DHCP spoof attack:) y# ~( n+ K4 g( m
欺骗者响应DHCP客户机的请求,并给其分配一虚假IP。—“man in the middle”8 ?0 w3 a& G* O/ l' o
解决方法:交换机启用DHCP Snooping,所有端口都变成非信任状态,收到的DHCP响应包都丢弃。把接入层交换机的上行端口设置为信任状态。. Q7 d# N) u- N
ARP Spoofing:
- I5 ^ g4 b5 s! p! B7 M同样是“man in the middle”,欺骗者冒充网关,主机会将ARP表项中网关的MAC改为欺骗者的MAC,导致无法正常上网。5 n- `8 K- _4 Q1 \: L) R
解决方法:动态ARP检查(DAI),需要与DHCP Snooping配合3 _5 z2 s& v+ s
STP攻击:
6 M. Z2 Y) j. S& g- s7 e攻击主机向所连接的交换机发送BPDU导致生成树重新计算
1 P. V4 ?6 q! }解决方法:将接主机的端口上启用BPDU Guard。" w! c' M- b: c5 w2 ^1 h, C
另外为避免接入层设备成为根,可在相应接口上启用根防护,spanning-tree guard root,意为这个端口不可能成为根口,因而与这个端口相连的设备不可能成为根。0 N8 t" y9 ^/ L
还有一种情况,就是物理链路单向失效,导致单方向上BPDU传递失败,就会导致环路。解决方法是UDLD:单向失效链路检测。为了确保blocking端口收到BPDU,如果blocking端口收不到BPDU就会变成转发状态。早期使用loop guard,配置在所有非指定接口上,现在已经淘汰不用。) ]; n( ]# g! [& ], X+ w
全局下启用UDLD enable,对所有光口生效。可以在非光口接口模式下启用UDLD。8 f3 V1 G$ U" T8 D. B s# Y
不同类型的端口收到BPDU时:
" S5 D' ]" j, p& T7 h+ J( l1. Portfast端口:取消Portfast,正常处理BPDU;- F8 g ?% U+ A
2. BPDU guard端口:转入err-disable状态;. N) _; _, f1 @. ^4 A
3. BPDU filter端口:全局配置情况下,端口取消portfast和BPDU filter,同正常端口一样收发BPDU;在接口配置情况下,会忽略收到的BPDU,而且从不发送BPDU;" l3 ]* |1 E7 d5 G4 E
4. Root guard端口:转入root-inconsistent状态,忽略收到的BPDU;- @$ S* |: [2 L2 B7 @5 K2 N
另外: Loop guard端口如果没有收到BPDU,则进入loop-inconsistent状态,在此状态下如果收到BPDU则会转入正常状态,无需人为干预。 |
发表于 2012-8-3 20:28:11
