首页 > 代码库 > 局域网安全-MAC Flood/Spoof

局域网安全-MAC Flood/Spoof

原文发表于:2010-09-22

转载至cu于:2012-07-21

很早之前就看过秦柯讲的局域网安全的视频。但是看了之后在实际工作当中很少用到(指我个人的工作环境中,惭愧啊…),时间长了,好多技术细节的东西就忘记了。这段时间再看看,看的同时会做一下笔记,既能加深印象也方便以后查找。

  1. 局域网安全的mac flood/spoof 攻击

      Unknown unicast flooding:

交换机收到单播包,但在cam表没有目的mac时会对广播域除入口外的所有端口泛洪,这样会导致非目的mac的终端截获到数据包,有潜在的不安全性。

默认交换机对单播包是可以进行广播的.。关闭功能在接口模式下:switchport block unicast/multicast

Flood:

交换机的cam表容量一定,设计中针对各级别的交换机的cam表容量是足够的。mac flooding attack制造大量的mac抢占cam表空间,不仅消耗交换机资源(cpu, mem,cam),还使交换机拒绝正常的服务器请求(比较容易实现,但也容易被发现)

Spoof:

伪装成已存在的mac,更新cam表中mac和端口的对应关系(cam表以最后收到的数据包更新)。但欺骗的前提是被伪装的mac一直不发包,否则cam表又被刷新(相对比较难实现,但不易被发现)

 

一款攻击软件:dsniff

下载地址:http://www.monkey.org/~dugsong/dsniff/dsniff-2.3.tar.gz

 

阻止攻击:port security

1. 有效阻止mac flood/spoof攻击

    a. mac flood 当特定接口设定的mac table满的时候产生violation

    b. 当一个mac在同一个vlan的两个不同接口学到时产生violation

2. port security默认行为

    a. 所有接口port security默认disable,端口下启用:switchport port-security

    b. 默认每一个接口的最大mac地址容量是1

    c. 默认violationshutdown

3. 三种violation方式

    a. shutdown 使接口处于errordisable状态,并且告警

    b. restrict 丢掉违规数据包,并且告警

    c. protect 悄无声息的丢弃数据包,没有告警

4. 三种地址学习方式

    a. 自动学习(默认)

    b. 手动指派: switchport port-security mac-address ****.****.****

    c. sticky: switchport port-security mac-address sticky ****.****.****

5. 查看port securitycpu利用率

    show processes cpu | in Port-S

 

65系列特性:

mac-address-table notification mac-move

mac move notification 特性能够检测到mac地址的非法移动,虽然不能阻止攻击,却能够比较有效地提醒管理人员存在攻击。

 

mac-address-table unicast-flood

    a. 限制unknown unicast flooding

    b. mac-address-table unicast-flood limit 4 vlan 10 filter 5

        limit:对同一个vlan,每一个mac,每秒的unicast-flood的数量进行限制

        filter:一旦超过limit,过滤unicast-flood的时间(s)

        alert:一旦超过limit,告警

     shutdown:一旦超过limit,shutdown端口

局域网安全-MAC Flood/Spoof