ensp生成树欺骗攻击与防御策略

工作交代

工作背景:

   A 企业收购 B 企业,合并后两企业技术部和工程部分布在 A 栋和 B 栋某楼层,通过入,层交换机 SW1 和 SW2 接连接起来,经三层交换机 SW3(根交换机)汇聚后,通过 Vlan40,虚拟接口与企业路由器 R1 相连,接入 Internet 路由器 R2。其中 Vlan10 为技术部,Vlan20为工程部,Vlan30 为服务器群。

工作任务:

   A栋某员工想获得B栋工程部主机与外网通信的机密信息,将黑客交换机接入SW1和SW2中工程部Vlan20任一接口(E0/0/11-E0/0/22),并将黑客交换机设置为根交换机,以此劫持SW2所有流量,从中分析工程部主机登陆的账号和密码。工程部主机账号屡遭被盗后,管理员发现 SW3 为非根交换机,初步判定为生成树欺骗攻击所致,遂将 SW1 和 SW2 主机接入端口(access)设为边缘端口,避免重演 SW1 和 SW2流量劫持事件。

任务分析:

生成树端口有 disable、blocking、listening、learning、forwarding 5 个状态。交换机边缘端口(Portfast)不收 BPDU,选举时直接从阻塞状态转变为转发状态,不参与生成树选举过程。缺省情况下,交换机所有端口均为非边缘端口。为避免生成树欺骗攻击,可将交换机用于主机接入的端口设为边缘端口。

将交换机 E0/0/1 接口配置为边缘端口:[Huawei] interface Ethernet0/0/1    [Huawei-Ethernet0/0/1]stp edged-port enable 

 

网络环境

技术部主机   Cloud1 接入 VMnet1  192.168.1.10

工程部主机   Cloud2 接入 VMnet2  192.168.2.10

内网服务器   ENSP Sever 接入  192.168.3.10

公网Web服务器  Cloud3 接入  VMnet3  116.64.100.10/24  BBS web

实验拓扑

 

工作过程:基本配置

交换机Vlan和端口配置

SW1配置

<SW1>sys
[SW1]sysname SW1
[SW1]vlan batch 10 20
[SW1]stp enable
[SW1]stp mode rstp
[SW1]port-group 1
[SW1-port-group-1]group-member Ethernet 0/0/1 to e 0/0/10
[SW1-port-group-1]port link-type access
[SW1-port-group-1]port default vlan 10
[SW1-port-group-1]quit
[SW1]port-group 2
[SW1-port-group-2]group-member Ethernet 0/0/11 to Ethernet 0/0/22
[SW1-port-group-2]port link-type access
[SW1-port-group-2]port default vlan 20
[SW1-port-group-2]quit
[SW1]port-group 3
[SW1-port-group-3]group-member GigabitEthernet 0/0/1 to GigabitEthernet 0/0/2
[SW1-port-group-3]port link-type trunk 
[SW1-port-group-3]port trunk allow-pass vlan 10 20
[SW1-port-group-3]quit

SW2配置

<SW2>sys
[SW2]sysname SW2
[SW2]stp enable
[SW2]stp mode rstp
[SW2]port-group 1
[SW2-port-group-1]group-member Ethernet 0/0/1 to e 0/0/10
[SW2-port-group-1]port link-type access
[SW2-port-group-1]port default vlan 10
[SW2-port-group-1]quit
[SW2]port-group 2
[SW2-port-group-2]group-member Ethernet 0/0/11 to Ethernet 0/0/22
[SW2-port-group-2]port link-type access
[SW2-port-group-2]port default vlan 20 
[SW2-port-group-2]quit
[SW2]port-group 3
[SW2-port-group-3]group-member GigabitEthernet 0/0/1 GigabitEthernet 0/0/2
[SW2-port-group-3]port link-type trunk
[SW2-port-group-3]port trunk allow-pass vlan 10 20
[SW2-port-group-3]quit

