moonstar419 - 2008-5-27 11:18:00
1:TRUNK欺骗:主机模拟TRUNK协商,使用DTP漏洞获取非法信息。解决方法是关闭DTP。
2:802.1Q欺骗:利用NATIVE VLAN的漏洞(很多网络把NATIVE VLAN设成VLAN 1),把攻击信息发到VLAN 1的用户。解决办法是改变NATIVE VLAN。
3:CAM表拥塞攻击:利用CAM表满后,交换机会泛洪转发所有包的原理,恶意添满CAM表,获取别人的信息。解决办法是使用PORT-SECURITY。
4:DHCP 地址攻击:利用虚拟MAC地址,恶意获得大量DHCP地址,造成正常主机获取不到地址。解决办法是用:DHCP OPTION 82 技术、DHCP SNOOPING技术和PORT-SECURITY技术。
5:DHCP DOS攻击:使用大量流量攻击DHCP SERVER。解决办法是用DHCP SNOOPING RATE-LIMIT。
6:DHCP 中继攻击:使用虚假DHCP SERVER,提供用户虚假的IP地址,获取信息,解决办法是:DHCP SNOOPING TRUST/UNTRUST。
7:IP 源地址欺骗。解决办法是IP VRF。
8:CDP漏洞。很容易造成设备信息泄露,建议关闭。
IPSec VPN内容如下:
1:AH用于保证数据完整性,ESP用于加密,但ESP里也可以借用HMAC以保证数据完整性。
2:IKE用于保护IPSec的协商信息及控制信息,IPSec用于保护应用流。
3:IKE PHASE1用于加密协商IKE通道,IKE PHASE2用于加密协商IPSec通道。