局域網(wǎng)交換機(jī)安全內(nèi)容簡介

《局域網(wǎng)交換機(jī)安全》是迄今為止國內(nèi)引進(jìn)的第一本專門介紹第二層交換環(huán)境安全技術(shù)的圖書。作者在書中通過一個(gè)個(gè)鮮活的第二層攻擊場(chǎng)景，以及針對(duì)這些攻擊的化解之策，來強(qiáng)調(diào)第二層安全的重要性。這些針對(duì)第二層協(xié)議的攻擊場(chǎng)景，囊括了讀者所知的任何一種第二層協(xié)議(STP、VRRP/HSRP、LACP/PagP、ARP等)。書中給出了針對(duì)上述攻擊的各種反制措施。

除了攻擊與對(duì)抗攻擊之外，作者還高屋建瓴般地展望了未來以及正在流行的第二層安全體系結(jié)構(gòu)及技術(shù)，這包括線速的ACL、IEEE802.1AE、CiscoINBS以及結(jié)合IPSec與L2TPv3的安全偽線。讀完《局域網(wǎng)交換機(jī)安全》之后，讀者將會(huì)加深對(duì)網(wǎng)絡(luò)整體安全性的理解：網(wǎng)絡(luò)安全并不能只靠防火墻、入侵檢測(cè)系統(tǒng)甚至是內(nèi)容過濾設(shè)備。如果沒有上述這些設(shè)備，在網(wǎng)絡(luò)的第二層利用交換機(jī)同樣可以實(shí)施網(wǎng)絡(luò)安全。

《局域網(wǎng)交換機(jī)安全》適合從事計(jì)算機(jī)網(wǎng)絡(luò)設(shè)計(jì)、管理和運(yùn)維工作的工程技術(shù)人員閱讀，可以幫助網(wǎng)絡(luò)(安全)工程師、網(wǎng)絡(luò)管理員快速、高效地掌握各種第二層網(wǎng)絡(luò)安全技術(shù)?！毒钟蚓W(wǎng)交換機(jī)安全》同樣可以作為高校計(jì)算機(jī)和通信專業(yè)本科生或研究生學(xué)習(xí)網(wǎng)絡(luò)安全的參考資料。

作者：（美國）維恩克（Eric vyncke） （美國）培根（Christopher paggen） 譯者：孫余強(qiáng) 孫劍

維恩克（Eric Vymcke），獲得比利時(shí)列日大學(xué)計(jì)算機(jī)科學(xué)工程系碩士學(xué)位后在該校任助理研究員。隨后進(jìn)入比利時(shí)網(wǎng)絡(luò)研究院，出任研發(fā)部門的領(lǐng)導(dǎo)。之后加盟西門子出任多個(gè)安全項(xiàng)目（包括-個(gè)代理防火墻項(xiàng)目）的項(xiàng)目經(jīng)理。自1997年起，他被Cisco公司委以杰出咨詢工程師一職，擔(dān)當(dāng)公司歐洲地區(qū)的安全技術(shù)顧問。20年來，Eric從事的專業(yè)領(lǐng)域一直在從第二層到應(yīng)用層的網(wǎng)絡(luò)安全方面。Eric還是幾所比利時(shí)大學(xué)安全研討班的客座教授，經(jīng)常參加各種安全活動(dòng).（如Cisco Live的Networkers、RSA大會(huì)）并發(fā)言。

培根（Christopher Paggen），于1996年加入Cisco，一直從事以局域網(wǎng)交換和安全方面為主的工作。之后，轉(zhuǎn)而負(fù)責(zé)公司當(dāng)前和未來高端防火墻的產(chǎn)品需求定義。Christopher持有幾項(xiàng)美國專利，其中一項(xiàng)與動(dòng)態(tài)ARP檢測(cè)（Dynamic ARP Inspection，DAI）有關(guān)。除CCIE證書（CCIE#2659）外，Christopher還曾獲得HEMES大學(xué)（比利時(shí)）計(jì)算機(jī)科學(xué)學(xué)士學(xué)位，并繼續(xù)在I.IMS大學(xué)（比利時(shí)）學(xué)習(xí)了兩年經(jīng)濟(jì)學(xué)。

第1部分 安全隱患和緩解技術(shù)

