MAC攻击与MAC安全、端口安全技术讲解

   日期:2024-12-26    作者:dounaoke 移动:http://3jjewl.riyuangf.com/mobile/quote/53653.html

目录

MAC攻击与MAC安全、端口安全技术讲解

MAC攻击

MAC泛洪攻击

MAC欺骗攻击

MAC安全

MAC-Spoofing-Defend技术

MAC地址漂移技术

禁止/限制MAC地址学习配置

MAC优化技术

端口安全

端口安全功能

安全MAC地址分类

超过安全MAC地址限制数后的动作

注意事项


攻击者不停的在局域网中发送不一样的MAC地址(大量源MAC未知的数据包,然后交换机不停的学习从这个端口发送过来的MAC地址,由于每个交换机的MAC地址表的容量时有限的,当MAC表中的条目装满之后,就无法在学习对应的地址信息

后续当局域网用户发来的数据到达交换机后,由于没有对应MAC表项,会将数据包泛洪(交换机将大量正常的业务数据泛洪,可能导致网络宕机,并且黑客收到后可以对其进行监听

MAC泛洪造成的影响
数据安全性降低,数据被监听,窃取
导致网络设备宕机,网络瘫痪
导致流量风暴,占用网络带宽和设备资源

防御方法

禁止MAC地址学习功能-即使用静态的MAC地址表(缺省会学习)、限制MAC地址学习数量、开启端口安全功能

攻击者伪造现网已经存在的一个MAC地址发送交换机,导致交换机的MAC的记录与真实的主机对应的MAC地址不一致,从而使交换机将报文错误的转发给攻击者。

此攻击一般会造成MAC地址漂移(一个接口学习到的MAC在同一Vlan内的其它接口收到

防御方法

MAC-Spoofing-Defend、MAC地址漂移技术、开启端口安全功能


通过配置信任端口来防止MAC地址漂移,当接口配置为信任端口后,从此接口学习到的MAC地址不会在其他的接口上再学习到。缺省情况下接口都是非信任端口

相关配置

mac-spoofing-defend enable           全局模式下开启此功能

mac-spoofing-defend enable           接口模式下,将此接口配置为信任端口

注意事项

如果更换信任接口连接的设备,则新设备的MAC地址不能被其他接口学习到

通过配置接口的优先级来防止MAC地址漂移,具体分为两种

  1. 同一MAC地址,从高优先级接口学习到的会覆盖从低优先级接口学习到的
  2. 当接口优先级相同时,可以让后学习到的不会覆盖之前学习到的(默认会覆盖

注意事项

对于禁止MAC地址漂移时的报文有丢弃和转发两种处理动作,缺省情况下是转发

相关配置

Mac-learning priority 1   配置接口的优先级(缺省是0,越大越优先

Mac-learning priority flapping-defend action discard  配置禁止MAC地址漂移时报文的处理动作为丢弃

Undo mac-learning priority 2 allow-flapping  允许相同优先级为2的接口发生漂移

Mac-address learning active disable  禁止MAC地址学习功能

Mac-limit maximum 10  限制MAC地址学习数量

丢弃全0非法MAC地址报文- Drop illegal-mac enable

当网络中一些主机或者设备发生故障,会发送源目MAC全为0的报文,可以防止资源消耗

MAC地址刷新ARP功能- Mac-addresss update arp

当MAC地址表项的端口发生变化,会及时更新ARP表项

MAC地址表指导别人转发,ARP表指导自己转发,当两表项不同步时,可能会发生以下现象

  1. PC之间可以Ping通,交换机Ping不通PC
  2. PC之间Ping不通,交换机可以Ping通PC

  • 通过将接口学习到的动态MAC地址转换为安全MAC地址,只允许特定的SMAC的数据帧进行通信,阻止非法用户通过本接口和交换机通信,防止MAC欺骗
  • 限制MAC地址学习数量,来防止MAC泛洪

安全动态MAC地址

使能端口安全功能但未使能Stick MAC功能时,接口上之前学习到的动态MAC表项会被删除,之后学习到的MAC地址将变为安全动态MAC地址。

设备重启后该表项会丢失,需要重新学习。

表项默认不老化,但是可以配置老化时间。

安全静态MAC地址

使能端口安全功能后,静态手工配置静态MAC地址

设备重启表项不会丢失

表项不会被老化

Sticky MAC地址

使能端口安全功能并且使能了Stick MAC功能时,会将安全动态MAC转为此Sticky MAC,将之后学习到的MAC也变为Sticky MAC地址,也可以手动配置Sticky-mac表项

设备重启表项不会丢失

表项不会被老化

接口上的安全MAC地址数量达到限制后,如果收到源MAC地址不存在的报文,端口安全则认为有非法用户攻击,缺省情况下会执行Restrict动作。

保护动作有三种:shutdown、restrict、protect

  • 当执行动作为Shutdown时,接口关闭后不会自动恢复,需要由网络管理人员在接口视图下使用restart命令重启接口进行恢复
  • 也可以在系统视图下执行error-down auto-recovery cause port-security interval 10,使得端口在10s后自动恢复

接口去使能Sticky MAC功能时,接口上的Sticky MAC地址会转为安全动态MAC地址

接口去使能端口安全功能时,安全动态MAC地址被删除,重新学习动态MAC地址


特别提示:本信息由相关用户自行提供,真实性未证实,仅供参考。请谨慎采用,风险自负。


举报收藏 0评论 0
0相关评论
相关最新动态
推荐最新动态
点击排行
{
网站首页  |  关于我们  |  联系方式  |  使用协议  |  隐私政策  |  版权隐私  |  网站地图  |  排名推广  |  广告服务  |  积分换礼  |  网站留言  |  RSS订阅  |  违规举报  |  鄂ICP备2020018471号