网络二层三层典型攻击及防护

1、二层攻击：MAC 地址相关攻击泛洪攻击：攻击者会制造大量的伪造的MAC地址，使交换机的MAC地址表溢出。原本正常的单播流量，会变成未知单播帧。产生的效果：1 交换机的交换速度大大减慢2 黑客可以通过嗅探器截获用户敏感信息，如Telnet，Ftp等账号密码。欺骗攻击：攻击者通过改变MAC地址，与受害者地址一样，截获受害者信息，使受害者不能连接网络。产生的效果：1 受害者不能上网。2 受害者信息被截获，受害者被冒充。效果图：受攻击前：受攻击后：防护方法：switchport port-securityswitchport port-security violation restrict|prote

2、ct|shudown /处罚switchport port-security mac-address 0001.0002.0003 /绑定MAC地址switchport port-security mac-address stiky /动态绑定switchport port-security maxium X /接口最大MAC地址数STP 相关攻击BPDU攻击：发送大量的BPDU信息，消耗交换机资源。产生效果：1 管理员无法登入交换机2 生成树信息絮乱3 网络瘫痪抢占根桥：发送最优根选举信息，成为根桥。产生效果：1 局域网内无法传输数据2 局域网所有数据都经过攻击者，敏感信息被截获效果图：防护

3、方法：1 BPDU防护spanning-tree portfast bpduguard /所有portfast 接口都开启bpduguardint fx/x; spanning-tree bpduguard enable /所在接口开启bpduguarderrdisable recovery cause bpduguard /由bpduguard引起的端口errdisable 恢复errdisable recovery interval 30 /进入errdisable状态30s 后恢复2 BPDU过滤int fx/x;spanning-tree bpdufilter enable /BPDU

4、信息将会被悄无声息地丢掉3 根防护int fx/x;spanning-tree rootguard /开启根防护VLAN攻击双标签vlan跳跃：DstMACSrsMAC8100108100200800DATA当思科交换机收到从VLAN10接口的打着双标签流量，会先把VLAN10标签除去，然后在TRUNK里面传输，实现两个VLAN间的跳跃。但是前提条件是，VLAN10是本地VLAN。产生效果：1 跨VLAN访问2 只是单向性访问防护方法：1 将VLAN1设置为NATIVE VLAN，然后不将任何主机划入VLAN1。2 或：TRUNK上过滤NATIVE VLAN3 或：总是打上TAG。 Vlan

5、dot1q tag nativeInt trunk; switchport trunk native vlan tag.DTP攻击：DTP就是Dynamic Trunk Protocol ，动态的trunk协议。在cisco 2900s，3500s很多版本的IOS都是默认开启的。就是两台交换机之间一接，就自动协商成Trunk口的协议。命令是：switchport mode dynamic desirable|auto|on|off攻击方法：首先攻击者跟交换连接，起Trunk，然后就跨VLAN访问其他VLAN的主机，然后把获取敏感信息。攻击命令：#yersinia dtp attack 2防护方

6、法：1 不用的接口都尽量给shutdown。2 把交换接口模式都改成access。三层攻击：DHCP攻击：DHCP地址耗尽：攻击者向DHCP服务器伪造多个MAC client地址，申请多个IP，直至DHCP服务器储备地址完全耗光。产生的效果：1 服务器负荷过重2 局域网内主机无法获得IP上网攻击方法：#yersinia DHCP attack 3假冒DHCP服务器：攻击者耗尽真DHCP服务器IP之后，自己伪装成DHCP服务器，分配IP，并且把局域网内主机网关指向自己，自己也开启路由功能。产生的效果：1 局域网内所有主机信息都往一个接口送，某台交换机奔溃2 局域网内所有主机敏感信息可能被截获防护

7、方法：1 端口安全port-security，一个MAC对应一个IP，限制MAC client的数量。2 DHCP Snooping：全局下：ip dhcp snoopingIp dhcp snooping vlanX /监控VLANX的DHCP包状态Int f0/X;switchport mode access;switchport access vlanX /在DHCP服务器所在接口敲Ip dhcp snooping trust /改为信任端口3 端口绑定:Ip source bingding 0001.0001.000.1 vlan 10 interface f0/X;动态绑定:Ip v

