交换安全:
MAC地址修改----MAC地址漂移
漂移原因:中间人攻击,广播风暴(二层出环)。
中间人攻击 : 模仿其他的MAC地址 毒化cam表(入侵者伪装成DHCP服务器响应客户端DHCP请求,DHCP欺骗设备将入侵者指定为默认网关或默认域名服务器(DNS)服务器。如果指定为网关,客户机将把数据包转发给攻击设备,而攻击设备则接着将数据包发送到所要的目的地)
洪泛攻击 :交换机对未知单播帧采用洪泛
端口安全技术(静态Mac表)
把MAC绑定在接口,如果进入接口的数据和绑定的MAC地址不符合就阻塞该端口。可以防止MAC洪泛攻击、MAC 中间人攻击。
惩罚
1>protect—当新计算机接入时,如果该端口的MAC条目超过最大数量,则这个新的计算机将无法接入,而原有的计算机不受影响,交换机也不发送警告信息;
2>restrict–当新计算机接入时,如果该端口的MAC条目超过最大数量,则这个新的计算机无法接入,并且交换机将发送警告信息;
3>shutdown–当新计算机接入时,如果该端口的MAC条目超过最大数量,则该端口将会被关闭,则这个新的计算机和原有的计算机都无法接入网络,这时需要接入原有的计算机并在交换机中的该端口下使用 “shutdown”和“no shutdown”命令重新打开端口。
粘滞安全MAC地址
静态安全MAC地址可以使得交换机的接口(f0/1)只能接入某一固定的计算机,然而需要使用“switchport port-security mac-address 00d0.bab2.2611”命令,这样就需要一一查出计算机的MAC地址,这是一个工作量巨大的事情,粘滞安全MAC地址可以解决这个问题。
sw1(config)#default int f0/1
sw1(config)#int f0/1
sw1(config-if)#shutdown
sw1(config-if)#switchport mode access
sw1(config-if)#switchport access vlan 1
sw1(config-if)#switchport port-security
sw1(config-if)#switchport port-security maximum 1
sw1(config-if)#switchport port-security violation shutdown
sw1(config-if)#switchport port-security mac-address sticky 配置交换机接口自动粘滞MAC地址
sw1(config-if)#no shutdown
被惩罚的接口show int XX 状态呈现errdisable
sw1(config)#errdisable recovery cause psecure-violation
允许交换机自动恢复因端口安全而关闭的端口
sw1(confi
交换安全
最新推荐文章于 2022-08-16 22:02:54 发布