越剧盘妻索妻洞房选段:《转载》针对交换机的攻击和相应安全措施（上）

令人遗憾的是，基本交换机安全并不能阻止恶意攻击发生。本节中将讨论多种常见的安全攻击以及它们的危险性。本主题仅提供有关安全攻击的介绍性信息。这些常见攻击的详细工作方式不属于本课程的范畴。

下面将介绍一些常见的第二层安全攻击。

1．MAC地址泛洪

交换机中的MAC地址表包含交换机某个给定物理端口上可用的MAC地址以及每个MAC地址关联的VLAN参数。当第2层交换机收到帧时，交换机在MAC地址表中查找目的MAC地址。所有Catalyst交换机型号都使用MAC地址表来进行第2层交换。当帧到达交换机端口时，交换机可获得源MAC地址并将其记录在MAC地址表中。如果存在MAC地址条目，交换机将把帧转发到MAC地址表中指定的MAC地址端口。如果MAC地址不存在，则交换机的作用类似集线器，它将帧转发到交换机上的每一个端口。MAC地址表溢出攻击有时称为MAC泛洪攻击。要理解MAC地址表溢出攻击的机制，请回忆一下交换机的基本操作。

在图2-18中，主机A向主机B发送流量。交换机收到帧，并在其MAC地址表中查找目的MAC地址。如果交换机在MAC地址表中无法找到目的MAC，则交换机将复制帧并将其从每一个交换机端口广播出去。

在图2-19中，主机B收到帧并向主机A发送响应。交换机随后获知主机B的MAC地址位于端口2，并将该信息写入MAC地址表。

主机C也收到从主机A发到主机B的帧，但是因为该帧的目的MAC地址为主机B，因此主机C丢弃该帧。

在图2-20中，现在由主机A（或任何其他主机）发送给主机B的任何帧都转发到交换机的端口2，而不是从每一个端口广播出去。

理解MAC地址表溢出攻击工作方式的关键是要知道MAC地址表的大小有限。MAC泛洪利用这一限制用虚假源MAC地址轰炸交换机，直到交换机MAC地址表变满。交换机随后进入称为"失效开放"（fail-open）的模式，开始像集线器一样工作，并将数据包广播到网络上的所有机器。因此，攻击者可看到从受害主机发送到无MAC地址表条目的另一台主机的所有帧。

使用网络攻击工具可以执行MAC泛洪。网络入侵者使用攻击工具以大量无效的源MAC地址泛洪攻击交换机，直到MAC地址表充满。当MAC地址表变满时，交换机将传入流量泛洪传送到所有端口，因为它在MAC地址表中找不到对应特定MAC地址的端口号。交换机实际上是在起类似于集线器的作用。

某些网络攻击工具每分钟可以在交换机上生成155 000个MAC条目。MAC地址表的最大大小因交换机而异。在图2-21中，攻击工具在屏幕右下角MAC地址为C的主机上运行。此工具用伪造的数据包来泛洪攻击交换机，数据包中包含随机生成的源和目的MAC地址以及源和目的IP 地址。经过很短时间之后，交换机中的MAC地址表将被填满，直到无法接受新条目。当MAC地址表中充满无效的源MAC地址时，交换机开始将收到的所有帧都转发到每一个端口。

  图2-21 主机C使用伪造源地址发送帧

只要网络攻击工具一直运行，交换机的MAC地址表就会始终保持充满。当发生这种情况时，交换机开始将所有收到的帧从每一个端口广播出去，这样一来，从主机A发送到主机B的帧也会从交换机上的端口3向外广播。

  图2-22 主机C可以接收到从主机A发送到主机B的所有帧

2．欺骗攻击

攻击者窃取网络流量的一种办法是伪装有效DHCP服务器发出的响应。DHCP欺骗设备响应客户端DHCP请求。合法服务器也会响应，但如果欺骗设备与客户端同处于一个网段上，则欺骗设备对客户端的响应可能先行到达。入侵者DHCP响应提供的IP地址和支持信息将入侵者指定为默认网关或默认域名系统（DNS）服务器。如果指定为网关，客户机将把数据包转发给攻击设备，而攻击设备则接着将数据包发送到所要的目的地。这称为中间人攻击，当入侵者截获流过网络的数据流时，这种攻击可能完全无人觉察。

您还应该认识到另一种称为DHCP耗竭的DHCP攻击。攻击者PC不断更改其源MAC地址，并不断向真实DHCP服务器请求IP地址。如果成功，这种DHCP攻击将造成真实DHCP服务器的所有待租地址分配殆尽，从而阻止真实用户（DHCP客户端）获取IP地址。

