局域网安全教程 HSRP攻击和防范的方法介绍(图文教程)
HSRP的工作原理在这就不介绍了,相信大家都知道。<br />这是只讲一下HSRP 的特点: <br /><ol style="PADDING-BOTTOM: 0px; MARGIN: 0px; PADDING-LEFT: 0px; PADDING-RIGHT: 0px; PADDING-TOP: 0px">
<li style="PADDING-BOTTOM: 0px; LIST-STYLE-TYPE: none; MARGIN: 0px 0px 0px 20px; PADDING-LEFT: 0px; PADDING-RIGHT: 0px; PADDING-TOP: 0px">1 HSRP 虚拟出一个全新的IP 和MAC地址。 </li>
<li style="PADDING-BOTTOM: 0px; LIST-STYLE-TYPE: none; MARGIN: 0px 0px 0px 20px; PADDING-LEFT: 0px; PADDING-RIGHT: 0px; PADDING-TOP: 0px">2 HSRP的主播地址版本1是224.0.0.2(所有局域网的路由器),版本2的主播地址是 224.0.0.102(所有HSRP路由器)。 </li>
<li style="PADDING-BOTTOM: 0px; LIST-STYLE-TYPE: none; MARGIN: 0px 0px 0px 20px; PADDING-LEFT: 0px; PADDING-RIGHT: 0px; PADDING-TOP: 0px">HSRP的TTL为1,所以不可能实现跨网攻击。 </li>
<li style="PADDING-BOTTOM: 0px; LIST-STYLE-TYPE: none; MARGIN: 0px 0px 0px 20px; PADDING-LEFT: 0px; PADDING-RIGHT: 0px; PADDING-TOP: 0px">默认的验证密码是明文"cisco" </li>
<li style="PADDING-BOTTOM: 0px; LIST-STYLE-TYPE: none; MARGIN: 0px 0px 0px 20px; PADDING-LEFT: 0px; PADDING-RIGHT: 0px; PADDING-TOP: 0px">IPV4使用UDP的1985端口,IPV6使用的是UDP的2029端口。 </li>
</ol>
虚拟MAC的构成方法:<br /><img style="BORDER-BOTTOM-STYLE: none; PADDING-BOTTOM: 0px; BORDER-RIGHT-STYLE: none; MARGIN: 0px; PADDING-LEFT: 0px; PADDING-RIGHT: 0px; BORDER-TOP-STYLE: none; VERTICAL-ALIGN: top; BORDER-LEFT-STYLE: none; PADDING-TOP: 0px" border="0" alt="\" src="//img.jbzj.com/file_images/article/201205/201205141159474.png" /><br />下面通过抓包验证上面的正确性:<br />一 MAC 我设置的是10<br /><img style="BORDER-BOTTOM-STYLE: none; PADDING-BOTTOM: 0px; BORDER-RIGHT-STYLE: none; MARGIN: 0px; PADDING-LEFT: 0px; PADDING-RIGHT: 0px; BORDER-TOP-STYLE: none; VERTICAL-ALIGN: top; BORDER-LEFT-STYLE: none; PADDING-TOP: 0px" border="0" alt="\" width="650" src="https://img.jbzj.com/file_images/article/201205/201205141159475.png" /><br />二 明文密钥的验证:<br /><img style="BORDER-BOTTOM-STYLE: none; PADDING-BOTTOM: 0px; BORDER-RIGHT-STYLE: none; MARGIN: 0px; PADDING-LEFT: 0px; PADDING-RIGHT: 0px; BORDER-TOP-STYLE: none; VERTICAL-ALIGN: top; BORDER-LEFT-STYLE: none; PADDING-TOP: 0px" border="0" alt="\" src="//img.jbzj.com/file_images/article/201205/201205141159476.png" /><br />三 TTL验证<br /><img style="BORDER-BOTTOM-STYLE: none; PADDING-BOTTOM: 0px; BORDER-RIGHT-STYLE: none; MARGIN: 0px; PADDING-LEFT: 0px; PADDING-RIGHT: 0px; BORDER-TOP-STYLE: none; VERTICAL-ALIGN: top; BORDER-LEFT-STYLE: none; PADDING-TOP: 0px" border="0" alt="\" width="650" src="https://img.jbzj.com/file_images/article/201205/201205141159477.png" /><br />通过上面的我们可以看出其实攻击一个HSRP很容易,我们用笔记本安装一个假路由器 ,先用抓包软件分析一下是不是用了HSRP,然后将假路由器 www.jb51.net priority为255,然后丢弃收到的所有数据包就能实现一个DOS攻击。<br />当然HSRP 也是一个网关,用中间人攻击也可用轻松实现攻击。<br />防范:<br />1采用强认证<br />key chain hsrp<br style="PADDING-BOTTOM: 0px; MARGIN: 0px; PADDING-LEFT: 0px; PADDING-RIGHT: 0px; PADDING-TOP: 0px" /> key 1<br style="PADDING-BOTTOM: 0px; MARGIN: 0px; PADDING-LEFT: 0px; PADDING-RIGHT: 0px; PADDING-TOP: 0px" /> key-string root<br /> <br />standby 10 authentication md5 key-chain hsrp<br /> <br />验证:<br /> <br /><img style="BORDER-BOTTOM-STYLE: none; PADDING-BOTTOM: 0px; BORDER-RIGHT-STYLE: none; MARGIN: 0px; PADDING-LEFT: 0px; PADDING-RIGHT: 0px; BORDER-TOP-STYLE: none; VERTICAL-ALIGN: top; BORDER-LEFT-STYLE: none; PADDING-TOP: 0px" border="0" alt="\" src="//img.jbzj.com/file_images/article/201205/201205141159478.png" /><br />存在的问题:<br />这种方法对重放攻击是没有办法的 我们可以采取VLAN MAP和IOS ACL<br />限制只允许合法的HSRP协议,和端口安全等。<br /> 说明 由于我抓包软件的原因HSRP 的版本显示错误的 。本人由于水平有限难免出现错误希望朋友能指出错误<br />配置如下:ftp://down1_user:jb51@files.jb51.net:81/201205/yuanma/HSRP0514_jb51.rar
頁:
[1]