存在于经典网络架构中的一个信息窃取风险

背景:核心交换机和其他IDC用三层互联,和接入交换机运行二层网络。核心交换机运行VRRP做本IDC内网网关(左边为主,右边为备)。现有其他IDC需访问本IDC10.1.1.1

 

拓扑:

异步路由、单播泛洪产生的安全侦听风险-LMLPHP

流量走向:

入向流量:

1、目的为10.1.1.1的流量到达右边核心交换机

2、右边核心交换机查看本机MAC地址表匹配目标MAC,结果发现查不到,于是在同vlan内泛洪此流量

3、vlan10.1.1.110.1.1.2都收到此流量

出向流量:

4、10.1.1.1查路由表,发现内网网关为核心交换机,此时左边核心交换机为VRRP主,故ARP解析将左边交换机MAC解析为网关地址

5、流量交给左边交换机,左边交换机根据三层路由表将数据直接传出去

 

产生问题:右边核心通过泛洪将数据包发给了vlan内所有的服务器,那么只要拿到这个vlan内任意一台服务器的权限就可以嗅探到到达此vlan的所有包

 

问题原因:由于回包不经过右边交换机,所以右边交换机永远学不到10.1.1.1MAC。学不到MAC就要在同vlan内泛洪。(单播泛洪)

解决方案:

1、核心交换机做堆叠

2、在交换机无关端口开启阻塞端口泛洪。(SW(config-if)#switchport block unicast)

3、采用全三层组网结构

03-07 06:50