深入分析配置 杜绝交换机免受恶意攻击

　　3、深入配置，确保交换机免受恶意攻击

　　(1).防动态中继协议DTP攻击

　　交换机通过交换DTP协议，动态协商中继链路的用法和封装模式。然而，如果交换机中继端口模式为Auto，它将等待处于模式Auto或On的另一台交换机的请求建立连接。这时，如果恶意用户利用DTP尝试同交换机端口协商建立中继链路，攻击者将可以捕获任何通过该VLAN的数据流。

　　防范方法是：将任何连接到用户的端口配置为Access模式，从而使它不能以Auto模式使用DTP。需要使用的命令为：

　　Switch(config-if)#switchport mode access

　　(2).防范VLAN跨越式攻击

　　在这种攻击方法中，攻击者位于普通VLAN，发送被双重标记的帧，就像使用的是802.1q中继链路。当然，攻击者连接的并非中继线路，他通过伪造中继封装，欺骗交换机将帧转发到另一个VLAN中，实现VLAN跨越式攻击，从而在数据链路层就可非法访问另一VLAN。

　　防范方法是：首先，修改本征VLAN ID并在中继链路两端将本征VLAN修剪掉命令为：

　　Switch(config-if)#switchport trunk native vlan 200

　　Switch(config-if)#switchport trunk allowed vlan remove 200

　　然后，强制所有的中继链路给本征VLAN加标记，命令为：

　　Switch(config)#vlan dotlq tagnative

　　(3).防范DHCP欺骗攻击

　　DHCP欺骗的原理可以简述为，攻击者在某计算机上运行伪造的DHCP服务器，当客户广播DHCP请求时，伪造服务器将发送自己的DHCP应答，将其IP地址作为默认网关客户收到该应答后，前往子网外的数据分组首先经过伪网关。如果攻击者够聪明，他将转发

　　该数据分组到正确的地址，但同时他也捕获到了这些分组。尽管客户信息泄露了，但他却对此毫无所知。

　　防范方法是：在交换机上启用DHCP探测。首先，在交换机的全局模式下启用DHCP探测，其命令为：

　　Switch(config)#ip dhcp snooping

　　接下来，指定要探测的VLAN，命令为：

　　Switch(config)#ip dhcp snooping vlan 2

　　然后，将DHCP服务器所在端口设置为信任端口，命令为：

　　Switch(config-if)#ip dhcp snooping trust

　　最后，限制其他不可信端口的DHCP分组速率，命令为：

　　Switch(config-if)#ip dhcp snooping limit rate rate

　　(4).防范ARP欺骗攻击

　　ARP地址欺骗类病毒是一类特殊的病毒，该病毒一般属于木马病毒，不具备主动传

　　播的特性，不会自我复制。但是由于其发作的时候会向全网发送伪造的ARP数据包，干扰全网的运行，因此它的危害比一些蠕虫还要严重得多。其实， 我们只需要在交换机上绑定MAc地址，就能让ARP病毒无用武之地。

　　首先，在交换机上启用端口安全，命令为：

　　Switch(config-if)#switchport port-security

　　然后，指定允许的MAC地址，以便允许合法的MAC地址访问，命令为：

　　Switch(config-if)#switchport port-security mac-address 000A.E698.84B7

　　当然，上述操作是静态指定地址，比较麻烦。我们也可以动画获悉MAC，然后在端口上限制最大允许学习的MAC数目，命令为：

　　Switch(config-if)#switchport port-security 24

　　然后定义如果MAC地址违规则采取怎样的措施，命令为：

　　Switch(config-if)#switchport port-security vislation shutdown

　　其中shutdown是关闭，restrrict是丢弃并记录、警报，protect是丢弃但不记录。

　　以上就是有关杜绝交换机的攻击的技术细节。相信确保交换机这三个方面的安全设置，并配合相应的规章、制度，就一定能够保证交换机的安全。