win10修改mac地址的三种方法 win10修改mac地址方式

日期:2023-03-26发布:大骄傲

win10修改mac地址的三种方法 win10修改mac地址方式

win10修改mac地址的三种方法 win10修改mac地址方式?很多人不了解,今天趣百科为大家带来相关内容,下面为大家带来介绍。

端口安全技术

Port-Security

01

MAC地址表的洪水攻击

黑客利用PC上的工具伪造大量无效的源MAC地址充斥交换机,交换机不断学习,以至于交换机MAC地址列表(也叫CAM列表)被填满。

当交换机的MAC地址表被填满时,正常主机的MAC地址在老化后无法添加到MAC地址表中,导致后续数据被广播。

这时候交换机就像一个hub,接收到的流量数据帧会泛洪到所有端口。

此时,黑客可以监控PC泛洪流量来收集流量样本或发起DOS(拒绝服务)攻击。

端口安全:在交换机的接入接口打开。

设置白名单地址:限制一个接入接口上学习到的MAC地址数量的上限,接口会缓存之前学习到的PC的MAC地址并加入白名单;当该接口学习到的MAC地址超过上限时,交换机会将该地址列入黑名单,并启动惩罚机制。有三种主要类型:

1.关机:默认处理方式;将接口设置为错误禁用状态相当于关闭端口并交换机会提示日志。

如果端口进入错误禁用状态,默认情况下不会自动恢复。恢复方法有:

手动恢复,进入端口,先关端口,再关端口,再恢复正常状态。

自动恢复:设置错误禁用定时器。当端口进入错误禁用状态时,它将开始计时。定时器超时后,端口状态会自动恢复。

2.restrict:丢弃非法MAC地址的数据包,但端口处于UP状态,交换机记录非法数据包(相当于计入信用);同时交换机会提示日志。

3.保护:丢弃非法MAC地址的数据包,但端口处于UP状态。交换机不会记录非法数据包,也不会提示日志。

如果非管理员使用电脑连接交换机的接入接口,然后通过老化的MAC地址列表连接互联网,登录交换机修改或删除部分配置;要提高交换机的管理安全性:

配置静态绑定MAC地址:在接口上手动配置静态MAC地址,并将其添加到白名单中。

如果企业的网络规模很大,我们手动绑定地址有点不现实。所以,这时候我们就需要利用端口安全的粘性特性,可以将交换机接口学习到的MAC动态添加到运行配置中,形成绑定关系。

接入身份认证802.1x认证:

82.1x协议源于IEEE的WLAN协议802.11。

以太网不提供访问认证,只要用户可以访问局域网控制设备,就可以访问局域网中的设备或资源。

802.1X是一种基于客户机/服务器模式的访问控制和认证协议,根据用户ID或设备对网络客户机进行认证,提高了以太网访问的安全性。

认证架构NAC:

请求方系统RPC:请求方通常是支持802.1x认证的用户终端设备,用户通过启动客户端软件发起802.1x认证。

认证系统NAS:认证系统通常是支持802.1x协议的网络设备。它为请求者提供服务端口,可以是物理端口,也可以是逻辑端口。一般来说,802.1x认证是在用户接入设备(如局域网交换机和AP)上实现的。

认证服务器:使用AAA服务器结合ACS 5.2/ISE 2.2软件实现认证和授权功能。

由802.1x定义的eapol(局域网上的可扩展认证协议)协议在请求者和认证系统之间运行;

当认证系统工作在中继模式时,认证系统和认证服务器也运行EAP协议。认证数据封装在EAP帧中,协议承载在其他高层协议(如RADIUS)中,以便穿越复杂网络到达认证服务器。

认证系统接收EAPoL消息,将其转换为其他认证协议(如RADIUS),并将用户认证信息发送到认证服务器系统。

认证系统的每个物理端口包含一个受控端口和一个非受控端口,非受控端口始终处于双向连接状态,主要用于传输EAPoL协议帧,以保证接收认证请求者发送的EAPoL报文。

受控端口只有在认证通过的状态下才打开,用于传递网络资源和服务。

认证过程:

1、客户端向接入设备发送一个EAPoL-Start报文,开始802.1x认证接入;

2、接入设备向客户端发送EAP-Request/Identity报文,要求客户端出示用户名;

3、客户端回应一个EAP-Response/Identity给接入设备的请求,包括用户名;

4、接入设备将EAP-Response/Identity报文封装到RADIUS Access-Request报文中,发送给AAA认证服务器;

5、认证服务器产生一个Challenge,通过接入设备将RADIUS Access-Challenge报文发送给客户端,其中包含有EAP-Request/MD5-Challenge;

6、接入设备通过EAP-Request/MD5-Challenge发给客户端,要求客户端认证;