第1章 安全導(dǎo)論 3

1.1 安全三要素（Security Triad） 3

1.1.1 保密性（Confidentiality） 4

1.1.2 完整性（Integrity） 5

1.1.3 可用性（Availability） 5

1.1.4 逆向安全三要素（Reverse Security Triad） 5

1.2 風(fēng)險(xiǎn)管理（Risk Management） 6

1.2.1 風(fēng)險(xiǎn)分析 6

1.2.2 風(fēng)險(xiǎn)控制 7

1.3 訪問控制和身份管理 7

1.4 密碼學(xué)（Cryptography） 9

1.4.1 對(duì)稱加密系統(tǒng) 10

1.4.2 非對(duì)稱加密系統(tǒng) 12

1.4.3 針對(duì)加密系統(tǒng)的攻擊 15

1.5 總結(jié) 16

1.6 參考資料 17

第2章 挫敗學(xué)習(xí)型網(wǎng)橋的轉(zhuǎn)發(fā)進(jìn)程 19

2.1 基礎(chǔ)回顧：以太網(wǎng)交換101 19

2.1.1 以太網(wǎng)幀格式 19

2.1.2 學(xué)習(xí)型網(wǎng)橋 21

2.1.3 過量泛洪（Excessive Flooding）的后果 22

2.2 利用橋接表的MAC地址泛洪攻擊 23

2.2.1 強(qiáng)制產(chǎn)生一個(gè)過量泛洪的條件 23

2.2.2 macof工具簡介 26

2.3 MAC欺騙（MAC Spoofing）攻擊：MAC泛洪的變異 30

2.4 預(yù)防MAC地址泛洪及欺騙攻擊 32

2.4.1 探測(cè)MAC Activity 32

2.4.2 port security（端口安全） 32

2.4.3 未知單播泛洪的保護(hù) 35

2.5 總結(jié) 36

2.6 參考資料 37

第3章 攻擊生成樹協(xié)議 39

3.1 生成樹協(xié)議入門 39

3.1.1 STP的類型 41

3.1.2 STP操作的更多細(xì)節(jié) 42

3.2 開始攻擊游戲 48

3.2.1 攻擊1：接管根網(wǎng)橋 50

3.2.2 攻擊2：利用配置BPDU泛洪的DoS 55

3.2.3 攻擊3：利用配置BPDU泛洪的DoS 58

3.2.4 攻擊4：模擬一臺(tái)雙宿主（Dual-Homed）交換機(jī) 58

3.3 總結(jié) 59

3.4 參考資料 59

第4章 VLAN安全嗎 61

4.1 IEEE 802.1Q概覽 61

4.1.1 幀的歸類（Classification） 62

4.1.2 “入鄉(xiāng)隨俗”（go native） 63

4.1.3 802.1Q標(biāo)記棧（802.1Q Tag Stack）攻擊 65

4.2 理解Cisco動(dòng)態(tài)Trunk協(xié)議（Dynamic Trunking Protocol） 69

4.2.1 手動(dòng)發(fā)起一個(gè)DTP攻擊 70

4.2.2 DTP攻擊的反制措施 73

4.3 理解Cisco VTP 74

4.4 總結(jié) 75

4.5 參考資料 75

第5章 利用DHCP缺陷的攻擊 77

5.1 DHCP概覽 77

5.2 攻擊DHCP 80

5.2.1 耗盡DHCP的范圍：針對(duì)DHCP的DoS攻擊 81

5.2.2 利用DHCP無賴服務(wù)器劫持流量 83

5.3 DHCP（范圍）耗盡攻擊的對(duì)策 84

5.3.1 Port Security（端口安全） 85

5.3.2 介紹DHCP snooping 87

5.4 針對(duì)IP/MAC欺騙攻擊的DHCP snooping 91

5.5 總結(jié) 94

5.6 參考資料 95

第6章 利用IPv4 ARP的攻擊 97

6.1 ARP基礎(chǔ)回顧 97

6.1.1 正常的ARP行為 97

6.1.2 免費(fèi)ARP 99

6.2 ARP的風(fēng)險(xiǎn)分析 100

6.3 ARP欺騙（ARP spoofing）攻擊 100

6.3.1 ARP欺騙攻擊諸要素 100

6.3.2 發(fā)起一次ARP欺騙攻擊 102

6.4 緩解ARP欺騙攻擊 103

6.4.1 動(dòng)態(tài)ARP檢測(cè) 104

6.4.2 保護(hù)主機(jī) 107

6.4.3 入侵檢測(cè) 107

6.5 緩解其他的ARP缺陷（vulnerability） 108

6.6 總結(jié) 109

