二层攻击分类

攻击方法 描述 防御 MAC层攻击 MAC地址泛洪 攻击者以不同的源MAC地址发送多个数据包，短时间内交换机的CAM表被填满，无法接受新的条目，这时交换机把它接受到的所有数据向所有端口泛洪，因此攻击者可能获取网络中发给别的端口的包 交换机端口上限定一个具体的MAC地址或限定MAC地址数量 VLAN攻击 VLAN跳转 动态中继协议为基础，在VLAN跳跃攻击中，黑客可以欺骗计算机，冒充成另一个交换机发送虚假的DTP协商消息，宣布它想成为中继，真实的交换机接收到这个消息后，以为它应当启用802.1Q中继功能，而一旦中继功能启用，所有VLAN信息流就会发送到黑客的计算机上。 将全部接入层端口划分为access模式并关闭，将所有未使用的端口划入一个未使用的VLAN中，将所有未使用的中级端口的本地VLAN设置为一个未使用的VLAN 欺骗攻击 DHCP欺骗 PC A接入网络，希望通过DHCP获得IP地址等信息，于是PC A发送了一个DHCP请求包（广播），同一网段内的PC B按理会比DHCP服务器早收到DHCP请求包，那么PC B可以先于DHCP服务器回复请求，PC B和PC A建立通信，PC A以为是在和互联网通信，造成欺骗行为 DHCP snooping 生成树欺骗 攻击设备伪装成STP拓扑中的根网桥，成为网络中的二层转发核心，配合使用SPAN，可以监听网络中所有通信流量 主动配置主用和备用根设备，启用根防护、BPDU防护、BPDU过滤等 MAC欺骗 欺骗了MAC/PORT的对应关系，攻击者知道受害者的MAC，发送数据包到网关，网关以为受害者的MAC和攻击者的PORT对应，于是将发给受害者的数据发给了攻击者的PORT，在PORT和MAC对应关系恢复后，攻击者将已经收到的发给受害者的数据进行修改，然后转发给受害者，完成一次劫持。 端口安全 ARP欺骗 欺骗了IP/MAC对应关系 动态ARP监测，端口安全 交换机设备攻击 CDP修改 截获CDP发送的明文，获悉网络拓扑和设备信息 端口禁用CDP SSH和Telnet Telnet明文传输，SSH v1有漏洞 使用SSH V2结合VTY ACL