预防MAC地址泛洪,做好链路层的安全

最新推荐文章于 2024-08-27 10:27:16 发布
最新推荐文章于 2024-08-27 10:27:16 发布
阅读量2.6k 收藏 4
点赞数 1
分类专栏: tcp/ip基础 文章标签: mac 安全 黑客 交换机 局域网
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/nuoya_1995/article/details/52049079
版权

交换机可以主动学习客户端的MAC地址,并建立和维护端口和MAC地址的对应表以此建立交换路径,这个表就是通常我们所说的CAM表。CAM表的大小是固定的,不同的交换机的CAM表大小不同。

MAC/CAM攻击是指利用工具产生欺骗MAC,快速填满CAM黑客连接局域网内的PC,在PC上安装工具改变PC的MAC地址,并发送大量广播数据,交换机主动学习该机的MAC地址,导致CAM表被填满。这种攻击能造成安全性的破坏,同时大量的广播包降低了交换机的性能。

当交换机的CAM表被填满后,交换机将以广播方式处理通过交换机的报文,这时攻击者可以利用各种嗅探攻击获取网络信息(基本不可能单播了)。更为严重的是,这种攻击也会导致所有邻接的交换机CAM表被填满,流量以泛洪方式发送到所有交换机的所有含有此VLAN的接口,从而造成交换机负载过大、网络缓慢和丢包甚至瘫痪。

那么如何防止呢?

Port-Security(端口安全)

       ​•   端口上最大可以通过的MAC地址数量

      •   端口上学习或通过哪些MAC地址

       •   对于超过规定数量的MAC处理进行违背处理

现在在SW_2Ethernet0/0/2上配置port-security


关于上图SW_2Ethernet​0/0/2的配置中,会发现max-mac-num3个,为何端口要允许3MAC地址呢?因为要考虑到PC连接了IP PhoneIP Phone连接交换机的场景。这样PCIP Phone各占一个MAC地址,IP Phone内部还有一个处理器,该处理器也需要使用一个MAC地址。

关于Port-Security的保护方式有三种:

        protect : Discard packets(丢弃非法的流量,但不告警)

        restrict :Discard packets and warning(丢弃非法的流量,告警)

        shutdown :Shutdown (端口关闭)

port-security接口上使用sticky

        SW_2Ethernet0/0/2接口上配置sticky,配置如下:


通过配置sticky,黏性可靠的MAC地址。粘性可靠的MAC地址可以看做动态可靠与静态可靠的MAC地址的合体,它会自动学习第一次接入的mac地址,然后将这个mac地址绑定为静态可靠的地址。这样黑客就无法PING通局域网内的PC了。

