交換安全：MAC、dhcp、DAI、IP源防護

一、MAC洪泛

原理：由于交換機具備自動學習能力，將數據幀中的源MAC與進入的端口形成映射形成MAC地址表，存放在內存中；若***者發送大量偽造的源MAC數據幀給交換機，那么交換機會產生大量的錯誤對應一個MAC；

              將這個端口對應的MAC靜態綁定；

1、//進入交換機接口接口MAC條目，最終導致內存溢出。

2、防御方法：限制一個端口下能進入主機的數量——學習MAC地址的數量；

             在接入層開啟特性，默認一個交換機

Switch(config)#int 接口

//將這個端口對應的MAC靜態綁定

Switch(config-if)#switchport mode access 

Switch(config-if)#switchport port-security 

Switch(config-if)#switchport port-security mac-address ?

  H.H.H   48 bit mac address

//動態學習數據幀的MAC地址，然后自動安全綁定為靜態

Switch(config-if)#switchport port-security mac-address sticky 

//限定最大對應MAC地址數量

Switch(config-if)#switchport port-security maximum 2

//若違反了定義的規則，那么默認實施的規則是自動關閉這個接口

Switch(config-if)#switchport port-security violation ?

  protect   Security violation protect mode  

  restrict  Security violation restrict mode  

  shutdown  Security violation shutdown mode

Protect：當違反規則，那么將丟棄違反規則的數據，并 且保持端口是開啟的 

restrict：若違反規則，將會發送一個trap陷阱消息到SNMP服務器，同時丟棄違反規則的數據，保持端口開啟

查看驗證：

Switch#show port-security address 

Secure Mac Address Table

-------------------------------------------------------------------------------

VlanMac AddressTypePortsRemaining Age

(mins)

-------------------------------------

------------------------------------------------------------------------------

Total Addresses in System (excluding one mac per port)     : 0

Max Addresses limit in System (excluding one mac per port) : 1024

Switch#show port-security interface f0/1

Port Security              : Enabled

Port Status                : Secure-down

Violation Mode             : Shutdown

Aging Time                 : 0 mins

Aging Type                 : Absolute

SecureStatic Address Aging : Disabled

Maximum MAC Addresses      : 2

Total MAC Addresses        : 0

Configured MAC Addresses   : 0

Sticky MAC Addresses       : 0

Last Source Address:Vlan   : 0000.0000.0000:0

Security Violation Count   : 0

二、基于VLAN的跳躍***

1、VLAN跳躍***

***原理：默認情況下交換機的端口模式是出于動態協商模式的，要么是auto，或者是desirable 模式，這樣就有可能導致，主機和交換之間鏈路形成TRUNK；

當然了這個前提，交換機的那個端口要么是沒有被定義到access模式；要么是這端口就是默認沒有任何的配置；交換機將會把其他VLAN的洪泛流量發送到這個***主機；

解決的辦法：不使用的接口全都關閉；將接口模式改變為access；

2、雙重標記的802.1Q數據幀跳躍***

***原理：通過在發送數據時候，優先增加一個***目標 VLAN的標簽，同時***者原有所有的VLAN是交換與交換相連TRUNK上的指定native VLAN，那么在這個優先被加上標簽的數據轉發到第一個交換的時候，這個交換將不會對數據進行再次的打標簽，原因----這個數據就是native  VLAN的數據；而當到達其他的交換的時候，那些交換將會檢查tag，就查看到了內層標簽--***目標 VLAN的標簽；接著轉發這個數據進入***目標VLAN之內；

解決辦法：第一將native VLAN設定為沒有用戶的VLAN；

          第二對native  VLAN也進行打標簽；

三、DHCP監聽、DAI動態ARP截取、IP源防護

1、以上的方法，是被用于企業網絡內部；

2、DHCP 的欺騙

***原理：因為DHCP在獲取地址的時候，總共分為了4個過程

client發送DHCP 發現消息------廣播發送；找dhcp server

DHCP server 發送offer響應------廣播發送；告知了dhcpserver是誰，并且描述能分配的地址有哪些

Client------發送request-------廣播發送；請求得到那個地址；

server發送 ACK---廣播發送；

如果一個***者充當DHCP server，而響應的速度比正常的server 快，那么client將會選擇***者分配的IP地址和網關等信息；

防御原理：通過設定上行連接dhcpserver的接口為信任接口，從信任接口進入的dhcp消息都是可以的；剩余的接口都是不信任接口，不能進入dhcp的offer消息；從而避免下方的接入層主機發送offer；通過監聽從那些接口進入了dhcp  offer；

部署：

開啟dhcp的監聽

設定監聽的VLAN

設定dhcp snooping 信任接口

驗證辦法，在開啟dhcp snooping的交換上驗證

也可以在DHCp server上查看DHCP下發地址綁定信息

3、DAI：動態ARP截取

ARP欺騙的原理：實際上是用***者的MAC地址來替代網關的（目標）MAC地址；arp條目是動態；后來的ARP信息會覆蓋原有；

DAI防御原理：在做DAI的時候，必須優先開啟dhcp snooping，通過dhcp的snooping將會在交換上留下一個綁定的信息表----IP和MAC的信息表；

設定上行接口為DAI的信任接口，而其他的接口為不信任接口，那么從不信任接口進入的ARP信息，將會被DAI進行審查，若發現IP和MAC是不匹配的，那么這個數據就被丟棄；

部署

第一步--開啟dhcp snooping；

第二步，開啟arp的DAI功能

第三步，設定DAI的信任端口-----uplink的上行接口；

4、IP源防護特性

ip欺騙：***原理，通過偽造源IP地址，而源MAC地址是正確的或者也是偽造，那么將這種數據發送給其他的主機，而本身這個源IP地址是存在的；就會為DDOS或者DOS***能夠形成機會；

防御原理：在交換上通過已經存在dhcp  snooping綁定信息，檢查，從這個端口進入的數據的源IP地址和MAC地址是否是匹配的，以及這個數據是否應該從這個端口進入；若不一致，那么就丟棄這個數據；源防護在不信任的端口開啟；