网络二层三层典型攻击及防护.docx
- 文档编号:16051986
- 上传时间:2023-07-10
- 格式:DOCX
- 页数:17
- 大小:81.81KB
网络二层三层典型攻击及防护.docx
《网络二层三层典型攻击及防护.docx》由会员分享,可在线阅读,更多相关《网络二层三层典型攻击及防护.docx(17页珍藏版)》请在冰点文库上搜索。
网络二层三层典型攻击及防护
二层攻击:
MAC地址相关攻击
泛洪攻击:
攻击者会制造大量的伪造的MAC地址,使交换机的MAC地址表溢出。
原本正常的单播流量,会变成未知单播帧。
产生的效果:
1.交换机的交换速度大大减慢
2.黑客可以通过嗅探器截获用户敏感信息,如Telnet,Ftp等账号密码。
欺骗攻击:
攻击者通过改变MAC地址,与受害者地址一样,截获受害者信息,使受害者不能连接网络。
产生的效果:
1.受害者不能上网。
2.受害者信息被截获,受害者被冒充。
效果图:
受攻击前:
SWshovmac-address-table
DestAddressAddress丁阿色VLAUina-tionPart
ccOO.1170,0000Self1Vlanl
受攻击后:
mac—address—ta"ble
VLAU
Desrtinatxon.Pori;
D©stinalionA-ddres1©
AddressTyye
ccOO.1170.OODO
Self
1
Haul
O<i.1025.dODO
Dynamic
1
FastEthernet0/0
aBlS.Wc.52f5
DyrLAJiLic
1
FastEthemet0/0
cSc2.055c.4dc0
DynanuLc
1
FaslEthernert0/0
9Qf7.46lQ.caa2
Dyrianiic
1
FastEthemetO/O
2e58.3d22^7bl
Dynam.ic
1
FastEthernet0/0
3032.ed5&*d313
Dynauiic
1
FastEthernet0/0
822s.f678,£7bS
Dynajuic
1
FastEtherne-fcO/O
321S.e029.el24
DynajiLie
1
FaslEtherrLe,+0/0
10f&.e-f15.35fa
Djmajuic
1
FastEthemet0/0
a26d.447^,afcl
Dynajuic
1
FastEthemel£i/0
胡"・c6 Dynamic ] FastEthemet0/0 53btp.6f40.3b44 Dynajuic 1 FastEthemet0/0 bsiti.0c39.fOaf Dynajuic 1 FastEtherrift0/0 4u0c.f91±448a Djm剂Lie 1 FasiEthemet0/0 4220.Ie2d.3cef Dynandc 1 FastEthemet0/0 dcSS.f171,cl98 Dynand-Q 1 FastEtlierjiwt0/0 0824,aL7f.6b9d Dynantic 1 FaslEthemet0/0 S200.2b70+u333 Dynajuic 1 Fas'tEthernet0/0 8e6i.803Kfl9b Bynajuic 1 FastEtherne-tO/O beea.ee38.d8e2 Dynajkie 1 Fa.stEthern&'tO/O ―More--層 SWshovmac-address-tatleeoufft NMSlot: 0 DynajnicAddressCount: 8188 SecureAddress(User^defined)Count: 0 StaticAddress(User^defined)Count: 0 S/.EteiiSelfAddressCount: 1 TotalMACaddresses; S3S9 MainvumMACaddress&s; S192 防护方法: switchportport-security 绑定MAC地址 switchportport-securityviolation[restrict|protect|shudown]//处罚 动态绑定 switchportport-securitymac-address0001.0002.0003// switchportport-securitymac-addressstiky// STP相关攻击 BPDU攻击: 发送大量的BPDU信息,消耗交换机资源。 产生效果: 1.管理员无法登入交换机 2.生成树信息絮乱 3.网络瘫痪 抢占根桥: 发送最优根选举信息,成为根桥 产生效果: 1.局域网内无法传输数据 2.局域网所有数据都经过攻击者,敏感信息被截获 效果图: urLrui^eiTL-ir.