交换机 攻击_网络语音交换机被攻击了

hacker|
60

攻击网络交换机的病毒怎么杀?

您好

1,这不是电脑上有病毒导致的。

2,您可以到电脑管家官网下载一个电脑管家。

3,打开电脑管家——工具箱——打开ARP防火墙。

4,再返回工具箱,找到DNS选优功能,将您的DNS设置为114.114.1114.114或者是8.8.8.8.即可。

如果还有其他疑问和问题,欢迎再次来电脑管家企业平台进行提问,我们将尽全力为您解答疑难

如何判断交换机是否受到ARP攻击以及处理方式

如何判断交换机是否受到ARP攻击以及处理方式

一、如果网络受到了ARP攻击,可能会出现如下现象:

1、用户掉线、频繁断网、上网慢、业务中断或无法上网。

2、设备CPU占用率较高、设备托管、下挂设备掉线、设备主备状态震荡、设备端口指示灯红色快闪。

3、Ping有时延、丢包或不通。

定位ARP攻击时,请先排除链路、环路或路由问题,排除后再执行下面的步骤。执行过程中请保存以下步骤的执行结果,以便在故障无法解决时快速收集和反馈信息。

1、在网关上执行命令display cpu-defend statistics all,查看ARP Request、ARP Reply或ARP Miss报文的“Drop”计数是否增长。

如果计数为0,设备没有丢弃ARP报文。

如果有计数,表示设备收到的ARP报文由于超过了CPCAR的速率限制而被丢弃。

如果是ARP Miss报文丢弃很多,设备很可能受到了ARP Miss攻击。

如果是ARP Request或ARP Reply报文丢弃很多,设备很可能受到了ARP Request或ARP Reply报文攻击。

2、在网关上执行命令display arp all,查看用户的ARP表项是否存在。

如果ARP表项还在,请再查看用户的ARP表项,然后确定是否有用户或网关的ARP表项被改变。

如果是网关上用户ARP表项被改变,设备受到了ARP欺骗网关攻击。

在设备与用户连接的接口上获取报文头,分析ARP报文的源地址,找出攻击者。

建议找出攻击者后进行杀毒或卸载攻击工具。也可以在网关设备上配置防攻击功能,请根据情况选择配置。

3、系统视图下执行命令arp static,配置静态ARP表项。

如果下挂用户较少,可以通过配置静态ARP表项,绑定MAC地址和IP地址,确保IP地址不会被伪用户盗用。

4、系统视图或接口视图下执行命令arp anti-attack entry-check { fixed-mac | fixed-all | send-ack } enable,配置ARP表项固化功能。

fixed-mac方式适用于用户MAC地址固定,但用户接入位置频繁变动的场景。当用户从不同接口接入设备时,设备上该用户对应的ARP表项中的接口信息可以及时更新。

fixed-all方式适用于用户MAC地址固定,并且用户接入位置相对固定的场景。

send-ack方式适用于用户的MAC地址和接入位置均频繁变动的场景。

二、处理方式:

1、配置黑名单或黑洞MAC对攻击源的报文进行丢弃处理。

如果是用户的网关ARP表项被改变,设备受到了ARP仿冒网关攻击。

在设备与用户连接的接口上获取报文头,分析ARP报文的源地址,找出攻击者。

建议找出攻击者后进行杀毒或卸载攻击工具。也可以在网关设备上配置防攻击功能,请根据情况选择配置。

2、在网关的下行接口配置端口隔离,防止同一VLAN的用户收到攻击的ARP。

系统视图下执行命令arp anti-attack gateway-duplicate enable,使能ARP防网关冲突攻击功能。

3、在接口或VLAN视图下执行命令arp anti-attack check user-bind enable,使能动态ARP检测功能(即对ARP报文进行绑定表匹配检查功能)。

动态ARP检测功能主要用于防御中间人攻击的场景,避免合法用户的数据被中间人窃取。

4、在系统视图下执行命令arp anti-attack packet-check { ip | dst-mac | sender-mac }*,使能ARP报文合法性检查功能,并指定ARP报文合法性检查项。

