前言

構(gòu)建零信任網(wǎng)絡(luò)，自然離不開(kāi)網(wǎng)絡(luò)準(zhǔn)入(NAC)，這就涉及到交換機(jī)的一些安全測(cè)試，于是有了此文《從交換機(jī)安全配置看常見(jiàn)局域網(wǎng)攻擊》。

交換機(jī)安全配置

如本文標(biāo)題所說(shuō)從交換機(jī)安全配置看常見(jiàn)的局域網(wǎng)攻擊，那么下面提到的各種攻擊方式，自然是建立在交換機(jī)安全配置之上來(lái)說(shuō)的。我們通過(guò)h3c官方提供的《H3C 交換機(jī)安全加固手冊(cè)》和《安全配置指導(dǎo)》，從這兩份手冊(cè)可以看出交換機(jī)支持的安全配置非常多，基本已經(jīng)覆蓋了各種我們熟知局域網(wǎng)攻擊。下面就挑幾個(gè)典型的攻擊方式進(jìn)行演示。

arp欺騙

【一>所有資源關(guān)注我，私信回復(fù)“資料”獲取<一】
1、電子書(shū)籍（白帽子）
2、安全大廠內(nèi)部視頻
3、100份src文檔
4、常見(jiàn)安全面試題
5、ctf大賽經(jīng)典題目解析
6、全套工具包
7、應(yīng)急響應(yīng)筆記
8、網(wǎng)絡(luò)安全學(xué)習(xí)路線

原理

在每臺(tái)主機(jī)都有一個(gè)ARP緩存表，緩存表中記錄了IP地址與mac地址的對(duì)應(yīng)關(guān)系，而局域網(wǎng)數(shù)據(jù)傳輸依靠的是MAC地址。ARP緩存表機(jī)制存在一個(gè)缺陷，就是當(dāng)請(qǐng)求主機(jī)收到ARP應(yīng)答包后，不會(huì)去驗(yàn)證自己是否向?qū)Ψ街鳈C(jī)發(fā)送過(guò)ARP請(qǐng)求包，就直接把這個(gè)返回包中的IP地址與MAC地址的對(duì)應(yīng)關(guān)系保存進(jìn)ARP緩存表中，如果原有相同IP對(duì)應(yīng)關(guān)系，原有的則會(huì)被替換。

那么攻擊者就可以發(fā)送惡意廣播消息，告訴目標(biāo)我是某某主機(jī)，毒化目標(biāo)主機(jī)arp緩存表，這就是arp欺騙。

工具

arpspoof

Ettercap

bettercap

arp攻擊主要有如下兩種場(chǎng)景：

arp斷網(wǎng)攻擊，主要原理是：毒化目標(biāo)主機(jī)arp緩存表，欺騙網(wǎng)關(guān)地址；

中間人嗅探，主要原理是：目標(biāo)主機(jī)和網(wǎng)關(guān)雙向欺騙，需配合路由轉(zhuǎn)發(fā)功能。

攻擊演示

這里，我們采用bettercap進(jìn)行arp攻擊演示。

攻擊者：192.168.6.3

目標(biāo)：192.168.6.5

1.啟動(dòng)bettercap，如果機(jī)器有多網(wǎng)卡需指定對(duì)應(yīng)網(wǎng)卡，http-ui根據(jù)個(gè)人喜好決定是否開(kāi)啟。具體命令如下所示：

sudo ./bettercap -caplet http-ui -iface en0

如下顯示即為成功

賬號(hào)密碼在http-ui.cap里面可以找到

2.主機(jī)探測(cè)：

進(jìn)入LAN選項(xiàng)卡，開(kāi)始進(jìn)行主機(jī)探測(cè)。

也可以直接在終端輸入命令開(kāi)啟，如下

3.配置開(kāi)啟arp欺騙

進(jìn)入Advanced選項(xiàng)卡開(kāi)始進(jìn)行arp欺騙，如下所示。

默認(rèn)會(huì)欺騙整個(gè)局域網(wǎng)主機(jī)，我們按需進(jìn)行配置，配置目標(biāo)ip，把fullduplex一起打開(kāi)可以欺騙還可以網(wǎng)關(guān)(雙向)。

然后回來(lái)LAN選項(xiàng)卡，可以看著這個(gè)小圖標(biāo)即為配置成功。

最后再來(lái)看下效果

如上可以看到攻擊成功的效果，目標(biāo)機(jī)器arp表里面網(wǎng)關(guān)mac被改成了攻擊者的mac。

再看看交換機(jī)的路由表也一樣如此。

wireshark抓包結(jié)果如下，一目了然。

arp欺騙防御

接下來(lái)我們?cè)賮?lái)看看交換機(jī)如何防護(hù)這種攻擊。

通過(guò)翻官方手冊(cè)，找到如下這條：

進(jìn)行簡(jiǎn)單配置后，達(dá)到了預(yù)期效果。

system-view
arp check enable
arp user-ip-conflict record enable

為了更全面的防御各種ARP攻擊，最后整理出如下配置：

system-view
arp check enable
# arp spoof
arp user-ip-conflict record enable
# arp flood
arp source-suppression enable
arp source-suppression limit 100
arp resolving-route enable
arp resolving-route probe-count 5
arp resolving-route probe-interval 3
arp valid-check enable
arp active-ack enable

