HackMD - Collaborative Markdown Knowledge Base

## Практическая работа №5 1) Провести атаку на DHCP. На коммутаторе настроить защиту от Rogue DHCP Server и от DHCP starvation Провели атаку DHCP starvation без защиты, рисунок 1 ниже. ![](https://i.imgur.com/sbRpFZP.png) Рисунок 1 Увидели результат на фаерволе, рисунок 2 ниже. ![](https://i.imgur.com/2khOw5p.png) Рисунок 2 Увидели результат в wireshark, рисунок 3 ниже. ![](https://i.imgur.com/NJ7zmPg.png) Рисунок 3 Настроили защиту DHCP snooping, рисунок 4 ниже. ![](https://i.imgur.com/fR9uEvK.png) Рисунок 4 Повторная атака DHCP starvation, рисунок 5 ниже. ![](https://i.imgur.com/0oA0THQ.png) Рисунок 5 ниже. Результат защиты, рисунок 6 ниже. ![](https://i.imgur.com/1ivNemW.png) Рисунок 6 2) Провести атаку VLAN hopping. На коммутаторе настроить защиту от данного типа атаки (либо предложить рекомендацию) Провели атаку VLAN hopping, рисунок 7 ниже. ![](https://i.imgur.com/JtqFCdn.png) Рисунок 7 Результат в wireshark, рисунок 8 ниже. ![](https://i.imgur.com/Ex1oDR5.png) Рисунок 8 Для проверки успешной атаки пинговали с win7, рисунок 9 ниже. ![](https://i.imgur.com/gaCnlSy.png) Рисунок 9 Прослушали трафик и с помощью команды tshark отсортировали VLAN, рисунок 10 ниже. ![](https://i.imgur.com/8OXqehm.png) Рисунок 10 Защита от атаки назначаем на всех trunk-портах неиспользуемый VLAN в качестве native, рисунок 11 ниже. ![](https://i.imgur.com/moWqWCf.png) Рисунок 11 - Теперь атака неосуществима, так как VLAN 999 не относится ни к одному из access-портов. 3) Провести атаку CAM-table overflow. На коммутаторе настроить защиту от CAM-table overflow Провели атаку CAM-table overflow, рисунок 12 ниже. ![](https://i.imgur.com/xxzxfBe.png) Рисунок 12 Увидели в wireshark, рисунок 13 ![](https://i.imgur.com/4U5foVH.png) Рисунок 13 Увидели на свиче, рисунок 14 ниже. ![](https://i.imgur.com/oicOZnI.png) Рисунок 14 Защита от атаки, настроили на свиче port-security, рисунок 15 ниже. ![](https://i.imgur.com/hsDKAvT.png) Рисунок 15 Результат защиты, рисунок 16 ниже. ![](https://i.imgur.com/tlawJRL.png) Рисунок 16 4) Провести атаку MAC-spoofing. Настроить защиту от атаки MAC-spoofing, используя Port Security Провели атаку MAC-spoofing, рисунок 17 ниже. ![](https://i.imgur.com/nFqR62B.png) Рисунок 17 Посмотрели mac-address на свиче, рисунок 18 ниже. ![](https://i.imgur.com/qbLE0iS.png) Рисунок 18 Защита от атаки, настроили на свиче port-security, рисунок 19 ниже. ![](https://i.imgur.com/fQemmBf.png) Рисунок 19 5) Настроить ACL: ![](https://i.imgur.com/CDj9XOv.png) Рисунок 20 - KALI имеет доступ куда угодно, кроме debian машинки по протоколу HTTP ![](https://i.imgur.com/wy9R074.png) Рисунок 21 - Win-7 машинка имеет доступ только в интернет и в VLAN-1 ![](https://i.imgur.com/ArPy3V0.png) Рисунок 22 - Debian машинка имеет доступ только в интернет ![](https://i.imgur.com/ShWZVpq.png) Рисунок 23 Топология сети к 5 заданию, рисунок 24 ниже. ![](https://i.imgur.com/sJKPQZe.png) Рисунок 24