九乡新闻网蒸汽世界大劫掠 忍者:MAC防洪攻击与防范 -
来源:百度文库 编辑:九乡新闻网 时间:2024/04/30 08:36:53
MAC防洪攻击与防范
默认分类 2010-10-25 23:13:16 阅读21 评论0 字号:大中小 订阅
MAC泛洪简介:
MAC泛洪,通常是因为黑客对网络的攻击而造成的,也有可能是一个交换机连接的工作电脑多于交换机路由表所能承受的能力,而引起了交换机的泛洪,导至网络阻塞等一系列后果的现象。
MAC泛洪原理:
交换机是二层网络设备(即OSI参考模型中的数据链路层)它的每个端口,起数据存储与转发的作用。
它的学习过程:包含有网卡MAC(媒体接收控制)地址的数据帧通过端口时,它会记录并据此建立MAC地址表,表中MAC地址与端口对应。以后就能按照此表迅速转发数据到正确端口。
另一个重要作用是当网络中有冗余链路时,它会按照生成树协议(STP),阻止低优先级的端口转发数据帧,避免广播风暴的形成。这时的端口工作在监听状态。存储转发与监听可以在链路拓扑发生变化时自动转换。这有赖于生成树协议。也就是说,交换机是基于MAC地址去转发数据帧的;转发过程中依靠对CAM表的查询来确定正确的转发接口;一旦在查询过程中无法找到相关目的MAC对应的条目;此数据帧将作为广播帧来处理,CAM表的容量有限,只能储存不多的条目,当CAM表记录的MAC地址达到上限后,新的条目将不会添加到CAM表中。
基于以上原理,会发现一个非常有趣的现象。某台PC不断发送去往未知目的地的数据帧,且每个包的源MAC地址都不同,当这样的数据包发送的速度足够快之后,快到在刷新时间内将交换机的CAM表迅速填满。CAM表被这些伪造的MAC地址占据,真实的MA C地址条目却无法进入CAM表。那么任何一个经过交换机的正常单播数据帧都会以广播帧的形式来处理。如下图1所示
(图1)
图1说明:主机 A 向主机 B 发送流量。交换机收到帧,并在其 MAC 地址表中查找目的 MAC 地址。如果交换机在 MAC 地址表中无法找到目的 MAC,则交换机将复制帧并将其从每一个交换机端口广播出去。
防御交换机MAC泛洪的方法:
1、Port Security;
2,802.1x;
3,Dynamic VLANs;
在这里我们只讨分析第一种PortSecurity方法,PortSecurity是通过对交换机的各个端口进行设置,PortSecurity设置有保护Protect、限制restrict、关闭shutdown三种模式,我们可以对每一个交换机的端口最大计算机数量进行设置;也可以对每一个端口充许接入的计算机的MAC地址设定,达到绑定指定的计算机目的。
A.保护Protect:安全 MAC 地址的数量达到端口允许的限制时,带有未知源地址的数据包将被丢弃,MAC 地址或增加允许的最大地址数。您不会得到发生安全违规的通知。
B.限制restrict:当安全 MAC 地址的数量达到端口允许的限制时,带有未知源地址的数据包将被丢弃,在此模式下,您会得到发生安全违规的通知。将有 SNMP 陷阱发出、syslog 消息记入日志,以及违规计数器的计数增加。
C.关闭shutdown:在此模式下,端口安全违规将造成接口立即变为错误禁用 (error-disabled) 状态。该模式还会发送 SNMP 陷阱、将 syslog 消息记入日志,以及增加违规计数器的计数。当安全端口处于错误禁用状态时,先输入 shutdown 再输入 no shutdown 接口配置命令可使其脱离此状态。此模式为默认模式。
参考资料:
1.环球网关于网络安个的问题
http://www.xuexizu.com/training_centre/content/26975?nid=30535
2. 关于ARP广播和交换机泛洪的问题
http://bbs.51testing.com/thread-143034-1-1.html
3. [中]王隆杰.《CCNA实验指南》.CHP6-交换机的配置.PPT,2010