HCIP学习--扩展知识点

端口镜像-SPAN

抓包软件只能抓取经过本地的网卡的流量

也就是抓取流量只能抓取本设备的流量

[r1]observe-port interface GigabitEthernet 0/0/2   定义一个SPAN的会话,然后定义监控接口(也就是你要用的接口,你连接这个接口来对其他接口抓包)

[r1]interface GigabitEthernet 0/0/0

[r1-GigabitEthernet0/0/0]mirror to observe-port inbound   流量抓取的接口,将G0/0/0的接口映射到SPAN的会话中

[r1-GigabitEthernet0/0/0]int g0/0/1

[r1-GigabitEthernet0/0/1]mirror to observe-port inbound

总结:G0/0/0与G0/0/1接口间的所有流量,都镜像到G0/0/2一份;可以在连接G0/0/2的设备上使用数据分析软件来进行数据分析

注:抓完包后把这个记录删掉,不然G0/0/2接口将会永远有其他两个接口的流量,G0/0/2接口的上网体验会特别差

另一种抓取流量的方法,看下图,只抓取市场部的一台电脑的流量

C1对应源流量,b1对应监控接口,p1是将c1和b1组成一个策略,最终接口上调用p1策略

DHCP

动态主机配置协议  统一分发管理IP地址

成为DHCP服务器的条件

 该设备必须存在接口或网卡能够为所需要获取ip地址的设备提供广播服务
该接口或网卡必须已经配置合法ip地址, 且可以正常通讯-静态ip地址

工作过程(1)

HCIA学习--DHCP动态主机配置协议,免费ARP_板栗妖怪的博客-CSDN博客

华为服务器均使用单播进行回复,cisco或微软基于广播进行回复;

华为的单播使用准备给客户端的ip地址来作为单播回复时的目标ip地址,主要还是基于MAC地址进行回复

配置实现

下面的图有两种配置方案

来解释其中的几条命令

 excluded-ip-address 192.168.1.2 意味着这个地址不给人分配

 excluded-ip-address 192.168.1.2 to 192.168.1.100 意味着这个地址范围不给人分配

可以用来限制广播域用户数量

dhcp  sever lease day 2 hour 0 minute 0 调整租期默认是1天

工作过程(2)

来解释租期的一些事情

DHCP中继

现在用的少了,因为现在都是在三层架构上配置,DHCP服务都在三层交换机上,可以在一台设备上看到所有DHCP池塘的分配情况,在以前主要是靠路由器当作网关,DHCP中继用的比较勤。若你考路由器当网关的话就会产生以下情况

如下图每个路由器负责自己地下的广播域,都是自己所在的广播域的DHCP服务器,若是你想看你整个池塘的分配情况,现在就可以在左边来一个DHCP服务器,但是这样就违背了一个原则,这个DHCP服务器要和所有获取IP的人在同一个广播域,但是这个服务器做不到,这时DHCP中继就产生了

原理就是设备发出DHCP请求是有个广播包,然后这个广播包来到上面对应的路由器接口时,此时这个路由器就会在在这个广播包上贴上一层单播报头,然后将这个包单播给DHCP服务器,然后服务器把报头撕掉后,发现是一个DHCP请求,然后基于刚刚中转过来的设备也就是和请求DHCP服务的设备连接的那个路由(这个路由被称为中继点),DHCP就知道了你要的是那个池塘的IP,然后DHCP在单播返回到中继点,然后了中继点把前面报头一撕后的包和DHCP的包是一样的,这样就可以在一个设备上,查看DHCP池塘分配情况。

 配置

配置前提首先画圈的地方一定是手配IP,DHCP的服务器G0/0/0接口也要手配IP

注:dhcp server 设备必须和中继点单播可达的前提下,才能使用DHCP中继效果 

池塘是正常写,然后要有去往中继点的路由,然后中继点要成为一个dhcp sever 的组 组名叫DHCP 然后dhcp-server是指DHCP中继点知道DHCP这个组的IP是10.1.1.1

dhcp relay server-select DHCP 这个就是指中继点所对应的·DHCP服务组

DHCP snooping 

防止dhcp攻击(DHCP是在同一广播域的简单攻击手法),防止DHCPserver的仿冒

如何达成DHCP攻击,首先将自己的设备配置成一台DHCP

现在来一种将自己的设备配置成DHCP的方法

首先在云中配置

首先绑定一块自己电脑上的网卡

然后配置相应接口信息,然后配置端口映射

此时就可以连线,此时就相当于云的G0/0/1接口和真实的物理接口桥接了,然后就可以配置DHCP了

当你的电脑设置成一个DHCP服务器,然后和同一广播域的真正的DHCP服务器,然后其他设备通过DHCP获取IP地址时,会有一半相信你设计的这个非法的DHCP,还有一半会相信真的DHCP,这个相信错了就时被攻击了,轻则上不了网,重则自己的数据流量会被人截取,当然截取额就可以被修改。想要防止就引出了接下来的技术DHCP snooping技术  

