生成树欺骗攻击与防御策略
2023/9/28 18:38:55
本文主要是介绍生成树欺骗攻击与防御策略,对大家解决编程问题具有一定的参考价值,需要的程序猿们随着小编来一起学习吧!
生成树欺骗攻击与防御策略
工作目的
掌握交换机生成树选举的过程、欺骗原理、攻击过程和防范策略
任务分析
生成树的端口有五种状态。交换机的边缘端口不接收BPDU,选举时直接从堵塞状态转变为转发状态,不参与生成树的选举过程,默认情况下,交换机的所有端口均为非边缘端口,为避免生成生成树欺骗攻击,可以将交换机用于主机接入的端口设为边缘端口
- Disable
- Blocking
- Listening
- Learning
- Forwarding
将交换机配置成边缘端口命令
stp edged-port enable
环境拓扑
pc和服务器是由云连接到虚拟机进行操作,在这里进行联通性实验及其原理讲解,直接使用最简单的方式
工作过程
一、基本配置
1.交换机vlan和端口配置
SW1
<Huawei>sys [Huawei]un in en [Huawei]sys SW1 [SW1]vlan batch 10 20 [SW1]stp enable [SW1]stp mode rstp [SW1]port-group 1 [SW1-port-group-1]group-member Ethernet 0/0/1 to Ethernet 0/0/10 [SW1-port-group-1]port link-type access [SW1-port-group-1]port default vlan 10 [SW1-port-group-1]q [SW1]port-group 2 [SW1-port-group-2]group-member Ethernet 0/0/11 to Ethernet 0/0/22 [SW1-port-group-2]port link-type access [SW1-port-group-2]port default vlan 20 [SW1-port-group-2]q [SW1]port-group 3 [SW1-port-group-3]group-member GigabitEthernet 0/0/1 GigabitEthernet 0/0/2 [SW1-port-group-3]port link-type trunk [SW1-port-group-3]port trunk allow-pass vlan 10 20 [SW1-port-group-3]q [SW1]
SW2
<Huawei>sys [Huawei]sys SW2 [SW2]un in en [SW2]vlan batch 10 20 [SW2]stp enable [SW2]stp mode rstp [SW2]port-group 1 [SW2-port-group-1]group-member Ethernet 0/0/1 to Ethernet 0/0/10 [SW2-port-group-1]port link-type access [SW2-port-group-1]port default v [SW2-port-group-1]port default vlan 10 [SW2-port-group-1]q [SW2]port-group 2 [SW2-port-group-2]group-member Ethernet 0/0/11 to Ethernet 0/0/22 [SW2-port-group-2]port link-type access [SW2-port-group-2]port default vlan 20 [SW2-port-group-2]q [SW2]port-group 3 [SW2-port-group-3]group-member GigabitEthernet 0/0/1 GigabitEthernet 0/0/2 [SW2-port-group-3]port link-type trunk [SW2-port-group-3]port trunk allow-pass vlan 10 20 [SW2-port-group-3]q [SW2]
SW3
<Huawei>sys [Huawei]sys SW3 [SW3]un in en [SW3]stp enable [SW3]stp mode rstp [SW3]stp root primary [SW3]vlan batch 10 20 30 40 [SW3]int GigabitEthernet 0/0/1 [SW3-GigabitEthernet0/0/1]port link-type trunk [SW3-GigabitEthernet0/0/1]port trunk allow-pass vlan 10 20 [SW3-GigabitEthernet0/0/1]q [SW3]int GigabitEthernet 0/0/2 [SW3-GigabitEthernet0/0/2]port link-type trunk [SW3-GigabitEthernet0/0/2]port trunk allow-pass vlan 10 20 [SW3-GigabitEthernet0/0/2]q [SW3]int GigabitEthernet 0/0/3 [SW3-GigabitEthernet0/0/3]port link-type access [SW3-GigabitEthernet0/0/3]port default vlan 30 [SW3-GigabitEthernet0/0/3]q [SW3]int GigabitEthernet 0/0/4 [SW3-GigabitEthernet0/0/4]port link-type trunk [SW3-GigabitEthernet0/0/4]port trunk allow-pass vlan all [SW3-GigabitEthernet0/0/4]q [SW3]int Vlanif 10 [SW3-Vlanif10]ip add 192.168.1.1 24 [SW3-Vlanif10]q [SW3]int Vlanif 20 [SW3-Vlanif20]ip add 192.168.2.1 24 [SW3-Vlanif20]q [SW3]int Vlanif 30 [SW3-Vlanif30]ip add 192.168.3.1 24 [SW3-Vlanif30]q [SW3]int Vlanif 40 [SW3-Vlanif40]ip add 192.168.4.1 24 [SW3-Vlanif40]q [SW3]int GigabitEthernet 0/0/4 [SW3-GigabitEthernet0/0/4]port trunk pvid vlan 40 [SW3-GigabitEthernet0/0/4]q [SW3]
