交换机安全功能介绍

news2024/11/19 18:26:38

  今天海翎光电的小编来给大家聊聊以太网交换机安全功能。

  交换机作为局域网中最常见的设备,在安全上面临着重大威胁,这些威胁有的是针对交换机管理上的漏洞,攻击者试图控制交换机。有的针对的是交换机的功能,攻击者试图扰乱交换机的正常工作,从而达到破坏甚至窃取数据的目的。针对交换机的攻击主要有以下几类

1、交换机配置/管理的攻击

2、MAC 泛洪攻击

3、DHCP 欺骗攻击

4、MAC 和 IP 欺骗攻击

5、ARP 欺骗

6、VLAN 跳跃攻击

7、STP 攻击

8、VTP 攻击

  交换机的访问安全为了防止交换机被攻击者探测或控制,必须在交换机上配置基本的安全:

1、使用合格的密码

2、使用 ACL,限制管理访问

3、配置系统警告用语

4、禁用不需要的服务

5、关闭 CDP

6、启用系统日志

7、使用 SSH 替代 Telnet

8、关闭 SNMP 或使用 SNMP V3

    交换机的端口安全

    交换机依赖 MAC 地址表转发数据帧,如果 MAC 地址不存在,则交换机将帧转发到交换机上的每一个端口(泛洪),然而 MAC 地址表的大小是有限的。MAC 泛洪攻击利用这一限制用虚假源 MAC 地址轰炸交换机,直到交换机 MAC地址表变满。交换机随后进入称为 “失效开放” (Fail-open)的模式,开始像集线器一样工作,将数据包广播到网络上的所有机器。

    因此,攻击者可看到发送到无 MAC 地址表条目的另一台主机的所有帧。要防止MAC 泛洪攻击,可以配置端口安全特性,限制端口上所允许的有效 MAC 地址的数量,并定义攻击发生时端口的动作:关闭、保护、限制。

    DHCP Snooping

    当交换机开启了 DHCP-Snooping 后,会对 DHCP 报文进行侦听,并可以从接收到的 DHCP Request 或 DHCP Ack 报文中提取并记录 IP 地址和 MAC 地址信息。另外,DHCP-Snooping 允许将某个物理端口设置为信任端口或不信任端口。信任端口可以正常接收并转发 DHCP Offer 报文,而不信任端口会将接收到的 DHCPOffer 报文丢弃。

    这样,可以完成交换机对假冒 DHCP Server 的屏蔽作用,确保客户端从合法的DHCP Server 获取 IP 地址。

    1、dhcp-snooping 的主要作用就是隔绝非法的 dhcp server,通过配置非信任端口。

    2、与交换机 DAI 的配合,防止 ARP 病毒的传播。

3、建立和维护一张 dhcp-snooping 的绑定表,这张表一是通过 dhcp ack 包中的 ip 和 mac 地址生成的,二是可以手工指定。这张表是后续 DAI(dynamic arpinspect)和 IPSource Guard 基础。这两种类似的技术,是通过这张表来判定 ip或者 mac 地址是否合法,来限制用户连接到网络的。

4、通过建立信任端口和非信任端口,对非法 DHCP 服务器进行隔离,信任端口正常转发 DHCP 数据包,非信任端口收到的服务器响应的 DHCP offer 和 DHCPACK后,做丢包处理,不进行转发。

    DAI

    动态 ARP 检查(Dynamic ARP Inspection, DAI)可以防止 ARP 欺骗,它可以帮助保证接入交换机只传递“合法的"ARP 请求和应答信息。

    DAI 基于 DHCP Snooping 来工作,DHCP Snooping 监听绑定表,包括 IP 地址与 MAC 地址的绑定信息,并将其与特定的交换机端口相关联,动态 ARP 检测(DAI-Dynamic ARP Inspection)可以用来检查所有非信任端口的 ARP 请求和应答(主动式 ARP 和非主动式 ARP) ,确保应答来自真正的 MAC 所有者。交换机通过检查端口纪录的 DHCP 绑定信息和 ARP 应答的 IP 地址决定其是否是真正的 MAC 所有者,不合法的 ARP 包将被拒绝转发。

    DAI 针对 VLAN 配置,对于同一 VLAN 内的接口,可以开启 DAI 也可以关闭,如果ARP 包是从一个可信任的接口接受到的,就不需要做任何检查;如果 ARP 包是从一个不可信任的接口上接收到的,该包就只能在绑定信息被证明合法的情况下才会被转发出去。这样,,DHCP Snooping 对于 DAI 来说也成为必不可少的。

