一、端口隔离
- 技术背景
- 为了实现报文之间的二层隔离,用户通常将不同的端口加入不同的VLAN,实现二层广播域的隔离。在大型网络中,业务需求种类繁多,只通过VLAN实现报文二层隔离,会浪费有限的VLAN资源
- 由于某种业务需求,PC1与PC2虽然属于同一个VLAN ,但是要求它们在二层不能互通(但允许三层互通),PC1与PC3在任何情况下都不能互通,但是VLAN 3里的主机可以访问VLAN 2里的主机。 那么该如何解决这个问题呢?
- 端口隔离的概述
- 采用端口隔离功能,可以实现同一VLAN内端口之间的隔离。用户只需要将端口加入到隔离组中,就可以实现隔离组内端口之间二层数据的隔离。端口隔离功能为用户提供了更安全、更灵活的组网方案。
- 同一个端口隔离组是隔离的,但是不同的端口隔离组是可以互通的,或者说是没有加入到这个端口隔离组也是可以互通的
- 3.端口隔离的类型
- L2:无法通过二层通信,但是可以通过路由进行三层通信,隔离了广播报文,从一定的程度隔离了一些BUM数据帧
- ALL:二层跟三层都无法通信,也就是无法通过路由进程三层通信
二、MAC地址表安全
1.MAC地址表项类型
- 动态 MAC 地址表项:由接口通过报文中的源MAC地址学习获得,表项可老化。在系统复位、接口板热插拔或接口板复位后,动态表项会丢失,默认的老化时间是300s
- 静态 MAC 地址表项:由用户手工配置并下发到各接口板,表项不老化。在系统复位、接口板热插拔或接口板复位后,保存的表项不会丢失。永久存储在交换机上,接口和MAC地址静态绑定后,其他接口收到源MAC是该MAC地址的报文将会被丢弃,当发生这种行为的之后交换机会认为是mac地址欺骗,所以会把这个mac地址表丢弃掉
- 黑洞 MAC 地址表项:由用户手工配置,并下发到各接口板,表项不可老化。配置黑洞MAC地址后,源MAC地址或目的MAC地址是该MAC的报文将会被丢弃
三、端口安全
1.安全mac地址类型
- 安全动态mac地址:设备重启后表项会丢失,热插拔之后也会消失,需要重新学习。缺省情况下不会被老化,只有在配置安全MAC的老化时间后才可以被老化,如果某个端口开启了mac安全功能,端口下默认只能学习到一个mac地址
- 安全静态mac地址:不会被老化,手动保存配置后重启设备不会丢失,手工静态绑定mac地址
- Sticky MAC地址:不会被老化,手动保存配置后重启设备不会丢失,端口下默认只能学习到一个mac地址
2.保护动作
- Restrict:丢弃源MAC地址不存在的报文并上报告警。
- Protect:只丢弃源MAC地址不存在的报文,不上报告警
- Shutdown:接口状态被置为error-down,并上报告警
四、mac地址漂移防止与检测
1.背景
- MAC地址漂移是指交换机上一个VLAN内有两个端口学习到同一个MAC地址,后学习到的MAC地址表项覆盖原MAC地址表项的现象,一般一个mac地址只能允许一个端口学习
- 当一个MAC地址在两个端口之间频繁发生迁移时,即会产生MAC地址漂移现象
- 正常情况下,网络中不会在短时间内出现大量MAC地址漂移的情况。出现这种现象一般都意味着网络中存在环路,或者存在网络攻击行为
2.预防mac地址漂移
- 1.当MAC地址在交换机的两个接口之间发生漂移时,可以将其中一个接口的MAC地址学习优先级提高。高优先级的接口学习到的MAC地址表项将覆盖低优先级接口学习到的MAC地址表项
- 2.当伪造网络设备所连接口的MAC地址优先级与安全的网络设备相同时,后学习到的伪造网络设备MAC地址表项不会覆盖之前正确的表项
五、交换机
流量控制
1.正常情况下,当设备某个二层以太接口收到广播、未知组播或未知单播报文时,会向同一VLAN内的其他二层以太接口转发这些报文,从而导致流量泛洪,降低设备转发性能
解决方案
- 流量抑制可以通过配置阈值来限制广播、未知组播、未知单播、已知组播和已知单播报文的速率,防止广播、未知组播报文和未知单播报文产生流量泛洪,阻止已知组播报文和已知单播报文的大流量冲击
