您的位置:360文档中心› 实验十 计算机网络安全之MAC地址泛洪攻击

实验十 计算机网络安全之MAC地址泛洪攻击

相关主题
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

实验十MAC地址泛洪攻击及应对策略

【实验目的】

通过本实验理解MAC地址泛洪攻击的基本原理,加深对交换机工作原理的理解,掌握应对MAC攻击的基本方法。

【实验任务】

1、按照参考拓扑图构建逻辑拓扑图;

2、通过实验理解MAC地址泛洪攻击的工作原理;

3、通过交换机MAC地址绑定实现对MAC地址泛洪攻击的防御。

【实验背景】

计算机网络的组建,交换机是必不可少的一个设备,我们都会用它来做一些相应的配置,如划分VLAN、VTP、以及生成树这些,但是当我们配置了这些以后呢?我们如何来保证我们局域网内的端口安全呢?这是一个必要的操作。

首先我们来看一下交换机到需要要应对哪些方面的安全隐患:

1).VLAN attacks

2).Spoofing attacks

3).Attacks on switch devices

4).MAC Layer attacks

MAC Layer attacks主要就是MAC地址地址的泛洪攻击。大家都知道交换机需要对MAC 地址进行不断的学习,并且对学习到的MAC地址进行存储。MAC地址表有一个老化时间,默认为5分钟,如果交换机在5分钟之内都没有再收到一个MAC地址表条目的数据帧,交换机将从MAC地址表中清除这个MAC地址条目;如果收到,则刷新MAC地址老化时间。因此在正常情况下,MAC地址表的容量是足够使用的。

但如果攻击者通过程序伪造大量包含随机源MAC地址的数据帧发往交换机(有些攻击程序一分钟可以发出十几万分伪造MAC地址的数据帧),交换机根据数据帧中的MAC地址进行学习,一般交换机的MAC地址表的容量也就几千条,交换机的MAC地址表瞬间被伪造的MAC地址填满。交换机的MAC地址表填满后,交换机再收到数据,不管是单播、广播还是组播,交换机都不在学习MAC地址,如果交换机在MAC地址表中找不到目的MAC地址对应的端口,交换机将像集线器一样,向所有的端口广播数据。这样就达到了攻击者瘫痪交换机的目的,攻击者就可以轻而易举的获取全网的数据包,这就是MAC地址的泛洪攻击,而我们的应对方法就是限定映射的MAC地址数量。

【实验背景】

Catalyst Switch2950-24 1台

PC PC—PT 4台

【实验拓扑图和配置参数表】

表10.1 配置参数表

主机名IP地址缺省网关所属网段子网掩码

PC0 192.168.1.2 192.168.1.1 192.168.1.0 255.255.255.0 PC1 192.168.1.3 192.168.1.1 192.168.1.0 255.255.255.0 PC2 192.168.1.4 192.168.1.1 192.168.1.0 255.255.255.0 PC3 192.168.1.5 192.168.1.1 192.168.1.0 255.255.255.0

图10.1 参考拓扑图

【实验步骤】

步骤1 按照给出的参考拓扑图和配置参数表,构建实验拓扑图,完成对PC机的配置,并且测试下网络的连通性。

步骤2 .1 在交换机Fa0/1端口上配置MAC地址绑定:

Switch>enable

Switch#configure term

Switch(config)#interface fastethernet0/1

Switch(config-if)#switchport mode access //当连接是主机时,接入链路

Switch(config-if)#switchport port-security //启动端口安全

Switch(config-if)#switchport port-security mac-address 00E0.F7C5.4670

//绑定MAC地址(此处MAC地址为PC0的MAC地址),默认只能绑定一个

Switch(config-if)#switchport port-security violation ?

protect Security violation protect mode //不转发数据

restrict Security violation restrict mode //不转发数据,上报网管平台

shutdown Security violation shutdown mode //关闭接口,并上报网管平台Switch(config-if)#switchport port-security violation shutdown

下面我们进行下测试,看看能否正常使用。

图10.2 PC0连通性测试

我们测试完之后查看下MAC地址表

Switch#show mac-address-table

Mac Address Table

-------------------------------------------

Vlan Mac Address Type Ports

---- ----------- -------- -----

1 0001.426d.74cd DYNAMIC Fa0/

2 //这一条动态学习到的

1 0001.63bc.d28a DYNAMIC Fa0/3 //这条也是动态学习到的

1 00e0.f7c5.4670 STATIC Fa0/1

//从这可以看出这MAC地址是静态指定的

从这里我们可以看出,PC0能够正常使用。如果我们用PC3代替PC0接到Fa0/1端口

上看看有什么效果。

图10.3 发送数据包之前的拓扑图

相关文档
最新文档