常见数据链路层安全威胁

MAC地址扩散

大量伪造虚假mac地址,导致mac地址表溢出,从而导致mac地址表中找不到正确的地址条目
网络资源被大量广播占用,非法计算机会接收广播消息从而导致信息泄露

ARP攻击

某台pc发送虚假的mac地址给网关和其他pc,导致其他pc不能正常上网

ARP欺骗

某台pc发送自己的mac地址给网关和其他pc,伪装成网关和其他pc,导致其他pc和网关的数据都经过发起攻击的pc

DHCP欺骗

客户机将自己配置为DHCP服务器,分派虚假的IP地址及其信息或者直接响应DHCP请求

DHCP地址耗尽

客户机不断的冒充新客户发送DHCP请求,请求服务器分派IP地址,导致IP地址耗尽,其他计算机无法使用

IP地址欺骗

——客户机将自己的IP地址设置成其他计算机的IP地址,对其他用户、设备、服务器做非法操作

端口安全

交换机端口安全的作用

基于MAC地址限制、允许客户端流量
避免MAC地址扩散攻击
避免MAC地址欺骗攻击(主机使用虚假MAC地址发送非法数据)

老化时间

让交换机删除一段时间内没有流量的MAC地址
time参数范围是1~1440分钟,默认为0表示不删除
absolute参数为老化时间到期后,删除所有MAC地址并重新学习
inactivity参数为与端口连接的客户端一段时间(老化时间)没有流量,就将其MAC地址从地址表中删除

当出现违规情况时,有三种处理方式

shutdown:端口成为error-down状态,相当于关闭端口
protect:将违规的MAC地址的分组丢弃,但端口处于UP状态。交换机不记录违规分组
restrict:将违规的MAC地址的分组丢弃,但端口处于UP状态。交换机记录违规分组,默认处理方式

当端口进入error-down状态时,恢复接口状态的方法有两种

手动恢复

先关闭端口(shutdown),然后再开启端口(undo shutdown)

自动恢复

设置error-down计时器,端口进入error-down状态时开始计时,计时器超出后端口状态自动恢复

配置命令

  1. port-security enable
  2. ——启用接口安全
  3. port-security max-mac-num <数值>(默认是1,范围是1~8192
  4. ——允许最大活跃数
  5. port-security mac-address sticky
  6. ——启用粘连特性
  7. port-security aging-time (分钟数) type { absolute | inactivity }  
  8. ——配置老化时间,type后选择绝对时间或相对时间
  9. port-security protect-action { protect | restrict | shutdown }
  10. ——违规处理方法
  11. error-down auto-recovery cause auto-defend interval interval-value
  12. ——违规接关闭后自动开启时间

DHCP监听(DHCP Snooping)

保证客户端能够从正确的DHCP服务器获得IP地址
避免DHCP服务器欺骗和DHCP地址耗尽
限制客户端发送DHCP请求的速度,从而减缓DHCP资源耗尽攻击

DHCP监听将交换机端口分为两种

非信任端口

连接终端设备的端口,只能发送DHCP请求报文,丢弃来自该端口的其他所有DHCP报文(DHCP offer等),默认所有端口为非信任端口

信任端口

连接合法的DHCP服务器或者汇聚接口,能够转发和接收所有DHCP报文

配置命令

  1. dhcp enable
  2. ——启用dhcp监听
  3. dhcp snooping enable ipv4
  4. ——监听ipv4地址
  5. dhcp snooping check dhcp-rate enable
  6. ——启用限制报文速率
  7. dhcp snooping check dhcp-rate (数值)
  8. ——配置限制的速率,每秒多少
  9. dhcp snooping trusted
  10. ——接口视图下,设置信任接口,连接dhcp服务器/交换机接口
  11. dhcp snooping enable
  12. ——接口视图下,启用监听
  13. dhcp snooping max-user-number (数值)
  14. ——接口视图下,监听最大用户数量
  15. dhcp snooping check dhcp-chaddr enable
  16. ——接口视图下,启用mac地址核实