mac地址洪泛攻击原理及其防御

 攻击者利用交换机对于未知单播帧洪泛的原理，对流量进行抓取，以达到网络信息收集的目的
 
首先攻击者会向交换机中发送大量的虚假MAC地址，将交换机中的CAM表填满,这样其他主机所发送的数据帧交换机会做洪泛处理，攻击者自己的主机就可以接收到受害者的数据帧，攻击者只需要使用抓包软件就可以获取相应的信息

如何防御：
以cisco交换机为例

1、配置安全静态MAC地址

s1(config)#inter e0/1
s1(config-if)#switchport mode access  
s1(config-if)#switchport access vlan 2
s1(config-if)#switchport port-security /启动端口安全
s1(config-if)#switchport port-security maximum 1  设定此接口所能提供的最大mac地址的数量                                       
s1(config-if)#switchport port-security violation shutdown/protect/restrict 这只当超过提供mac地址的最大数量后做采取的措施                                                        
s1(config-if)#switchport port-security mac-address 00d0.bab2.2611  静态绑定mac地址

protect---当新计算机接入时，如果该端口的MAC条目超过最大数量，则这个新的计算机将无法接入，而原

              有的计算机不受影响，交换机也不发送警告信息；

restrict--当新计算机接入时，如果该端口的MAC条目超过最大数量，则这个新的计算机无法接入，并且交

              换机将发送警告信息；

shutdown--当新计算机接入时，如果该端口的MAC条目超过最大数量，则该端口将会被关闭，则这个新的计

              算机和原有的计算机都无法接入网络，这时需要接入原有的计算机并在交换机中的该端口下使用

              “shutdown”和“no shutdown”命令重新打开端口。

2、粘滞安全MAC地址

   静态mac地址可以使一个固定的计算机，然而如果要让多台主机可以通过这一个接口上网，则需要查询多个主机的mac地址工作量巨大，粘滞安全MAC地址就是用来解决这个问题

s1(config)#int e0/1
s1(config-if)#switchport mode access
s1(config-if)#switchport access vlan 1
s1(config-if)#switchport port-security
s1(config-if)#switchport port-security maximum 1
s1(config-if)#switchport port-security violation shutdown
s1(config-if)#switchport port-security mac-address sticky 配置交换机接口自动学习第X（这里是1）个mac地址

被惩罚的接口show int XX 状态呈现errdisable

s1(config)#errdisable recovery cause psecure-violation

允许交换机自动恢复因端口安全而关闭的端口

s1(config)#errdisable recovery interval 60        

配置交换机60s后自动恢复端口