实验手册：MAC地址泛洪的攻击和解决办法

实验手册：MAC地址泛洪的攻击和解决办法实验目的：1、了解MAC地址泛洪攻击的原理2、预防和解决交换机的MAC地址泛洪攻击交换机的MAC地址表空间是有限的，但是正常情况下都可以正常使用。

黑客可以通过大量虚假的MAC地址填充交换机MAC地址表，直到溢出为止。

让交换机无法正常学习MAC地址，进而转发所有数据都成了广播，等于变成了一个HUB。

要解决这个问题，我们需要做交换机的端口安全。

交换机的端口安全分为两种：1、限制交换机接口学习MAC地址的数量Switch(config-if)#switchport port-security 开启交换机的端口安全功能。

该端口模式必须是静态（access或trunk）Switch(config-if)#switchport port-security maximum 5 让该端口最多可以学习5个MAC地址，默认开启了端口安全功能以后，只能学习一个MAC地址Switch#show port-security，查看开启了端口安全功能的端口Switch#show port-security address，查看已经绑定使用的PC 的MAC地址一旦违反规定，会有三种惩罚情况：1、shutdown 默认把该接口直接关闭，并且发出报警日志2、protocol 丢包，不会再接收或转发任何数据3、restrict 丢包，并发送告警到SNMP报警Switch(config-if)#switchport port-security violation ? 可以通过该命令修改惩罚情况2、交换机的接口绑定主机的MAC地址可以对交换机的接口绑定PC机的MAC地址，只要PC机一连接到交换机，马上检查端口绑定的MAC地址，如果不匹配就会进入惩罚状态Switch(config-if)#switchport port-security mac-address 0003.E499.26D6 手动绑定交换机的MAC地址。

mac-filter抵御MAC地址欺骗的网络攻击
mac-filter防御MAC地址欺骗的网络攻击
【故障现象】
用户申告：拨号676，无法上网。

【故障分析】
当用户发出的PADR报文后，迟迟无法得到PADS报文，就会出现错误676。

导致网络上出现错误676的原因很多，最常见的有2类，网络攻击和用户环路。

1）网络攻击：有用户仿冒BAS的MAC地址发包，根据二层设备学习mac地址的原则，会出现BAS的mac地址被错误的学习到用户端口上，从而导致正常的PADR报文送错端口，用户出现拨号676错误。

2）用户环路：有用户的局域网内部环路，也有用户modem故障导致环路，最终结果是BAS发给用户的报文，由于环路的存在，同样的数据帧从用户端口给送了回来，这种数据帧的源地址是BAS的MAC，收到环回的数据帧后，二层设备会把BAS的mac错误的学到用户端口上，从而引起错误676。