SW3配置

<Huawei>sys
[Huawei]sysname SW3
[SW3]vlan batch 10 20 30 40
[SW3]stp enable
[SW3]stp mode rstp
[SW3]stp root primary
[SW3]interface GigabitEthernet 0/0/1
[SW3-GigabitEthernet0/0/1]port link-type trunk
[SW3-GigabitEthernet0/0/1]port trunk allow-pass vlan 10 20
[SW3-GigabitEthernet0/0/1]quit
[SW3]interface GigabitEthernet 0/0/2 
[SW3-GigabitEthernet0/0/2]port link-type trunk
[SW3-GigabitEthernet0/0/2]port trunk allow-pass vlan 10 20
[SW3-GigabitEthernet0/0/2]quit
[SW3]interface GigabitEthernet 0/0/3
[SW3-GigabitEthernet0/0/3]port link-type access
[SW3-GigabitEthernet0/0/3]port default vlan 30
[SW3-GigabitEthernet0/0/2]quit
[SW3]interface GigabitEthernet 0/0/4
[SW3-GigabitEthernet0/0/4]port link-type trunk
[SW3-GigabitEthernet0/0/4]port trunk allow-pass vlan all
[SW3-GigabitEthernet0/0/4]quit
[SW3]interface Vlanif 10
[SW3-Vlanif10]ip address 192.168.1.1 24
[SW3-Vlanif10]quit
[SW3]interface Vlanif 20
[SW3-Vlanif20]ip address 192.168.2.1 24
[SW3-Vlanif20]quit
[SW3]interface Vlanif 30
[SW3-Vlanif30]ip address 192.168.3.1 24
[SW3-Vlanif30]quit
[SW3]interface Vlanif 40 
[SW3-Vlanif40]ip address 192.168.4.1 24
[SW3-Vlanif40]quit
[SW3]interface GigabitEthernet 0/0/4
[SW3-GigabitEthernet0/0/4]port trunk pvid vlan 40
[SW3-GigabitEthernet0/0/4]quit

 

接口IP与路由协议设置

SW3设置

[SW3]ospf 1
[SW3-ospf-1]area 0
[SW3-ospf-1-area-0.0.0.0]network 192.168.1.0 0.0.0.255
[SW3-ospf-1-area-0.0.0.0]network 192.168.2.0 0.0.0.255
[SW3-ospf-1-area-0.0.0.0]network 192.168.3.0 0.0.0.255
[SW3-ospf-1-area-0.0.0.0]network 192.168.4.0 0.0.0.255
[SW3-ospf-1-area-0.0.0.0]quit
[SW3-ospf-1]quit
[SW3]ip route-static 0.0.0.0 0.0.0.0 192.168.4.2

R1路由器设置

<Huawei>sys
[Huawei]sysname R1
[R1]interface GigabitEthernet 0/0/0
[R1-GigabitEthernet0/0/0]ip address 192.168.4.2 24
[R1-GigabitEthernet0/0/0]quit
[R1]interface Serial 2/0/0
[R1-Serial2/0/0]ip address 202.116.64.1 24
[R1-Serial2/0/0]quit
[R1]ospf 1
[R1-ospf-1]area 0
[R1-ospf-1-area-0.0.0.0]network 192.168.4.0 0.0.0.255
[R1-ospf-1-area-0.0.0.0]quit
[R1-ospf-1]quit
[R1]ip route-static 0.0.0.0 0.0.0.0 202.116.64.2

R2路由器设置

<Huawei>sys
[Huawei]sysname R2
[R2]interface GigabitEthernet 0/0/0
[R2-GigabitEthernet0/0/0]ip address 116.64.100.1 24
[R2]interface Serial 2/0/0
[R2-Serial2/0/0]ip address 202.116.64.2 24
[R2-Serial2/0/0]quit

 

路由器R1 Easy IP 配置

[R1]acl 2000                                                                //基本 ACL:<2000-2999>,只能根据源 IP 地址过滤。
[R1-acl-basic-2000]rule permit source 192.168.0.0 0.0.255.255                 高级 ACL:<3000-3999>,基于源 IP、目的 IP协议类型等过滤
[R1-acl-basic-2000]quit                                                       类似扩展 ACL。
[R1]interface Serial 2/0/0
[R1-Serial2/0/0]nat outbound 2000                                           //加载 ACL2000 过滤规则与公网接口出栈之间的转换关,系,即把内
[R1-Serial2/0/0]quit                                                          网 IP 经过滤规则转换为公网接口 IP。

 

连通性测试

技术部主机和工程部主机配置 IP 后,可以连通公网 Web 服务器,TTL 值为 125

 

入侵实战:黑客交换机接入与生成树配置

将黑客交换机接入 SW1 和 SW2 中工程部 Vlan20 任一接口(E0/0/11-E0/0/22)