开启这个技术后所有接口就会被调成非信任接口,所有非信任接口只能进行DHCP的请求,无法实现应答;

之后需要在真正连接DHCP 服务器的接口上配置信任,否则该dhcp服务器也不能正常工作

在实际工程中可能会出现这个,当出现了多个路由i里面开启了

配置

可以参考下图

交换机上配置DHCP snooping,然后左边路由器(这个DHCP是合法的)与交换机相连接口上配置信任,这样就配置成功了,只有左边的DHCP可以下发IP

[sw1]dhcp enable  交换机开启dhcp服务

[sw1]dhcp snooping enable    全局下先开启DHCP snooping 功能

[sw1]interface GigabitEthernet 0/0/1

[sw1-GigabitEthernet0/0/1]dhcp snooping enable   所有接入层接口配置

配置后,所有接口处于非信任状态,所有非信任接口只能进行DHCP的请求,无法实现应答;

之后需要在真正连接DHCP 服务器的接口上配置信任,否则该dhcp服务器也不能正常工作;

[r1-GigabitEthernet0/0/10]dhcp snooping trusted  

 ARP攻击

ARP攻击和DHCP攻击是一套,要想防止ARP攻击就一定要防止DHCP攻击。

ARP攻击是,现在有一个非法的网关,然后你的设备发送一个ARP请求,广播给网关,这时非法的网关就会收到这个ARP请求,合法的网关也会收到这个ARP请求,然后这个是你的设备收到的网关应答,那个网关在后面应答,就信那个(因为发送ARP是为了获取IP和MAC的联系,然后IP和MAC之间的联系又是可变的就是IP可能会变对应的MAC就也会变,所以要的是最新的应答)然后这个非法的网关也对你的设备的ARP发出一个应答,这个非法的网关比你后回复还很容易实现。这样就很容易被非法的网关攻击。

解决ARP攻击的方法

在DHCP snooping操作完成后,交换机中将产生一个记录列表;记录所有接口ip地址的获取情况;

例:SW1的g0/0/1连接PC1,在SW1开启了DHCP snooping功能后,一旦PC1获取ip地址成功;那么在SW1上将出现一张记录列表----PC1的mac,获取的ip地址,vlan ….
该记录列表最大的意义是用于防止ARP欺骗攻击:

下图是记录表的样例

[sw1]arp dhcp-snooping-detect enable  开启ARP欺骗防御

当某一个接口下的pc进行ARP应答时,若应答包中源ip地址与MAC地址和dhcp snooping的记录列表不一致将不行转发;

源地址保护

[sw-GigabitEthernet0/0/10]ip source check user-bind enable   --该接口发出的所有数据包中源ip地址与dhcp snooping记录不一致将不能转发

可以防止人为的去修改IP只能动态获取IP

交换机的端口安全-MAC攻击

 主要针对交换机下的电脑进行MAC攻击

以下图作为例子首先下面的电脑发上去一个包交换机就会看源MAC然后记录,若下面电脑是一台非法设备,一直不停的换MAC去发这个包,交换机会不停的记录,然后交换机的内存总是有极限的,然后交换机记录的MAC就会超过缓冲空间,然后就会溢出,然后交换机在后面只会记录最新的MAC,最早记录的MAC就会被删掉,然后原来真正的电脑的MAC交换机就不认识1了,只认识非法设备不停发的MAC,当交换不认识原本的MAC,若目标MAC是原本的MAC,交换机就会洪范,然后这个行为就会将这个网络变成像是连接了一个集线器的网络,所有的流量都去洪范,网络质量很差

还有一种攻击方式,还是上面的图,就是下面的这台电脑向上面的DHCP要IP时,DHCP服务器将IP租给了下面的电脑,然后租这个IP有租期,这个租期是DHCP下发的IP和请求IP的设备MAC绑定的,然后下面的电脑不停的换MAC去要IP这样是不是DHCP池塘里的IP就都没了,然后别的电脑来要IP的时候就没有可以用的了,因为租期没有到。

