2-wireshark网络安全分析——MAC地址泛洪攻击

最新推荐文章于 2023-11-15 23:17:04 发布
最新推荐文章于 2023-11-15 23:17:04 发布
阅读量3.4k 收藏 24
点赞数 2
分类专栏: wireshark网络分析 文章标签: 交换机 mac地址泛洪 计算机网络 华为HCNA
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_35733751/article/details/104139771
版权

目录

1. MAC地址泛洪实验

2. 验证交换机泛洪

3. wireshark分析MAC地址泛洪

4. 如何防御

 

关于交换机原理的参考文章:

18-交换技术——交换机基础

22-交换技术——企业网络和二层环路

 

 

据了解,目前网络安全问题有80%是来自于“内部网络”,黑客的攻击目标从单一的计算机转变到了网络结构和设计上了。交换机作为网络通信中重要的网络设备,其安全防护措施相对于其他网络设备较差,导致容易成为黑客的攻击目标,本篇我们主要了解交换机的一些常见攻击方式和防御。

 

 

1. MAC地址泛洪实验

 

实验目的:通过实践的方式了解一些常见的网络安全问题,同时加深理解交换机的工作原理。

学习思科交换机的时候我们知道,交换机里有一张mac地址表用于存储学习到的mac地址信息,mac地址表的大小也是有限制的,如果有恶意攻击者利用交换机学习mac地址的功能,不断的伪造新的源mac地址发起攻击,使得交换机的mac地址表存满溢出,大大降低交换机处理数据流量的性能,严重的可能导致交换机崩溃重启。

 

 

实验开始之前,先测试实验环境网络连通性:

 

 

Cloud用于模拟攻击者进行MAC地址泛洪,实验如下:

执行macof -i eth0命令进行mac地址泛洪,-i选项用于指定网卡信息。如果你不知道自己的网卡是多少的话,可以通过ifconfig命令来查看当前网卡信息。

 

 

dis mac-address命令查看交换机的MAC地址表信息:

从以上信息来看,交换机的mac地址表中被攻击者伪造的源mac地址表填充满溢出了,使交换机的性能严重下降。

 

 

再次测试网络连通性:

测试结果可以看到PC1和PC2之间无法通信,mac地址泛洪导致交换机的mac地址表被填满,使得该局域网下正常的网络通信无法进行。

 

原因在于:攻击者通过伪造大量的源MAC地址迅速使交换机的MAC地址表空间耗尽,导致PC1和PC2正常的通信时交换机发送的是广播包,为什么此时交换机发送广播包?因为此时交换机的MAC地址表被伪造的MAC地址占满,原先PC1和PC2主机的MAC地址被“挤掉”了,当交换机收到PC1的ping包查找自己的mac地址表没有找到对应的目标MAC地址信息,根据交换机转发原则就执行泛洪操作。

 

2. 验证交换机泛洪

 

现在交换机的mac地址表被填满了,在e0/0/3端口进行抓包:

 

 

PC1ping PC2,wireshark的过滤器中过滤icmp包:

由于交换机的mac地址被填满了,此时PC1 ping PC2发送的icmp请求包被交换机泛洪(广播)出去了,因此在交换机的e0/0/3端口也能抓取到icmp请求包,实验完成。

 

这里留一个思考题:为什么icmp的响应包交换机没有泛洪出去?

 

3. wireshark分析MAC地址泛洪

 

接下来通过wireshark网络分析工具对MAC地址泛洪实验的数据包进行分析:

wireshark总共捕获到了15444个数据分组,除了有小部分STP,NTP协议数据包,大部分都是网络层的IPv4数据包,这些IP包毫无规律可言,并且有大量的源和目的IP,mac地址都不在该局域网下。

 

点击wireshark的统计----->捕获文件属性,进一步分析捕获文件:

在捕获文件的时间属性中可以看到第一个分组和最后一个分组的时间,总共是1分49秒。统计属性中记录了总共捕获的分组数量,大小等各种信息,文件注释属性描述了捕获文件的内容信息。

 

 

接下来点击wireshark的统计----->协议分级,分析捕获文件中各种协议类型:

经常用wireshark分析网络流量的同学知道,通常一个正常的局域网络中会有各种udp,tcp,http等常见协议类型的流量,但从协议分级统计中可以看到IPv4协议的数据包占了多数,占例高达99%。这些流量是有异常的。

 

 

为了进一步验证我们的怀疑,点击wireshark的统计---->会话,分析这些异常的流量是从哪里来的,目的又是哪里:

