今天,我们将研究两个重要的主题:DHCP侦听和“非默认”本机VLAN。 在继续本课程之前,我邀请您访问我们的其他YouTube频道,您可以在此处观看有关如何改善记忆力的视频。 我建议您订阅此频道,因为我们在那里发布了许多自我完善的提示。
本课专门研究ICND2的1.7b和1.7c小节。 在开始DHCP侦听之前,让我们回顾一下以前的课程中的一些要点。 如果我没记错的话,我们在“第6天”和“第24天”课程中学习了DHCP。 它讨论了有关DHCP服务器分配IP地址和交换相关消息的重要问题。
通常,当最终用户进入网络时,它将向广播网络发送所有网络设备都“听到”的广播请求。 如果它直接连接到DHCP服务器,则请求直接发送到服务器。 如果网络具有传输设备(路由器和交换机),则对服务器的请求将通过它们。 在收到请求后,DHCP服务器会响应用户,他向他发送一个IP地址请求,此后服务器会向用户的设备发出该地址。 在正常情况下,这就是获取IP地址的过程。 根据图中的示例,最终用户将收到地址192.168.10.10和网关地址192.168.10.1。 之后,用户将能够通过此网关访问Internet或与其他网络设备进行通信。
假设除了真实的DHCP服务器之外,网络上还有一个欺诈的DHCP服务器,也就是说,攻击者只是在其计算机上安装了DHCP服务器。 在这种情况下,进入网络的用户以相同的方式发送广播消息,路由器和交换机将把该消息转发到真实服务器。
但是,欺诈性服务器也会“侦听”网络,并且在收到广播消息后,将向用户(而不是真正的DHCP服务器)提供其答复。 收到用户的同意后,用户将表示同意,从而将收到攻击者的IP地址192.168.10.2和网关地址192.168.10.95。
获取IP地址的过程缩写为DORA,包括四个阶段:发现,提供,请求和确认。 如您所见,攻击者将为设备提供一个合法IP地址,该地址位于网络地址的可用范围内,但它会“滑移”假地址192.168.10.95(即其自己计算机的地址),而不是真实网关地址192.168.10.1。
此后,所有定向到Internet的最终用户流量都将通过攻击者的计算机。 攻击者将进一步重定向他,并且用户仍然可以使用Internet进行通信,因此他对这种通信方法不会有任何不同。
同样,来自Internet的反向流量将通过攻击者的计算机到达用户。 这就是通常所说的中间人(MiM)攻击-“中间人”。 所有用户流量都将通过黑客的计算机,该计算机将能够读取他发送或接收的所有内容。 这是可以在DHCP网络上发生的一种攻击。
第二类攻击称为拒绝服务(DoS),即拒绝服务。 这会发生什么? 黑客的计算机不再充当DHCP服务器,而只是攻击设备。 它将发现请求发送到真实的DHCP服务器,并接收一个Offer消息作为响应,然后发送请求服务器并从中接收IP地址。 攻击者的计算机每隔几毫秒执行一次此操作,每次接收到一个新的IP地址。
根据设置,真实的DHCP服务器具有数百个或几百个空闲IP地址的池。 黑客计算机将接收IP地址.1,.2,.3等,直到地址池完全耗尽。 此后,DHCP服务器将无法为新的网络客户端提供IP地址。 如果新用户进入网络,那么他将无法获得免费的IP地址。 这就是DHCP服务器上DoS攻击的含义:剥夺了向新用户发布IP地址的能力。
DHCP侦听概念用于应对此类攻击。 这是第二级OSI函数,其作用类似于ACL,并且仅在交换机上起作用。 要了解DHCP侦听,您需要考虑两个概念:其他网络设备的可信交换机端口和不可信不可信端口。
可信端口允许通过任何类型的DHCP消息。 不受信任的端口是客户端连接到的端口,并且DHCP侦听可确保丢弃来自这些端口的所有DHCP消息。
如果我们回顾DORA流程,则消息D从客户端到服务器,消息O-从服务器到客户端。 接下来,消息R从客户端发送到服务器,服务器将消息A发送到客户端。
收到来自不安全端口的消息D和R,并且丢弃类型O和A的消息。 启用DHCP侦听后,默认情况下所有交换机端口均被视为不安全。 此功能既可以用于整个交换机,也可以用于单个VLAN。 例如,如果将VLAN10连接到端口,则只能对VLAN10启用此功能,然后其端口将变得不可靠。
启用DHCP侦听后,作为系统管理员,您将必须进入交换机设置并配置端口,以便仅将连接到类似于服务器的设备的端口视为不可靠的。 这指的是任何类型的服务器,而不仅仅是DHCP。