-H.? ErTjeTrvTeuriZTTZi SW^hovspannirie-treeinterfacef0/0 Port1(FastEthernet0/ (1)ofVLAJI1irforwarding Portpathcost1匕Pertpriority128^PortIdentifier128.LDesi^natsrirooth豆priority32M&addressceOO.0000 Dasi^rLitsdbridgeha^priority32708,addresseeDO.Ib3e.0030 Desi^natedportidis128.1,designa+edpathcos^t0MeLIaisperidirtg,Topolo^ychangeisset Tiners: MessageageQforwarddelay(XholdU NfuinheioftransitionstoforvFardiTigstate: 】 BPDU: sent385,received152223 SWshoiArprocessesepu CPULitilizationforfiveseconds: SB%/10U%: onewiinate: 75SS: fiveninutes: 26% FID Runtime Invoked uS&cs 5死G lWin 5Iin TTT Process t 0 4 0 ILCl哪 o.cm 0.00H 0 ChunkHan昶日工 2 20 leg 118 0.OOK 0.OMfi 0.00% 0 Loadleter r .J 87856 15336 5T2S 43.52% 3S.4BK 13.5侧 (J SpatmmgTree 4 0 1 0 o.oa% 0.0M 0.oo» 0 EDDRI.MAIN 5 1038 112 9535 0.00% 0.05S 0.倔 0 Checkheaps 6 32 3 0.00% dDOSS 0.00» 0 FoolManager 防护方法: 1.BPDU防护 恢复 errdisablerecoveryinterval30II进入errdisable状态30s后恢复 2.BPDU过滤 intfxIx;spanning-treebpdufilterenableIIBPDU信息将会被悄无声息地丢掉 3.根防护 intfxIx;spanning-treerootguardII开启根防护 VLAN攻击 双标签vlan跳跃: Dst Srs 810 10 810 20 080 DAT MAC MAC 0 0 0 A 当思科交换机收到从VLAN10接口的打着双标签流量,会先把VLAN10标签除去,然后在TRUNK里面传输,实现两个VLAN间的跳跃。 但是前提条件是,VLAN10是本地VLAN。 产生效果: 1.跨VLAN访问 2.只是单向性访问 防护方法: 1.将VLAN1设置为NATIVEVLAN,然后不将任何主机划入VLAN1。 2.或: TRUNK上过滤NATIVEVLAN 3.或: 总是打上TAG。 Viandotlqtagnative Inttrunk;switchporttrunknativevlantag. DTP攻击: DTP就是DynamicTrunkProtocol,动态的trunk协议。 在cisco2900s,3500s 很多版本的IOS都是默认开启的。 就是两台交换机之间一接,就自动协商成Trunk口 的协议。 命令是: switchportmodedynamic[desirable|auto|on|off] 攻击方法: 首先攻击者跟交换连接,起Trunk,然后就跨VLAN访问其他VLAN的主机,然后把获取敏感信息。 攻击命令: #yersiniadtp-attack2 防护方法: 1.不用的接口都尽量给shutdown。 2.把交换接口模式都改成access 三层攻击: DHCP攻击: DHCP地址耗尽: 攻击者向DHCP服务器伪造多个MACclient地址,申请多个IP,直至DHCP服务器储备地址完全耗光。 产生的效果: 1.服务器负荷过重 2.局域网内主机无法获得IP上网 攻击方法: #yersiniaDHCP—ttack3 假冒DHCP服务器: 攻击者耗尽真DHCP服务器IP之后,自己伪装成DHCP服务器,分配IP,并且把局域网内主机网关指向自己,自己也开启路由功能。 产生的效果: 1.局域网内所有主机信息都往一个接口送,某台交换机奔溃 2.局域网内所有主机敏感信息可能被截获 防护方法: 1.端口安全port-security,一个MAC对应一个IP,限制MACclient的数量。 2.DHCPSnooping 全局下: ipdhcpsnooping IpdhcpsnoopingvlanX//监控VLANX的DHCP包状态 IntfO/X;switchportmodeaccess;switchportaccessvianX//在DHCP服 务器所在接口敲 Ipdhcpsnoopingtrust//改为信任端口 3.端口绑定: Ipsourcebingding0001.0001.000.1vlan10interfacefO/X; 动态绑定: Ipveritysourceport-security;(swport-s) ARP欺骗 ARPspoofing: 攻击者发送伪装的MAC地址包,2层(FFFF.FFFF.FFFF)广播到局域网,抢占IP地址,制造冲突。 