资讯

展开

学习笔记-安全-MAC地址攻击

作者:快盘下载 人气:

Mac地址攻击;攻击者不断修改自己的MAC地址;交换机进行大量学习;导致交换机mac地址表缓存溢出;不能再学习其他的Mac地址信息;此时交换机将工作在hub状态;进而浪费带宽资源

解决方案;

实验拓扑图;学习笔记-安全-MAC地址攻击

1.静态配置MAC地址特点;不会老化;保存后设备重启不会消失;只能手动删除。

 [Huawei]mac-address static  5489-9874-03D3 g0/0/1 vlan  1  #mac地址要写成aa-aa-aa形式

黑洞MAC地址 

[Huawei]mac-address blackhole  5489-9874-03D3 vlan 1  #相当于一个黑名单;作用不大;攻击者mac地址会一直在变;

基于VLAN或接口关闭学习MAC能力若关闭MAC地址学习功能;设备在收到数据帧时将不会进行MAC地址的学习。另外之前学习到的动态表项不会立即删除;需要等待老化时间到达后老化删除;或手工执行删除MAC命令进行删除。

 discard默认丢弃;forward 默认转发

学习笔记-安全-MAC地址攻击

 g0/0/3不会学习mac地址

基于vlan关闭MAC地址学习;默认转发 学习笔记-安全-MAC地址攻击 已经学习过的mac地址会在老化时间过后消失

 学习笔记-安全-MAC地址攻击

设备依然能ping通。 

pc1 ping pc2 正常情况下pc3只能收到一个广播包

学习笔记-安全-MAC地址攻击

 关闭MAC地址学习功能后;所有报文在广播域内泛洪

学习笔记-安全-MAC地址攻击

基于VLAN或接口限制MAC地址数;默认直接丢弃超过限制的MAC地址

[Huawei-GigabitEthernet0/0/3]mac-limit maximum  1    #端口最多能学习一个mac地址

学习笔记-安全-MAC地址攻击

防止MAC地址漂移

接口配置不同的MAC地址学习优先级后;如果不同接口学到相同的MAC地址表项;那么高优先级接口学 到的MAC地址表项可以覆盖低优先级接口学到的MAC地址表项;防止MAC地址发生漂移。 修改优先级;默认为0;最大为3;越大越优

两台pc设置相同的mac地址

interface GigabitEthernet0/0/3   #进入接口g0/0/3 mac-learning priority 1               #设置0/0/3 学习mac地址优先级

学习笔记-安全-MAC地址攻击

 mac地址表只有g0/0/3有mac;且pc1因为mac地址被占用;发出的数据包被直接丢弃

学习笔记-安全-MAC地址攻击

 配置防漂移检测

可以检测到设备上所有的MAC地址是否发生了漂移 配置防漂移检测;默认开启 [Huawei]mac-address flapping  detection  exclude        #可以不敲;默认开启interface GigabitEthernet0/0/3 mac-address flapping trigger error-down                       #多次漂移后会down掉端口被down掉的端口需要先shutdown 再undo shutdownerror-down auto-recovery  cause  mac-address-flapping  interval   30 #端口30s后恢复;要在端口正常的情况下敲才有效;

加载全部内容

相关教程
猜你喜欢
用户评论
快盘暂不提供评论功能!