win10修改mac地址的三種方法 win10修改mac地址方式？很多人不了解，今天趣百科為大家?guī)硐嚓P(guān)內(nèi)容，下面為大家?guī)斫榻B。

端口安全技術(shù)

(資料圖片)

Port-Security

01

MAC地址表的洪水攻擊

黑客利用PC上的工具偽造大量無效的源MAC地址充斥交換機(jī)，交換機(jī)不斷學(xué)習(xí)，以至于交換機(jī)MAC地址列表(也叫CAM列表)被填滿。

當(dāng)交換機(jī)的MAC地址表被填滿時(shí)，正常主機(jī)的MAC地址在老化后無法添加到MAC地址表中，導(dǎo)致后續(xù)數(shù)據(jù)被廣播。

這時(shí)候交換機(jī)就像一個(gè)hub，接收到的流量數(shù)據(jù)幀會(huì)泛洪到所有端口。

此時(shí)，黑客可以監(jiān)控PC泛洪流量來收集流量樣本或發(fā)起DOS(拒絕服務(wù))攻擊。

端口安全：在交換機(jī)的接入接口打開。

設(shè)置白名單地址：限制一個(gè)接入接口上學(xué)習(xí)到的MAC地址數(shù)量的上限，接口會(huì)緩存之前學(xué)習(xí)到的PC的MAC地址并加入白名單；當(dāng)該接口學(xué)習(xí)到的MAC地址超過上限時(shí)，交換機(jī)會(huì)將該地址列入黑名單，并啟動(dòng)懲罰機(jī)制。有三種主要類型：

1.關(guān)機(jī)：默認(rèn)處理方式；將接口設(shè)置為錯(cuò)誤禁用狀態(tài)相當(dāng)于關(guān)閉端口并交換機(jī)會(huì)提示日志。

如果端口進(jìn)入錯(cuò)誤禁用狀態(tài)，默認(rèn)情況下不會(huì)自動(dòng)恢復(fù)?；謴?fù)方法有：

手動(dòng)恢復(fù)，進(jìn)入端口，先關(guān)端口，再關(guān)端口，再恢復(fù)正常狀態(tài)。

自動(dòng)恢復(fù)：設(shè)置錯(cuò)誤禁用定時(shí)器。當(dāng)端口進(jìn)入錯(cuò)誤禁用狀態(tài)時(shí)，它將開始計(jì)時(shí)。定時(shí)器超時(shí)后，端口狀態(tài)會(huì)自動(dòng)恢復(fù)。

2.restrict:丟棄非法MAC地址的數(shù)據(jù)包，但端口處于UP狀態(tài)，交換機(jī)記錄非法數(shù)據(jù)包(相當(dāng)于計(jì)入信用)；同時(shí)交換機(jī)會(huì)提示日志。

3.保護(hù)：丟棄非法MAC地址的數(shù)據(jù)包，但端口處于UP狀態(tài)。交換機(jī)不會(huì)記錄非法數(shù)據(jù)包，也不會(huì)提示日志。

如果非管理員使用電腦連接交換機(jī)的接入接口，然后通過老化的MAC地址列表連接互聯(lián)網(wǎng)，登錄交換機(jī)修改或刪除部分配置；要提高交換機(jī)的管理安全性：

配置靜態(tài)綁定MAC地址：在接口上手動(dòng)配置靜態(tài)MAC地址，并將其添加到白名單中。

如果企業(yè)的網(wǎng)絡(luò)規(guī)模很大，我們手動(dòng)綁定地址有點(diǎn)不現(xiàn)實(shí)。所以，這時(shí)候我們就需要利用端口安全的粘性特性，可以將交換機(jī)接口學(xué)習(xí)到的MAC動(dòng)態(tài)添加到運(yùn)行配置中，形成綁定關(guān)系。

接入身份認(rèn)證802.1x認(rèn)證：

82.1x協(xié)議源于IEEE的WLAN協(xié)議802.11。

以太網(wǎng)不提供訪問認(rèn)證，只要用戶可以訪問局域網(wǎng)控制設(shè)備，就可以訪問局域網(wǎng)中的設(shè)備或資源。

802.1X是一種基于客戶機(jī)/服務(wù)器模式的訪問控制和認(rèn)證協(xié)議，根據(jù)用戶ID或設(shè)備對(duì)網(wǎng)絡(luò)客戶機(jī)進(jìn)行認(rèn)證，提高了以太網(wǎng)訪問的安全性。

