mac addresses flooding
通過模擬大量的源mac地址來讓switch的mac表爆滿
可通過port security解決。

vlan hopping
通過改變packet的vlan-id來訪問其他的vlan
嚴(yán)格設(shè)置trunk允許哪些vlan通過，把沒用的port放到common vlan里（也就是vlan1）

attacks between devices on a common vlan
屬于同一vlan間的設(shè)備也可以相互攻擊的
通過pvlan來解決

dhcp starvation
攻擊者發(fā)送無數(shù)dhcp請求，來吧dhcp服務(wù)器地址池中的地址耗盡
用dhcp snooping解決

stp compromises
攻擊者把自己的bridge priority設(shè)為最大，這樣就成為bridge root了
手工設(shè)置bridge priority為0，并設(shè)置一個backup root，開啟root guard

mac spoofing / arp spoofing
攻擊者把自己的mac地址改為攻擊目標(biāo)的mac地址，這樣就能收到被攻擊者的數(shù)據(jù)了
手工綁定mac地址和接口，或者arp inspection

cdp manipulation
由于cdp信息是明文的，攻擊者可以抓取其信息
在不需要跑cdp的接口上，把cdp關(guān)掉

ssh and telnet attacks
對于ssh和telnet的一些攻擊
使用ssh v2，對于telnet則使用access-class

最新評論