二层内网攻击之生成树攻防

摘要: 利用恶意BPDU攻击内网交换机用来防环路的生成树协议

生成树攻防

设备:

DCRS-5950交换机

虚拟机中的kali(采用桥接模式192.168.1.1

笔记本(需要RJ45的转接线和USB的转接线)【或者两台电脑】

笔记本物理机的ip192.168.1.2 默认网关:192.168.1.254

 

我在这里的实验用的是一个台式机和一个笔记本,台式机连接交换机,笔记本上的kali机。

1. DCRS交换机开启生成树协议,生成树协议模式为STPDCRS交换机优先级为0,防止网络出现物理环路,显示DCRS交换机生成树协议的状态

在这里先简单的配置下VLAN,好做实验

 1.png

2.png

3.png

STP配置

 4.png

5.png

 

2. kaliDCRS交换机发起TAKE Over The Root Bridge渗透测试,使DCRS交换机认为KaliRoot Brige,显示DCRS交换机生成树协议的状态,并将该信息截屏:

 

启动yersinia的图形界面

 6.png

选择STP会直接出现一条结果

 7.png

选用Claim Root Role 进行攻击【Claiming Root Role 破坏树协议中的根的选择,导致广播风暴 】

 8.png

9.png

10.png

(注:Root ID:为kaliIDRoot ID近似等于Self Bridge ID

3. 配置DCRS交换机生成树协议安全特性,阻止TAKE Over The Root Bridge渗透测试

这里我台式机连的是e1/1(vlan10的每个接口都要这么做)

方法一:

 11.png

方法二

输入:spanning-tree portfast bpduguard recoverver  (任意值 )

值的范围取决于设备可通过打问号来选择值spanning-tree portfast bpduguard recoverver  

方法三:

spanning-tree portfast bpdufilter

4. DCRS交换机配置生成树协议安全特性的条件下,DCRS交换机不会认为kaliRoot Brige ,Kali再次向DCRS交换机发起TAKE Over The Root Bridge渗透测试,再次显示DCRS交换机生成树协议的状态,并验证:

 12.png

13.png


 ###################################################################

###################################################################

这里我换设备了,CS6200RS-5650交换机好,RS-5650还缺少一些命令,毕竟是老设备了。

#:cs-6200#hostname cs

Cs#

设备:CS6200 台式机 笔记本上的kali

5. kaliCS交换机发起BPDU DOS渗透测试,提高DCRS交换机CPU的利用率,显示cs交换机CPU的利用率:

 

渗透前交换机CPU的利用率

 14.png

  选择sending conf BPDUs

 15.png

16.png

 

渗透测试之后交换机CPU的利用率:

 17.png

 

6. 配置cs交换机生成树协议安全特性,阻止BPDU DOS渗透测试,并将配置截屏:

Vlan10的每一个接口都做

CS#spanning-tree portfast bpduguard recovery (任意值)

或者这样做:

 18.png

7.CS6200交换机配置生成树协议安全特性的条件下,CS6200交换机不会受kalid BPDU DOS渗透测试影响,此时由kali再次向CS6200交换机发起BPDU DOS渗透测试。显示cs6200交换机的利用率,并验证:

渗透前交换机CPU的利用率

 19.png

 

选择sending conf BPDUS

 20.png

渗透后

 21.png

 

#结论CPU的利用率在渗透前后无明显变化

 

(注:设置了安全特性之后:如果kali再次攻击,交换机会直接断开与kali的链接)


版权声明:本文为CSDN博主「红烧兔纸」的原创文章,遵循CC 4.0 BY-SA 版权协议,转载请附上原文出处链接及本声明。

原文链接:https://blog.csdn.net/weixin_39934520/article/details/79877427

上一篇:ARP攻击原理与实践
下一篇:web安全工具-Arachn...