由浅入深学C++：基础、进阶与必做300题pdf/doc/txt格式电子书下载

书名：由浅入深学C++：基础、进阶与必做300题pdf/doc/txt格式电子书下载

推荐语：

作者：肖俊宇、

出版社：电子工业出版社

出版时间：2011-07-01

书籍编号：30466553

ISBN：9787121133640

正文语种：中文

字数：199837

版次：1

所属分类：计算机-程序设计

5.1.4 演示：基于CDP技术的攻击与防御

CDP在网络工程项目中的安全威胁有两个。第一个安全威胁：针对中央管理软件，各种高端网管软件在Cisco Works 、IBM Tivoli 、HP Open View等都依赖CDP完成Cisco主机发现。如果发送伪造的CDP帧，声称在网络中新出现了一台Cisco设备，那么管理软件将会试图通过SNMP与其联系，此时就有机会捕获所使用的SNMP Community name string，这很可能是网络中其他Cisco设备所使用的名称，而且很可能会导致这些设备遭到攻击。此外，CDP欺骗还可用于恶作剧，分散网络管理员的注意力。第二个安全威胁：就是Cisco IP 电话，Cisco IP电话打开后，就会和相连的交换机开始交换CDP数据，相互识别。交换机利用CDP通知电话，让它知道语音流量将使用哪个VLAN。不难发现，这里有机会实施欺骗攻击，如注入CDP帧，这样会为电话分配一个错误的VLAN。

演示目标：攻击数据通信设备（路由器或交换机）的CDP邻居表，让其溢出。分散网络管理员的注意力并伪造自已为邻居设备，窃取邻居信息。

演示工具：基于Ubuntu操作系统下的Yersinia攻击器。

演示环境：如图5.19所示。

图5.19 基于CDP技术的攻击与防御的环境

演示步骤：

第一步：正常情况下在交换机S1上查看CDP邻居的状态，如图5.20所示。

图5.20 在S1上查看CDP邻居的状态

第二步：利用Yersinia攻击器的CDP攻击组件发起对交换机S1的CDP攻击。如图5.21所示，利用“flooding CDP table”可发起CDP泛洪攻击，瞬间让CDP邻居表溢出。

第三步：在交换机S1上使用“show cdp neighbors”指令查看被攻击后的CDP邻居表，如图5.22所示。

图5.21 “flooding CDP table”可发起CDP泛洪攻击

图5.22 查看被攻击后的CDP邻居表

防御方式：因为CDP协议存在严重的安全威胁，所以，建议如果不是迫不得已，请关闭设备上运行的CDP协议，思科的路由器与交换机默认该功能被开启。关闭该功能可在全局模式与接口模式下进行。配置指令如下：

s1(config)#no cdp run

上述指令是在全局模式下关闭CDP功能。如果在全局模式下关闭该功能，那么该设备的所有接口的CDP功能都被关闭。如果不希望关闭设备上的所有接口的CDP功能，只希望特定接口关闭该功能，那么就可以在接口模式下关闭该功能，配置指令如下：

演示：基于CDP技术的攻击与防御。

5.1.5 分析与取证：VLAN的工作原理与通信过程

1．虚拟局域网（VLAN）

虚拟局域网（Virtual Local Area Network，VLAN）技术主要是为了解决交换机在进行局域网互联时无法限制广播的问题。这种技术可以把一个LAN划分成多个逻辑的LAN，也就是所谓的VLAN，每个VLAN就是一个广播域。VLAN内的主机间通信和在一个LAN内一样，而VLAN间则不能直接进行广播通信，这样，广播报文被限制在一个VLAN内。所以很多人又给了VLAN技术一个比较通俗而形象的定义：“一个物理交换机可以当多个逻辑交换机使用”。至于为什么人们会这样定义VLAN，等学习完后面的内容，就会明白。