認(rèn)證架構(gòu)NAC:

請(qǐng)求方系統(tǒng)RPC:請(qǐng)求方通常是支持802.1x認(rèn)證的用戶終端設(shè)備，用戶通過啟動(dòng)客戶端軟件發(fā)起802.1x認(rèn)證。

認(rèn)證系統(tǒng)NAS:認(rèn)證系統(tǒng)通常是支持802.1x協(xié)議的網(wǎng)絡(luò)設(shè)備。它為請(qǐng)求者提供服務(wù)端口，可以是物理端口，也可以是邏輯端口。一般來說，802.1x認(rèn)證是在用戶接入設(shè)備(如局域網(wǎng)交換機(jī)和AP)上實(shí)現(xiàn)的。

認(rèn)證服務(wù)器：使用AAA服務(wù)器結(jié)合ACS 5.2/ISE 2.2軟件實(shí)現(xiàn)認(rèn)證和授權(quán)功能。

由802.1x定義的eapol(局域網(wǎng)上的可擴(kuò)展認(rèn)證協(xié)議)協(xié)議在請(qǐng)求者和認(rèn)證系統(tǒng)之間運(yùn)行；

當(dāng)認(rèn)證系統(tǒng)工作在中繼模式時(shí)，認(rèn)證系統(tǒng)和認(rèn)證服務(wù)器也運(yùn)行EAP協(xié)議。認(rèn)證數(shù)據(jù)封裝在EAP幀中，協(xié)議承載在其他高層協(xié)議(如RADIUS)中，以便穿越復(fù)雜網(wǎng)絡(luò)到達(dá)認(rèn)證服務(wù)器。

認(rèn)證系統(tǒng)接收EAPoL消息，將其轉(zhuǎn)換為其他認(rèn)證協(xié)議(如RADIUS)，并將用戶認(rèn)證信息發(fā)送到認(rèn)證服務(wù)器系統(tǒng)。

認(rèn)證系統(tǒng)的每個(gè)物理端口包含一個(gè)受控端口和一個(gè)非受控端口，非受控端口始終處于雙向連接狀態(tài)，主要用于傳輸EAPoL協(xié)議幀，以保證接收認(rèn)證請(qǐng)求者發(fā)送的EAPoL報(bào)文。

受控端口只有在認(rèn)證通過的狀態(tài)下才打開，用于傳遞網(wǎng)絡(luò)資源和服務(wù)。

認(rèn)證過程：

1、客戶端向接入設(shè)備發(fā)送一個(gè)EAPoL-Start報(bào)文，開始802.1x認(rèn)證接入;

2、接入設(shè)備向客戶端發(fā)送EAP-Request/Identity報(bào)文，要求客戶端出示用戶名;

3、客戶端回應(yīng)一個(gè)EAP-Response/Identity給接入設(shè)備的請(qǐng)求，包括用戶名；

4、接入設(shè)備將EAP-Response/Identity報(bào)文封裝到RADIUS Access-Request報(bào)文中，發(fā)送給AAA認(rèn)證服務(wù)器;

5、認(rèn)證服務(wù)器產(chǎn)生一個(gè)Challenge，通過接入設(shè)備將RADIUS Access-Challenge報(bào)文發(fā)送給客戶端，其中包含有EAP-Request/MD5-Challenge;

6、接入設(shè)備通過EAP-Request/MD5-Challenge發(fā)給客戶端，要求客戶端認(rèn)證；

7、客戶端收到EAP-Request/MD5-Challenge報(bào)文后，將密碼和Challenge做MD5后的Challenged-Pass-word，在EAP-Response/MD5-Challenge回給接入設(shè)備；

8、接入設(shè)備將Challenge、Challenged Password和用戶名一起送到認(rèn)證服務(wù)器，由RADIUS服務(wù)器進(jìn)行認(rèn)證。

9、RADIUS服務(wù)器根據(jù)用戶信息，做MD5算法，判斷用戶是否合法，然后回應(yīng)認(rèn)證成功/失敗報(bào)文到接入設(shè)備。如果成功，攜帶協(xié)商參數(shù)，以及用戶的相關(guān)業(yè)務(wù)屬性給用戶授權(quán)。如果認(rèn)證失敗，則流程到此結(jié)束;

