|
一、针对网桥、二层交换机MAC地址洪泛攻击的防御方式 端口安全 Switch#config terminal Switch(config)# interface fastethernet0/1 Switch(config-if)#switchport mode access Switch(config-if)#switchport port-security Switch(config-if)#Switchport port-security maximum 1 ;保证端口只能容纳一个MAC地址的学习空间 Switch(config-if)#switchport port-security mac-address 00c2.00f1.0009 Switch(config-if)#switchport port-security violation{protect | restrict | shutdown} ;选择一种处理方式 在端口上阻止单播洪泛 Switch(config-if)#switchport block unicast 二、基于网络结构的攻击与渗透 基于二层交换机的CAM溢出攻击 基于园区级冗余路径的生成树协议攻击 防御办法: 1、手工干预生成树,将性能最好的交换机为根桥,配置命令spanning-tree vlan 1 root primary ; 另指定一台为从根桥,配置命令spanning-tree vlan 1 root secondary ; 查看生成树状态 show spanning-tree vlan 1 detail 2、Root Guard 指定端口配置为为根桥 Switch(config-if)# spanning-tree guard root Root Guard 3、BPDU Guard 指定端口开启BPDU保护,将其他接收到的BPDU的端口立刻转为Error-Disable状态,关闭端口 Switch(config)#spanning-tree portfast bpduguard default Switch(config-if)#spanning-tree bpduguard enable 4、BPDU Filtering 与BPDU Guard类似,但仅忽略相应数据包,不关闭端口 Switch(config)#spanning-tree portfast bpdufilter default Switch(config-if)#spanning-tree bpdufilter enable 基于企业VLAN结构的攻击与VLAN干道攻击 防御办法: 1、防御双标记攻击 Switch(config)# vlan dot1q tag native Switch(config-if)# switchport trunk native vlan tag 基于热冗余路由HRSP结构的攻击 基于路由器邻居发现协议的攻击 基于DHCP服务器的耗尽攻击 三、防御TCP半开会话攻击的解决方案 r1(config)#ip tcp intercept mode intercept ;使用截取方式 r1(config)#ip tcp intercept mode watch ;使用监视方式 r1(config)#access-list 101 permit tcp any any eq 80 r1(config)#ip tcp intercept list 101 截取或监视感兴趣的流量(http流量) r1(config)#ip tcp intercept watch-timeout 5 ;等待三次握手的最长时间 r1(config)#ip tcp intercept finrst-timeout 10 ;收到复位信号后,等待多少时间后再拆除连接 r1(config)#ip tcp intercept connection-timeout 3600 ;连接的最长时间 r1(config)#ip tcp intercept max-incomplete low 200 ;半开会话数最低时,才开始接收新半开会话 r1(config)#ip tcp intercept max-incomplete high 800 ;最大半开会话数 r1(config)#ip tcp intercept one-minute low 100 ;开始接入新会话的每分钟最低门限值 r1(config)#ip tcp intercept one-minute high 400 ;每分钟最大允许半开会话 r1(config)#ip tcp intercept drop-mode {random | oldest} ;丢弃方式 r1(config)#ip tcp intercept statistics ;查看截取状态 r1(config)#ip tcp intercept connections ;查看目前连接情况 四、防御ICMP攻击 r1(config)#access-list 101 permit icmp any any r1(config)#inteface ethernet 1/0 r1(config-if)# rate-limit input access-group 101 32000 1500 2000 conform-action transmit exceed-action drop show interface e1/0 rate-limit ;查看接器上的限速器转发和丢弃状态 防御UDP洪水攻击可以采用此方式 五、防御“伪造DHCP”攻击 switch(config)#ip dhcp snooping switch(config)#ip dhcp snooping vlan 2 switch(config)#Interface fa0/1 switch(config-if)#ip dhcp snooping trust ;当前接口为信任端口 switch(config-if)#ip dhcp snooping limit rate 5 ;DHCP报文限速为5pps 六、防御“流氓路由”攻击 r1(config)#router ospf 1 r1(config)#area 0 authentication message-digest ;在区域0启动MD5加密 r1(config)#interface Ethernet0/1 r1(config-if)#ip address 192.168.2.1 255.255.255.0 r1(config-if)#ip ospf authentication message-digest r1(config-if)#ip ospf message-digest-key 1 md5 jinpei ;密码为jinpei 七、QOS技术 优先级6和7一般保留给网络控制数据使用,5推荐给语音数据,4由视频数据,3给语音控制信令,1和2用于常规业务数据,默认为0 DSCP为优先级进一步扩展,前两位的意义 01最不可能被丢弃 02比01容易丢弃 11最可能被丢弃 策略:将P2P下载流量执行丢弃策略,将HTTP的流量执行限速策略,将IP语音执行带宽保证策略 八、基于桌面系统的接入验证与控制802.1x 安装Radius认证服务器 配置交换机 Switch(config)#interface fastEthernet 0/1 Switch(config-if)#switchport mode access Switch(config)#interface fastEthernet 0/2 Switch(config-if)#switchport mode access Switch(config)#interface vlan 1 Switch(config-if)#ip address 172. 16.1.100 255.255.255.0 ;Radius服务器的IP Switch(config)#aaa new-model Switch(config)#aaa authentication dot1x default group radius local\ Switch(config)#radius-server host 172.16.1.101 key ccie Switch(config)#dot1x system-auth-control Switch(config)#interface fastEthernet 0/1 Switch(config-if)#dot1x port-control auto Switch(config)#interface fastEthernet 0/2 Switch(config-if)#dot1x port-control auto |
|
|
来自: wwwijhyt图书馆 > 《网络安全》