2．VLAN与传统的网络有什么样的区别

首先通过网络工程中用户的实践需求来关注一个传统的局域网，然后与VLAN作一个比较，来理解什么是VLAN。传统的局域网（LAN）如图5.23所示。

图5.23 传统的局域网（LAN）

传统局域网的特点：每一个集线器（Hub）是一个广播域，不能在同一个集线器上划分广播域。广播域只能由三层设备路由器来划分，严重受地理位置的限制。比如：在图5.23中，主机A1、A2、A3必须在同一层楼，并连接到同一个集线器Hub3上。如果将主机A1移动到二楼或者三楼，在不改变主机A1的IP地址的情况下主机A1将丢失与网络的通信。由于集线器不能隔离广播，所以网络的性能与安全性都很差，而现代的企业行政组织往往需要突破某种地理位置的限制，员工可能需要在分散的地理位置进行办公。所以就用户需求而言，必须打破现有地理位置的限制，如图5.24所示为虚拟局域网（VLAN）。

图5.24 虚拟局域网（VLAN）

VLAN的特点：在一台二层交换机上隔离了广播，打破了传统局域网受地理位置限制的特点；提高了性能与安全性。

3．VLAN为什么可以隔离广播域

上面讲解了传统局域网与VLAN在特性上的区别。那么，VLAN为什么会具备这些特性？为什么可以隔离广播？事实上它是通过交换机芯片上的隔离技术来做到的，具体如图5.25所示。

图5.25 通过交换机芯片上的隔离技术隔离广播

4．VLAN打破地理位置后是怎样通信的

如图5.26所示，网络环境中的各个VLAN打破了传统地理位置的限制。Switch_A上的主机A与Switch_B上的主机C属于同一个VLAN，只是它们突破了传统的地理位置的限制。一个VLAN内的主机被分散到了两个不同的物理交换设备上，通常称这种VLAN为“跨越式VLAN”。那么就跨越式VLAN中的两个主机通信，产生了两个疑问。第一个问题是，VLAN 2的主机A要向VLAN 2的主机C 发送数据时，就要从一个交换机Switch_A转发到另一个交换机Switch_B，那么，用一种什么样的技术来保证Switch_A会将VLAN 2 中的主机产生的数据准确地传递到Switch_B 上的VLAN 2的主机C，而不会误传递给Switch_B中的VLAN 3的主机D？第二个问题是，不同的VLAN之间是被相互隔离的，没有三层路由技术不可能进行通信，那么Switch_A和Switch_B的Fa0/3端口是属于哪一个VLAN？是VLAN 2还是VLAN 3？如果两个设备的中间相连路线Fa0/3端口属于VLAN 2，那么VLAN 3的数据就不能通过两个设备的中间相连路线Fa0/3端口进行传递，反之亦然。带着这两个问题，进入“VLAN干道、VLAN的标记与VTP协议”的学习。

图5.26 网络环境中的各个VLAN打破了传统地理位置的限制

5．VLAN干道、VLAN的标记与VTP协议

VLAN干道：Trunk是用来连接两台不同交换机的中间线路的，以保证在跨越多个交换机上的同一个VLAN的成员之间能相互通信，其中两台交换机之间互联的端口就称为Trunk端口。Trunk端口不属于任何VLAN，但是能承载所有VLAN的通信。

那么根据VLAN干道的定义，就可以解答上述所提出的第2个问题，VLAN 2与VLAN 3都可以利用Switch_A与Switch_B的Fa0/3端口来传递不同VLAN的数据，前提是Fa0/3既不要划分到VLAN 2，也不要划分到VLAN 3，而是让它保持VLAN干道（Trunk）的特性，因为干道承载任何VLAN的流量。如果交换机A的VLAN 2中的主机要访问交换机B的VLAN 2中的主机，可以把两台交换机的级联端口设置为Trunk端口。当交换机把数据包从级联口发出去的时候，会在数据帧中作一个标记（Tag），使其他交换机识别该数据帧是属于哪一个VLAN，其他交换机收到这样一个数据帧后，只会将该数据帧转发到标记中所指定的VLAN，从而完成跨越交换机与一个VLAN的通信。VLAN Trunk目前有两种标准：ISL和802.1Q。ISL是Cisco专有技术；802.1Q则是IEEE的国际标准。除了Cisco两者都支持外，其他厂商都只支持802.1Q，如图5.27所示。

图5.27 VLAN帧标记的具体过程

VLAN帧标记的具体过程如下：

（1）当Switch_A上的主机A要发送数据给Switch_B上的主机C时，在主机A上会产生一个常规的以太网的帧，然后将这个常规的以太网帧发送给交换机Switch_A。

