- 1蚁群算法详解-解决TSP问题_蚁群算法求解tsp问题的基本流程
- 2mac android studio设置跟mac系统一样的快捷键_mac android studio 快捷键设置
- 3go语言并发实战——日志收集系统(三) 利用sarama包连接KafKa实现消息的生产与消费
- 4springboot整合es_springboot集成es
- 5Zookeeper 节点权限控制ACL详解_zookeeper acl
- 6 《 Kotlin + Spring Boot : 下一代 Java 服务端开发 》
- 7python自然语言处理-bert实战_文本分类实战(十)—— BERT 预训练模型
- 8手把手教怎么在Gitee中创建仓库和怎么把仓库设置成开源_gitee新建仓库的路径怎么填
- 9ACID事务的四大特性_简述事务的acid四个特性
- 10【08】STM32·HAL库开发-HAL库介绍 | STM32Cube固件库介绍 | HAL库框架结构 | 如何使用HAL库及使用注意事项_stm32 hal库
MAC攻击与MAC安全、端口安全技术讲解_交换机mac地址攻击有哪两种类型,攻击的原理是什么,用什么方法可以防御
赞
踩
目录
https://blog.csdn.net/m0_49864110/article/details/131362293?csdn_share_tail=%7B%22type%22%3A%22blog%22%2C%22rType%22%3A%22article%22%2C%22rId%22%3A%22131362293%22%2C%22source%22%3A%22m0_49864110%22%7DMAC攻击
MAC泛洪攻击
攻击者不停的在局域网中发送不一样的MAC地址(大量源MAC未知的数据包),然后交换机不停的学习从这个端口发送过来的MAC地址,由于每个交换机的MAC地址表的容量时有限的,当MAC表中的条目装满之后,就无法在学习对应的地址信息
后续当局域网用户发来的数据到达交换机后,由于没有对应MAC表项,会将数据包泛洪(交换机将大量正常的业务数据泛洪,可能导致网络宕机,并且黑客收到后可以对其进行监听)
MAC泛洪造成的影响
数据安全性降低,数据被监听,窃取
导致网络设备宕机,网络瘫痪
导致流量风暴,占用网络带宽和设备资源防御方法
禁止MAC地址学习功能-即使用静态的MAC地址表(缺省会学习)、限制MAC地址学习数量、开启端口安全功能
MAC欺骗攻击
攻击者伪造现网已经存在的一个MAC地址发送交换机,导致交换机的MAC的记录与真实的主机对应的MAC地址不一致,从而使交换机将报文错误的转发给攻击者。
此攻击一般会造成MAC地址漂移(一个接口学习到的MAC在同一Vlan内的其它接口收到)
防御方法
MAC-Spoofing-Defend、MAC地址漂移技术、开启端口安全功能
MAC安全
MAC-Spoofing-Defend技术
通过配置信任端口来防止MAC地址漂移,当接口配置为信任端口后,从此接口学习到的MAC地址不会在其他的接口上再学习到。缺省情况下接口都是非信任端口
相关配置
mac-spoofing-defend enable 全局模式下开启此功能
mac-spoofing-defend enable 接口模式下,将此接口配置为信任端口
注意事项
如果更换信任接口连接的设备,则新设备的MAC地址不能被其他接口学习到
MAC地址漂移技术
通过配置接口的优先级来防止MAC地址漂移,具体分为两种
- 同一MAC地址,从高优先级接口学习到的会覆盖从低优先级接口学习到的
- 当接口优先级相同时,可以让后学习到的不会覆盖之前学习到的(默认会覆盖)
注意事项
对于禁止MAC地址漂移时的报文有丢弃和转发两种处理动作,缺省情况下是转发
相关配置
Mac-learning priority 1 配置接口的优先级(缺省是0,越大越优先)
Mac-learning priority flapping-defend action discard 配置禁止MAC地址漂移时报文的处理动作为丢弃
Undo mac-learning priority 2 allow-flapping 允许相同优先级为2的接口发生漂移
禁止/限制MAC地址学习配置
Mac-address learning active disable 禁止MAC地址学习功能
Mac-limit maximum 10 限制MAC地址学习数量
MAC优化技术
丢弃全0非法MAC地址报文- Drop illegal-mac enable
当网络中一些主机或者设备发生故障,会发送源目MAC全为0的报文,可以防止资源消耗
MAC地址刷新ARP功能- Mac-addresss update arp
当MAC地址表项的端口发生变化,会及时更新ARP表项
MAC地址表指导别人转发,ARP表指导自己转发,当两表项不同步时,可能会发生以下现象:
- PC之间可以Ping通,交换机Ping不通PC
- PC之间Ping不通,交换机可以Ping通PC
端口安全
端口安全功能
- 通过将接口学习到的动态MAC地址转换为安全MAC地址,只允许特定的SMAC的数据帧进行通信,阻止非法用户通过本接口和交换机通信,防止MAC欺骗
- 限制MAC地址学习数量,来防止MAC泛洪
安全MAC地址分类
安全动态MAC地址
使能端口安全功能但未使能Stick MAC功能时,接口上之前学习到的动态MAC表项会被删除,之后学习到的MAC地址将变为安全动态MAC地址。
设备重启后该表项会丢失,需要重新学习。
表项默认不老化,但是可以配置老化时间。
安全静态MAC地址
使能端口安全功能后,静态手工配置静态MAC地址
设备重启表项不会丢失
表项不会被老化
Sticky MAC地址
使能端口安全功能并且使能了Stick MAC功能时,会将安全动态MAC转为此Sticky MAC,将之后学习到的MAC也变为Sticky MAC地址,也可以手动配置Sticky-mac表项
设备重启表项不会丢失
表项不会被老化
超过安全MAC地址限制数后的动作
接口上的安全MAC地址数量达到限制后,如果收到源MAC地址不存在的报文,端口安全则认为有非法用户攻击,缺省情况下会执行Restrict动作。
保护动作有三种:shutdown、restrict、protect
- 当执行动作为Shutdown时,接口关闭后不会自动恢复,需要由网络管理人员在接口视图下使用restart命令重启接口进行恢复
- 也可以在系统视图下执行error-down auto-recovery cause port-security interval 10,使得端口在10s后自动恢复
注意事项
接口去使能Sticky MAC功能时,接口上的Sticky MAC地址会转为安全动态MAC地址
接口去使能端口安全功能时,安全动态MAC地址被删除,重新学习动态MAC地址
手工配置的Sticky表项和安全静态表项类似,只是Sticky表项是保存在.ztbl或,ctbl文件中,而并非配置文件中