配置后,还需应用该防攻击策略才能生效。

用户视图下执行命令display arp anti-attack configuration arp-speed-limit,查看是否配置了ARP报文限速。

系统视图下执行命令arp speed-limit source-ip [ ip-address ] maximum maximum,调整根据源IP地址进行ARP报文限速的限速值。

系统视图下执行命令arp speed-limit source-mac [ mac-address ] maximum maximum,调整根据源MAC地址进行ARP限速的限速值。

系统视图、VLAN视图或接口视图下执行命令arp anti-attack rate-limit packet packet-number,调整ARP报文的限速值。

如何攻击交换机?

利用交换机漏洞的攻击方法如下:

一、生成树攻击

生成树协议(STP)可以防止冗余的交换环境出现回路。要是网络有回路,就会变得拥塞不堪,从而出现广播风暴,引起MAC表不一致,最终使网络崩溃。

使用STP的所有交换机都通过网桥协议数据单元(BPDU)来共享信息,BPDU每两秒就发送一次。交换机发送BPDU时,里面含有名为网桥ID的标号,这个网桥ID结合了可配置的优先数(默认值是32768)和交换机的基本MAC地址。交换机可以发送并接收这些BPDU,以确定哪个交换机拥有最低的网桥ID,拥有最低网桥ID的那个交换机成为根网桥(rootbridge)。

根网桥好比是小镇上的社区杂货店,每个小镇都需要一家杂货店,而每个市民也需要确定到达杂货店的最佳路线。比最佳路线来得长的路线不会被使用,除非主通道出现阻塞。

根网桥的工作方式很相似。其他每个交换机确定返回根网桥的最佳路线,根据成本来进行这种确定,而这种成本基于为带宽所分配的值。如果其他任何路线发现摆脱阻塞模式不会形成回路(譬如要是主路线出现问题),它们将被设成阻塞模式。

恶意黑客利用STP的工作方式来发动拒绝服务(DoS)攻击。如果恶意黑客把一台计算机连接到不止一个交换机,然后发送网桥ID很低的精心设计的BPDU,就可以欺骗交换机,使它以为这是根网桥,这会导致STP重新收敛(reconverge),从而引起回路,导致网络崩溃。

二、MAC表洪水攻击

交换机的工作方式是:帧在进入交换机时记录下MAC源地址,这个MAC地址与帧进入的那个端口相关,因此以后通往该MAC地址的信息流将只通过该端口发送出去。这可以提高带宽利用率,因为信息流用不着从所有端口发送出去,而只从需要接收的那些端口发送出去。

MAC地址存储在内容可寻址存储器(CAM)里面,CAM是一个128K大小的保留内存,专门用来存储MAC地址,以便快速查询。如果恶意黑客向CAM发送大批数据包,就会导致交换机开始向各个地方发送大批信息流,从而埋下了隐患,甚至会导致交换机在拒绝服务攻击中崩溃。

三、ARP攻击

ARP(AddressResolutionProtocol)欺骗是一种用于会话劫持攻击中的常见手法。地址解析协议(ARP)利用第2层物理MAC地址来映射第3层逻辑IP地址,如果设备知道了IP地址,但不知道被请求主机的MAC地址,它就会发送ARP请求。ARP请求通常以广播形式发送,以便所有主机都能收到。

恶意黑客可以发送被欺骗的ARP回复,获取发往另一个主机的信息流。假设黑客Jimmy也在网络上,他试图获取发送到这个合法用户的信息流,黑客Jimmy欺骗ARP响应,声称自己是IP地址为10.0.0.55(MAC地址为05-1C-32-00-A1-99)的主人,合法用户也会用相同的MAC地址进行响应。结果就是,交换机在MAC地表中有了与该MAC表地址相关的两个端口,发往这个MAC地址的所有帧被同时发送到了合法用户和黑客Jimmy。

0条大神的评论

发表评论