总结

交换机端口安全解决PC更换MAC来不停请求ip地址,导致DHCP池塘枯竭;

还可以防止MAC地址攻击;

交换机存在的mac地址表,存在条目数量限制,存在老化时间(默认5min)

PC等终端设备默认存储ARP表格为180s---2h;但若交换机的缓存被溢出或超时,再来转发终端的单播流量时,出现未知单播帧问题---处理方案洪泛

因此终端设备若不停修改mac地址来导致交换机缓存溢出便可实现mac地址攻击

(黑客网络攻击一般只有两个目的,一是迫使网络瘫痪,二是窃取信息)

解决办法

给交换机端口开端口安全

[sw-Ethernet0/0/4]port-security  enable  开启端口安全

[sw-Ethernet0/0/4]port-security max-mac-num 1   现在MAC地址数量,定义接口允许最大MAC数量为1

[sw-Ethernet0/0/4]port-security protect-action ? 设置非法MAC出现时的手段

  protect   Discard packets           丢弃 不告警

  restrict  Discard packets and warning  丢弃告警  (默认)交换机会弹一条日志,然后若是你在网络中设置了一台SNMP服务器,这台SNMP会和所有的设备关联,然后所有设备告警信息和日志都会先告诉SNMP服务器,然后管理员可以查看,这个SNMP服务器还可以和手机电脑关联,一旦有突发性实践他会发短信发邮箱管理员这样就知道网络出问题了

   shutdown  Shutdown   丢弃--关闭接口(一般在科研所会如此要求) 必须管理员手工开启

[sw-Ethernet0/0/4]port-security aging-time 300  老化时间

以上动作完成后,对应接口将自动记录第一个通过该接口数据帧中的源mac地址;

其他mac将不能通过;若300s内,该记录mac没有再经过过该接口,将刷新记录;

设备重启或接口关闭再开启也将刷新记录;

[sw-Ethernet0/0/4]port-security mac-address sticky   粘粘MAC(不老化)

自动记录通过该接口传递的mac地址,但记录后将永不删除

也可手工填写

[sw-Ethernet0/0/4]port-security mac-address sticky aaaa-aaaa-aaaa vlan 1

SSH(安全外壳协议)

简介

安全的Telnet行为

Telnet远程登录—基于tcp的23号端口工作;数据被明文传输;

SSH也是远程登录基于TCP的22号端口工作,数据包安全保障传输,

存在版本V1/V2两种-实际版本号大于1小于2(V1.99)均为认为是V2

安全性的三种特性

私密性

对数据进行加密

完整性

对数据进行校验

不可否认性

不能被冒充

(可以搞共享密钥,数字签名来弄不可否认性)

ssh不做不可否认性

加密算法

对称加密

同一个秘钥来进行加密和解密(24消失切换一次)     

现在主流的加密的种类DES  3DES(将DES进行三次)   AES   

有一个密钥交换问题

密码管理数量成指数上升

优势

加解密速度块

加密后数据增量大经过对称加密数据就大个2-3M

经过非对称加密的算法要大200-300M

非对称加密

存在两把秘钥   A加密  B解密   

现在主流的非对称算法的种类

RSA    

RSA最好当下秘钥长度需要大于1024才相对安全;

DH(IPSEC vpn专用)

举个例子

A要给B发送一个重要信息,然后B会先给A一个公钥,这个公钥所有人都可以收到。然后A会用B的密钥把重要信息加密,然后发送给B,然后B有一把私钥可以去解锁。所有人都可以获取公钥,但是只有B有私钥可以去解锁。

优势

无密钥交换

密码数量可以仅一对

密钥管理简单,可以将密码发送到服务器上,然后谁给我发送消息我给谁解密。

真正的加密方法

用对称加密加密数据,用非对称加密算法处理对此加密的钥匙

SSH的运行

在设备上生成公钥私钥,然后在数据传输的过程中进行数据的加密解密

[R2]stelnet server enable  开启ssh  

[R2]rsa local-key-pair create       秘钥生成(在密钥生成时可以选择密钥位数建议大于1024这样比较安全,默认是512)

[R2]ssh user openlab authentication-type password  定义ssh基于秘钥来加解密

登录信息

创建用户

[R2]aaa

[R2-aaa]local-user openlab password cipher huawei   

[R2-aaa]local-user openlab  service-type ssh

[R2]ssh user openlab authention-type password(允许账户openlab使用刚刚rsa密码库的密码)

