Cisco交换机常见安全攻击
-
MAC地址泛洪
使用网络攻击工具可以执行MAC泛洪。网络入侵工具以大量无效的源MAC地址泛洪攻击交换机,直到MAC地址表充满。 -
DHCP欺骗攻击
要防止DHCP攻击,可使用Cisco catalyst交换机上的DHCP侦听和端口安全性功能。
下面步骤说明如何在Cisco IOS交换机上配置DHCP侦听。
步骤1 使用ip dhcp snooping
全局配置命令启用DHCP侦听。
步骤2 使用ip dhcp snooping vlan number [number]
命令对特定VLAN启用DHCP侦听。
步骤3 使用ip dhcp snooping trust
命令定义可信端口,从而在接口级别将端口定义为可信或不可信。
步骤4 (可选)使用ip dhcp snooping limit raterate
命令限制攻击者通过不可信端口向DHCP服务器连续发送伪造DHCP请示的速率。
配置端口安全性 端口安全命令语法
S1# configure terminal
S1(config)# interface fastEthernet 0/18
S1(config-if)# switchport mode access
S1(config-if)# switchport port-security
S1# end
配置粘滞地址的端口安全性命令语法
S1# configure terminal
S1(config)# interface fastEthernet 0/18
S1(config-if)# switchport mode access
S1(config-if)# switchport port-security
S1(config-if)# switchport port-security maxium 50
S1(config-if)# switchport port-security mac-address sticky
S1# end
验证端口安全性
S1# show port-security interface fastEthernet 0/18
验证安全MAC地址
S1# show port-security address
保护未使用的端口
关闭未使用的端口
interface fastEtherernet 0/4
shutdown
另一种关闭多个端口的更好方法是使用ineterface range
命令。如果需要激活某个端口,可以对该端口手动输入no shutdown
命令。