10、如果認(rèn)證通過，用戶通過標(biāo)準(zhǔn)的DHCP協(xié)議 (可以是DHCP Relay) ，通過接入設(shè)備獲取規(guī)劃的IP地址;

11、如果認(rèn)證通過，接入設(shè)備發(fā)起計(jì)費(fèi)開始請(qǐng)求給RADIUS用戶認(rèn)證服務(wù)器;

12、RADIUS用戶認(rèn)證服務(wù)器回應(yīng)計(jì)費(fèi)開始請(qǐng)求報(bào)文。用戶上線完畢。

認(rèn)證模式：基于端口認(rèn)證模式和基于MAC地址認(rèn)證

基于端口認(rèn)證模式：在模式下只要連接到端口的某個(gè)設(shè)備通過認(rèn)證，其他設(shè)備則不需要認(rèn)證，就可以訪問網(wǎng)絡(luò)資源。

基于MAC地址認(rèn)證：該模式下連接到同一端口的每個(gè)設(shè)備都需要單獨(dú)進(jìn)行認(rèn)證。

對(duì)無法進(jìn)行802.1X驗(yàn)證的硬件設(shè)備配置Mac Address Bypass(MAB)功能

當(dāng)啟用IEEE 802.1x認(rèn)證的端口連接的設(shè)備是打印機(jī)（或者其他無法進(jìn)行交互認(rèn)證的設(shè)備）時(shí)，應(yīng)當(dāng)使用此特性。

原理：如果交換機(jī)等待客戶端返回IEEE 802.1x認(rèn)證的EAPOL響應(yīng)包超時(shí)，交換機(jī)就會(huì)嘗試使用基于Mac地址的免認(rèn)證特性來識(shí)別客戶端，當(dāng)某個(gè)IEEE 802.1x認(rèn)證端口啟用Mac地址的免認(rèn)證特性時(shí)，交換機(jī)就會(huì)使用Mac地址作為客戶端的身份標(biāo)記，把客戶端的Mac地址作為用戶名和密碼發(fā)送給認(rèn)證服務(wù)器RADIUS-access/request幀，認(rèn)證服務(wù)器有一個(gè)允許使用網(wǎng)絡(luò)的客戶端MAC地址數(shù)據(jù)庫，如果認(rèn)證通過，交換機(jī)就會(huì)讓客戶端使用網(wǎng)絡(luò)

如果認(rèn)證失敗且未定義失敗動(dòng)作時(shí)，交換機(jī)會(huì)把端口分配到一個(gè)預(yù)先指定的Guest Vlan。

*只能夠在已經(jīng)啟用了IEEE 802.1x認(rèn)證的端口使用基于mac地址的免認(rèn)證特性。

*如果配置了Guest VLAN，當(dāng)客戶端屬于一個(gè)非法的mac時(shí)，只有未在Lanenfocer上設(shè)置失敗動(dòng)作的時(shí)候，交換機(jī)才會(huì)把客戶端分配到Guest VLAN。

02

基于VLAN的攻擊

由于思科交換機(jī)的接口默認(rèn)是開啟DTP協(xié)議，接口工作在Auto協(xié)商的模式，當(dāng)它接收到DTP幀后，會(huì)自動(dòng)協(xié)商成為Trunk鏈路，惡意終端設(shè)備通過模擬DTP報(bào)文欺騙交換機(jī)，就可以訪問和接收所有放行VLAN的數(shù)據(jù)。

*把接入接口配置為access模式

*接口關(guān)閉DTP協(xié)商

*在全局或接口開啟BPDU GUARD或者接口開啟BPDU FILTER，前者收到BPDU直接關(guān)閉接口，較強(qiáng)硬，后者完全忽略BPDU數(shù)據(jù)包，較溫和。

基于雙層標(biāo)簽實(shí)現(xiàn)VLAN跳轉(zhuǎn)攻擊：惡意終端系統(tǒng)發(fā)送雙層802.1Q標(biāo)簽的數(shù)據(jù)幀，接收到該幀的第一臺(tái)交換機(jī)會(huì)剝離第一層標(biāo)簽，如果Trunk的Native VLAN等于該層的標(biāo)簽中的VLAN ID，交換機(jī)就會(huì)把這個(gè)包含第二層的數(shù)據(jù)幀從Trunk轉(zhuǎn)發(fā)出去，接收到該幀的第二臺(tái)交換機(jī)則會(huì)根據(jù)這第二層的VLAN標(biāo)記轉(zhuǎn)發(fā)到目的VLAN中去。