[R2]user-interface vty 0 4

[R2-ui-vty0-4]authentication-mode aaa

[R2-ui-vty0-4]protocol inbound ssh   仅允许SSH登录,不允许telent

(注:电脑上是不带ssh的软件的,可以自己下载Xshell等软件)

若使用华为的设备作为终端设备,通过ssh方式登录其他的系统,需要开启ssh 客户端功能

[r1]ssh client  first-time enable

[Huawei]stelnet 99.1.1.1

端口隔离

在交换机上配置之后接口之间就不通了

[sw]interface Eth0/0/5

[sw-Ethernet0/0/5]port-isolate enable group 1  相同配置间接口被隔离

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:/a/97850.html

如若内容造成侵权/违法违规/事实不符,请联系我们进行投诉反馈qq邮箱809451989@qq.com,一经查实,立即删除!

相关文章

PXE批量装机

目录 前言 一、交互式 (一)、搭建环境 (二)、配置dhcp服务 (三)、FTP服务 (四)、配置TFTP服务 (五)、准备pxelinx.0文件、引导文件、内核文件 &#…

Java版电子招投标管理系统源码-电子招投标认证服务平台-权威认证

项目说明 随着公司的快速发展,企业人员和经营规模不断壮大,公司对内部招采管理的提升提出了更高的要求。在企业里建立一个公平、公开、公正的采购环境,最大限度控制采购成本至关重要。符合国家电子招投标法律法规及相关规范,以及…

汽车售后接待vr虚拟仿真实操演练作为岗位培训的重要工具和手段

汽车虚拟仿真教学软件是一种基于虚拟现实技术的教学辅助工具。它能够模拟真实的汽车环境和操作场景,让学生能够通过虚拟仿真来学习和实践汽车相关知识和技能。与传统的教学方式相比,汽车虚拟仿真教学软件具有更高的视觉沉浸感和互动性,能够更…

YOLOv5 如何计算并打印 FPS

文章用于学习记录 YOLO v5 FPS计算方法修改对应自己数据集的 yaml 文件以及训练好的 pt 文件以及batch-size1, FPS 1000ms/(0.311.91.0)pre-process:图像预处理时间,包括图像保持长宽比缩放和padding填充,通道变换(HWC->CHW&a…

软技能的重要性:在面试中展示团队合作与沟通能力

🌷🍁 博主猫头虎 带您 Go to New World.✨🍁 🦄 博客首页——猫头虎的博客🎐 🐳《面试题大全专栏》 文章图文并茂🦕生动形象🦖简单易学!欢迎大家来踩踩~🌺 &a…

【base64】JavaScriptuniapp 将图片转为base64并展示

Base64是一种用于编码二进制数据的方法&#xff0c;它将二进制数据转换为文本字符串。它的主要目的是在网络传输或存储过程中&#xff0c;通过将二进制数据转换为可打印字符的形式进行传输 JavaScript 压缩图片 <html><body><script src"https://code.j…

C#---第二十:不同类型方法的执行顺序(new / virtual / common / override)

本文介绍不同类型的方法&#xff0c;在代码中的执行顺序问题&#xff1a; 构造方法普通方法&#xff08;暂用common代替&#xff09;、虚方法&#xff08;Virtual修饰&#xff09;、New方法&#xff08;new修饰&#xff09;三个优先级相同overide方法&#xff08;会替换virtual…

Crontab定时任务运行Docker容器(Ubuntu 20)

对于一些离线预测任务&#xff0c;或者D1天的预测任务&#xff0c;可以简单地采用Crontab做定时调用项目代码运行项目 Crontab简介&#xff1a; Linux crontab命令常见于Unix和类Unix的操作系统之中&#xff0c;用于设置周期性被执行的指令。该命令从标准输入设备读取指令&…

重磅!GPT-3.5 Turbo推出微调功能,可以打造专属ChatGPT啦!

