MAC攻击
- 交换机是我们在二层传输的主要设备,而交换机的转发依赖于CAM表,CAM表中总是会记录最新的MAC地址。
- mac洪泛攻击:不断的给交换机发送垃圾mac地址,使cam表内存空间填满无法记录正确的mac地址,当主机发送数据的时候,交换机不认识此mac(未知单播帧)将数据洪泛,从而窃取数据。
持续伪装目标mac(会导致原通讯中断) - 中间人攻击:将其他接口连接的主机mac地址通过另一个接口发给交换机,毒化cam表,使交换机错误的转发数据,从而窃取数据Mac地址漂移:中间人攻击、广播风暴(出环)引起;相同的mac地址不停的在多个接口出现
- 防御(端口安全):关闭不使用接口、设置最大记录mac地址数量;静态绑定mac地址;配置粘滞安全mac地址-只记录我设置的第x个mac地址
惩罚
- protect
当新计算机接入时,如果该端口的MAC条目超过最大数量,则这个新的计算机将无法接入,而原有的计算机不受影响,交换机也不发送警告信息; - restrict
当新计算机接入时,如果该端口的MAC条目超过最大数量,则这个新的计算机将无法接入,并且交换机将发送警告信息 - shutdown
当新计算机接入时,如果该端口的MAC条目超过最大数量,则该接口将会被关闭,则这个新的计算机和原有的计算机都无法接入网络,这时需要接入原有的计算机并在交换机中的该端口下使用“shutdown”和“no shutdown”命令重新打开端口
注意:如果经常发生惩罚机制,过量发警告会导致交换机卡死,常常选择第一个和第三个;
配置:
MSW1(config)#int r e 0/0 -2
MSW1(config-if-range)#shutdown
MSW1(config-if-range)#switchport access vlan 1
MSW1(config-if-range)#switchport port-security maximum 1
MSW1(config-if-range)#switchport port-security violation shutdown
MSW1(config)#int e 0/0
MSW1(config-if)#switchport port-security mac
MSW1(config-if)#$port-security mac-address 00-50-56-f3-b1-40
- 粘滞安全MAC地址:
因为静态安全MAC地址每个接口绑定固定的一个MAC(即只能接入某一固定的计算机),所以需要查每台计算机的MAC工作量大,所以采用粘滞安全MAC地址来解决这个问题。
配置:
sw1(config)#int f0/1
sw1(config-if)#shutdown
sw1(config-if)#swichport mode access
sw1(config-if)#swichport access vlan 1
sw1(config-if)#swichport port-security maximum 1
sw1(config-if)#swichport port-security violation shutdown
sw1(config-if)#swichport port-security mac-address sticky 配置交换机接口自动粘滞MAC地址
sw1(config-if)#no shutdown
被惩罚的接口show int XX 状态呈现errdisable
sw1(config)#errdisable recovery cause psecure-violation
允许交换机自动恢复因端口安全而关闭的端口
sw1(config)#errdisable recovery interval 60
配置交换机60s后自动恢复端口
补充
sw1(config)#int f0/1
sw1(config-if)# switchport protected