DNS欺騙

原理

需要和ARP欺騙配合使用，當(dāng)ARP欺騙成功后，嗅探到對(duì)方發(fā)出的DNS請(qǐng)求數(shù)據(jù)包，分析數(shù)據(jù)包取得ID和端口號(hào)后，向目標(biāo)發(fā)送自己構(gòu)造好的一個(gè)DNS返回包，對(duì)方收到DNS應(yīng)答包后，發(fā)現(xiàn)ID和端口號(hào)全部正確，即把返回?cái)?shù)據(jù)包中的域名和對(duì)應(yīng)的IP地址保存進(jìn)DNS緩存表中，而后來(lái)的當(dāng)真實(shí)的DNS應(yīng)答包返回時(shí)則被丟棄。

工具

Ettercap

bettercap

dns欺騙主要用途就是用來(lái)釣魚(yú)。

攻擊演示

我們還是用bettercap進(jìn)行演示：

配置并啟用arp欺騙。

配置dns欺騙

此處為了方便演示，我們起了一臺(tái)kali當(dāng)web服務(wù)器，待會(huì)兒dns欺騙會(huì)用到。

再配置dns欺騙，此處用博客進(jìn)行演示，讓域名解析到192.168.6.3上，也是就之前配置好的kali。

然后我們?cè)诒黄垓_的主機(jī)上主動(dòng)發(fā)起dns查詢，可以看到符合我們的預(yù)期。

我們?cè)儆脀ireshark篩選一下結(jié)果如下，可以看到成功偽造了dns應(yīng)答包。

Bettercap更多模塊使用，請(qǐng)直接查看官方文檔。

https://www.bettercap.org/modules/

關(guān)于arp攻擊最常見(jiàn)的就是上面演示的兩種，除此之外還有一些攻擊如arp泛洪之類的，由于操作比較簡(jiǎn)單，這里不做演示。可用下面工具進(jìn)行測(cè)試：

https://github.com/davidgfnet/net-tools

https://github.com/EmreOvunc/ARP-Poisoning-Tool

DHCP Flood

原理

攻擊源發(fā)送大量DHCP請(qǐng)求報(bào)文給DHCP服務(wù)器，占用DHCP服務(wù)器大量的CPU資源并耗盡DHCP服務(wù)器上的地址空間，使合法的DHCP客戶端無(wú)法獲取到IP地址。

工具

這里主要采用yersinia進(jìn)行演示：

https://github.com/kamorin/DHCPig

https://github.com/tomac/yersinia

yersinia介紹

yersinia是一款針對(duì)交換機(jī)二層網(wǎng)絡(luò)的攻擊工具，功能包括：

支持針對(duì)以下網(wǎng)絡(luò)協(xié)議的攻擊：

生成樹(shù)協(xié)議 (STP)

思科發(fā)現(xiàn)協(xié)議 (CDP)

動(dòng)態(tài)中繼協(xié)議 (DTP)

動(dòng)態(tài)主機(jī)配置協(xié)議 (DHCP)

熱備路由器協(xié)議 (HSRP)

802.1q

802.1x

交換機(jī)間鏈路協(xié)議 (ISL)

VLAN 中繼協(xié)議 (VTP)

攻擊演示

1.以圖形化界面方式啟動(dòng)

yersinia -G

2.配置并啟動(dòng)dhcp攻擊

開(kāi)始前，先看看dhcp的ip使用情況，可以看到一切正常。

回到kali開(kāi)始配置，切換到DHCP選項(xiàng)卡，可以看到支持四種模式，我們只需要選擇支持dos的就可以發(fā)起DHCP Flood攻擊。

kali發(fā)起攻擊后，到交換機(jī)再看ip池的使用，如下圖可以看到已經(jīng)使用了很多ip。這種攻擊主要是把dhcp的ip池占滿，那么別的客戶端就不能正常獲取ip了。

DHCP攻擊防御

# 配置DHCP Flood攻擊檢測(cè)最大報(bào)文數(shù)為2，檢測(cè)時(shí)間為9000毫秒
dhcp flood-protection threshold 2 9000
# 配置DHCP Flood攻擊表項(xiàng)老化時(shí)間為90秒
dhcp flood-protection aging-time 90
# 配置DHCP Snooping

最后

這些xp時(shí)代的技術(shù)放到今天已經(jīng)不好用了，在實(shí)戰(zhàn)中也基本不會(huì)用上這些攻擊方式，只能說(shuō)時(shí)代變了。