【解决方法】
mac-filter命令用于配置对指定MAC地址的过滤功能。

当需要禁止带有某些源或目的MAC的报文通过本设备上行时，使用此命令。

配置成功后，带有被禁止的源或目的MAC地址的IP报文将被丢弃，以防止恶意用户假冒网络设备MAC地址对运营商网络的攻击。

mac攻击与防御的原理和方法Mac攻击与防御的原理和方法，是关于Mac操作系统在面对各种网络威胁和安全问题时的应对手段和技术措施的描述。

本文将从Mac系统的攻击原理、最常见的攻击类型以及相应的防御措施等方面展开阐述。

一、Mac攻击原理1. 操作系统漏洞利用：攻击者通过发现和利用操作系统中存在的漏洞，以实现对Mac系统的攻击和控制。

2. 恶意软件：恶意软件包括病毒、木马、间谍软件等，它们通过植入Mac系统中，进行各种破坏、数据窃取或监控等行为。

4. 网络攻击：包括DDoS攻击、端口扫描、网络钓鱼等，通过网络渗透入Mac系统，对其进行恶意控制或破坏。

二、常见的Mac攻击类型1. 病毒和恶意软件：攻击者通过发送感染文件、链接或伪装良性程序等手段，将病毒或恶意软件引入Mac系统中，从而破坏、窃取或控制系统数据。

2.钓鱼攻击：攻击者通过发送伪装成合法网站或应用程序的欺骗性信息，引导用户输入敏感信息，进而窃取用户的账号密码、银行账户等重要信息。

3.DDoS攻击：攻击者通过控制大量僵尸网络，对特定目标发起大规模的网络访问请求，使目标系统资源过载，导致系统崩溃或无法正常工作。

4. 系统漏洞攻击：攻击者通过利用系统存在的漏洞进行攻击，例如利用Buffer Overflow漏洞通过输入超长字符串来覆盖部分存储区域并执行恶意代码等。

三、Mac系统的防御措施1. 更新系统和应用程序：及时更新Mac系统和应用程序的补丁，以修补已知漏洞，确保系统安全。

2.安装防病毒软件：安装并及时更新可靠的防病毒软件，能够检测和隔离病毒、木马和恶意软件。

3.强化账号密码：使用强密码组合并定期更改，避免使用弱密码或在多个账号间共用同一密码。

4. 充分利用防火墙：开启Mac系统自带的防火墙，并适当配置允许和禁止的网络连接，减少潜在的攻击威胁。

6.数据备份和恢复：定期备份重要数据，并养成数据加密和数据恢复计划，以应对突发情况。

7.提高用户安全意识：定期进行网络安全教育和培训，让用户提高安全意识和警惕性，避免因不慎行为导致安全问题。

第1篇一、实验背景随着互联网技术的飞速发展，网络安全问题日益凸显。

其中，泛洪攻击作为一种常见的网络攻击手段，给网络系统带来了极大的威胁。

为了深入了解泛洪攻击的原理和防御方法，我们进行了本次泛洪攻击实验。

二、实验目的1. 理解泛洪攻击的原理和危害；2. 掌握泛洪攻击的实验方法；3. 学习防御泛洪攻击的策略。

三、实验环境1. 操作系统：Windows 102. 虚拟机软件：VMware Workstation3. 实验工具：Scapy四、实验原理泛洪攻击是一种利用目标系统资源耗尽而导致的拒绝服务攻击。

攻击者通过发送大量数据包或请求，使目标系统无法正常处理正常用户请求，从而达到拒绝服务的目的。

常见的泛洪攻击类型包括：1. TCP SYN泛洪攻击：利用TCP三次握手过程中的漏洞，发送大量伪造的SYN请求，使目标系统处于半连接状态，消耗系统资源。

2. UDP泛洪攻击：发送大量UDP数据包，使目标系统无法正常处理正常数据。

3. ICMP泛洪攻击：发送大量ICMP请求，使目标系统无法正常处理网络请求。

五、实验步骤1. 准备实验环境（1）在VMware Workstation中创建两台虚拟机，分别作为攻击者和目标系统。

（2）在攻击者虚拟机上安装Scapy工具。

2. 编写攻击脚本（1）使用Scapy编写TCP SYN泛洪攻击脚本，如下所示：```pythonfrom scapy.all importdef syn_flood(target_ip, target_port):while True:syn_packet = IP(dst=target_ip) / TCP(sport=RandShort(), dport=target_port, flags="S")send(syn_packet)if __name__ == "__main__":target_ip = "192.168.1.2"target_port = 80syn_flood(target_ip, target_port)```（2）运行攻击脚本，对目标系统进行TCP SYN泛洪攻击。

一.MAC地址欺骗的原理和实战介绍一、原理：在开始之前我们先简单了解一下交换机转发过程：交换机的一个端口收到一个数据帧时，首先检查改数据帧的目的MAC地址在MAC地址表(CAM)对应的端口，如果目的端口与源端口不为同一个端口，则把帧从目的端口转发出去，同时更新MAC地址表中源端口与源MAC的对应关系;如果目的端口与源端口相同，则丢弃该帧。