或者伪装网关地址,并开启路由功能,截获局域网内的敏感信息。 攻击方法: arpspoof10.10.10.1 防护方法: 1.DAI,DynamicArpInspection,动态ARP检测。 首先开启DHCPSnooping,产生一张绑定表,然后在全局开启arpinspection, 交换机会根据binding表里面的信息将不违规的ARP包丢弃。 相关命令: Showipdhcpsnoopingbinding Iparpinspectionvlan7//在某个VLAN下开启ARP检测 IntfaX/X;iparpinspectiontrust//对某可接口发送过来的ARP包,放行。 2.从主机上入手,静态绑定映射 HSRP和VRRP HSRP: HSRP是依靠UDP建立的,端口号是1985。 靠发HELLO维护 建立机制: 1.全新的IP和MAC(虚拟)。 2.所有组成员都加入224.0.0.102的组播组。 3.HSRP包的TTL为1,不能跨网攻击。 建立命令: Standby1ip10.10.11.1 Standby1priority150 Standby1preempt Standby1nameXXX 针对HSRP的攻击: 1.DOS攻击,攻击者假冒自己是交换机,priority255,开抢占。 2.Man-in-middle攻击,假冒网关虚拟的MAC地址,然后攻击者开启路由功能, 所有流量都通过攻击者,截取信息。 3.信息泄露,因为HSRP默认是明文认证的。 而且默认是cisco qHSRP: 号HSPP-QHSRP: _JHSEF;JHSEP;_JHSRP;_JHSRP; 巾HSRP;3HSRP; Vex^sion Opcode Sendingrouter's Hellotins Holdtine Reuter'spriorityGroupnumberReserved = D 0(Hello) 16(Active) 3 10 IDS 1 'jHSRP; Avthenticatio<\ 二 "cisco" ESihsrp: IFaddressx ■ 10: ;: 1: 1O0| 防护方法: 1.强认证 standby1authenticationmd5key-chainHSRPKEY 2.VLANMAP ■VLANMAP aocess-istW1permit14^host192,166.^7host224L,0,21905 ^□cess-ist1C1permit1应host192.166.0.9host224.0.0.2国1935^ocess-list1C2permiti^-anyhost224.0.02旬1995眩accessmap诞1C actionforward rnaixhIpadefeess101 眩access-map谕20 actiondrop match炽adcbiess102access-币旳诞30 actionforward 帧制冋戚蕊』吐88 IOSACL ^terfaceFastEthernetO/O ip^cte;5-group101in caress-listL01permitijrfphostIT.168.0.7host224j0.0.21935WQWK-list1£1permitMifc192,iee.Ql9ho5t224J0.0.21905 aocess-istUOldeny感行n#瓢说1965 ^ocess-listW1permitipany迥 VRRP是一样的,不过协议改成112 d.VUXNMAP access-Ifst101permitH2host1921663host224.0.0.isaccess-list101permit112host192,168.0.9host224.0,0.18access-list102permit112anyhost224.0.0.18臓access-map帕⑥ID actcnforward matchipaddressLOL 砂顚access-mapbCT20 actiondrop matchjpadcfre? s1Q2 砂敢socsss-mspto30 artianforward tbnfilterl^rpYj^riliSt88 ACL interfaceFagtEthernetO/lD 屮3匸匚©£9-歹口up101in access-list101permit112host192.168.a.7host,224.0.0.IBaccess-list1D1permit112host192.160.0.9host224.D.0.18access-list101deny112^rty剜access-list101permitiqany戢址 CDP CDP组播发送的明文信息,组播地址是0100.0ccc.cccc,类型字段是2000 攻击方式: 1.攻击者抓包就可发现网络内设备硬软件信息。 2.CDP里面还可携带VOICEVLAN信息,会泄露VOICEVLANID 3.DOS攻击。 