这几招解决90%的内网安全，网管最关心

内网（现在基本都是以太网）是一个不安全的环境。
从协议上看，现有的内网协议（和一部分外网协议）在建设之初就没有考虑到安全问题，所以留下了漏洞。

一：MAC泛洪攻击
MAC泛洪攻击可以实现2个目标：
      1：全网瘫痪
      2：强制单播变广播
      其原理是：交换机在转发的过程中不断的学习MAC与端口的对应关系，这张表叫做CAM表。
但交换机能够学习的MAC数量是有限的，于是攻击者发出大量的随机源MAC包，交换机于是不停的学，导致MAC表很快被塞满，此时不能再学习新的MAC了。这样一来，后续开机的设备就无法上网了。先前开机的设备在MAC老化时间过去以后，也有可能无法上网。结果就是网全瘫。

      另一个目的“强制单播变广播”，是利用了交换机的一个特性：未知目的的帧向所有端口广播。
      因为已经无法再学习MAC地址（合法的MAC也被挤掉），所以PC发出的帧无法找到目的了，这种帧就叫做“未知目的帧”，于是向所有端口广播！这就硬生生的把交换机变成了HUB。本来单播包不会出现在无关的端口，这下子却出现在了所有端口，窃听者就可以得到明文消息了。
      防范方法：设置交换机的“端口安全”，下面举例：

interface  gigabitEthernet 0/24                    操作接口24
switchport port-security maximum 10         最大学习地址数
switchport port-security                              声明端口安全

以上操作就是开启交换机24号口的端口安全，此端口最多学习10个MAC，多余的丢弃。
在此基础上，还可以实现MAC白名单，在名单内的机器才可上网

interface  gigabitEthernet 0/24                    操作接口24
switchport port-security mac-address xxxx.xxxx.xxxx  以下设置了MAC地址白名单，共3个MAC地址
switchport port-security mac-address yyyy.yyyy.yyyy  
switchport port-security mac-address zzzz.zzzz.zzzz  
switchport port-security maximum 3        最大学习地址数，与白名单内MAC数量相同
switchport port-security                            声明端口安全
以上配置了3个安全MAC地址，并且最多学习3个MAC。

DHCP攻击：
       你可能遇到过这样的情况：有人私接WIFI用手机上网，结果WIFI自己的DHCP干扰了合法的DHCP（假IP和假网关），造成很多人都上不了网。
其实只要把网线接到WIFI的WAN口上就没有这个问题，但普通用户大多数是不知道的。这就是假冒DHCP攻击，
       DHCP攻击有2个目的：
       1：PC断网：如上所言，对于PC发出的DHCP请求，发送虚假的DHCP回应，造成PC无法上网。
       2：DHCP耗竭攻击：先恶意的向DHCP申请地址，以至于很快把DHCP地址池耗光，后续的设备就无法获得IP了， 想当于此DHCP出局！然后假冒DHCP出场，分配给用户一个监听者的恶意网关。。。      
       DHCP耗竭攻击详解：DHCP包外层（帧头）有发送方的MAC，包内还有个发送方的MAC，在正常情况下，这2个MAC是一样的(DHCP服务器看内部MAC)。
       但如果攻击方每申请一个IP，自己的帧头MAC都变一下，就会受到MAC防泛洪机制的阻挡。所以，攻击方的帧头MAC不变，而内部MAC不停的变化。
       解决方法：DHCP-Snooping
       因为只有上联端口（连接网关的端口）才能收到合法DHCP回应，所以可以在此端口上做DHCP-Snooping，其它端口禁止发送DHCP回应。这就保证了网内只有一个DHCP能发送回应。
       对于恶意申请地址，可以开启端口的DHCP限速功能，如果DHCP申请频率过高(比如5个/秒)，就关闭此端口。
       同样，如果发现DHCP的帧头MAC和内部MAC不一样，也不再转发。
       DHCP-Snooping的功能很强大，开启了以后，交换机会维持一张表（更高大上的称谓是“数据库”）：
      
这张表上记录了（交换机通过DHCP学习到的）MAC-IP-VLAN-端口的对应关系
这张表可太重要了，因为在大多数情况下，做为了安全在PC和交换机上做静态绑定是不现实的，因为PC数量太多了，但通过DHCP-Snooping，交换机会自动维持这张表，可以为以后的绑定、过滤等功能打下数据的基础。