昨天的追友套路竟然没人看&#xff0c;太可惜了。虽然我知道大家都想快速成功&#xff0c;而且快速成功的秘诀很简单&#xff1a;MONEY&#xff01;&#xff08;钱&#xff09; 可是大伙缺的反而正是这个。 大清早&#xff0c;刷X&#xff0c;看到了一则推送。 OpenAI宣布推出G…

1.网络空间搜素引擎

网络空间搜素引擎 https://cybermap.kaspersky.com/cn 世界所以带有ip的网络设备互联组成的空间叫做网络空间 地址 &#xff1a;shodan.io 简介 &#xff1a; 这句话还是有点东西得 。 区别&#xff1a; 平常得搜素引擎主要搜网页&#xff0c;shadan可以搜所以带有ip地址…

Jmter生成MD5 jmter使用md5 jmter使用自定义参数 jmter生成自定义参数 jmter编写java代码

Jmter生成MD5 jmter使用md5 jmter使用自定义参数 jmter生成自定义参数 jmter编写java代码 1、创建一个线程组2、创建线程组 http请求3、在 http请求添加前置处理器(BeanShell)4、请求测试 是否生效4.1 GET请求4.2 POST请求 1、创建一个线程组 2、创建线程组 http请求 在线程组…

在外SSH远程连接macOS服务器【cpolar内网穿透】

文章目录 前言1. macOS打开远程登录2. 局域网内测试ssh远程3. 公网ssh远程连接macOS3.1 macOS安装配置cpolar3.2 获取ssh隧道公网地址3.3 测试公网ssh远程连接macOS 4. 配置公网固定TCP地址4.1 保留一个固定TCP端口地址4.2 配置固定TCP端口地址 5. 使用固定TCP端口地址ssh远程 …

Approaching (Almost) Any Machine Learning Problem中译版

前言 Abhishek Thakur&#xff0c;很多kaggler对他都非常熟悉&#xff0c;2017年&#xff0c;他在 Linkedin 发表了一篇名为Approaching (Almost) Any Machine Learning Problem的文章&#xff0c;介绍他建立的一个自动的机器学习框架&#xff0c;几乎可以解决任何机器学习问题…

AI 绘画Stable Diffusion 研究(十五)SD Embedding详解

大家好&#xff0c;我是风雨无阻。 本期内容&#xff1a; Embedding是什么&#xff1f;Embedding有什么作用&#xff1f;Embedding如何下载安装&#xff1f;如何使用Embedding&#xff1f; 大家还记得 AI 绘画Stable Diffusion 研究&#xff08;七&#xff09; 一文读懂 Stab…

5分钟看懂物料清单(BOM)的用途、类型及管理

管理物料可以提高制造和供应链流程的效率&#xff0c;例如生产、物流、调度、产品成本核算和库存计划。企业通常使用物料清单作为制造产品的组件、材料和流程的中央记录。 物料清单&#xff08;BOM&#xff09;是构建、制造或维修产品或服务所需的原材料、组件和说明的详细列表…

Linux线程控制

目录 一、线程的简单控制 1.多线程并行 2.线程结束 3.线程等待 &#xff08;1&#xff09;系统调用 &#xff08;2&#xff09;返回值 4.线程取消 5.线程分离 二、C多线程小组件 三、线程库TCB 1.tid 2.局部储存 一、线程的简单控制 1.多线程并行 我们之前学过pt…

代码随想录笔记--哈希表篇

目录 1--有效的字母异位词 2--两个数组的交集 3--两数之和 4--四数相加II 5--三数之和 6--四数之和 1--有效的字母异位词 利用哈希表存储每个字母的出现次数&#xff0c;比较两个字符串各个字母出现次数是否相等即可&#xff1b; #include <iostream> #include <…

QT基础教程之七Qt消息机制和事件

QT基础教程之七Qt消息机制和事件 事件 事件&#xff08;event&#xff09;是由系统或者 Qt 本身在不同的时刻发出的。当用户按下鼠标、敲下键盘&#xff0c;或者是窗口需要重新绘制的时候&#xff0c;都会发出一个相应的事件。一些事件在对用户操作做出响应时发出&#xff0c…

CRM通过哪四个特点赢得不同类型的客户

1.设置正确的目标 首先&#xff0c;在CRM系统中设置正确的目标是非常重要的。不同类型的客户有不同的需求和预期&#xff0c;需要使用不同的方法去处理。如果企业想吸引新客户&#xff0c;那么企业需要更加侧重于建立品牌形象和提供相关的信息。如果企业想留住老客户&#xff…

Socks5代理 vs. Socks4代理:特点和区别解析

在网络通信中&#xff0c;使用代理服务器可以提供更安全、匿名的连接。其中&#xff0c;Socks5和Socks4是两种常见的代理协议。本文将深入探讨它们之间的特点和区别&#xff0c;帮助您选择适合自己需求的代理类型。 1.特点概述 -Socks5&#xff08;Socket Secure 5&#xff0…