8、erity source port-security;(sw port-s)ARP欺骗ARP spoofing:攻击者发送伪装的MAC地址包，2层（FFFF.FFFF.FFFF）广播到局域网，抢占IP地址，制造冲突。或者伪装网关地址，并开启路由功能，截获局域网内的敏感信息。防护方法：1 DAI，Dynamic Arp Inspection，动态ARP检测。首先开启DHCP Snooping，产生一张绑定表，然后在全局开启arp inspection，交换机会根据binding表里面的信息将不违规的ARP包丢弃。相关命令：Show ip dhcp snooping bindingIp arp i

9、nspection vlan 7 /在某个VLAN下开启ARP检测Int faX/X; ip arp inspection trust /对某可接口发送过来的ARP包，放行。2 从主机上入手，静态绑定映射3 IDSHSRP和VRRPHSRP：HSRP是依靠UDP建立的，端口号是1985。靠发HELLO维护。建立机制：1 全新的IP和MAC（虚拟）。2 所有组成员都加入02的组播组。3 HSRP包的TTL为1，不能跨网攻击。建立命令：SStandby 1 priority 150Standby 1 preemptStandby 1 name XXX针对HSRP的攻击：1 DOS

10、攻击，攻击者假冒自己是交换机，priority 255，开抢占。2 Man-in-middle攻击，假冒网关虚拟的MAC地址，然后攻击者开启路由功能，所有流量都通过攻击者，截取信息。3 信息泄露，因为HSRP默认是明文认证的。而且默认是cisco。防护方法：1 强认证standby 1 authentication md5 key-chain HSRPKEY2 VLAN MAPVRRP 是一样的，不过协议改成112。CDPCDP组播发送的明文信息，组播地址是0100.0ccc.cccc ，类型字段是2000攻击方式：1 攻击者抓包就可发现网络内设备硬软件信息。2 CDP里面还可携带VOICE

11、VLAN信息，会泄露VOICE VLAN ID。3 DOS攻击。a) CDP cache overflow 大量cdp包造成交换机重启b) CDP cache pollution 大量消耗资源，使SW 不可用c) 攻击者发送伪装CDP包，调节POE，使IP电话无法工作。防护方法：不用的接口关掉CDP，int Fx/x;no cdp enable。如果设备不需使用CDP ，全局关掉：no cdp run针对具体目标的攻击针对WEB页面的攻击：SQL注入：作用于动态页面并且漏洞常见于.asp后缀的页面。如：http:/XXXX/XX.asp?id=1简单说一说，通常以上的地址，页面背后运行的SQL

12、语句都会如：Selcet XX from dbname where id=1 那么现在漏洞就来了。如果我们在URL后面构造某些语句：http:/XXXX/XX.asp?id=1 and 1=1那么服务器运行的SQL语句就变成Selcet XX from dbname where id=1 and 1=1多了一个与条件，然后与1=1，显然是真的，所以返回页面也正常。那如果我们加入的是不太好的语句呢？http:/XXXX/XX.asp?id=1 and user>0如果user表存在的话，并且大于0的话，明显条件是真的。那么，就会返回正常页面，如果不存在user，那么返回的必定是假的。那么我

13、们就可以猜测存在哪些表了。那么下一步，猜测表里面的列名字，表里面的行数据什么的，干什么都可以了。SQL注入除了可以猜测数据库里面内容之外，还可以执行一些命令。例如：select * from users where username = '" + username + "' and password = '" + password + "'如果我再username后面截断了。提交如下语句：Username: ' drop table users-Password:那么语句就变成：select * from user

14、s where username = '" ' drop table users-"' and password = '" + password + "'具体怎么构造，就不说了。破坏性还是很强的，这个漏洞活跃于03年之后的asp页面，当然，某些PHP和ASPX也可能有类似的漏洞。防护方法：1 打上最新SQL补丁，现在装了SQL2000SP4 之后的版本的MSSQL，页面即使被注入也不会返回敏感信息，取而代之的是错误500页面。2 开发者写程序的时候对于一些有可能被注入的地方的数据，如id，user，aritcle等内容，在读取之前先进行截断检查。如果有截断可能就直接报错警告。3 生成伪静态页面。XSS跨站攻击：XSS又叫跨站脚本