有如下的工作场景：一个4口的switch,端口分别为Port.A、Port.B、Port.C、Port.D对应主机 A,B,C，D，其中D为网关。

当主机A向B发送数据时，A主机按照OSI往下封装数据帧，过程中，会根据IP地址查找到B主机的MAC地址，填充到数据帧中的目的MAC地址。

发送之前网卡的MAC层协议控制电路也会先做个判断，如果目的MAC相同于本网卡的MAC，则不会发送，反之网卡将这份数据发送出去。

Port.A接收到数据帧，交换机按照上述的检查过程，在MAC地址表发现B的MAC地址(数据帧目的MAC)所在端口号为Port.B，而数据来源的端口号为Port.A，则交换机将数据帧从端口Port.B转发出去。

B主机就收到这个数据帧了。

这个寻址过程也可以概括为IP->MAC->PORT,ARP欺骗是欺骗了IP/MAC的应关系，而MAC欺骗则是欺骗了MAC/PORT的对应关系。

比较早的攻击方法是泛洪交换机的MAC地址，这样确实会使交换机以广播模式工作从而达到嗅探的目的，但是会造成交换机负载过大，网络缓慢和丢包甚至瘫痪，我们不采用这种方法。

二、实战工作环境为上述的4口swith，软件以cncert的httphijack 为例，应用为A主机劫持C主机的数据。

以下是劫持过程(da为目的MAC,sa为源MAC)1.A发送任意da=网关.mac、sa=B.mac的数据包到网关。

这样就表明b.mac 对应的是port.a，在一段时间内，交换机会把发往b.mac 的数据帧全部发到a主机。

我们都知道，组建我们的网络，交换机是必不可少的一个设备，我们都会用它来做一些相应的配置，如划分VLAN、VTP、以及生成树这些，，但是当我们配置了这些以后呢？我们如何来保证我们局域网内的端口安全呢？这是一个必要的操作。

那么下面我们就使用Cisco Packet Tracer 5.2来做做这方面的实验，但是还是有一些不足，哎……，这也没有办法，毕竟是模拟器不是真实的交换机。

我们知道交换机在网络中存在规模最大，通过这个图我们得出一个结论那就是：离接入层越近风险越大，所以问题主要集中在接入层。

那么下来我们就来分析一下这个交换机倒底存在那些安全呢？交换机所面临攻击的层面：MAC layer attacksVLAN attacksSpoofing attacksAttacks on switch devices那么我们知道了交换机所面临这四种攻击，我们现在来一个一个的分析一下这些：Mac Flooding Attack:利用伪造数据帧或数据包软件，不停变化源MAC地址向外发包，让有限的MAC地址表空间无法容纳进而破坏MAC地址表。

应对：限定端口映射的MAC数量在这里三台PC的IP地址如下：以下我们在交换机上面配置MAC地址绑定。

从这里我们可以看见，PC0能够正常使用。

那我们再新添加一台PC并将这台PC 接到FA0/1端口上面看看会是什么效果。

从这个图我们可以看见，PC3接在FA0/1接口上面，当PC3没有向其它网段发送数据包的时候一切正常，那么下面我们来发送一个数据包看看呢？会有什么样的反应？我们可以看出来，当交换机的FA0/1接口接PC0的时候，能够正常使用，但是当我的PC3接入到交换机的FA0/1上，当我发送数据包PC2 上面时候，而交换机发现我PC3的MAC地址不是我当初指定的那个MAC地址，所以就执行将此接口shutdown掉，从上图我们也可以看见，PC3连接的FA0/1已经被shutdown了。

一.MAC地址欺骗的原理和实战介绍一、原理：在开始之前我们先简单了解一下交换机转发过程：交换机的一个端口收到一个数据帧时，首先检查改数据帧的目的MAC地址在MAC地址表(CAM)对应的端口，如果目的端口与源端口不为同一个端口，则把帧从目的端口转发出去，同时更新MAC地址表中源端口与源MAC的对应关系;如果目的端口与源端口相同，则丢弃该帧。