在这里G0/0/4任然属于vlan1,所以需要打上标签vlan40,不然后面会不能联通外网,第一遍做的时候卡了很久在这里
2.接口IP与路由协议配置
SW3
[SW3]ospf 1 [SW3-ospf-1]a 0 [SW3-ospf-1-area-0.0.0.0]network 192.168.1.0 0.0.0.255 [SW3-ospf-1-area-0.0.0.0]network 192.168.2.0 0.0.0.255 [SW3-ospf-1-area-0.0.0.0]network 192.168.3.0 0.0.0.255 [SW3-ospf-1-area-0.0.0.0]network 192.168.4.0 0.0.0.255 [SW3-ospf-1-area-0.0.0.0]q [SW3-ospf-1]q [SW3]ip route-static 0.0.0.0 0.0.0.0 192.168.4.2 [SW3]
AR1
<Huawei>sys [Huawei]sys AR1 [AR1]int GigabitEthernet 0/0/0 [AR1-GigabitEthernet0/0/0]ip add 192.168.4.2 24 [AR1-GigabitEthernet0/0/0]q [AR1]int Serial 2/0/0 [AR1-Serial2/0/0]ip add 202.116.64.1 24 [AR1-Serial2/0/0]q [AR1]ospf 1 [AR1-ospf-1]a 0 [AR1-ospf-1-area-0.0.0.0]network 192.168.4.0 0.0.0.255 [AR1-ospf-1-area-0.0.0.0]q [AR1-ospf-1]q [AR1]ip route-static 0.0.0.0 0.0.0.0 202.116.64.2 [AR1]
AR2
<Huawei>sys [Huawei]sys AR2 [AR2]int GigabitEthernet 0/0/0 [AR2-GigabitEthernet0/0/0]ip add 116.64.100.1 24 [AR2-GigabitEthernet0/0/0]q [AR2]int Serial 2/0/0 [AR2-Serial2/0/0]ip add 202.116.64.2 24 [AR2-Serial2/0/0]q [AR2]
3.路由器AR1的Easy-IP的配置
[AR1]acl 2000 [AR1-acl-basic-2000]rule permit source 192.168.0.0 0.0.255.255 [AR1-acl-basic-2000]q [AR1]int Serial 2/0/0 [AR1-Serial2/0/0]nat outbound 2000 [AR1-Serial2/0/0]q [AR1]
二、基本配置验证
查看SW3生成树与端口的详细信息
查看生成树端口简要信息
联通性测试
与外部网络进行连通性测试
三、入侵实战
黑客交换机连接到SW1和SW2的新拓扑图
在这里测试的时候黑客交换机的mac地址一定要比SW3主根的mac地址小,不然同时设置优先级的情况下,由于SW3的mac地址更小,黑客交换机成为不了主根,后续的实验无法完成,可以多实验几次
在这里有一个小小的知识点
选举根桥(网桥id=优先级+mac地址)
查看优先级,优先级相同情况下查看mac地址,mac地址小的优先级越大
黑客交换机生成树配置
<Huawei>sys [Huawei]un in en [Huawei]sys Hacker [Hacker]stp enable [Hacker]stp mode rstp [Hacker]stp priority 0 [Hacker]
生成树重新选举验证
验证SW3交换机为非根交换机
验证SW3阻塞端口与备份链路
黑客交换机对角线为备份链路,在SW3中并未设置接口优先级,所以比较的方式为端口号。所以g0/0/2为阻塞状态
验证SW2阻塞端口与备份链路
验证后得到的拓扑图
测试的是pc,但如果使用的是云连接到虚拟机,在虚拟机上的操作,都可以由黑客交换机数据包抓取得到,黑客交换机在实战中可以寻找关键字username、password等数据包查看
四、防御策略
将交换机SW1、SW2用于主机接入的端口设为边缘端口
[SW1]port-group 1 [SW1-port-group-1]stp edged-port enable [SW1-port-group-1]q [SW1]port-group 2 [SW1-port-group-2]stp edged-port enable [SW1-port-group-2]q [SW1]stp bpdu-protection [SW1] [SW2]port-group 1 [SW2-port-group-1]stp edged-port enable [SW2-port-group-1]q [SW2]port-group 2 [SW2-port-group-2]stp edged-port enable [SW2-port-group-2]q [SW2]stp bpdu-protection [SW2]
一定要启用bpdu保护
验证
交换机SW1和SW2的E0/0/22端口变红处于down状态,SW3重新选举成根交换机
总结
- 启动设备BPDU保护功能,边缘端口被关闭后,即使在交换机关闭生成树,端口也不会自动开启,可以在相应接口手动输入undo shutdown开启接口
- 启动设备的BPDU保护,边缘端口不能接交换机。否则该端口立即关闭,因为交换机生成树默认开启,如边缘端口需要连接交换机,可先关闭交换机生成树,再与边缘端口进行连接
这篇关于生成树欺骗攻击与防御策略的文章就介绍到这儿,希望我们推荐的文章对大家有所帮助,也希望大家多多支持为之网!
- 2024-09-17基于Java+Springboot+Vue开发的体育场馆预约管理系统
- 2024-09-17基于Java+Springboot+Vue开发的旅游景区管理系统
- 2024-09-17Java 性能调优:优化 GC 线程设置
- 2024-09-16基于Java+Springboot+Vue开发的体育用品商城管理系统
- 2024-09-16基于Java+Springboot+Vue开发的口腔牙科诊所预约管理系统
- 2024-09-16如何基于Java解析国密数字证书
- 2024-09-15Spring Boot项目开发教程:快速入门与实战指南
- 2024-09-15单点登录实战:入门级指南与实操详解
- 2024-09-15登录校验实战:从零构建安全登录系统
- 2024-09-15Java知识库系统学习:从零开始的编程之旅