SW3 的 Mac 地址为“4c1f-cc25-7f97”,黑客交换机 Mac 地址为“4c1f-cc11-1e86”。在相同优先级(priority 0)情况下,为使黑客交换机成为根交换机,黑客交换机 Mac 地址必须小于 SW3 的 Mac 地址。由于交换机 Mac 地址无法更改和自定义,需反复尝试,找到适合的交换机作为黑客交换机为止。

黑客交换机生成树配置

<Huawei>system-view
[Huawei]sysname Hacker
[Hacker]stp enable
[Hacker]stp mode rstp
[Hacker]stp priority 0

生成树新拓扑结构

验证SW3阻塞端口

[SW3]display stp brief 
 MSTID Port Role STP State Protection
 0 GigabitEthernet0/0/1 ROOT FORWARDING NONE
 0 GigabitEthernet0/0/2 ALTE DISCARDING NONE   //二口已阻塞
 0 GigabitEthernet0/0/3 DESI FORWARDING NONE
 0 GigabitEthernet0/0/4 DESI FORWARDING NONE
[SW3]

验证SW2阻塞端口

<SW2>display stp brief 
 MSTID Port Role STP State Protection
 0 Ethernet0/0/11 DESI FORWARDING NONE
 0 Ethernet0/0/22 ROOT FORWARDING NONE
 0 GigabitEthernet0/0/1 ALTE DISCARDING NONE  //一口已阻塞
 0 GigabitEthernet0/0/2 DESI FORWARDING NONE
<SW2>

这样B栋员工访问web服务器必定就会经过黑客交换机

 

黑客交换机捕获账号密码

工程部主机登录web服务器,注册登录账号 账号:hougong 密码:123456

在黑客交换机 E0/0/1 或 E0/0/2 接口启用抓包,在 Wireshar 界面点击“查找下一分组”,输入“123456”,下拉选中“字符串”和“分组详情”,可以捕获工程部主机登陆的账号和密码

注:在实际渗透中,可根据经验输入“password =”、“password”、“username=”、“user”、“POST”等关键字找到含有密码和账号字段的数据包,但可能有多个数据包都存在该关键字,需逐个包查找过滤。

 

防范策略

在交换机 SW1 和 SW2 中,将与主机连接的端口设置为边缘端口

SW1配置

[SW1]port-group 1
[SW1-port-group-1]stp edged-port enable
[SW1]port-group 2
[SW1-port-group-2]stp edged-port enable
[SW1-port-group-2]quit
[SW1]stp bpdu-protection

SW2配置

[SW2]port-group 1
[SW2-port-group-1]stp edged-port enable
[SW2-port-group-1]quit
[SW2]port-group 2
[SW2-port-group-2]stp edged-port enable 
[SW2-port-group-2]quit
[SW2]stp bpdu-protection

开启交换机 BPDU 保护功能后,SW1 和 SW2 上的 E0/0/22 端口变红,处于 Down 状态,SW3 重选选举为根交换机。

恢复正常

作者: 红烧悠鸽
本文采用 CC BY-NC-SA 4.0 协议
暂无评论

发送评论 编辑评论


				
|´・ω・)ノ
ヾ(≧∇≦*)ゝ
(☆ω☆)
(╯‵□′)╯︵┴─┴
 ̄﹃ ̄
(/ω\)
∠( ᐛ 」∠)_
(๑•̀ㅁ•́ฅ)
→_→
୧(๑•̀⌄•́๑)૭
٩(ˊᗜˋ*)و
(ノ°ο°)ノ
(´இ皿இ`)
⌇●﹏●⌇
(ฅ´ω`ฅ)
(╯°A°)╯︵○○○
φ( ̄∇ ̄o)
ヾ(´・ ・`。)ノ"
( ง ᵒ̌皿ᵒ̌)ง⁼³₌₃
(ó﹏ò。)
Σ(っ °Д °;)っ
( ,,´・ω・)ノ"(´っω・`。)
╮(╯▽╰)╭
o(*////▽////*)q
>﹏<
( ๑´•ω•) "(ㆆᴗㆆ)
😂
😀
😅
😊
🙂
🙃
😌
😍
😘
😜
😝
😏
😒
🙄
😳
😡
😔
😫
😱
😭
💩
👻
🙌
🖕
👍
👫
👬
👭
🌚
🌝
🙈
💊
😶
🙏
🍦
🍉
😣
Source: github.com/k4yt3x/flowerhd
颜文字
Emoji
小恐龙
花!
上一篇
下一篇