假如已经被攻击了,就要找到被攻击的PC机,断网杀毒。


安全喵katerina
关注
专栏目录
mac地址泛洪攻击详解
10-21
详解mac地址泛洪攻击。。。。 对大家深入理解交换网络安全有很大帮助
泛洪攻击实现-网络层与链路层套字
12-23
个人学习
MAC泛洪***的实施与防御
weixin_34234829的博客
09-26 936
原文发于2017年第7期《网络安全与信息化》,转发到博客。更多相关资料可参看视频教程“局域网安全实战”,http://edu.51cto.com/course/10348.html   MAC泛洪***是一种针对局域网交换机的***方式,目的在于窃取局域网内用户的通信数据。本文以神州数码CS6200交换机为例,从原理、实施、防御三个方面对MAC泛洪***进行了全面介绍。1.    交换机MAC...
MAC泛洪攻击及解决方法
m0_61469678的博客
04-04 9294
MAC地址泛洪攻击:是攻击者利用了交换机自学习的原理,通过一定手段可以在几秒内生成几十万不同的MAC地址,并发送给交换机,这台交换机MAC地址很快就被这些伪造的MAC地址占满。当交换机MAC地址存储达到上限后,再收到数据帧时,一看该目标MAC地址,不在交换机MAC地址中,就会通过交换机的原理,进行泛洪,这样攻击者就会捕获这些数据帧。
MAC泛洪攻击
qq_43659378的博客
11-08 1239
数据链路层攻击之MAC泛洪攻击 什么是MAC泛洪攻击? 交换机中存在着一张记录着MAC地址,为了完成数据的快速转发,该具有自动学习机制;泛洪攻击即是攻击者利用这种学习机制不断发送不同的MAC地址交换机,充满整个MAC,此时交换机只能进行数据广播,攻击者凭此获得信息。 MAC泛洪攻击原理 利用了交换机的学习机制,交换机项数目有限,交换机的转发机制。 实验环境:一台KALI虚拟机,ensp配置拓扑图 ENSP拓扑图 查看交换机CAM 进入虚拟机开始攻击 攻击之后交换机CAM 此时启动
无线安全专题_攻击篇--MAC泛洪攻击
七夜的博客
10-04 737
  上一篇讲解了无线安全专题_攻击篇--干扰通信,没在首页待多长时间就被拿下了,看来之后不能只是讲解攻击实战,还要进行技术原理和防御方法的讲解。本篇讲解的是局域网内的MAC泛洪攻击,这种攻击方式主要目的是窃取局域网中的通信数据,例如ftp的账号和密码,下面的实战也是以此为例子。接下来按照原理,场景,攻击实战,防御方法的层次步骤进行讲解。(我的新书《Python爬虫开发与项目实战》出版了,...
精述wifi、zigbee在链路层安全原理:CCM模式
02-25
本文来自于segmentfault,...Wi-fi和zigbee的安全机制我已经在之前的一篇博客中有较详细介绍,这两种协议在链路层都是基于CCM机制做扩展,Wi-fi称为CCMP,zigbee成为CCM*。但总归CCM机制是这两种协议链路层安全的主体
基于matlab的LTE链路层仿真程序_根据LTE标准协议编写_包含详细注释_非常适合学习_LTE链路层_LTE_matlab
05-24
资源名:基于matlab的LTE链路层仿真程序_根据LTE标准协议编写_包含详细注释_非常适合学习_LTE链路层_LTE_matlab 资源类型:matlab项目全套源码 源码说明: 全部项目源码都是经过测试校正后百分百成功运行的,如果您...
MAC安全(防MAC泛洪攻击)
China-P的博客
11-27 4285
2.7 丢弃全0非法MAC地址报文--网络中一些主机或设备发生故障时,会发送源或目的MAC全0报文。2.4 MAC-Spoofing-Defend--一个端口学习的MAC不会再其他端口上学习。2.5 MAC地址防漂移--对于固定的上行设备,通过提供端口优先级,可防止伪造MAC攻击。2.8 MAC地址刷新ARP功能--MAC地址项端口发生变化,及时更新ARP项。2.2 限制MAC地址学习数量--可以防止变化MAC地址攻击(搭配项3配置)1.3 黑洞项:丢弃特定源MAC或目的MAC,不会老化。
MAC地址泛洪攻击
2303_80370981的博客
01-09 826
对于使用mac地址泛洪,使用虚拟机kali来抓取计算机传输之间的信息
MAC地址泛洪攻击
辉小鱼的博客
11-17 1127
MAC地址泛洪攻击MAC地址泛洪攻击MAC地址泛洪原理简介​MAC(Media Access Control,介质访问控制)地址是识别LAN节点的标识,是传输数据时真正赖以标识发出数据的电脑和接收数据的主机地址。交换机可以识别连在网络上的节点的网卡MAC地址,并把他们放到一个叫做MAC地址的地方。这个MAC地址存放于交换机的缓存中,并记住这些地址。​。
mac地址洪泛攻击原理及其防御
qq_40390383的博客
11-22 7019
 攻击者利用交换机对于未知单播帧洪泛的原理,对流量进行抓取,以达到网络信息收集的目的   首先攻击者会向交换机中发送大量的虚假MAC地址,将交换机中的CAM填满,这样其他主机所发送的数据帧交换机会做洪泛处理,攻击者自己的主机就可以接收到受害者的数据帧,攻击者只需要使用抓包软件就可以获取相应的信息 如何防御: 以cisco交换机为例 1、配置安全静态MAC地址 s1(config)#in...
kali与Python实施MAC地址泛洪攻击
最新发布
YhMjQx的博客
08-27 976
本篇文章主要讲解如何分别利用kali与Python实施MAC地址泛洪攻击
交换机安全 --- Mac地址泛洪攻击
Chen的代码世界
08-04 895
交换机原理: 数据来到交换机后,交换机先查看数据中的源MAC地址,将源MAC地址和进入接口的信息记录在MAC地址中。如果目标MAC地址存在于MAC地址中,那么就进行单播,否则就会泛洪泛洪:除开数据进入的接口外,将数据转发到其他所有接口。 泛洪范围:单个交换机时,交换机的所有接口处于同一个泛洪范围;多台交换机级联的时候,所有交换机处于同一个泛洪范围。 在MAC地址中,一个接口可以对应多个MAC地址;一个MAC地址只能对应一个接口 为了保证MAC地址的更新性,MAC地址有老化时间 — —.
mac泛洪攻击实验总结
weixin_49891742的博客
08-08 1331
mac地址泛洪攻击原理 交换机位于通信模型的数据链路层,是基于交换机mac地址进行数据转发,mac地址有自动学习的功能,泛洪攻击主要利用这一点,用虚拟机攻击工具向交换机发送海量的不同的mac地址,导致交换机mac内存不足,其他主机所发送的数据只能进行广播泛洪,这样攻击者再抓取泛洪的数据包,就能得到其他主机所发送数据包。 ...
数据链路层基础+MAC地址泛洪攻击+网络层基础+IP分片
YancyYue颜悦的专栏
07-02 915
网络工程师的学习记录
粘性(sticky)mac地址
weixin_34060741的博客
06-22 6487
粘性(sticky)mac地址是端口安全的一种应用,顾名思义,就是将交换机端口发现的对端设备的mac地址粘贴到mac-address-table中,省的管理员一个个输入进去了。粘性mac通常与port-security ,port-security maxmum num 命令共用如:#switchport port-security #switchport port-secu...
交换网络基础-STP原理与配置——总结
Knowledge warehouse
07-11 1937
一、交换网络基础 1、交换机工作在数据链路层,属于二层结构;路由器工作在网络层,属于三层结构;Hub集线器属于物理层; 2、交换机工作在数据链路层,对数据帧进行操作。在收到数据帧后,交换机会根据数据帧的头部信息对数据帧进行转发。 3、交换机是根据MAC地址进行转发的,不会检查IP地址; 4、交换机中有一个MAC地址,里面存放了MAC地址交换机端口的映射关系;MAC地址也称为CAM。...
Rényi熵在OpenFlow信道链路泛洪攻击防御中的应用
"这篇论文提出了一种基于Renyi熵的OpenFlow信道链路泛洪攻击主动防御方法,旨在解决新型链路泛洪攻击问题,以增强软件定义网络(SDN)的健壮性。通过Renyi熵对攻击者在建立OpenFlow信道linkmap时生成的ICMP超时报文...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值