7、客户端收到EAP-Request/MD5-Challenge报文后,将密码和Challenge做MD5后的Challenged-Pass-word,在EAP-Response/MD5-Challenge回给接入设备;

8、接入设备将Challenge、Challenged Password和用户名一起送到认证服务器,由RADIUS服务器进行认证。

9、RADIUS服务器根据用户信息,做MD5算法,判断用户是否合法,然后回应认证成功/失败报文到接入设备。如果成功,携带协商参数,以及用户的相关业务属性给用户授权。如果认证失败,则流程到此结束;

10、如果认证通过,用户通过标准的DHCP协议 (可以是DHCP Relay) ,通过接入设备获取规划的IP地址;

11、如果认证通过,接入设备发起计费开始请求给RADIUS用户认证服务器;

12、RADIUS用户认证服务器回应计费开始请求报文。用户上线完毕。

认证模式:基于端口认证模式和基于MAC地址认证

基于端口认证模式:在模式下只要连接到端口的某个设备通过认证,其他设备则不需要认证,就可以访问网络资源。

基于MAC地址认证:该模式下连接到同一端口的每个设备都需要单独进行认证。

对无法进行802.1X验证的硬件设备配置Mac Address Bypass(MAB)功能

当启用IEEE 802.1x认证的端口连接的设备是打印机(或者其他无法进行交互认证的设备)时,应当使用此特性。

原理:如果交换机等待客户端返回IEEE 802.1x认证的EAPOL响应包超时,交换机就会尝试使用基于Mac地址的免认证特性来识别客户端,当某个IEEE 802.1x认证端口启用Mac地址的免认证特性时,交换机就会使用Mac地址作为客户端的身份标记,把客户端的Mac地址作为用户名和密码发送给认证服务器RADIUS-access/request帧,认证服务器有一个允许使用网络的客户端MAC地址数据库,如果认证通过,交换机就会让客户端使用网络

如果认证失败且未定义失败动作时,交换机会把端口分配到一个预先指定的Guest Vlan。

*只能够在已经启用了IEEE 802.1x认证的端口使用基于mac地址的免认证特性。

*如果配置了Guest VLAN,当客户端属于一个非法的mac时,只有未在Lanenfocer上设置失败动作的时候,交换机才会把客户端分配到Guest VLAN。

02

基于VLAN的攻击

由于思科交换机的接口默认是开启DTP协议,接口工作在Auto协商的模式,当它接收到DTP帧后,会自动协商成为Trunk链路,恶意终端设备通过模拟DTP报文欺骗交换机,就可以访问和接收所有放行VLAN的数据。

*把接入接口配置为access模式

*接口关闭DTP协商

*在全局或接口开启BPDU GUARD或者接口开启BPDU FILTER,前者收到BPDU直接关闭接口,较强硬,后者完全忽略BPDU数据包,较温和。

基于双层标签实现VLAN跳转攻击:恶意终端系统发送双层802.1Q标签的数据帧,接收到该帧的第一台交换机会剥离第一层标签,如果Trunk的Native VLAN等于该层的标签中的VLAN ID,交换机就会把这个包含第二层的数据帧从Trunk转发出去,接收到该帧的第二台交换机则会根据这第二层的VLAN标记转发到目的VLAN中去。

ISL属于思科专有技术,是设备中使用的扩展分组报头的紧凑形式,每个分组总会获得一个标记,没有标识丢失风险,因而可以提高安全性。

*严格限制交换机的Access接口不能收到带有vlan标记的数据帧

*把所有未使用的接口配置为Access

*所有未使用的接口放入一个VLAN中,这个VLAN不承载任何数据流量

*NATIVE VLAN与任何数据VLAN不相同。

*手工指定Trunk模式,不要Auto和Desirable

*在Trunk上排除放行NATIVE VLAN

基于VTP的VLAN攻击

恶意黑客通过连接到交换机,并在自己的计算机和交换机之间建立一条中继,就可以充分利用VTP,黑客可以发送VTP消息到配置版本号高于当前的VTP服务器,这会导致所有交换机都与恶意黑客的计算机进行同步,从而把所有非默认的VLAN从VLAN数据库中移除出去;这样黑客就可以让VTP为己所用,移除网络上的所有VLAN(除了默认的VLAN外),这样他就可以进入其他每个用户所在的同一个VLAN上。

03欺骗攻击

DHCP的欺诈攻击DHCP Sproofing:

  

DHCP Sproofing同样是一种中间人攻击方式

DHCP是提供IP地址分配的服务,当局域网中的PC设置为自动获取IP,就会在启动后发送广播包请求IP地址,DHCP服务器(如路由器)会分配一个IP地址给PC

攻击者可以通过伪造大量的IP请求包,消耗掉现有DHCP服务器的IP资源,当有PC请求IP的时候,DHCP服务器就无法分配IP(黑客在局域网内,PC会先收到黑客分配的IP地址)

