21.1、网络设备安全概述
目录
- 网络设备安全概况——交换机、路由器安全威胁
网络设备安全概况——交换机、路由器安全威胁
第一个是MAC地址泛洪,MAC地址表记录着交换机拥有的MAC地址跟端口的对应关系
MAC地址表主要是三个字段,MAC地址对应的端口号,也就表示主机是连到哪个端口之下,以及这个端口属于的VLAN。
二层交换机基于MAC地址进行数据转发,三层交换机或者路由器基于IP地址进行转发,IP地址转发依赖于路由表。
二层转发依赖MAC地址表,MAC地址表容量是有限的,比如说它容量就16k,最多能够存16000条表,但是如果这时候有一台主机伪造大量的虚假MAC地址发往交换机,这台交换机下面连了一台攻击者,他一分钟发个100万条虚假的MAC地址表,MAC地址信息,然后交换机就要持续学习,就会把MAC地址表给充满,被充满了之后,其他正常的MAC地址就不能学习了,其他正常的数据也就不能被转发,所以mac地址洪泛攻击,其实是一种dos攻击,它耗尽我们交换机mac地址表象的资源
ARP表里边存的是MAC地址和IP对应关系,但后面还可能有个字段,就是我是动态学到的还是静态手工绑定的,动态就是通过ARP协议学到的,静态是手工做的ARP绑定。
数据封装会用到MAC地址,比如说这是一个应用层数据,在我们做网络传输之前,首先要先封装一个传输层。比如说我现在封装一个80端口,这是网页的流量,然后接着要封装IP层就IP地址相关的,接着就到了数据链路层,封装以太网,以太网封装里边是有目的Mac地址
通过查ARP表,找到目标MAC地址,就是发往某个IP,这个IP对应的MAC地址在ARP表里面是可以查到的,所以这就是ARP表,它的作用主要是用于二层封装的。在电脑上是可以看到的,在交换机上也有,只要支持IP的设备,都会有ARP表。
静态表示手工绑定,动态是通过ARP协议来学到的,这就是ARP表
通过arp -a命令来查看路由表,路由表主要是显示路由信息,比如说我要访问一个终点,我具体路应该怎么走,这上面会有一条一条的记录,在电脑上,也可以看,电脑上查看路由表的命令有两个,第一个是route print命令可以查看路由表,目标网络,掩码,去往目标网络,跃点数,表示去往目标网络的开销值
netstat -r,这条命令也是查看路由表效果,跟前面的route print是一样的。这是关于网络设备常见的三张表MAC地址表、ARP表和路由表,ARP表和路由表在路由器或交换机上也可以查看它们的命令,只是有点不一样,比如说在华为设备上去查看路由表,常见的就是display ip routine table
ARP欺骗就是针对ARP表,要做数据封装,就要查ARP表,比如说目的地址是192.168.0.1,最后封装的目的Mac地址是这么多,但是如果在网络当中发很多虚假的ARP报文,让你学到假的表,最后你封装的目的Mac,它就是一个虚假的mac表,对方接收是会出问题的,这就是ARP欺骗。攻击者可以发送虚假的ARP包来更新被攻击主机上的ARP缓存,ARP缓存就是ARP表,进行地址欺骗
ARP欺骗主要是二层攻击,他也不能说是二层问题,因为ARP报文到底说它是二层还是三层不好说,因为它跟IP有关,又跟mac有关,你就没有必要去纠结了,反正是进行ARP MAC地址欺骗
第三个口令威胁,比如说弱密码,我们可以通过暴力破解或者通过猜测的方式去威胁你的密码
第四个漏洞利用,我们的交换机路由器,最底层实际上是有一个Linux内核,然后再上一层厂商系统,比如思科的就是iOS、华为的就是vrp,然后再上层会有一些应用,比如说它会有web应用,这些应用都是软件,从下到上都是软件,就有可能有漏洞,像拒绝服务、非授权访问、信息泄密等等漏洞,这些漏洞都可能被黑客利用,这是交换机面临的四个安全威胁,路由器面临的威胁其实差不多,前两个漏洞,利用口令安全威胁这些都一样
这里面还提了路由协议安全威胁,路由器是支持大量的路由协议,比如说OSPF、bgp等等,这些协议可能有漏洞,协议本质上也就是一个软件,协议就是软件,一般系统自带的软件,这个软件又能选路,用来告诉我们去往目的地具体怎么走,网络协议就是基础的软件,它实现的功能就跟QQ微信是聊天一样的。OSPF跟bgp这种跟我们普通软件没有什么区别,就是实现某个功能,软件有可能有漏洞
第四个还可能面临DOS、DDOS威胁。DOS攻击就是发送恶意的数据包到路由器,致使路由器处理数据不当,导致路由器停止运行或者干扰它的正常运行,DOS攻击第二个利用僵尸网络制造大量的网络流量传送到目标网络,导致路由器处理瘫痪。大量的流量僵尸网络,最典型的是ddos攻击,其实说实话,实际的网络当中,想把路由器给干瘫痪,这种难度是很大的。很多时候,我们用僵尸网络去攻击服务器,把服务器整瘫痪要容易一些,你想把路由器搞瘫痪不是说不行,这个难度大的惊人,所以实际上你如果要去搞攻击的话,很少去这么干
第五个叫依赖性攻击,攻击者破坏路由器所依赖的服务或者环境,导致路由器非正常运行,比如破坏路由器依赖的认证服务器,导致管理员无法登陆路由器,就是它依赖的一套系统,比如说还可以破坏网管系统,导致管理员没有办法去登录管理路由器设备。
路由器面临的安全威胁,交换机一样面临,没有必要把他们分开,依赖性威胁交换机是存在的,路由协议攻击,三层交换机也支持路由协议