    DAI 是动态使用的,相连的客户端主机不需要进行任何设置上的改变。对于没有使用 DHCP 的服务器,个别机器可以采用静态添加 DHCP 绑定表或 ARP access-list的方法实现。

    另外,通过 DAI 可以控制某个端口的 ARP 请求报文频率。一旦 ARP 请求频率超过预先设定的阈值,立即关闭该端口。该功能可以阻止网络扫描工具的使用,同时对有大量 ARP 报文特征的病毒或攻击也可以起到阻断作用。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/591577.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

新手快速学会使用DDL对数据库和表的操作

新手快速学会使用DDL对数据库和表的操作

前言 SQL是一种操作关系型数据库的结构化查询语言。今天这篇文章将详细讲述数据定义语言DDL对数据库和表的相关操作。 文章目录 前言1. DDL-操作数据库1.1 查询1.2 创建数据库1.3 删除数据库1.4 使用数据库2.1 数据类型2.2 查询表2.3 创建表2.4 删除表2.5 修改表 3. 实战案例详…
阅读更多...
统计学的假设检验/置信区间计算

统计学的假设检验/置信区间计算

假设检验的核心其实就是反证法。反证法是数学中的一个概念,就是你要证明一个结论是正确的,那么先假设这个结论是错误的,然后以这个结论是错误的为前提条件进行推理,推理出来的结果与假设条件矛盾,这个时候就说明这个假…
阅读更多...
Navicat 15获取用户的密码

Navicat 15获取用户的密码

我使用Navicat连接好了mysql但是密码忘记了;可以通过如下操作找回密码 我使用的Navicat版本是 15.0.27 1、选择文件 --> 导出连接 2、选择你要知道密码的连接  勾选导出密码(默认位置是桌面) 3、 在Password 这栏找到加密后的密码 …
阅读更多...
基于Android应用开发实现UWB(超宽带)通信

基于Android应用开发实现UWB(超宽带)通信

什么是超宽带UWB 超宽带通信是一种无线电技术,专注于设备之间的精确测距(测量位置的精度为 10 厘米)。这种无线电技术可以使用低能量密度进行短距离测量,并在大部分无线电频谱上执行高带宽信号传输。UWB 的带宽大于 500 MHz(或超过 20% 的小数带宽)。 从 Android 13 开…
阅读更多...
[GXYCTF2019]Ping Ping Ping解题过程

[GXYCTF2019]Ping Ping Ping解题过程

1、来看看靶场 发现就只有这个提示,尝试一下在url输入框进行测试 页面返回ping的结果,然后我之前也做过另外一道类似的题 链接:[ACTF2020 新生赛]Exec1命令注入_[actf2020 新生赛]exec 1_旺仔Sec的博客-CSDN博客 尝试用管道符 果然是可以的…
阅读更多...
chatgpt赋能python:Python中语句太长之续行符的使用

chatgpt赋能python:Python中语句太长之续行符的使用

Python中语句太长之续行符的使用 如果你是一位有10年Python编程经验的工程师,那么你一定会遭遇语句太长的问题。这是导致程序出错的常见问题。在很多情况下,一条语句的长度会超过Python规定的最大长度,这时候我们就需要使用续行符进行换行了…
阅读更多...
C语言——数据在内存中的存储(上)

C语言——数据在内存中的存储(上)

数据在内存中的存储 1. 数据类型的介绍 之前已经介绍过C语言中的基本数据类型了,主要有: char //字符数据类型short //短整型int //整形long //长整型long long //更长的整形float //单精度浮点数double //双精度浮点数 注意:C语言中是是没…
阅读更多...
JVM学习笔记(中)

JVM学习笔记(中)

1、垃圾回收算法 标记清除法 特点: 速度较快会产生内存碎片 注意:这里的清除并不是真正意义上的清除,即每个字节都清0,而是记录一下被清除的对象的起始和结束的地址,当下一次分配给一个新对象时,新对象…
阅读更多...
一文看懂数字化转型丨三叠云

一文看懂数字化转型丨三叠云

相信很多朋友在最近这几年对“数字化”、“数字化转型”等名词听得很多了吧,去网上搜搜“数字化转型”,这几年各式各样的信息如火如荼,充斥着互联网平台和大大小小的企业。 一、什么是数字化转型? 那么“数字化”和“数字化转型”…
阅读更多...
【ros/ros2】LCN及ros2节点的LCN改写