这时攻击者可以伪造一个DHCP服务器给PC分配网关地址,PC发送的任何数据都会经过黑客主机;此时黑客就能监听PC发送的流量,达到收集流量样本或者发起拒绝服务DDOS攻击。

DHCP嗅探/snooping:

通过建立和维护DHCP Snooping绑定表,包含不信任区域的用户MAC地址、IP地址、租用期、VLAN-ID 接口等信息,通过这张表来判定IP地址或者mac地址是否合法,通过过滤不可信任的DHCP信息来限制用户连接到网络的

当交换机开启了 DHCP-Snooping后,会对DHCP报文进行侦听,并从接收到的DHCP Request或DHCP Ack报文中提取并记录IP地址和MAC地址信息,形成一张DHCP Snooping绑定表(可以手工指定)

另外DHCP-Snooping允许将某个物理端口设置为信任端口或不信任端口

信任端口可以正常接收并转发DHCP Offer报文,而不信任端口会将接收到的DHCP Offer报文丢弃,这样交换机可以对假冒DHCP Server进行屏蔽,确保客户端从合法的DHCP Server获取IP地址。

在一个交换区块内的所有交换机上面都启用,先在全局启用DHCP Snooping,然后针对有使用者PC的VLAN进行启用

启用了DHCP Snooping的接口默认对应两种状态,信任接口trust或非信任接口untrust

在交换机上,将连接合法DHCP服务器的接口配置为trust,trust接口上可以收发的来自DHCP server/client的全部报文

而untrust接口(默认状态)上收到的来自DHCP server的报文被过滤掉(可以收发DHCP客户端发送的报文,也可以发送DHCP服务器产生的报文),就可以防止非法的DHCP server接入。

部署了DHCP Snooping了交换机本地,会维护一张DHCP snooping的绑定数据库(binding database),用于保存侦听到的DHCP交互的表项,信息包括(针对untrust接口的):MAC地址、IP地址(DHCP分配的)、租期、绑定类型、VLAN号、接口编号(DHCP客户端也就是连接客户端PC的untrust接口)

DHCP snooping banding databse除了可以做一些基本的安全接入控制,还能够用于防ARP欺骗等一系列的防范攻击解决方案。

DHCP中继代理信息选项option 82:是DHCP报文中的一个选项,其编号为82;

  

Code:82 LEN:长度,Ag Inf field,不包含code及len字段的长度。

Option 82中可包含多个suboption:

  

Subopt:子选项编号,如果是circuit ID则值为1,remote ID则值为2

Len:Sub-option Value的字节个数,不包括Sub opt和Len字段的两个字节

Option 82子选项1:即Circuit ID,它表示接收到的DHCP请求报文来自的电路标识,这个标识只在中继代理节点内部有意义,在服务器端不可以解析其含义,只作为一个不具含义的标识使用。一般情况下,默认是接收到DHCP请求报文的接入交换机Vlan ID加接入二层端口名称,如Vlan 2+Ethernet0/0/10

通常子选项1与子选项2要共同使用来标识DHCP客户端的信息

基于Option 82可以实现基于策略的DHCP的地址分发。

Option 82子选项2:即Remote ID,一般情况下为插入该option82信息的接入层交换机的MAC地址。

一台支持DHCP snooping的交换机,如果在其untrust接口上,收到来自下游交换机发送的、且带有option 82的DHCP报文,则默认的动作是丢弃这些报文。

如果该交换机开启了DHCP snooping并且带有option 82的DHCP报文是在trusted接口上收到的,则交换机接收这些报文,但是不会根据报文中包含的相关信息建立DHCP bingding databse表项。

DHCP snooping防范DHCP的饥饿攻击:DHCP Starvation是用虚假的MAC地址广播DHCP请求

如果发送了大量的请求,攻击者可以在一定时间内耗尽DHCP Servers可提供的地址空间

DHCP snooping可以帮助防范DHCP Starvation,

限制一个untrust接口每分钟最多可以接收多少disscover个报文。

【相关文章】

数字货币交易平台有哪些? 十大数字货币交易平台

csgo租饰品平台app哪个好 csgo什么箱子值得开

山东农村全部拆迁吗_农村5年内全部拆迁吗_主要涉及六种村庄

花呗用不了是怎么回事_花呗无法使用是什么原因_主要是6个原因

车险哪个保险公司信誉最好_买车险哪个保险公司好_主要是看这两点

公积金买二套房规定_住房公积金买二套房有什么规定_主要是三个规定

THE END

本文地址:https://www.qubaike.com/hotnews/i5scol3b.html

声明:本文信息为网友自行发布旨在分享与大家阅读学习,文中的观点和立场与本站无关,如对文中内容有异议请联系处理。