有如下的工作场景：一个4口的switch,端口分别为Port.A、Port.B、Port.C、Port.D对应主机 A,B,C，D，其中D为网关。

当主机A向B发送数据时，A主机按照OSI往下封装数据帧，过程中，会根据IP地址查找到B主机的MAC地址，填充到数据帧中的目的MAC地址。

发送之前网卡的MAC层协议控制电路也会先做个判断，如果目的MAC相同于本网卡的MAC，则不会发送，反之网卡将这份数据发送出去。

Port.A接收到数据帧，交换机按照上述的检查过程，在MAC地址表发现B的MAC地址(数据帧目的MAC)所在端口号为Port.B，而数据来源的端口号为Port.A，则交换机将数据帧从端口Port.B转发出去。

B主机就收到这个数据帧了。

这个寻址过程也可以概括为IP->MAC->PORT,ARP欺骗是欺骗了IP/MAC的应关系，而MAC欺骗则是欺骗了MAC/PORT的对应关系。

比较早的攻击方法是泛洪交换机的MAC地址，这样确实会使交换机以广播模式工作从而达到嗅探的目的，但是会造成交换机负载过大，网络缓慢和丢包甚至瘫痪，我们不采用这种方法。

二、实战工作环境为上述的4口swith，软件以cncert的httphijack 为例，应用为A主机劫持C主机的数据。

以下是劫持过程(da为目的MAC,sa为源MAC)1.A发送任意da=网关.mac、sa=B.mac的数据包到网关。

这样就表明b.mac 对应的是port.a，在一段时间内，交换机会把发往b.mac 的数据帧全部发到a主机。

Experience Exchange经验交流DCW209数字通信世界2021.040 引言交换机MAC 泛洪攻击是利用工具不断大量伪造MAC 地址，利用交换机学习MAC 地址没有安全验证机制这一漏洞，攻击者利用虚假物理地址欺骗交换机，交换机的MAC 地址表被填满后，交换机将以广播的方式工作。

攻击者可在网络内任何一台主机上抓取数据包，通过对数据包解密从而窃取重要信息，从而引发交换机的MAC 泛洪攻击事件。

交换机开启端口安全可以在很大程度上防范MAC 泛洪攻击。

本文利用VMware Workstation 和eNSP 工具模拟窃取信息并通过给出安全防御方法。

1 实验内容1.1 实验目标了解交换机MAC 洪泛攻击的原理，并能对其进行有效的防御，掌握攻击步骤和防御方法并能应用到真实环境中。

1.2 实验场景及任务描述某公司准备搭建FTP 服务，用于内部员工进行文件上传和下载等工作需要。

出于安全方面考虑要求设置FTP 服务的用户名和密码。

作为网络安全管理员的你，提出了安全不仅是设置用户名和密码访问FTP 服务就可以解决的，还需要对内部网络设备安全进行配置。

任务一：在BT5上使用攻击工具macof 对网络开展MAC 泛洪攻击，并利用协议分析软件Wireshark 捕获网络中明文传输的FTP 服务器的登录用户名和密码。

任务二：对交换机开启端口安全，阻止攻击机通过其级联端口与交换机通信，防御攻击。

1.2.1 实验拓扑图，见下图1。

图1 实验拓扑图基于华为ENSP 和Vmware Workstation 软件模拟MAC洪泛攻击与防御的实验综述报告董良杰（安徽城市管理职业学院，安徽 合肥 230050）摘要：通过VMware Workstation 模拟操作系统、华为 eNSP 模拟网络环境组成的模拟环境对学生直观的讲解攻击的过程和如何防御，加深学生对交换机原理的理解。

同时可以有效解决实验室设备数量功能等受限的问题，方便学生随时学习掌握。

网络安全——攻击分类(3)三、泛洪 攻击者向某些网络资源发送过量的数据时发生的就是泛洪攻击。

这些网络设备可以是路 由器、交换机、应用程序、主机，也可以是网络链路。

常见的包括 MAC 泛洪、网络泛洪、 TCP SYN 泛洪和应用程序泛洪。

1、MAC 泛洪 是指以假冒的源 MAC 地址和目的地址将数据包从攻击者的系统发送到以太网链路上， 用于占领 MAC 地址在交换上 CAM 的位置，由于 CAM 表容量是有限的，当 CAM 填满后， 其它主机就只能在本地 LAN 上进行泛洪，这就使攻击者可以对这些帧进行嗅探。