a)CDPcacheoverflow大量cdp包造成交换机重启 b)CDPcachepollution大量消耗资源,使SW不可用 c)攻击者发送伪装CDP包,调节POE,使IP电话无法工作。 Ce-nter.cdnne1 Capdbilit^Codes;R-Rauler,1SSunich,H ■-FrdnsEtri DeviceIDiCH9G8V9? QIIULC2JMNR10F3T27F TVPH7KJ2S2S7XGCZ9G4G4VMCHD9HSH6AJNWH0V4CGPT3TKSJfi71CH4PYT3BG3B3rMOSRTM26醐6RJU29CLULV&TV8C75D9H9H0鬧NHHFSJMi甌胆IUfl0S2IKUGLTKTK7K0FJPBKIX7BM16UI Locdllotrfee Fas0/5 Fus0/5g0/5 Fas0/5F髓0/5 Fas0/5 Fas0/5 Fas0/5 Fas0/5 Fas0/5 Fas0/5 Fas0/5 Fas0/5F<4£0/5 F盟0/J>fasH/5 Fas0/S Fas«/S Fas0/S>fds少5 匸昭0/bFds0/5"0/5 d21999988888766b'i433922221 13322? 2AZ2? 222222222? 222222 02222^C2? 2222222? 2? 22222222 防护方法: 不用的接口关掉CDP,intFx/x;nocdpenable。 如果设备不需使用CDP,全局关掉: nocdprun Hr HI FBrSIIrssHHITTH-ODBHsTBRsTRRBTTSRRR RR RTBr KTBIr RTHr RSIr RTBSr SH THr RSHIr RHI B$HIr RSHITSH£i Pldtfarmu^rsiniavtrsinidiniayersinidj^ersinidycrsinidi/ersinia^^sihi&yersiniayersiniayersinia^ersinir>^ersiniapensiniavergini<1yersinit! yersinia^rsirtiayersiniayersiniayersinifiversiniay^rsinit! yersiniay^rsini再 Eth Eth Eth Lth Elh ID 针对具体目标的攻击 针对WEB页面的攻击: SQL注入: 作用于动态页面并且漏洞常见于.asp后缀的页面。 如: http: //XXXX/XX.asp? id=1 简单说一说,通常以上的地址,页面背后运行的SQL语句都会如: SelcetXXfromdbnamewhereid=1 那么现在漏洞就来了。 如果我们在URL后面构造某些语句: http: //XXXX/XX.asp? id=1and1=1 那么服务器运行的SQL语句就变成 SelcetXXfromdbnamewhereid=1and1=1 多了一个与条件,然后与1=1,显然是真的,所以返回页面也正常。 那如果我们加入的是不太好的语句呢? http: //XXXX/XX.asp? id=1anduser>0 如果user表存在的话,并且大于0的话,明显条件是真的。 那么,就会返回正常页面,如果不存在user,那么返回的必定是假的。 那么我们就 可以猜测存在哪些表了。 那么下一步,猜测表里面的列名字,表里面的行数据什么的,干什么都可以了。 SQL注入除了可以猜测数据库里面内容之外,还可以执行一些命令 例如: +password+": 如果我再username后面截断了。 提交如下语句: Username: ';droptableusers-- Password: 那么语句就变成: ='"+password+"' 具体怎么构造,就不说了。 破坏性还是很强的,这个漏洞活跃于03年之后的asp 页面,当然,某些PHP和ASPX也可能有类似的漏洞 防护方法: 1.打上最新SQL补丁,现在装了SQL2000SP4之后的版本的MSSQL,页面即 使被注入也不会返回敏感信息,取而代之的是错误500页面。 2.开发者写程序的时候对于一些有可能被注入的地方的数据,如id,user,aritcle 等内容,在读取之前先进行截断检查。 如果有截断可能就直接报错警告。 3.生成伪静态页面。 XSS跨站攻击: XSS又叫跨站脚本攻击,通过在网页之中插入一些HTML代码或者Javascript代 码,达到窃取Cookies,挂马等效果。 通常都是因为页面对用户输入的内容没有做任何判别,直接保存。 然后回显的时候执行用户输入的恶意代码。 简单留言本-填写留言 alertfhello^); d 防护方法: 对动态生成的页面的字符进行编码,对用户输入进行过滤和限制 针对服务的攻击: 溢出 留言重填 写入数据长度与申请空间不一致,倒是数据后面部分覆盖某些额外空间。 然后使指令指针CS: IP指到要运行的程序的开始地址。
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 网络 三层 典型 攻击 防护