局域网安全-MAC Flood/Spoof

原文发表于： 2010-09-22

转载至 cu 于： 2012-07-21

很早之前就看过秦柯讲的局域网安全的视频。但是看了之后在实际工作当中很少用到 ( 指我个人的工作环境中，惭愧啊 …) ，时间长了，好多技术细节的东西就忘记了。这段时间再看看，看的同时会做一下笔记，既能加深印象也方便以后查找。

1. 局域网安全的mac flood/spoof 攻击

      Unknown unicast flooding:

交换机收到单播包，但在 cam 表没有目的 mac 时会对广播域除入口外的所有端口泛洪，这样会导致非目的 mac 的终端截获到数据包，有潜在的不安全性。

默认交换机对单播包是可以进行广播的 . 。关闭功能在接口模式下： switchport block unicast/multicast

Flood:

交换机的 cam 表容量一定，设计中针对各级别的交换机的 cam 表容量是足够的。 mac flooding attack 制造大量的 mac 抢占 cam 表空间，不仅消耗交换机资源 (cpu, mem,cam 等 ) ，还使交换机拒绝正常的服务器请求 ( 比较容易实现，但也容易被发现 ) 。

Spoof:

伪装成已存在的 mac ，更新 cam 表中 mac 和端口的对应关系 (cam 表以最后收到的数据包更新 ) 。但欺骗的前提是被伪装的 mac 一直不发包 , 否则 cam 表又被刷新 ( 相对比较难实现，但不易被发现 ) 。

一款攻击软件 :dsniff

下载地址： http://www.monkey.org/~dugsong/dsniff/dsniff-2.3.tar.gz

阻止攻击： port security

1. 有效阻止 mac flood/spoof 攻击

    a. mac flood 当特定接口设定的 mac table 满的时候产生 violation

    b. 当一个 mac 在同一个 vlan 的两个不同接口学到时产生 violation

2. port security 默认行为

    a. 所有接口 port security 默认 disable， 端口下启用： switchport port-security

    b. 默认每一个接口的最大 mac 地址容量是 1

    c. 默认 violation 是 shutdown

3. 三种 violation 方式

    a. shutdown 使接口处于 errordisable 状态，并且告警

    b. restrict 丢掉违规数据包，并且告警

    c. protect 悄无声息的丢弃数据包，没有告警

4. 三种地址学习方式

    a. 自动学习 ( 默认 )

    b. 手动指派 : switchport port-security mac-address ****.****.****

    c. sticky: switchport port-security mac-address sticky ****.****.****

5. 查看 port security 的 cpu 利用率

    show processes cpu | in Port-S

65 系列特性：

mac-address-table notification mac-move

mac move notification 特性能够检测到 mac 地址的非法移动，虽然不能阻止攻击，却能够比较有效地提醒管理人员存在攻击。

mac-address-table unicast-flood

    a. 限制 unknown unicast flooding

    b. mac-address-table unicast-flood limit 4 vlan 10 filter 5

        limit: 对同一个 vlan, 每一个 mac ，每秒的 unicast-flood 的数量进行限制

        filter: 一旦超过 limit, 过滤 unicast-flood 的时间 (s)

        alert: 一旦超过 limit, 告警

     shutdown: 一旦超过 limit,shutdown 端口

原文：http://www.cnblogs.com/netonline/p/7118878.html