要防止DHCP攻击，可使用Cisco Catalyst交换机上的DHCP侦听和端口安全性功能。

DHCP侦听是一种确定哪些交换机端口可响应DHCP请求的Cisco Catalyst功能。端口标识为可信和不可信。可信端口可发送所有DHCP消息；不可信端口只能发送请求。可信端口担纲DHCP服务器，也可作为通向DHCP服务器的上行链路。如果不可信端口上的诈骗设备试图将DHCP响应数据包发送到网络，则该端口将关闭。此功能可与将交换机信息（例如DHCP请求的端口ID）插入DHCP请求数据包的DHCP选项相结合。

不可信端口即那些未显式配置为可信的端口。系统将为不可信端口建立DHCP绑定表。表中的每一个条目都包含在客户端发出DHCP请求时记录的客户端MAC地址、IP地址、租用时间、绑定类型、VLAN号以及端口ID。然后该表用于过滤后续的DHCP流量。从DHCP侦听的角度来说，不可信访问端口不应发送任何DHCP服务器响应。

下面步骤说明如何在Cisco IOS交换机上配置DHCP侦听。

步骤1 使用ip dhcp snooping全局配置命令启用DHCP侦听。

步骤2 使用ip dhcp snooping vlan number [number]命令对特定VLAN启用DHCP侦听。

步骤3 使用ip dhcp snooping trust命令定义可信端口，从而在接口级别将端口定义为可信或不可信。

步骤4 （可选）使用ip dhcp snooping limit raterate命令限制攻击者通过不可信端口向DHCP服务器连续发送伪造 DHCP 请求的速率。

3．CDP攻击

Cisco发现协议（CDP）是Cisco的专有协议，所有Cisco设备都可配置为使用该协议。CDP发现直接相连的其他Cisco设备，这样可使设备在某些情况下自动配置其连接，从而简化配置和连接。CDP报文不加密。

默认情况下，大多数Cisco设备都启用了CDP。CDP信息在定期广播中发出，这些广播在每个设备的CDP数据库中本地更新。由于CDP是第2层协议，因此路由器不会传播 CDP。

CDP包含有关设备的信息，如IP地址、软件版本、平台、性能和本机VLAN。如果攻击者得到这些信息，他们就可以利用这些信息来查找漏洞以攻击网络，通常的攻击形式是拒绝服务（DoS）攻击。

图2-24中捕获的部分数据显示了CDP数据包的内容。通过CDP发现的Cisco IOS软件版本特别有利于攻击者研究和确定该特定版本的代码是否有任何特有的安全性漏洞。此外，由于CDP未经过身份验证，因此攻击者可以伪造CDP数据包，并让与自己直接相连的Cisco设备收到。

要解决这个漏洞，则建议在不需要使用CDP的设备上禁用CDP。

4．Telnet攻击

Telnet协议可被攻击者用来远程侵入Cisco网络交换机。在前面的主题中，已经为vty线路配置了登录口令，并将这些线路设置为需要口令身份验证才能允许访问。这提供了必要的基本安全性，有助于使交换机免受未经授权的访问。但是，这并不是保护vty线路访问的安全方法。攻击者可以利用工具来对交换机的vty线路实施暴力密码破解攻击。

暴力密码攻击的第一阶段是攻击者使用一个常用密码列表和一个专门设计的程序，这个程序使用字典列表中的每一个词来尝试建立Telnet会话。幸运的话，如果您明智地选择不使用字典中的词，那么此时，您仍然是安全的。在暴力攻击的第二阶段，攻击者又使用一个程序，这个程序创建顺序字母组合，试图"猜测"密码。只要有足够的时间，暴力密码攻击可破解几乎所有使用的密码。

限制暴力密码攻击漏洞的最简单办法是频繁更改密码，并使用大小写字母和数字随机混合的强密码。此外还有很多高级选项允许使用访问列表来限制谁可以通过vty线路通信，但是这方面的内容不属于本课程的范围内。

另一类Telnet攻击是DoS攻击。在DoS攻击中，攻击者利用交换机上所运行的Telnet服务器软件中的一个缺陷，这个缺陷可使Telnet服务不可用。这种攻击极其令人头疼，因为它妨碍管理员执行交换机管理功能。

解决Telnent服务中的DoS攻击漏洞的常用办法是使用Cisco IOS更新修订版中附带的安全补丁。如果用户遇到针对Cisco设备上的Telnet服务或任何其他服务的DoS 攻击，可检查是否有更新的Cisco IOS修订版可用。