Wireshark显示的15000多个会话中,每一个会话的源和目的都是不同的地址,并且每个会话都只有一个数据包,Bytes字段中显示的每个IP数据包的大小都是60字节,解析地址名称中这些都是不同的设备。正常的局域网络中每一个会话不会都是只有一个数据包,数据包大小几乎一样,也不会出现这么多台来路不明的设备。

 

这些“来路不明”的数据包并不在当前的网络中,因此我们可以确定这些异常的数据包是网络攻击伪造出来的,无法通过源mac和目的mac定位攻击者的位置,但是可以通过查看交换机的mac地址表中这些来路不明的mac地址对应的端口号,该端口号连接的对面就是进行攻击的设备。

 

4. 如何防御

虽然攻击者伪造大量数据包攻击交换机导致mac地址表被占满,但是可以通过端口安全技术来防御MAC地址泛洪攻击。即在交换机的每一个端口上限制mac地址的数量,前面实验中攻击者是通过e0/0/3端口发起攻击的,那么我们可以在交换机的e0/0/3端口进行如下相关配置:

[Huawei-Ethernet0/0/3] port-security enable 
[Huawei-Ethernet0/0/3] port-security mac-address sticky 
[Huawei-Ethernet0/0/3] port-security protect-action protect 
[Huawei-Ethernet0/0/3] port-security max-mac-num 10

 

 

