工作交代
工作背景:
A 企业收购 B 企业,合并后两企业技术部和工程部分布在 A 栋和 B 栋某楼层,通过入,层交换机 SW1 和 SW2 接连接起来,经三层交换机 SW3(根交换机)汇聚后,通过 Vlan40,虚拟接口与企业路由器 R1 相连,接入 Internet 路由器 R2。其中 Vlan10 为技术部,Vlan20为工程部,Vlan30 为服务器群。
工作任务:
A栋某员工想获得B栋工程部主机与外网通信的机密信息,将黑客交换机接入SW1和SW2中工程部Vlan20任一接口(E0/0/11-E0/0/22),并将黑客交换机设置为根交换机,以此劫持SW2所有流量,从中分析工程部主机登陆的账号和密码。工程部主机账号屡遭被盗后,管理员发现 SW3 为非根交换机,初步判定为生成树欺骗攻击所致,遂将 SW1 和 SW2 主机接入端口(access)设为边缘端口,避免重演 SW1 和 SW2流量劫持事件。
任务分析:
生成树端口有 disable、blocking、listening、learning、forwarding 5 个状态。交换机边缘端口(Portfast)不收 BPDU,选举时直接从阻塞状态转变为转发状态,不参与生成树选举过程。缺省情况下,交换机所有端口均为非边缘端口。为避免生成树欺骗攻击,可将交换机用于主机接入的端口设为边缘端口。
网络环境
技术部主机 Cloud1 接入 VMnet1 192.168.1.10
工程部主机 Cloud2 接入 VMnet2 192.168.2.10
内网服务器 ENSP Sever 接入 192.168.3.10
公网Web服务器 Cloud3 接入 VMnet3 116.64.100.10/24 BBS web
实验拓扑
工作过程:基本配置
交换机Vlan和端口配置
SW1配置
<SW1>sys [SW1]sysname SW1 [SW1]vlan batch 10 20 [SW1]stp enable [SW1]stp mode rstp [SW1]port-group 1 [SW1-port-group-1]group-member Ethernet 0/0/1 to e 0/0/10 [SW1-port-group-1]port link-type access [SW1-port-group-1]port default vlan 10 [SW1-port-group-1]quit [SW1]port-group 2 [SW1-port-group-2]group-member Ethernet 0/0/11 to Ethernet 0/0/22 [SW1-port-group-2]port link-type access [SW1-port-group-2]port default vlan 20 [SW1-port-group-2]quit [SW1]port-group 3 [SW1-port-group-3]group-member GigabitEthernet 0/0/1 to GigabitEthernet 0/0/2 [SW1-port-group-3]port link-type trunk [SW1-port-group-3]port trunk allow-pass vlan 10 20 [SW1-port-group-3]quit
SW2配置
<SW2>sys [SW2]sysname SW2 [SW2]stp enable [SW2]stp mode rstp [SW2]port-group 1 [SW2-port-group-1]group-member Ethernet 0/0/1 to e 0/0/10 [SW2-port-group-1]port link-type access [SW2-port-group-1]port default vlan 10 [SW2-port-group-1]quit [SW2]port-group 2 [SW2-port-group-2]group-member Ethernet 0/0/11 to Ethernet 0/0/22 [SW2-port-group-2]port link-type access [SW2-port-group-2]port default vlan 20 [SW2-port-group-2]quit [SW2]port-group 3 [SW2-port-group-3]group-member GigabitEthernet 0/0/1 GigabitEthernet 0/0/2 [SW2-port-group-3]port link-type trunk [SW2-port-group-3]port trunk allow-pass vlan 10 20 [SW2-port-group-3]quit
SW3配置
<Huawei>sys [Huawei]sysname SW3 [SW3]vlan batch 10 20 30 40 [SW3]stp enable [SW3]stp mode rstp [SW3]stp root primary [SW3]interface GigabitEthernet 0/0/1 [SW3-GigabitEthernet0/0/1]port link-type trunk [SW3-GigabitEthernet0/0/1]port trunk allow-pass vlan 10 20 [SW3-GigabitEthernet0/0/1]quit [SW3]interface GigabitEthernet 0/0/2 [SW3-GigabitEthernet0/0/2]port link-type trunk [SW3-GigabitEthernet0/0/2]port trunk allow-pass vlan 10 20 [SW3-GigabitEthernet0/0/2]quit [SW3]interface GigabitEthernet 0/0/3 [SW3-GigabitEthernet0/0/3]port link-type access [SW3-GigabitEthernet0/0/3]port default vlan 30 [SW3-GigabitEthernet0/0/2]quit [SW3]interface GigabitEthernet 0/0/4 [SW3-GigabitEthernet0/0/4]port link-type trunk [SW3-GigabitEthernet0/0/4]port trunk allow-pass vlan all [SW3-GigabitEthernet0/0/4]quit [SW3]interface Vlanif 10 [SW3-Vlanif10]ip address 192.168.1.1 24 [SW3-Vlanif10]quit [SW3]interface Vlanif 20 [SW3-Vlanif20]ip address 192.168.2.1 24 [SW3-Vlanif20]quit [SW3]interface Vlanif 30 [SW3-Vlanif30]ip address 192.168.3.1 24 [SW3-Vlanif30]quit [SW3]interface Vlanif 40 [SW3-Vlanif40]ip address 192.168.4.1 24 [SW3-Vlanif40]quit [SW3]interface GigabitEthernet 0/0/4 [SW3-GigabitEthernet0/0/4]port trunk pvid vlan 40 [SW3-GigabitEthernet0/0/4]quit
