注册
登录
| 关键词: 地址 报文 MAC 交换机 攻击 配置 攻击者 黑客 学习 正常 |
概述前两篇文章通过学习MAC地址的学习机制,我们已经知道交换机每收到一个报文,都会取出其源MAC地址,在MAC地址表中添加或者刷新表项。 这种正常的MAC地址学习流程,却被黑客利用,变成交换机的一个漏洞。因为黑客可以发送成千上万的源MAC地址变化的报文,把交换机的MAC地址表填满,从而造成正常用户之间通信的报文也以泛洪的形式来转发,从而阻塞整个网络。 下面我们还是以一个例子来阐述MAC地址表溢出攻击和其防御手段。 MAC地址表溢出拓扑  拓扑图
测试配置 PC的配置:PC1、PC2、PC3的配置都类似,以PC1为例,  PC1配置 交换机配置:所有的PC在同一个VLAN里。  交换机配置 测试过程
 攻击者占满MAC地址表
 PC2发送的报文
防御手段防御手段1:MAC地址老化 MAC地址老化是防止MAC地址表溢出的天然手段,不过它仅仅能用在正常使用的环境中,如果遇到有黑客攻击的场景,功能非常有限。 因为黑客会持续不断的发送报文,导致交换机也持续不断的刷新MAC地址表,这样交换机永远没有机会把正常PC的源MAC记录在MAC地址表中。 防御手段2:限制MAC地址数量 MAC地址溢出攻击非常容易判断,当发现来自一个或者几个端口的MAC地址把整个MAC地址表填满之后,就可以判断这是MAC地址表溢出攻击了。 �6�7如下图:打印MAC地址表出来以后,发现来自E0/1的MAC占据了所有的表项,  E0/1接口的MAC太多 这时就可以采用限制MAC地址数量的方法来防止攻击了。将最大允许的MAC地址数量设置为2,超过的报文都丢弃,这样就能让交换机腾出表项,学习其它正常PC的MAC,配置如下图所示:  配置MAC地址限制 总结MAC地址表溢出是黑客利用交换机正常的MAC地址学习流程中的漏洞而所做的攻击,它通过持续不断的发送源MAC地址变化的报文,从而填满并且一直占用所有的MAC地址表项而实现的。 对于MAC地址表溢出攻击我们也要引起足够的重视,不要说交换机性能足够强悍,不用担心这样的攻击。事实上如果不采取措施,没有交换机能抵得住MAC地址泛洪攻击,因为黑客发送上亿个MAC地址变化的报文,也是轻而易举的事情。 各位经过上面的描述,对于MAC地址表溢出攻击已经了解了吧? 如果还有疑问,欢迎留言谈论!也非常欢迎关注我的头条号,一起讨论网络问题! |
| 本文出处: https://www.toutiao.com/a6745074758506775044/ |
|
声明:文章版权归原作者所有 部分文章转自互联网 如有侵权请联系
[邮箱地址] 删除
|