ISL屬于思科專有技術(shù)，是設(shè)備中使用的擴(kuò)展分組報(bào)頭的緊湊形式，每個(gè)分組總會(huì)獲得一個(gè)標(biāo)記，沒有標(biāo)識(shí)丟失風(fēng)險(xiǎn)，因而可以提高安全性。

*嚴(yán)格限制交換機(jī)的Access接口不能收到帶有vlan標(biāo)記的數(shù)據(jù)幀

*把所有未使用的接口配置為Access

*所有未使用的接口放入一個(gè)VLAN中，這個(gè)VLAN不承載任何數(shù)據(jù)流量

*NATIVE VLAN與任何數(shù)據(jù)VLAN不相同。

*手工指定Trunk模式，不要Auto和Desirable

*在Trunk上排除放行NATIVE VLAN

基于VTP的VLAN攻擊

惡意黑客通過連接到交換機(jī)，并在自己的計(jì)算機(jī)和交換機(jī)之間建立一條中繼，就可以充分利用VTP，黑客可以發(fā)送VTP消息到配置版本號(hào)高于當(dāng)前的VTP服務(wù)器，這會(huì)導(dǎo)致所有交換機(jī)都與惡意黑客的計(jì)算機(jī)進(jìn)行同步，從而把所有非默認(rèn)的VLAN從VLAN數(shù)據(jù)庫中移除出去；這樣黑客就可以讓VTP為己所用，移除網(wǎng)絡(luò)上的所有VLAN(除了默認(rèn)的VLAN外)，這樣他就可以進(jìn)入其他每個(gè)用戶所在的同一個(gè)VLAN上。

03欺騙攻擊

DHCP的欺詐攻擊DHCP Sproofing：

DHCP Sproofing同樣是一種中間人攻擊方式

DHCP是提供IP地址分配的服務(wù)，當(dāng)局域網(wǎng)中的PC設(shè)置為自動(dòng)獲取IP，就會(huì)在啟動(dòng)后發(fā)送廣播包請(qǐng)求IP地址，DHCP服務(wù)器（如路由器）會(huì)分配一個(gè)IP地址給PC

攻擊者可以通過偽造大量的IP請(qǐng)求包，消耗掉現(xiàn)有DHCP服務(wù)器的IP資源，當(dāng)有PC請(qǐng)求IP的時(shí)候，DHCP服務(wù)器就無法分配IP（黑客在局域網(wǎng)內(nèi)，PC會(huì)先收到黑客分配的IP地址）

這時(shí)攻擊者可以偽造一個(gè)DHCP服務(wù)器給PC分配網(wǎng)關(guān)地址，PC發(fā)送的任何數(shù)據(jù)都會(huì)經(jīng)過黑客主機(jī)；此時(shí)黑客就能監(jiān)聽PC發(fā)送的流量，達(dá)到收集流量樣本或者發(fā)起拒絕服務(wù)DDOS攻擊。

DHCP嗅探/snooping：

通過建立和維護(hù)DHCP Snooping綁定表，包含不信任區(qū)域的用戶MAC地址、IP地址、租用期、VLAN-ID 接口等信息，通過這張表來判定IP地址或者mac地址是否合法，通過過濾不可信任的DHCP信息來限制用戶連接到網(wǎng)絡(luò)的

當(dāng)交換機(jī)開啟了 DHCP-Snooping后，會(huì)對(duì)DHCP報(bào)文進(jìn)行偵聽，并從接收到的DHCP Request或DHCP Ack報(bào)文中提取并記錄IP地址和MAC地址信息，形成一張DHCP Snooping綁定表（可以手工指定）

另外DHCP-Snooping允許將某個(gè)物理端口設(shè)置為信任端口或不信任端口

信任端口可以正常接收并轉(zhuǎn)發(fā)DHCP Offer報(bào)文，而不信任端口會(huì)將接收到的DHCP Offer報(bào)文丟棄，這樣交換機(jī)可以對(duì)假冒DHCP Server進(jìn)行屏蔽，確保客戶端從合法的DHCP Server獲取IP地址。

