路由器网的HSRP的攻击和保护简介

在使用路由器和交换机来构建的网络中，因为HSRP的包全部是TTL1的，所以不可能跨网完成攻击。这个是HSRP攻击的局限。

HSRP 和VRRP是很常用的两个技术，在cisco中常常用到这中备份的方式，很好用，切换也很快。

复习一下切换的条件，有两个情况会切换主备设备，一个是当主备之间的hello包中断达到一个时间时，standby会自动切换成主用路由器；另一个是当track监控的事件发生时，也会发生切换。

有一个要说明的，这种技术除了模拟一个虚拟的IP以外，还会模拟一个虚拟的MAC，谁是主用的路由器，谁就利用这个MAC来处理网络数据，当主用的挂掉之后，备用的路由器就使用这个MAC来处理数据。所有接口下不能用默认的portsecurity。

主要的攻击手段是，你在PC上做一个优先级为255的hsrp，马上，真正的路由器就进入stanby模式下了。就实现了DOS的攻击了。

解决方法很简单，只要建立密码认证就可以啦。

还有一个加强办法，就是用访问控制列表来控制，可以用vlan的ACL，也可以用IP的访问控制列表。

得到一个总结：凡是网络上的协议，ospf也好、hsrp、vrrp、rip都应该设置md5的密钥认证方式。