6.7 參考資料 109

第7章 利用IPv6鄰居發(fā)現(xiàn)和路由器通告協(xié)議的攻擊 111

7.1 IPv6簡介 111

7.1.1 IPv6的動(dòng)機(jī) 111

7.1.2 IPv6改變了什么 112

7.1.3 鄰居發(fā)現(xiàn) 116

7.1.4 路由器通告的無狀態(tài)配置 117

7.2 ND和無狀態(tài)配置的風(fēng)險(xiǎn)分析 119

7.3 緩解ND和RA攻擊 120

7.3.1 針對(duì)主機(jī) 120

7.3.2 針對(duì)交換機(jī) 120

7.4 安全的ND 120

7.5 總結(jié) 122

7.6 參考資料 123

第8章 以太網(wǎng)上的供電呢 125

8.1 PoE簡介 125

8.1.1 PoE的工作原理 126

8.1.2 檢測(cè)機(jī)制 126

8.1.3 供電機(jī)制 128

8.2 PoE的風(fēng)險(xiǎn)分析 129

8.3 緩解攻擊 130

8.3.1 防御偷電行為 130

8.3.2 防御改變功率攻擊 131

8.3.3 防御關(guān)閉攻擊 131

8.3.4 防御燒毀攻擊 131

8.4 總結(jié) 132

8.5 參考資料 132

第9章 HSRP適應(yīng)力強(qiáng)嗎 135

9.1 HSRP的工作原理 135

9.2 攻擊HSRP 138

9.2.1 DoS攻擊 139

9.2.2 中間人攻擊 140

9.2.3 信息泄露 140

9.3 緩解HSRP攻擊 140

9.3.1 使用強(qiáng)認(rèn)證 141

9.3.2 依靠網(wǎng)絡(luò)基礎(chǔ)設(shè)施 143

9.4 總結(jié) 144

9.5 參考資料 144

第10章 能打敗VRRP嗎 147

10.1 探索VRRP 147

10.2 VRRP的風(fēng)險(xiǎn)分析 150

10.3 緩解VRRP攻擊 151

10.3.1 使用強(qiáng)認(rèn)證 151

10.3.2 依靠網(wǎng)絡(luò)基礎(chǔ)設(shè)施 152

10.4 總結(jié) 152

10.5 參考資料 152

第11章 Cisco輔助協(xié)議與信息泄露 155

11.1 Cisco發(fā)現(xiàn)協(xié)議 155

11.1.1 深入研究CDP 155

11.1.2 CDP的風(fēng)險(xiǎn)分析 157

11.1.3 緩解CDP的風(fēng)險(xiǎn) 159

11.2 IEEE鏈路層發(fā)現(xiàn)協(xié)議 159

11.3 VLAN Trunking協(xié)議 160

11.3.1 VTP風(fēng)險(xiǎn)分析 161

11.3.2 VTP風(fēng)險(xiǎn)分析 162

11.4 鏈路聚合協(xié)議 163

11.4.1 風(fēng)險(xiǎn)分析 165

11.4.2 風(fēng)險(xiǎn)緩解 166

11.5 總結(jié) 166

11.6 參考資料 167

第2部分 交換機(jī)如何抵抗拒絕服務(wù)攻擊

第12章 拒絕服務(wù)攻擊簡介 171

12.1 DoS攻擊和DDoS攻擊的區(qū)別 171

12.2 發(fā)起DDoS攻擊 172

12.2.1 僵尸行動(dòng)（Zombie） 172

12.2.2 Botnet（僵尸群） 173

12.3 DoS和DDoS攻擊 174

12.3.1 攻擊基礎(chǔ)設(shè)施 174

12.3.2 遏制針對(duì)服務(wù)的攻擊 175

12.4 利用DoS和DDoS攻擊LAN交換機(jī) 175

12.4.1 交換機(jī)的內(nèi)部結(jié)構(gòu) 175

12.4.2 三種平面 176

12.4.3 攻擊交換機(jī) 177

12.5 總結(jié) 180

12.6 參考資料 181

第13章 控制平面的監(jiān)管 183

第14章 屏蔽控制平面協(xié)議 209

第15章 利用交換機(jī)發(fā)現(xiàn)數(shù)據(jù)平面拒絕服務(wù)攻擊（DoS） 223

第3部分 用交換機(jī)來增強(qiáng)網(wǎng)絡(luò)安全

第16章 線速訪問控制列表 243

第17章 基于身份的網(wǎng)絡(luò)服務(wù)與802.1X 255

第4部分 網(wǎng)絡(luò)安全的下一步

第18章 IEEE 802.1AE

附錄