网络安全问题,已经越来越引起大家的重 视。但是大部分人对安全问题还只是停留在主机安全之上。其实仔细从OSI 7层模型(图1)上我们可以很容易地发现,要让你的网络出现问题除了在物理层动手脚(比如剪线),那就是在2层上去动作了。2层 设备遭到了***,不管你的装了多强的病毒防火墙软件,都是无法防范。
2006-10-09_183854_OSI-Communica.gif
                                        图1
那么针对2层设备(交换机)的***有哪些形式了?又如何去防范?
首当其冲的***方式就是 MAC地址泛洪***
1,2层交换机是基于MAC地址去转发数据帧的。
2,转发过程中依靠对CAM表的查询来确定正确的转发接口。
3,一旦在查询过程中无法找到相关目的MAC对应的条目,此数据帧将作为广播帧来处理。
4,CAM表的容量有限,只能储存不多的条目,当CAM表记录的MAC地址达到上限后,新的条目将不会添加到CAM表中。
基于以上原理,我们会发现一个非常有趣的现象。某台PC不断发送去往未知目的地的数据帧,且每个包的源MAC地址都不同,当这样 的数据包发送的速度足够快之后,快到在刷新时间内将交换机的CAM表迅速填满。CAM表被这些伪造的MAC地址占据,真实的MA C地址条目却无法进入CAM表。那么任何一个经过交换机的正常单播数据帧都会以广播帧的形式来处理。如下图所示
2006-10-09_194738_1.jpg
 
2006-10-09_195947_2.jpg
2006-10-09_201241_3.jpg
至于防御的方法有以下一些解决方案
1,Port Security,
2,802.1x,
3,Dynamic VLANs