（2）交换机Switch_A 将这个常规的以太网帧打上一个属于 VLAN 2 的标记（Tag）。

（3）然后交换机Switch_A将打上Tag后的数据帧通过Trunk传递到交换机Switch_B。

（4）Switch_B能成功地读出帧中的VLAN Tag是2。

（5）Switch_B读出VLAN的标记帧是属于VLAN 2后，将该帧转发到VLAN 2。

VLAN一般使用两种标记方法：802.1Q与ISL。而交换机是选择802.1Q还是选择ISL取决于用户对干道实施的是什么样的封装类型。802.1Q 标准：1996 年 3 月， IEEE 802.1Internetworking委员会结束了对VLAN初期标准的修订工作。新出台的标准进一步完善了VLAN的体系结构，统一了Frame Tagging方式中不同厂商的标签格式，并制订了VLAN标准在未来一段时间内的发展方向，以此形成的802.1Q的标准在业界获得了广泛推广，它成为VLAN史上的一块里程碑。802.1Q的出现打破了虚拟网依赖于单一厂商的僵局，从一个侧面推动了VLAN的迅速发展。另外，来自市场的压力促使各大网络厂商立刻将新标准融合到他们各自的产品中。ISL（Inter-Switch Link）是Cisco公司的专用封装方式，因此只能被Cisco的设备支持。

两种不同的标记格式如图5.28所示。802.1Q是在常规以太网帧的内部插入VLAN标记；ISL是在常规以太网帧外部增加一个VLAN标记。

图5.28 802.1Q的VLAN标记

6．VTP干道协议及其工作模式

VTP（VLAN Trunking Protocol）通过网络保持VLAN配置的统一性。VTP协议负责增加、删除、调整VLAN，自动地将信息向网络中其他的交换机广播。此外，VTP减小了那些可能导致安全问题的配置，更加便于管理。下面我们进一步来理解VTP的3种工作模式。

• 
  

  VTP服务器模式：被配置为VTPServer模式的交换机向邻居交换机广播VLAN配置。通过Trunk链路，邻近的交换机会学习到新增加的VLAN信息。在VTP的Server模式下可以任意地添加、删除和修改VLAN。

  
  
• 
  

  VTP客户模式：当交换机配置成VTP的Client模式后，它会传送广播信息并从VTP服务模式的广播信息中学习新的VLAN信息，但是VTP客户模式不能增加、删除、修改VLAN。

  
  
• 
  

  VTP的透明模式：在VTP的透明模式下，交换不会从VTP广播中学习VLAN的相关信息。只将接收到的VTP广播传递给邻居交换机。

注意：为了更形象地理解VLAN的通信过程，以及VTP协议的工作原理，下面完成一个跨越VLAN干道的实验。

演示：VLAN的配置、跨越式VLAN的通信、Trunk、VTP的工作原理

演示目标：VLAN的配置、跨越式VLAN的通信、Trunk、VTP的工作原理。

演示设备：思科3750型号与2950型号的交换机。

演示环境：如图5.29所示。

背景说明：利用协议分析器来分析跨越式VLAN的通信打VLAN标记的数据帧。

图 5.29 跨越VLAN干道的环境

演示步骤：

第一步：清除交换机上原有的配置与VLAN数据库，指令如下：

Switch#erase startup-config

清除交换机的配置文件，但是不能清除交换机的VLAN数据库。交换机的清除配置与路由器的清除配置步骤有所不同：在路由器上利用erase startup-config就清除了所有配置，但是在交换机上erase startup-config不能清除VLAN数据库。如果只清除了交换机的配置文件，而没有清除VLAN数据库，可能导致VLAN通信故障。确定VLAN数据库是否被清除的指令如下：

Switch#vlan database

进入VLAN的数据库配置模式指令如下：

Switch(vlan)#show current

如果以前的VLAN配置没有彻底被清除，可以看到还有相关的VLAN信息在数据库中，这可能会影响正常的工程操作，所以务必清除原有的VLAN数据库。清除原有VLAN数据库的指令如下：

Switch#delete flash:vlan.dat

清除交换机的VLAN数据库。

Delete filename [vlan.dat]?

确定VLAN数据库的名称。

Delete flash:vlan.d

正在加载中

...

<SECTION....