交换机防止MAC地址洪泛攻击

使用Cisco Packet Tracer之MAC地址洪泛攻击

网络2009-11-15 09:35:06 阅读350 评论0 字号：大中小订阅

我们都知道，组建我们的网络，交换机是必不可少的一个设备，我们都会用它来做一些相应的配置，如划分VLAN、VTP、以及生成树这些，，但是当我们配置了这些以后呢？我们如何来保证我们局域网内的端口安全呢？这是一个必要的操作。那么下面我们就使用Cisco Packet Tracer 5.2来做做这方面的实验，但是还是有一些不足，哎……，这也没有办法，毕竟是模拟器不是真实的交换机。

我们知道交换机在网络中存在规模最大，

通过这个图我们得出一个结论那就是：离接入层越近风险越大，所以问题主要集中在接入层。

那么下来我们就来分析一下这个交换机倒底存在那些安全呢？

交换机所面临攻击的层面：

MAC layer attacks

VLAN attacks

Spoofing attacks

Attacks on switch devices

那么我们知道了交换机所面临这四种攻击，我们现在来一个一个的分析一下这些：

Mac Flooding Attack:

利用伪造数据帧或数据包软件，不停变化源MAC地址向外发包，让有限的MAC地址表空间无法容纳进而破坏MAC地址表。

应对：限定端口映射的MAC数量

在这里三台PC的IP地址如下：

以下我们在交换机上面配置MAC地址绑定。

Switch(config)#interface fastEthernet 0/1

Switch(config-if)#switchport mode access （当端口连接是主机时，接入链路）

Switch(config-if)#switchport port-security （启动端口安全）

Switch(config-if)#switchport port-security mac-address 00E0.A342.20E6 （绑定一个MAC地址，默认只能绑定一个MAC地址）

Switch(config-if)#switchport port-security violation ?

protect Security violation protect mode （不转发数据）

restrict Security violation restrict mode (不转发数据，上报网管平台)

shutdown Security violation shutdown mode （关闭接口，并上报网管平台）

Switch(config-if)#switchport port-security violation shutdown

那现我们来测试一下看看能否正常使用。

从这里我们可以看见，PC0能够正常使用。那我们再新添加一台PC并将这台PC接到FA0/1端口上面看看会是什么效果。

从这个图我们可以看见，PC3接在FA0/1接口上面，当PC3没有向其它网段发送数据包的时候一切正常，那么下面我们来发送一个数据包看看呢？会有什么样的反应？

我们可以看出来，当交换机的FA0/1接口接PC0的时候，能够正常使用，但是当我的PC3接入到交换机的FA0/1上，当我发送数据包PC2上面时候，而交换机发现我PC3的MAC 地址不是我当初指定的那个MAC地址，所以就执行将此接口shutdown掉，从上图我们也可以看见，PC3连接的FA0/1已经被shutdown了。

那么当有其它MAC地址的计算机接入一我们这个端口以后，该端口会自动shutdown，那么当shutdown以后的接口如何恢复呢？

注意以下来条命令不能在Cisco Packet Tracer 5.2中使用，这个软件里面现在还没有集成这几条命令。

Switch(config)#errdisable recovery

interval ?

<30-86400> timer-interval(sec)

可以调整在30－86400秒，缺省是300

秒。

这种方法只能对付下挂交换机的情况，不能对付下挂路由器的情况。

如果产生err-disable的原因是udld，下面有一条命令非常管用：

Switch#udld reset

No ports are disabled by UDLD.

同时，接口在被置为err-disable的时候，通常有一系列的日志产生，如下：

*Mar 15 15:47:19.984: %SPANTREE-2-BLOCK_BPDUGUARD: Received BPDU on port FastEthernet0/47 with BPDU Guard enabled. Disabling port.

sw1#

*Mar 15 15:47:19.984: %PM-4-ERR_DISABLE: bpduguard error detected on Fa0/47, putting Fa0/47 in err-disable state

sw1#

*Mar 15 15:47:21.996: %LINK-3-UPDOWN: Interface FastEthernet0/47, changed state to down

收集这些日志也非常管用。

所以建议配置一个syslog server，收集log信息。

刚才在上面我们绑定的那个MAC地址是PC0的，我们现在查看一下交换机上面的MAC 地址表看看：

Switch#show mac-address-table

Mac Address Table

-------------------------------------------

Vlan Mac Address Type Ports

---- ----------- -------- -----

1 0009.7c11.89e7 DYNAMIC Fa0/3 而这一条是动态学习到的

1 000a.41a9.79b0 DYNAMIC Fa0/

2 这条也是动态学习到的

1 00e0.a342.20e6 STATIC Fa0/1 这一个端口的MAC地址我们可以看见是静态指定的。