例如,如果另一个交换机,路由器或真实的DHCP服务器连接到该端口,则此端口被配置为受信任。 最终用户设备或无线访问点所连接的其余交换机端口必须配置为不安全。 因此,用户连接到的任何设备(例如接入点)都通过不可信端口连接到交换机。
如果攻击者的计算机发送类型为O和A的交换消息,则它们将被阻止,即,此类流量将无法通过不受信任的端口。 这就是DHCP侦听防止上述类型攻击的方式。
此外,DHCP侦听还会创建DHCP绑定表。 客户端从服务器收到IP地址后,该地址以及接收到该地址的设备的MAC地址将被输入到DHCP侦听表中。 客户端连接到的不安全端口将被绑定到这两个特征。
例如,这有助于防止DoS攻击。 如果具有此MAC地址的客户端已经收到IP地址,那么为什么他需要一个新的IP地址? 在这种情况下,将在检查表中的条目后立即阻止进行此类活动的任何尝试。
我们需要讨论的下一件事是“非默认”或“非默认”本机VLAN。 我们反复谈到了VLAN的主题,为这些网络提供了4个视频教程。 如果您忘记了它,我建议您复习这些课程。
我们知道,在Cisco交换机中,默认本机VLAN为VLAN1。 有称为VLAN跳频的攻击。 假设图中的计算机默认情况下已连接到第一台本地VLAN1,最后一台交换机已通过VLAN10连接到计算机。 在交换机之间,中继是组织的。
通常,当第一台计算机的流量流向交换机时,它知道此计算机所连接的端口是VLAN1的一部分。 然后,此流量进入两台交换机之间的中继,而第一台交换机以这种方式思考:“此流量来自本机VLAN,因此我不需要对其进行标记”,然后将未加标签的流量沿中继转发到第二台交换机。
收到未标记流量的交换机2这样认为:“由于该流量没有标签,这意味着它属于VLAN1,因此我无法通过VLAN10发送它”。 结果,第一台计算机发送的流量无法到达第二台计算机。
实际上,这正是应该发生的情况-VLAN1流量不应进入VLAN10。 现在,让我们想象一下,攻击者位于第一台计算机的后面,该计算机创建带有VLAN10标签的帧并将其发送到交换机。 如果您还记得VLAN的工作原理,那么您就会知道,如果标记的流量到达了交换机,它将对帧不起作用,而只是将其沿中继线进一步传递。 结果,第二台交换机将接收到具有攻击者创建的标签的流量,而不是第一台交换机。
这意味着您要用VLAN1以外的其他内容替换本机VLAN。
由于第二台交换机不知道是谁创建了VLAN10标记,因此它只是将流量发送到第二台计算机。 当攻击者侵入最初无法访问的网络时,就会发生VLAN跳跃攻击。
为了防止此类攻击,您需要创建随机VLAN或随机VLAN,例如VLAN999,VLAN666,VLAN777等,攻击者完全不能使用它们。 同时,我们切换到交换机的中继端口,并配置它们以与本机VLAN666配合使用。 在这种情况下,我们将中继端口的本机VLAN从VLAN1更改为VLAN666,也就是说,我们使用除VLAN1以外的任何网络作为本机VLAN。
中继两端的端口需要配置在相同的VLAN上,否则我们将收到VLAN号不匹配错误。
完成此配置后,如果黑客决定进行VLAN跳跃攻击,则他将不会成功,因为未将本地VLAN1分配给交换机的任何中继端口。 这是通过创建非默认本机VLAN来防御攻击的方法。
感谢您与我们在一起。 你喜欢我们的文章吗? 想看更多有趣的资料吗? 通过下订单或将其推荐给您的朋友来支持我们,为我们为您开发
的入门级服务器的独特模拟,为Habr用户提供
30%的折扣: 关于VPS(KVM)E5-2650 v4(6核)的全部真相10GB DDR4 240GB SSD 1Gbps从$ 20还是如何划分服务器? (RAID1和RAID10提供选件,最多24个内核和最大40GB DDR4)。
戴尔R730xd便宜2倍? 只有我们有
2台Intel TetraDeca-Core Xeon 2x E5-2697v3 2.6GHz 14C 64GB DDR4 4x960GB SSD 1Gbps 100电视在荷兰起价199美元 ! 戴尔R420-2x E5-2430 2.2Ghz 6C 128GB DDR3 2x960GB SSD 1Gbps 100TB-$ 99起! 阅读有关
如何构建基础架构大厦的信息。 使用价格为9000欧元的Dell R730xd E5-2650 v4服务器的上等课程?