01
MAC泛洪攻击
交换机原理
当交换机起动时,MAC地址表是空的,所以如果此时A主机发送一个帧给主机B,那么当交换机接受此帧的时候,查看源地址(主机A),并将它添加到MAC地址表中,但是交换机并不知道主机B在哪个端口上(MAC地址表中没有主机B的MAC地址),所以这个帧就是 未知单播帧 。交换机会泛洪这个帧。
攻击原理
通过利用类似macof的攻击软件,伪造大量未知目的的单播帧,导致mac地址表溢出。
攻击表象
1.通过查看被MAC地址表,可定位受攻击的异常交换机。在该交换机上,不可能出现几千个MAC地址,而该交换机某个端口上就是出现了大量的MAC地址表项。
2.由于被攻击交换机的MAC地址表被非法的MAC地址表项占满,导致该交换机变成了集线器,即端口不是在定向的转发数据,而是将端口接收到的数据广播发送给自己的所有开启端口。
攻击危害
1.被攻击交换机下面的接入的终端设备网速会非常慢。
2.在该交换机下面的接入终端设备在使用类似telnet之类明文传输数据的业务会被攻击者截获和利用。
防御措施
在接入层交换机上每个接入端口上将端口安全功能开启,并设置最大学习MAC地址数量。
port-security enable
该命令开启端口安全功能
port-security max-mac-num 3
该命令的限制了该端口上只能学习到3个MAC地址表项。该命令会使该端口只能接入3台网络终端。
该命令网络管理员可以根据网络拓扑实际使用情况来斟酌修改最大学习MAC表项。