MAC泛洪攻击及解决方法

目录

    • 交换机工作原理
    • MAC地址泛洪攻击
    • 配置安全端口解决
      • 配置动态MAC地址安全端口
      • 配置sticky粘贴MAC地址安全端口

交换机工作原理

交换机工作原理:交换机中有一个交换地址表(MAC地址表)表里面是端口与MAC的对应。交换机初始状态下,交换机的MAC地址表为空, 当交换机中的某个端口要转发数据时,首先会进行ARP解析,会朝着交换机发送ARP请求,交换机会自学习ARP中封装的源MAC和对应的端口号,记录在交换机中的交换地址表中,然后交换机会向着除了源端口以外的所有端口泛洪,只有目的主机会做ARP响应,然后交换机会继续自学习目的主机的MAC及其对应端口,记录在交换地址表中,当这两台主机再次通信时,交换机直接看交换地址表中信息进行转发,但是交换地址表中的每条记录有老化时间300s,超过这段时间不转发数据则删除对应的记录信息。

MAC地址泛洪攻击

MAC泛洪攻击及解决方法_第1张图片
MAC地址泛洪攻击:是攻击者利用了交换机自学习的原理,通过一定手段可以在几秒内生成几十万不同的MAC地址,并发送给交换机,这台交换机的MAC地址表很快就被这些伪造的MAC地址占满。当交换机的MAC地址表存储达到上限后,再收到数据帧时,一看该目标MAC地址,不在交换机的MAC地址表中,就会通过交换机的原理,进行泛洪,这样攻击者就会捕获这些数据帧。

配置安全端口解决

这里通过华为的ENSP来进行模拟配置。

配置动态MAC地址安全端口

通过下面的配置,在Ethernet0/0/1端口学习到的第一个MAC地址设置为安全MAC地址,再在Ethernet0/0/1端口学习到其他的MAC地址将丢弃不转发,等到200s后交换机的MAC地址表刷新,重新学习MAC地址,先学到那个MAC地址,那个就是安全MAC地址。
配置命令:
[Huawei-Ethernet0/0/1]port-security enable
开启端口安全功能
[Huawei-Ethernet0/0/1]port-security max-mac-num 1
安全MAC地址最大数量为1个
[Huawei-Ethernet0/0/1]port-security protect-action ?
protect Discard packets 丢弃
restrict Discard packets and warning 丢弃,并发出告警信息
shutdown Shutdown 丢弃,关闭端口
[Huawei-Ethernet0/0/1]port-security aging-time 200
MAC地址老化时间为200s

配置sticky粘贴MAC地址安全端口

此功能与配置动态MAC地址安全端口一样,不同之处在于:粘贴MAC地址不会老化,关机重开也依然存在。
配置命令:
[Huawei-Ethernet0/0/2]port-security enable
开启端口安全功能
[Huawei-Ethernet0/0/2]port-security mac-address sticky
开启粘贴功能
[Huawei-Ethernet0/0/2]port-security max-mac-num 1
安全MAC地址最大数量为1个
[Huawei-Ethernet0/0/2]port-security protect-action restrict
丢弃,并发出告警信息

如有错误,欢迎各位读者给予指导。
如有侵权,请及时联系。

你可能感兴趣的:(网络,网络安全)