端口安全技术具体可参考文章:28-交换技术——DHCP部署和端口安全

song->_->
关注
  • 2
    点赞
  • 24
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
HCIP笔记
liuxir666的博客
11-29 1158
HCIP笔记
HCIE--mac地址 详解
Mary网工的博客
07-01 1614
目录1.MAC地址基本概念2.mac地址表分类3.mac地址老化过程4.mac地址学习控制5.mac地址漂移6.MAC刷新ARP
Shell+Iptables 防御TCP SYN洪泛攻击
山炮运维
06-26 551
在运维某平台发现非常大量访问卡在的SYN_RECV状态,可以确认为SYN泛洪攻击,看到的netstat -antp状态如下: Active Internet connections (servers and established) Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name tcp 0 0 0.0.0.0:875
Kali Linux 网络扫描秘籍 第六章 拒绝服务(二)
热门推荐
龙哥盟
11-24 4万+
第六章 拒绝服务(二) 作者:Justin Hutchens 译者:飞龙 协议:CC BY-NC-SA 4.0 6.6 NTP 放大 DoS 攻击NTP 放大 DoS 攻击利用响应远程 monlist 请求的网络时间协议(NTP)服务器。 monlist 函数返回与服务器交互的所有设备的列表,在某些情况下最多达 600 个列表。 攻击者可以伪造来自目标 IP 地址的请求,并且
T级攻防:大规模DDOS防御架构
William234的博客
07-12 4703
T级攻防:大规模DDOS防御架构 DDOS分类 在讲防御之前简单介绍一下各类攻击,因为DDOS是一类攻击而并不是一种攻击,并且DDOS的防御是一个可以做到相对自动化但做不到绝对自动化的过程,很多演进的攻击方式自动化不一定能识别,还是需要进一步的专家肉眼判断。   网络层攻击   SYN-FLOOD   利用
DDOS防御,阻止DDoS攻击的15个独家技巧
huosanyun的博客
07-12 263
此外及早识别攻击类型有助于预测和预防未来的攻击并改善整体安全态势,因此在攻击者发动攻击之前就识别攻击类型的能力是DDoS保护程序不可或缺的一部分。将灾难恢复规划实践作为定期运营维护的一部分,该计划应侧重于技术能力和全面的计划,该计划概述了如何在成功的DDoS攻击的压力下确保业务连续性。作为临时站点的DR站点应具有您的数据的当前备份。因此几乎每个有在线业务的企业都需要衡量其在网站防护上面所需要的花费及其投资回报率,怎样用最合理的成本来进行最大化的攻击防护是每个企业需要考虑的很重要的问题。
单播、组播(目标广播、多播)、广播、泛洪、洪泛介绍与比较
csdn_bajie
06-16 7686
单播、组播(目标广播、多播)、广播、泛洪、洪泛介绍与比较
MAC地址查询分析工具
08-03
MAC地址查询分析工具
TCP/IP协议专栏——MAC地址详解——网络入门和工程维护必看
weixin_44081384的博客
08-24 6433
1、MAC 地址是硬件标识(Media Access Control Address)。6字节:48bit,3、通常用12位16进制数表示,每两个数之间用冒号隔开。如:00:D0:D0:C0:3F:A0就是一个MAC地址,前6位16进制数00:D0:D0代表网络硬件制造商的编号,由IEEE分配;后6位16进制数C0:3F:A0代表该制造商所制造的某个网络产品(如网卡)的系列号。每个网络制造商必须确保它所制造的每个以太网设备都具有相同的前六位以及不同的后六位。
MAC地址_MAC地址格式_以太网的MAC帧_基础知识
weixin_62613321的博客
11-15 2440
每块网卡中的MAC地址称为物理地址,MAC地址长6字节,一般由连字符(或冒号)分隔的12个十六进制数表示,如02-60-8c-e4-b1-21.高24位为厂商代码,低24位为厂商自行分配的网卡序列号.上每收到一个MAC帧,首先要用硬件检查MAC帧中的MAC地址.如果是发往本栈的帧,那么就收下,否则就丢弃.,校验范围从目的地址到数据段的末尾,算法采用32位CRC,注意不检验前导码.第一个字段共7字节,是前同步码,用来快速实现MAC帧的比特同步;由于总线上使用的是广播信道,因此网卡在。,就是网卡的MAC地址
实验一 利用WireShark分析HTTP和DNS
11-30
山东建筑大学计算机学院的计算机网络实验报告,实验一 利用WireShark分析HTTP和DNS
Wireshark网络络安全分析实践-视频教程网盘链接提取码下载 .txt
05-22
确实不只抓包这么简单,课程内容除了简单...课程内容包括了课程用到的实验环境搭建,网络链路层安全,网络层安全,传输层安全,应用层安全多角度全方位的分析,将Wireshark的功能发挥到了更高的高度。 视频大小:2.3G
wireshark抓包协议解读及ARP攻击泛洪攻击.docx
05-19
主要通过wireshark抓包分析了TCP三次握手和四次挥手的过程,分析了包的基本构成,以及icmp协议等;通过ARP攻击泛洪攻击的实战,了解了网络中一些基本的的攻击行为;介绍了一下常见网络病毒的端口信息。
计算机网络原理实验报告---Wireshark实验:HTTP协议分析
01-20
使用Wireshark工具对自己电脑的WLAN端口进行抓包,分析其访问一个网站(如www.baidu.com)的过程及所使用的协议,并对HTTP客户请求报文和HTTP服务器响应报文格式进行分析。完成如下任务: 1. 给出HTTP请求报文和响应...
中职网络安全2021年国赛Wireshark流量分析题目+capture.pcapng数据包文件
09-15
中职网络安全2021年国赛Wireshark流量分析题目+capture.pcapng数据包文件
计算机网络实验2-Wireshark.pdf
12-17
计算机网络课程实验的小实验结果,望您不吝赐教
kali-wireshark抓取客户端访问ftp的用户名和密码-运维安全详细笔记
06-30
kali-wireshark抓取客户端访问ftp的用户名和密码-运维安全详细笔记
网络分析工具-WireShark
07-13
WireShark是一个网络封包分析软件。网络封包分析软件的功能是撷取网络封包,并尽可能显示出最为详细的网络封包资料。Wireshark使用WinPCAP作为接口,直接与网卡进行数据报文交换。在网络封包和流量分析领域有着十分...
WireShark 网络流量分析抓包工具
09-06
Wireshark(前称Ethereal)是一个网络封包分析软件。 wireshark的特点是开源, 免费,跨平台,同时图形话界面,使用起来还是十分方便的。
hadoop-wireshark
最新发布
01-27
hadoop-wireshark是一个用于解析Hadoop通信协议的工具。它可以帮助用户分析Hadoop集群中的数据流通信。根据提供的引用内容,有两个版本的hadoop-wireshark可供使用。 引用提到的hadoop-wireshark V0.8支持解析HDFS数据流通信协议,并且可以直接下载安装,无需编译。你可以通过以下链接下载安装包: [https://github.com/liukeyou/hadoop-wireshark/blob/master/setup/Output/hadoop-wireshark.exe?raw=true](https://github.com/liukeyou/hadoop-wireshark/blob/master/setup/Output/hadoop-wireshark.exe?raw=true) 引用提到的hadoop-wireshark是一个针对wireshark 1.10.8的插件,支持解析Hadoop的通信协议,包括HDFS、YARN、HIVE和MapReduce。它适用于Hadoop版本2.2、2.3、2.4和2.4.1,以及HBase版本0.96.x和0.98.x。该插件是x64版本的安装包,如果需要其他版本或最新更新,可以在GitHub上查找。 你可以根据自己的需求选择合适的hadoop-wireshark版本,并按照相应的安装说明进行安装和配置。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值