2、网络泛洪 一般是消耗网络链路的可用带宽而设计的， 然后， 将合法流量发送到充斥着虚假流量的 线缆上的可能性就非常低了，这些攻击通常是针对网络的 internet 链路的，internet 链路既 是网络中最缓慢也是其中最关键的部分，常见有 smurf 和 DDos。

Smurf 攻击：是利用假冒的 internet 控制消息协议（ICMP）广播 ping 进行攻击，IP 支持所谓的定向广播，某个工作站将广播数据包发送到另一个网络时所发生的就是定向广 播。

例如，当 192.168.1.0/24 网络中的一台主机可以将数据包发送到 192.168.1.255，如是 路由器配置为传播定向广播，那么网络 192.168.1.0/24 就会收到该数据包，将其发送给网 络 192.168.1.0/24 上的所有主机，该网络上所有配置为对广播流量作响应的工作站都会作 出响应。

Smurf 攻击利用这种形为将很小的数据包变成大规模的攻击，如下图所示：制图 smurf 攻击作 ：张选 波Smurf 是一种增幅攻击，因为一个假冒广播 ping 到达回弹网络后，该网络中的每台主 机都会向这种攻击的受害者响应各不相同的 ping 数据包。

假定攻击者能够向其中有 100 台 主机的的回弹网络发出速率为 768kbit/s 的广播 ping 数据， 将回程流量发送到受攻击网络中 的时候，这将变成速率为每秒 76.8Mbit/s 的数据流，回弹的网络越大增幅就越大。

arp泛洪攻击原理
ARP泛洪攻击是一种攻击方式，攻击者通过向网络中的所有计算机发送虚假的ARP广播信息，使得网络中的所有计算机都将其缓存记录修改为攻击者指定的MAC地址，从而将网络流量转发给攻击者，达到监听、嗅探或拒绝服务等攻击目的。

攻击者通常会伪装成网络中一台计算机，并向网络中所有计算机发送ARP广播请求，请求中会包含攻击者伪造的MAC地址和目标IP地址。

网络中的其他计算机接收到这个广播请求后，会将该请求存储到自己的ARP缓存表中，并将其它的ARP应答包都通过发送给被攻击的广播地址。

攻击者可以通过反复发送虚假广播请求来刷满网络，导致网络阻塞或瘫痪，使网络中的正常通信无法进行。

为了防范ARP泛洪攻击，可以使用静态ARP表、动态ARP表或ARP防火墙等技术进行防范。

静态ARP表可以手动配置网络设备的MAC 地址和IP地址，从而防止ARP缓存表被攻击者篡改。

动态ARP表可以通过ARP缓存表的自动更新来保证网络中的ARP缓存表的正确性。

ARP 防火墙可以通过策略控制进出网络的ARP数据包，来从源头上防范ARP 泛洪攻击。

交换机安全问题研究交换机在网络中工作在数据链路层，属于二层设备，提供了网络互联的等功能。

它根据源MAC学习，根据新的MAC进行转发，按照每一个数据帧中的MAC地址决策信息转发。

交换机是网络常用设备之一，也是网络必备设备之一，作为网络的基础构件，它的安全性着实成为许多工程师及网管人员的首要关注点。

交换机作为一种网络互联设备，它的默认状态旨在强化对内保护和内部开放通信的安全性。

企业内部的交换机用于提供通信、转发游有用信息，这种提供通信的设备，往往安全性配置最低，这使得它们更容易遭到恶意攻击。

如果攻击时在企业网内部设备的二层上发起的，那么通常在为检测到异常之前，网络中的其它设备就马上被攻陷了。

同样，非恶意用户的一些行为也会导致网络中断，例如，用户在谁端口连入交换机或集线器的行为，或者把自己的笔记本配置为DHCP 服务器的行为，尽管不是恶意的，但仍可能导致网络中断。