【ros/ros2】LCN及ros2节点的LCN改写

文章目录 序言1. ros2两种节点类型2. LCN是什么3. LCN状态转换4. LCN状态转换要做的事5. LCN节点功能划分6. ros2节点的LCN改写 序言 背景:ros2节点改写为lifecycle node节点 1. ros2两种节点类型 Node:和ros1中一样的节点基类LifecycleNode&#xff…
阅读更多...
法规标准-ISO 11270标准解读(2014版)

法规标准-ISO 11270标准解读(2014版)

ISO 11270是做什么的? ISO 11270全名为智能交通系统-车道保持辅助系统(LKAS)-性能要求及测试步骤,其中主要是对LKAS系统的功能要求、性能要求及测试步骤进行了介绍。 功能要求 LKAS应至少提供以下操作和状态转换: ——从LKAS off到LKAS on的…
阅读更多...
chatgpt赋能python:Python中的精度问题

chatgpt赋能python:Python中的精度问题

Python中的精度问题 如果你曾经在Python中处理浮点数,你可能会遇到精度问题。当使用不同的运算符和内置函数时,浮点数很容易产生舍入误差。这种误差可能会导致意想不到的结果,特别是在科学计算和金融应用中。 为什么会出现精度问题&#xf…
阅读更多...
Spring AOP简介及相关案例

Spring AOP简介及相关案例

目录 一、Spring AOP简介 二、AOP相关术语 三、AOP入门案例 1. 引入依赖 2. 编写连接点 3. 编写通知类 4. 配置切面 5. 测试 四、通知类型 1. 编写通知方法 2. 配置切面 3. 测试 五、切点表达式 六、多切面配置 1. 编写发送邮件的通知 2. 配置切面 3. 测试 …
阅读更多...
flex 布局的基本概念 - 详解

flex 布局的基本概念 - 详解

flex 布局的基本概念 Flexible Box 模型,通常被称为 flexbox,是一种一维的布局模型。它给 flexbox 的子元素之间提供了强大的空间分布和对齐能力。本文给出了 flexbox 的主要特性,更多的细节将在别的文档中探索。我们说 flexbox 是一种一维的…
阅读更多...
Metasploit超详细安装及使用教程(图文版)

Metasploit超详细安装及使用教程(图文版)

通过本篇文章,我们将会学习以下内容: 1、在Windows上安装Metasploit 2、在Linux和MacOS上安装Metasploit 3、在Kali Linux中使用 Metasploit 4、升级Kali Linux 5、使用虚拟化软件构建渗透测试实验环境 6、配置SSH连接 7、使用SSH连接Kali 8、配…
阅读更多...
C++ vector与map的结合运用

C++ vector与map的结合运用

目录 vector和map的简单介绍: 今天我们用vector容器和map容器实现以下简单的功能: 案例描述: 图解: ​ 实现步骤: 代码实现: 运行结果: vector和map的简单介绍: map和vector都是C STL&…
阅读更多...
C++11 -- 包装器

C++11 -- 包装器

文章目录 function包装器function包装器的概念function的运用function实例化使用function解决逆波兰表达式 bind包装器bind包装器相关介绍bind绑定函数固定参数 function包装器 function包装器的概念 function包装器,也叫做适配器,它的本质是一个类模板. 例如: 1 template&l…
阅读更多...
chatgpt赋能python:Python中的迭代器

chatgpt赋能python:Python中的迭代器

Python中的迭代器 在Python中,迭代器是一种对象,它可以让我们可以遍历(或迭代)序列中的元素而不必了解它们如何存储在内存中。迭代器是Python中许多高级构造的基础 - 他们节省了空间,并且它们能够帮助我们更有效地处理…
阅读更多...
Redis高级篇 - 多级缓存

Redis高级篇 - 多级缓存

多级缓存 1.什么是多级缓存 传统的缓存策略一般是请求到达Tomcat后,先查询Redis,如果未命中则查询数据库,如图: 存在下面的问题: 请求要经过Tomcat处理,Tomcat的性能成为整个系统的瓶颈 Redis缓存失效时…
阅读更多...
VUE项目运行失败原因以及解决办法(以vscode为例)

VUE项目运行失败原因以及解决办法(以vscode为例)

1.正常运行: Ctl J打开终端,并运行如下命令: npm run serve 正常情况下,就可以得到本地和网络链接,如下: 点击链接即可进入到编辑好的页面。 不过,你也可能遇到如下情况↓↓↓ 2.无法找到pac…
阅读更多...
推荐文章
最新文章

Copyright @ 2022~2023