接口IP与路由协议设置
SW3设置
[SW3]ospf 1 [SW3-ospf-1]area 0 [SW3-ospf-1-area-0.0.0.0]network 192.168.1.0 0.0.0.255 [SW3-ospf-1-area-0.0.0.0]network 192.168.2.0 0.0.0.255 [SW3-ospf-1-area-0.0.0.0]network 192.168.3.0 0.0.0.255 [SW3-ospf-1-area-0.0.0.0]network 192.168.4.0 0.0.0.255 [SW3-ospf-1-area-0.0.0.0]quit [SW3-ospf-1]quit [SW3]ip route-static 0.0.0.0 0.0.0.0 192.168.4.2
R1路由器设置
<Huawei>sys [Huawei]sysname R1 [R1]interface GigabitEthernet 0/0/0 [R1-GigabitEthernet0/0/0]ip address 192.168.4.2 24 [R1-GigabitEthernet0/0/0]quit [R1]interface Serial 2/0/0 [R1-Serial2/0/0]ip address 202.116.64.1 24 [R1-Serial2/0/0]quit [R1]ospf 1 [R1-ospf-1]area 0 [R1-ospf-1-area-0.0.0.0]network 192.168.4.0 0.0.0.255 [R1-ospf-1-area-0.0.0.0]quit [R1-ospf-1]quit [R1]ip route-static 0.0.0.0 0.0.0.0 202.116.64.2
R2路由器设置
<Huawei>sys [Huawei]sysname R2 [R2]interface GigabitEthernet 0/0/0 [R2-GigabitEthernet0/0/0]ip address 116.64.100.1 24 [R2]interface Serial 2/0/0 [R2-Serial2/0/0]ip address 202.116.64.2 24 [R2-Serial2/0/0]quit
路由器R1 Easy IP 配置
[R1]acl 2000 //基本 ACL:<2000-2999>,只能根据源 IP 地址过滤。 [R1-acl-basic-2000]rule permit source 192.168.0.0 0.0.255.255 高级 ACL:<3000-3999>,基于源 IP、目的 IP协议类型等过滤 [R1-acl-basic-2000]quit 类似扩展 ACL。 [R1]interface Serial 2/0/0 [R1-Serial2/0/0]nat outbound 2000 //加载 ACL2000 过滤规则与公网接口出栈之间的转换关,系,即把内 [R1-Serial2/0/0]quit 网 IP 经过滤规则转换为公网接口 IP。
连通性测试
技术部主机和工程部主机配置 IP 后,可以连通公网 Web 服务器,TTL 值为 125
入侵实战:黑客交换机接入与生成树配置
将黑客交换机接入 SW1 和 SW2 中工程部 Vlan20 任一接口(E0/0/11-E0/0/22)
SW3 的 Mac 地址为“4c1f-cc25-7f97”,黑客交换机 Mac 地址为“4c1f-cc11-1e86”。在相同优先级(priority 0)情况下,为使黑客交换机成为根交换机,黑客交换机 Mac 地址必须小于 SW3 的 Mac 地址。由于交换机 Mac 地址无法更改和自定义,需反复尝试,找到适合的交换机作为黑客交换机为止。
黑客交换机生成树配置
<Huawei>system-view [Huawei]sysname Hacker [Hacker]stp enable [Hacker]stp mode rstp [Hacker]stp priority 0
生成树新拓扑结构
验证SW3阻塞端口
[SW3]display stp brief MSTID Port Role STP State Protection 0 GigabitEthernet0/0/1 ROOT FORWARDING NONE 0 GigabitEthernet0/0/2 ALTE DISCARDING NONE //二口已阻塞 0 GigabitEthernet0/0/3 DESI FORWARDING NONE 0 GigabitEthernet0/0/4 DESI FORWARDING NONE [SW3]
验证SW2阻塞端口
<SW2>display stp brief MSTID Port Role STP State Protection 0 Ethernet0/0/11 DESI FORWARDING NONE 0 Ethernet0/0/22 ROOT FORWARDING NONE 0 GigabitEthernet0/0/1 ALTE DISCARDING NONE //一口已阻塞 0 GigabitEthernet0/0/2 DESI FORWARDING NONE <SW2>
这样B栋员工访问web服务器必定就会经过黑客交换机
黑客交换机捕获账号密码
工程部主机登录web服务器,注册登录账号 账号:hougong 密码:123456
在黑客交换机 E0/0/1 或 E0/0/2 接口启用抓包,在 Wireshar 界面点击“查找下一分组”,输入“123456”,下拉选中“字符串”和“分组详情”,可以捕获工程部主机登陆的账号和密码
注:在实际渗透中,可根据经验输入“password =”、“password”、“username=”、“user”、“POST”等关键字找到含有密码和账号字段的数据包,但可能有多个数据包都存在该关键字,需逐个包查找过滤。
防范策略
在交换机 SW1 和 SW2 中,将与主机连接的端口设置为边缘端口
SW1配置
[SW1]port-group 1 [SW1-port-group-1]stp edged-port enable [SW1]port-group 2 [SW1-port-group-2]stp edged-port enable [SW1-port-group-2]quit [SW1]stp bpdu-protection
SW2配置
[SW2]port-group 1 [SW2-port-group-1]stp edged-port enable [SW2-port-group-1]quit [SW2]port-group 2 [SW2-port-group-2]stp edged-port enable [SW2-port-group-2]quit [SW2]stp bpdu-protection
开启交换机 BPDU 保护功能后,SW1 和 SW2 上的 E0/0/22 端口变红,处于 Down 状态,SW3 重选选举为根交换机。
恢复正常
你好博主 连通性测试那里 ping显示传输失败应该检查哪里 谢谢
检查下OSPF与交换机各端口IP,VLAN是否配置有误