最后，如果攻击者使用MAC地址泛洪攻击，例如，通过使用包捕获软件，那么攻击者也可能在用户键入Telnet口令时捕获它。

安全工具

配置好交换机安全性之后，您需要确保未给攻击者留下任何可乘之机。网络安全是一个复杂而且不断变化的话题。本节中将介绍网络安全工具如何用于保护网络免遭恶意攻击。

网络安全工具可帮助您测试网络中存在的各种弱点。这些工具可让您扮演黑客和网络安全分析师的角色。利用这些工具，您可以发起攻击并审核结果，以确定如何调整安全策略来防止某种给定攻击。

网络安全工具所使用的功能一直在不断发展。例如，网络安全工具一度曾注重于在网络上进行侦听服务，并检查这些服务的缺陷。而现在，由于邮件客户端和 Web 浏览器中存在的缺陷，病毒和蠕虫得以传播。现代网络安全工具不仅检测网络上的主机的远程缺陷，而且能确定是否存在应用程序级的缺陷，例如客户端计算机上缺少补丁。网络安全性不再仅局限于网络设备，而且一直延伸到了用户桌面。安全审计和渗透测试是网络安全工具所执行的两种基本功能。

网络安全工具可用于执行网络的安全审计。安全审计可揭示攻击者只需监视网络流量就能收集到了哪类信息。利用网络安全审计工具可以用伪造的MAC地址来泛洪攻击MAC表。然后就可以在交换机开始从所有端口泛洪流量时审核交换机端口，因为合法MAC地址映射将老化，并被更多伪造的MAC地址映射所替代。这样您就能确定哪些端口存在危险，并且未正确配置为阻止此类攻击。

计时是成功执行审计的重要因素。不同的交换机在其MAC表中支持不同数量的MAC地址。确定要在网络上去除的虚假MAC地址的理想数量可能需要技巧。此外，还必须对付MAC表的老化周期。如果在您执行网络审计时，虚假MAC地址开始老化，则有效MAC地址将开始填充MAC表，这将限制利用网络审计工具可监视的数据。

网络安全工具还可用于对网络执行渗透测试。这可使您找出网络设备配置中存在的弱点。您可以执行多种攻击，而且大多数工具套件都附带大量文档，其中详细说明了执行相应的攻击所需要的语法。由于这些类型的测试可能对网络有负面影响，因此需要在严格受控的条件下，遵循综合网络安全策略中详细说明的规程来执行。当然，如果网络仅仅是基于小教室，则可以安排在教师的指导下尝试您自己的网络渗透测试。

下一节将介绍如何在Cisco交换机上实施端口安全性，以确保这些网络安全测试的结果为安全配置没有任何缺陷。

安全的网络其实是一个过程，而不是结果。您不可仅仅是为交换机启用了安全配置就宣称安全工作大功告成。要实现安全的网络，需要有一套全面的网络安全计划，计划中需定义如何定期检验您的网络是否可以抵御最新的恶意网络攻击。安全风险不断变化的局面意味着，您所需要的审计和渗透工具应能不断更新以找出最新的安全风险。现代网络安全工具的常见功能如下。

服务识别：借助工具使用Internet编号指派机构（IANA）端口号来分析主机。这些工具应能发现在非标准端口上运行的FTP服务器或在8080端口上运行的Web服务器，而且它们还应能测试在主机上运行的所有服务。

SSL服务支持：测试使用SSL级安全性的服务，包括HTTPS、SMTPS、IMAPS和安全证书。

非破坏性测试和破坏性测试：例行执行对网络性能没有影响或只有适度影响的非破坏性安全审计。这类工具还应允许执行可严重降低网络性能的破坏性审计。破坏性审计可用来查看网络抵御入侵者攻击的强度。

漏洞数据库：漏洞一直在不停变化。

网络安全工具需要设计为可插入代码模块中，然后运行针对特定漏洞的测试。这样就能维护一个大型的漏洞数据库，并将库中的漏洞数据上传到工具，以确保测试最新的漏洞。

使用网络安全工具可以完成如下操作。

捕获聊天消息。

从NFS流量中捕获文件。

捕获通用日志格式的HTTP请求。

捕获Berkeley mbox格式的邮件消息。

捕获密码。

在浏览器中实时显示捕获的URL。

用随机的MAC地址泛洪攻击交换LAN。

伪造对DNS地址/指针查询的响应。

截获交换LAN上的数据包。

转载自：http://book.51cto.com/art/200904/119655.htm