域网内的MAC泛洪攻击，这种攻击方式主要目的是窃取局域网中的通信数据，例如ftp的账号和密码，下面的实战也是以此为例子。接下来按照原理，场景，攻击实战，防御... 查看详情

thmintrotodefensivesecurity(防御性安全介绍)-学习

.../tryhackme.com/room/defensivesecurityhq本文相关内容：介绍防御性安全和相关主题，例如威胁情报、SOC、DFIR和SIEM。防御性安全简介进攻性安全专注于一件事：闯入系统。进攻性安全领域的职业人员可以通过利用现有错误、滥用不安全的... 查看详情

网络安全思维导图（全套11张）

本文包含以下思维导图：●网络安全绪论●扫描与防御技术●网络监听及防御技术●口令破解及防御技术●欺骗攻击及防御技术●拒绝服务供给与防御技术●缓冲区溢出攻击及防御技术●Web攻击及防御技术●木马攻击与防御技术... 查看详情

云安全联盟ccsk认证获得cdm网络防御全球奖

近日，云安全联盟推出的云计算行业面向个人用户的全球首个安全认证“云计算安全知识认证（CCSK）”获得CyberDefenseMagazine《网络防御杂志》颁发的2018网络防御全球奖（CyberDefenseGlobalAwardforLeaderCybersecurityTraining）。CyberDefenseMagazi... 查看详情