ARP攻击：
叹一声！来着不拒，人皆可夫ARP
ARP对于网管来说那是耳熟能详了，鉴于ARP协议的脆弱性，ARP破坏工具已经非常成熟。
ARP的漏洞在于，不是“已经发送了ARP请求”，才能“接收ARP回应”，2者没有对应关系！
也就说，设备可以随时接收ARP回应，哪怕它并没有发出请求，而且，后续的ARP表即刻替代先前的。
这就导致攻击者可以任意伪造MAC与IP的对应关系。

ARP破坏工具可以起到2个作用：
1：整体破坏，让网内所有的机器都断网。
其原理是发送随机的mac-ip对应关系，让内网合法的IP所对应的mac一片混乱，谁都找不到谁。
2：中间人攻击
这个也很可怕。假设A和网关通信，监听者B告诉A：网关的MAC是我，然后告诉网关：A的MAC是我。
于是A与网关的流量都经过B，因为B起到了一个路由的作用，流量的中专过程对于A和网关来说是透明的，此时B可以监听到所有的明文，比如HTTP的登录账号密码，用户的网站浏览记录，甚至于网络电话重放。。。。
别认为这只是理论，网上有现成可用的工具，而且使用非常方便，从此，网络窃听神不知鬼不觉了。
解决方法：
ARP攻击的核心思想，就是攻击者可以随便定义IP与MAC的对应关系。但如果有一个确定的，不可更改的关系表，在此表定义范围内的ARP包根本就不予理会，那就安全了。
这种“确定的关系表”可以通过2种方法实现：在交换机上手动绑定（静态绑定），或者通过DHCP-Snooping数据库做动态绑定(上图就是做了绑定)。
前者的工作量肯定很大了，后者则是很方便，叫做DAI。
但要注意一点，有些设备对IPV6支持不好，需要开启IPV6兼容功能。
而且DAI不允许用户私设静态地址了，否则无法上网。如果对方一定要求静态地址，可以给他分配静态绑定列表：

#ip source binding 001a.a2bc.3a4d vlan 10 192.168.10.5 interface fa0/15 （静态绑定）

#interface fastEthernet 0/15

(config-fastethernet 0/15)#ip verify source port-security     （在15号口上开启动态绑定）            

除此以外，还可以设置ARP限速，即本端口每秒最多X个ARP包，超出的ARP包丢弃。






补充内容 (2015-4-23 19:10):
上文有句错误：在此表定义范围之“外”的ARP包都不予理会

给楼主补充个，基本是一百信息点以上，需要可网管型接入交换机才能实现的，还有最关键的STP防环路没说。

迦楼罗之凰 发表于 2015-4-14 17:14
给楼主补充个，基本是一百信息点以上，需要可网管型接入交换机才能实现的，还有最关键的STP防环路没说。 ...

大部分功能，比如MAC防泛洪、DHCP-Snooping动态绑定，ARP限速，1K级别的24电+2光的交换机都具备了。
DHCP限速，防DHCP耗竭攻击是没看到。

你内网得多乱才有这些啊！

XXHJACK 发表于 2015-4-14 22:32
你内网得多乱才有这些啊！

其实没这么乱，防患于未然

haierccc 发表于 2015-4-15 13:55
其实没这么乱，防患于未然

哦。。。。。。。。

还有基于802.1x的端口安全
好文绑定

Jialin_wu 发表于 2015-4-15 21:38
还有基于802.1x的端口安全
好文绑定

我还没有理解这个802.1x，能简单的说一下原理么？

记录了，这个很有用。              

haierccc 发表于 2015-4-16 06:13
我还没有理解这个802.1x，能简单的说一下原理么？

Cisco 起了一个高大上的名字 Identity Based Networking Services，802.1x是实现元素之一，这是个体系，包含了PKI, PEAP, AAA, Radius等等等At a glance,
http://www.cisco.com/c/en/us/products/ios-nx-os-software/identity-based-networking-services/index.html

高大上，标记一下备用

haierccc 发表于 2015-4-16 06:13
我还没有理解这个802.1x，能简单的说一下原理么？

端口要认证后才能用。

无线网络也有这个啊，wpa2 结合 radius 服务器就是 802.1x

成天用这玩意，但是你要考虑一个问题，一个单位很有可能会有错综负责的环境
比如交换机下面混着HUB
就怕思科，华三混合串，是HUB模式还好，TRUNK模式就呵呵了，再没有标记，嗯，有的玩了

Ramaxel 发表于 2015-4-23 17:08
成天用这玩意，但是你要考虑一个问题，一个单位很有可能会有错综负责的环境
比如交换机下面混着HUB
就怕思 ...

还有思科和华三不能混着用这个经验啊