所以，网络管理员必须采取安全保护行为，就跟ACL为上层提供安全保护一样，建立一个策略，并配置适当的特性，以便在维护日常网络运营的同时防范潜在的恶意威胁。

1 二层攻击的分类二层的恶意攻击通常是由园区网基础设施所连接的设备发出的。

出于恶意目的安放在网络中的物理未授权设备可以发出攻击。

外部入侵者也可以控制并在可信设备上发起攻击。

向交换机发起的二层攻击可以划分为以下几种类别：1.MAC层攻击2.VLAN攻击3.欺骗攻击4.交换机设备上的攻击1.1MAC层攻击极其防御交换机的工作原理就是根据数据帧中的源MAC地址进行学习，将学习到的所哟MAC地址存入CAM（MAC地址表）中，根据数据帧中的目的MAC地址进行转发。

交换机CAM表的空间是有限的，因此在同一时间内它只能存放有限数量的条目。

网络入侵者可以使用大量无效的源MAC地址，来恶意地向交换机泛洪。

如果在老的条目过期之前交换机接收到了足够多的新条目，那么它就不会再接收新的合法条目。

如果这时去往交换机端口所连合法设备的流量抵达交换机，它也无法创建一个CAM表条目，交换机必须向所有端口泛洪这个数据帧。

ARP攻击实验⼀、实验⽬的1.掌握sniffer和Wireshark⼯具的使⽤。

2.了解WinArpAttacker软件攻击的⽅法和步骤。

3.学会使⽤ARP欺骗的攻击⽅法和掌握ARP欺骗的防范⽅法。

⼆、实验设备及环境两台装有Windows2000/XP电脑操作系统的计算机，并且这两台要在同⼀个局域⽹内，⼀台安装Wireshark、WinArpAttacker⼯具，另⼀台安装ARP 防⽕墙⼯具antiarp软件。

三、实验内容及步骤（截图并对图⽰进⾏必要的⽂字说明）1.ARP泛洪攻击。

⾸先先测试攻击⽅和被攻击⽅的连通性。

安装Wireshark软件并运⾏在软件对话框内选择capture——》options，在弹出的对话框内输⼊被攻击⽅的ip地址。

点击Start按钮，开始嗅探被攻击⽅的数据包。

安装WinArpAttacker软件，并运⾏，选择options——》adapter。

在弹出的对话框内选择attack选项，把攻击的时间延长（时间可随意设置）。

进⾏scan，设置被攻击⽅的ip。

选择设置好的⽬的IP后选择attack，进⾏flood攻击。

这时发现被攻击⽅出现ip地址冲突，即攻击成功。

打开Wireshark查看嗅探到的信息2.使⽤send实施ARP欺骗攻击使⽤ipconfig/all命令查看攻击⽅MAC地址，并⽤ARP –a 查看本地局域⽹内所有⽤户ip和mac地址绑定关系同样使⽤使⽤ipconfig/all 命令查看被攻击⽅MAC 地址，并⽤ARP –a 查看本地局域⽹内所有⽤户ip 和mac 地址绑定关系运⾏WinArpAttacker 软件，选中send 选项，设置相应的参数。

然后点击send 开始攻击。

再次使⽤命令arp –a 查看信息，发现ip和mac地址绑定关系发⽣改变，并发现ping不同。

3. 防范ARP欺骗为防⽌arp欺骗，使⽤静态绑定ip和mac地址。

先使⽤命令arp -d清除缓存表。

攻击源利用TCP漏洞向服务器发出攻击，使得服务器(靶机)网络资源被耗尽，观察攻击的过程。

备注：需开启连接windows和linux靶机，在linux运行synflood.py对windows进行攻击，并通过观察浏览网页发现问题（工具在root->gongfang->synflood->synflood.py）。

