局域网安全教程 HSRP攻击和防范的方法介绍(图文教程)

时间:2021-05-23

HSRP的工作原理在这就不介绍了,相信大家都知道。
这是只讲一下HSRP 的特点:

  • 1 HSRP 虚拟出一个全新的IP 和MAC地址。
  • 2 HSRP的主播地址版本1是224.0.0.2(所有局域网的路由器),版本2的主播地址是 224.0.0.102(所有HSRP路由器)。
  • HSRP的TTL为1,所以不可能实现跨网攻击。
  • 默认的验证密码是明文"cisco"
  • IPV4使用UDP的1985端口,IPV6使用的是UDP的2029端口。
  • 虚拟MAC的构成方法:
    下面通过抓包验证上面的正确性:
    一 MAC 我设置的是10
    二 明文密钥的验证:
    三 TTL验证
    通过上面的我们可以看出其实攻击一个HSRP很容易,我们用笔记本安装一个假路由器 ,先用抓包软件分析一下是不是用了HSRP,然后将假路由器 priority为255,然后丢弃收到的所有数据包就能实现一个DOS攻击。
    当然HSRP 也是一个网关,用中间人攻击也可用轻松实现攻击。
    防范:
    1采用强认证
    key chain hsrp
    key 1
    key-string root
    standby 10 authentication md5 key-chain hsrp
    验证:

    存在的问题:
    这种方法对重放攻击是没有办法的 我们可以采取VLAN MAP和IOS ACL
    限制只允许合法的HSRP协议,和端口安全等。
    说明 由于我抓包软件的原因HSRP 的版本显示错误的 。本人由于水平有限难免出现错误希望朋友能指出错误
    配置如下:ftp://down1_user:jb51@files.jb51.net:81/201205/yuanma/HSRP0514_jb51.rar

    声明:本页内容来源网络,仅供用户参考;我单位不保证亦不表示资料全面及准确无误,也不保证亦不表示这些资料为最新信息,如因任何原因,本网内容或者用户因倚赖本网内容造成任何损失或损害,我单位将不会负任何法律责任。如涉及版权问题,请提交至online#300.cn邮箱联系删除。

    相关文章