考试网 >> IT认证 >> 思科 >> Cisco指导 >> 思科交换机如何防范典型欺骗和攻击(图)

发布时间：2006-06-28 06:10     点击：

2.3高级防范

　　通过交换机的端口安全性设置每个 DHCP 请求指定端口上使用唯一的 MAC 地址，通常 DHCP 服务器通过 DHCP 请求的报文中的 CHADDR 段判断客户端 MAC 地址，通常这个地址和客户端的真是 IP 相同，但是如果攻击者不修改客户端的 MAC 而修改 DHCP 报文中 CHADDR ，实施 Dos 攻击， Port Security 就不起作用了， DHCP 嗅探技术可以检查 DHCP 请求报文中的 CHADDR 字段，判断该字段是否和 DHCP 嗅探表相匹配。这项功能在有些交换机是缺省配置的，有些交换机需要配置，具体需要参考相关交换机的配置文档。

　　3 ARP欺骗/ MITM(Man-In-The-Middle)攻击原理和防范

　　3.1 MITM(Man-In-The-Middle) 攻击原理

　　按照 ARP 协议的设计，为了减少网络上过多的 ARP 数据通信，一个主机，即使收到的 ARP 应答并非自己请求得到的，它也会将其插入到自己的 ARP 缓存表中，这样，就造成了“ ARP 欺骗”的可能。如果黑客想探听同一网络中两台主机之间的通信（即使是通过交换机相连），他会分别给这两台主机发送一个 ARP 应答包，让两台主机都“误”认为对方的 MAC 地址是第三方的黑客所在的主机，这样，双方看似“直接”的通信连接，实际上都是通过黑客所在的主机间接进行的。黑客一方面得到了想要的通信内容，另一方面，只需要更改数据包中的一些信息，成功地做好转发工作即可。在这种嗅探方式中，黑客所在主机是不需要设置网卡的混杂模式的，因为通信双方的数据包在物理上都是发送给黑客所在的中转主机的。

　　这里举个例子，假定同一个局域网内，有 3 台主机通过交换机相连：

　　A 主机： IP 地址为 192.168.0.1 ， MAC 地址为 01:01:01:01:01:01 ；

　　B 主机： IP 地址为 192.168.0.2 ， MAC 地址为 02:02:02:02:02:02 ；

　　C 主机： IP 地址为 192.168.0.3 ， MAC 地址为 03:03:03:03:03:03 。

　　B 主机对 A 和 C 进行欺骗的前奏就是发送假的 ARP 应答包，如图 所示

　　在收到 B主机发来的ARP应答后，A主机应知道：

发表评论： 匿名发表 用户名: 查看评论

您将承担一切因您的行为、言论而直接或间接导致的民事或刑事法律责任 留言板管理人员有权保留或删除其管辖留言中的任意内容 本站提醒：不要进行人身攻击。谢谢配合。