洪泛攻击是拒绝服务攻击中最有效、最常见的方式，在很多时候这两个概念甚至可以互换。

该攻击方式几乎是从互联网络的诞生以来，就伴随着互联网络的发展而一直存在也不断发展和升级。

要引起注意的是，许多黑客乐意把他们开发的DoS攻击软件放在互联网上供各种感兴趣的人免费下载，任何一个上网都能够轻松的从Internet上获得这些工具，从某种意义上说，任何一个上网者都可能构成网络安全的潜在威胁。

DoS攻击给飞速发展的互联网络安全带来重大的威胁。

就目前而言，DoS 攻击永远不会消失而且从技术上目前没有根本的解决办法。

1、掌握泛洪攻击的基本原理；2、思考防范泛洪攻击的手段；泛洪攻击利用的是TCP的三次握手机制，攻击端利用伪造的IP地址向被攻击端发出请求，而被攻击端发出的响应报文将永远发送不到目的地，那么被攻击端在等待关闭这个连接的过程中消耗了资源，如果有成千上万的这种连接，主机资源将被耗尽，从而达到攻击的目的。

在服务器与客户端之间传输数据时，先建立tcp连接是必须的，在传送tcp数据时，必须建立一个虚电路，即tcp连接。

服务器与客户端建立tcp连接的标准过程被称为三次握手。

SYN 洪泛攻击通过故意不完成三次握手过程，造成连接一方的资源耗尽。

攻击者向靶机发送一个SYN报文后就拒接返回报文，这样靶机在发出SYN +ACK 应答报文后是无法收到客户端的ACK报文的，这样第三次握手就无法完成，这种情况下，靶机即被攻击的服务器端一般会重试再发送SYN+ACK给客户端，并等待一段时间后丢弃这个未完成的连接，这段时间称为SYN Timeout，一般来说这个时间大约为1分钟。

实验十一MAC地址泛洪攻击及应对策略【实验目的】通过本实验理解MAC地址泛洪攻击的基本原理，加深对交换机工作原理的理解，掌握应对MAC攻击的基本方法。

【实验任务】1、按照参考拓扑图构建逻辑拓扑图；2、通过实验理解MAC地址泛洪攻击的工作原理；3、通过交换机MAC地址绑定实现对MAC地址泛洪攻击的防御。

【实验背景】计算机网络的组建，交换机是必不可少的一个设备，我们都会用它来做一些相应的配置，如划分VLAN、VTP、以及生成树这些，但是当我们配置了这些以后呢？我们如何来保证我们局域网内的端口安全呢？这是一个必要的操作。

首先我们来看一下交换机到需要要应对哪些方面的安全隐患：1).VLAN attacks2).Spoofing attacks3).Attacks on switch devices4).MAC Layer attacksMAC Layer attacks主要就是MAC地址地址的泛洪攻击。

大家都知道交换机需要对MAC 地址进行不断的学习，并且对学习到的MAC地址进行存储。

MAC地址表有一个老化时间，默认为5分钟，如果交换机在5分钟之内都没有再收到一个MAC地址表条目的数据帧，交换机将从MAC地址表中清除这个MAC地址条目；如果收到，则刷新MAC地址老化时间。

因此在正常情况下，MAC地址表的容量是足够使用的。

但如果攻击者通过程序伪造大量包含随机源MAC地址的数据帧发往交换机（有些攻击程序一分钟可以发出十几万分伪造MAC地址的数据帧），交换机根据数据帧中的MAC地址进行学习，一般交换机的MAC地址表的容量也就几千条，交换机的MAC地址表瞬间被伪造的MAC地址填满。

交换机的MAC地址表填满后，交换机再收到数据，不管是单播、广播还是组播，交换机都不在学习MAC地址，如果交换机在MAC地址表中找不到目的MAC地址对应的端口，交换机将像集线器一样，向所有的端口广播数据。

这样就达到了攻击者瘫痪交换机的目的，攻击者就可以轻而易举的获取全网的数据包，这就是MAC地址的泛洪攻击，而我们的应对方法就是限定映射的MAC地址数量。