在一個(gè)交換區(qū)塊內(nèi)的所有交換機(jī)上面都啟用，先在全局啟用DHCP Snooping，然后針對(duì)有使用者PC的VLAN進(jìn)行啟用

啟用了DHCP Snooping的接口默認(rèn)對(duì)應(yīng)兩種狀態(tài)，信任接口trust或非信任接口untrust

在交換機(jī)上，將連接合法DHCP服務(wù)器的接口配置為trust，trust接口上可以收發(fā)的來自DHCP server/client的全部報(bào)文

而untrust接口（默認(rèn)狀態(tài)）上收到的來自DHCP server的報(bào)文被過濾掉（可以收發(fā)DHCP客戶端發(fā)送的報(bào)文，也可以發(fā)送DHCP服務(wù)器產(chǎn)生的報(bào)文），就可以防止非法的DHCP server接入。

部署了DHCP Snooping了交換機(jī)本地，會(huì)維護(hù)一張DHCP snooping的綁定數(shù)據(jù)庫（binding database），用于保存?zhèn)陕牭降腄HCP交互的表項(xiàng)，信息包括（針對(duì)untrust接口的）：MAC地址、IP地址（DHCP分配的）、租期、綁定類型、VLAN號(hào)、接口編號(hào)（DHCP客戶端也就是連接客戶端PC的untrust接口）

DHCP snooping banding databse除了可以做一些基本的安全接入控制，還能夠用于防ARP欺騙等一系列的防范攻擊解決方案。

DHCP中繼代理信息選項(xiàng)option 82：是DHCP報(bào)文中的一個(gè)選項(xiàng)，其編號(hào)為82；

Code：82 LEN：長度，Ag Inf field，不包含code及l(fā)en字段的長度。

Option 82中可包含多個(gè)suboption：

Subopt：子選項(xiàng)編號(hào)，如果是circuit ID則值為1，remote ID則值為2

Len：Sub-option Value的字節(jié)個(gè)數(shù)，不包括Sub opt和Len字段的兩個(gè)字節(jié)

Option 82子選項(xiàng)1：即Circuit ID，它表示接收到的DHCP請(qǐng)求報(bào)文來自的電路標(biāo)識(shí)，這個(gè)標(biāo)識(shí)只在中繼代理節(jié)點(diǎn)內(nèi)部有意義，在服務(wù)器端不可以解析其含義，只作為一個(gè)不具含義的標(biāo)識(shí)使用。一般情況下，默認(rèn)是接收到DHCP請(qǐng)求報(bào)文的接入交換機(jī)Vlan ID加接入二層端口名稱，如Vlan 2+Ethernet0/0/10

通常子選項(xiàng)1與子選項(xiàng)2要共同使用來標(biāo)識(shí)DHCP客戶端的信息

基于Option 82可以實(shí)現(xiàn)基于策略的DHCP的地址分發(fā)。

Option 82子選項(xiàng)2：即Remote ID，一般情況下為插入該option82信息的接入層交換機(jī)的MAC地址。

一臺(tái)支持DHCP snooping的交換機(jī)，如果在其untrust接口上，收到來自下游交換機(jī)發(fā)送的、且?guī)в衞ption 82的DHCP報(bào)文，則默認(rèn)的動(dòng)作是丟棄這些報(bào)文。

如果該交換機(jī)開啟了DHCP snooping并且?guī)в衞ption 82的DHCP報(bào)文是在trusted接口上收到的，則交換機(jī)接收這些報(bào)文，但是不會(huì)根據(jù)報(bào)文中包含的相關(guān)信息建立DHCP bingding databse表項(xiàng)。

DHCP snooping防范DHCP的饑餓攻擊：DHCP Starvation是用虛假的MAC地址廣播DHCP請(qǐng)求

如果發(fā)送了大量的請(qǐng)求，攻擊者可以在一定時(shí)間內(nèi)耗盡DHCP Servers可提供的地址空間

DHCP snooping可以幫助防范DHCP Starvation，

限制一個(gè)untrust接口每分鐘最多可以接收多少disscover個(gè)報(bào)文。

花貝 亻言用卡 提現(xiàn)微信 15129 739599

亻言用卡★花貝★白條★分付等★提·現(xiàn)

關(guān)鍵詞：