7.DHCP Snooping
1.dhcp攻击介绍
- 饿死攻击:攻击者持续大量地向DHCP Server申请IP地址,直到耗尽DHCP Server地址池中的IP地址,导致DHCP Server不能给正常的用户进行分配,这样子就会导致服务器无法正常的提供服务,攻击者使用模拟mac地址攻击软件,使用不同的mac地址发送discover报文请求服务器分配地址,这时候服务器也会以为是正常的IP地址请求,所以来达到欺骗的目的
2.解决方法,防饿死攻击
- 对于饿死攻击,可以通过DHCP Snooping的MAC地址限制功能来防止。该功能通过限制交换机接口上允许学习到的最多MAC地址数目,防止通过变换MAC地址,大量发送DHCP请
3.DHCP Snooping防改变CHADDR值的DoS攻击
为了避免受到攻击者改变CHADDR值的攻击,可以在设备上配置DHCP Snooping功能,检查DHCP Request报文中CHADDR字段。如果该字段跟数据帧头部的源MAC相匹配,转发报文;否则,丢弃报文。从而保证合法用户可以正常使用网络服务,所以就是检查数据链路层的mac地址是否一样,一样就接收不一样的话就不接受了
4.dhcp中间人攻击
- 攻击者利用ARP机制,让Client学习到DHCP Server IP与Attacker MAC的映射关系,又让Server学习到Client IP与Attacker Mac的映射关系。如此一来,Client与Server之间交互的IP报文都会经过攻击者中转,中间人利用了虚假的IP地址与MAC地址之间的映射关系来同时欺骗DHCP的客户端和服务器
解决办法:
- 可以使用dhcp snooping技术,在DHCP Client和DHCP Server之间建立一道防火墙,以抵御网络中针对DHCP的各种攻击
5.仿冒dhcp服务器攻击
- 根据客户端选择最优的服务器机制,先收到哪个服务器的offer报文那就用谁的,如果收到的是非法服务器的报文,那就会收到了一个错误的IP地址
- 解决方法就是:开启交换机的dhcp snooping功能,把连接到dhcp的接口配置为信任接口,其他接口配置为不信任的接口,这样子的话交换机就只会转发信任接口下发的dhcp报文了,对于不信任的接口则采取丢弃的措施,缺省情况下,在配置snooping之后,所有接口都属于非信任接口,需要自己去指定,
- 解决办法:也可以配置snooping解决这个问题,将合法服务器的接口配置为信任接口
网络安全学习路线
对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。
同时每个成长路线对应的板块都有配套的视频提供:
需要网络安全学习路线和视频教程的可以在评论区留言哦~
最后
- 如果你确实想自学的话,我可以把我自己整理收藏的这些教程分享给你,里面不仅有web安全,还有渗透测试等等内容,包含电子书、面试题、pdf文档、视频以及相关的课件笔记,我都已经学过了,都可以免费分享给大家!
给小伙伴们的意见是想清楚,自学网络安全没有捷径,相比而言系统的网络安全是最节省成本的方式,因为能够帮你节省大量的时间和精力成本。坚持住,既然已经走到这条路上,虽然前途看似困难重重,只要咬牙坚持,最终会收到你想要的效果。
黑客工具&SRC技术文档&PDF书籍&web安全等(可分享)
结语
网络安全产业就像一个江湖,各色人等聚集。相对于欧美国家基础扎实(懂加密、会防护、能挖洞、擅工程)的众多名门正派,我国的人才更多的属于旁门左道(很多白帽子可能会不服气),因此在未来的人才培养和建设上,需要调整结构,鼓励更多的人去做"正向"的、结合"业务"与"数据"、"自动化"的"体系、建设",才能解人才之渴,真正的为社会全面互联网化提供安全保障。
特别声明:
此教程为纯技术分享!本教程的目的决不是为那些怀有不良动机的人提供及技术支持!也不承担因为技术被滥用所产生的连带责任!本教程的目的在于最大限度地唤醒大家对网络安全的重视,并采取相应的安全措施,从而减少由网络安全而带来的经济损失
