交换网络安全防范系列一之MAC/CAM攻击防范
2008-08-03 15:53
543 查看
[align=left]1.1MAC/CAM攻击的原理和危害 [/align]
交换机主动学习客户端的 MAC 地址,并建立和维护端口和 MAC 地址的对应表以此建立交换路径,这个表就是通常我们所说的 CAM 表。 CAM 表的大小是固定的,不同的交换机的 CAM 表大小不同。 MAC/CAM 攻击是指利用工具产生欺骗 MAC ,快速填满 CAM 表,交换机 CAM 表被填满后,交换机以广播方式处理通过交换机的报文,这时攻击者可以利用各种嗅探攻击获取网络信息。 CAM 表满了后,流量以洪泛方式发送到所有接口,会造成交换机负载过大,网络缓慢和丢包甚至瘫痪。
[align=left]1.2使用 Port Security feature 防范MAC/CAM攻击 [/align]
思科 Port Security feature 可以防止 MAC 和 MAC/CAM 攻击。通过配置 Port Security 可以控制:
• 端口上最大可以通过的 MAC 地址数量
• 端口上学习或通过哪些 MAC 地址
• 对于超过规定数量的 MAC 处理进行违背处理
端口上学习或通过哪些 MAC 地址,可以通过静态手工定义,也可以在交换机自动学习。交换机动态学习端口 MAC ,直到指定的 MAC 地址数量,交换机关机后重新学习。目前较新的技术是 Sticky Port Security ,交换机将学到的 mac 地址写到端口配置中,交换机重启后配置仍然存在。
对于超过规定数量的 MAC 处理进行处理一般有三种方式(针对交换机型号会有所不同):
• Shutdown 。这种方式保护能力最强,但是对于一些情况可能会为管理带来麻烦,如某台设备中了病毒,病毒间断性伪造源 MAC 在网络中发送报文。
• Protect 。丢弃非法流量,不报警。
• Restrict 。丢弃非法流量,报警,对比上面会是交换机 CPU 利用率上升但是不影响交换机的正常使用。推荐使用这种方式。
[align=left]1.3配置 [/align]
port-security 配置选项:
Switch(config-if)# switchport port-security ?
aging Port-security aging commands
mac-address Secure mac address
maximum Max secure addresses
violation Security violation mode
启用port-security,配置 port-security静态mac地址、 最大 mac 数目和违背处理方式,恢复方法
Cat4507(config)#int fastEthernet 3/48
Cat4507 (config-if)#switchport port-security
Cat4507 (config-if)#switchport port-security maximum 2
Cat4507 (config-if)#switchport port-security mac-address 0002.0002.0001 vlan 20
Cat4507 (config-if)#switchport port-security violation shutdown
Cat4507 (config)#errdisable recovery cause psecure-violation
Cat4507 (config)#errdisable recovery interval 30
通过配置 sticky port-security学得的MAC
interface FastEthernet3/29
switchport mode access
switchport port-security
switchport port-security maximum 5
switchport port-security violation shutdown
switchport port-security mac-address sticky
[align=left] [/align]
交换机主动学习客户端的 MAC 地址,并建立和维护端口和 MAC 地址的对应表以此建立交换路径,这个表就是通常我们所说的 CAM 表。 CAM 表的大小是固定的,不同的交换机的 CAM 表大小不同。 MAC/CAM 攻击是指利用工具产生欺骗 MAC ,快速填满 CAM 表,交换机 CAM 表被填满后,交换机以广播方式处理通过交换机的报文,这时攻击者可以利用各种嗅探攻击获取网络信息。 CAM 表满了后,流量以洪泛方式发送到所有接口,会造成交换机负载过大,网络缓慢和丢包甚至瘫痪。
[align=left]1.2使用 Port Security feature 防范MAC/CAM攻击 [/align]
思科 Port Security feature 可以防止 MAC 和 MAC/CAM 攻击。通过配置 Port Security 可以控制:
• 端口上最大可以通过的 MAC 地址数量
• 端口上学习或通过哪些 MAC 地址
• 对于超过规定数量的 MAC 处理进行违背处理
端口上学习或通过哪些 MAC 地址,可以通过静态手工定义,也可以在交换机自动学习。交换机动态学习端口 MAC ,直到指定的 MAC 地址数量,交换机关机后重新学习。目前较新的技术是 Sticky Port Security ,交换机将学到的 mac 地址写到端口配置中,交换机重启后配置仍然存在。
对于超过规定数量的 MAC 处理进行处理一般有三种方式(针对交换机型号会有所不同):
• Shutdown 。这种方式保护能力最强,但是对于一些情况可能会为管理带来麻烦,如某台设备中了病毒,病毒间断性伪造源 MAC 在网络中发送报文。
• Protect 。丢弃非法流量,不报警。
• Restrict 。丢弃非法流量,报警,对比上面会是交换机 CPU 利用率上升但是不影响交换机的正常使用。推荐使用这种方式。
[align=left]1.3配置 [/align]
port-security 配置选项:
Switch(config-if)# switchport port-security ?
aging Port-security aging commands
mac-address Secure mac address
maximum Max secure addresses
violation Security violation mode
启用port-security,配置 port-security静态mac地址、 最大 mac 数目和违背处理方式,恢复方法
Cat4507(config)#int fastEthernet 3/48
Cat4507 (config-if)#switchport port-security
Cat4507 (config-if)#switchport port-security maximum 2
Cat4507 (config-if)#switchport port-security mac-address 0002.0002.0001 vlan 20
Cat4507 (config-if)#switchport port-security violation shutdown
Cat4507 (config)#errdisable recovery cause psecure-violation
Cat4507 (config)#errdisable recovery interval 30
通过配置 sticky port-security学得的MAC
interface FastEthernet3/29
switchport mode access
switchport port-security
switchport port-security maximum 5
switchport port-security violation shutdown
switchport port-security mac-address sticky
[align=left] [/align]
内容来自用户分享和网络整理,不保证内容的准确性,如有侵权内容,可联系管理员处理 
相关文章推荐
- 交换网络安全防范系列二之DHCP攻击的防范
- 交换网络安全防范系列三之ARP欺骗攻击防范
- 交换网络安全防范系列四之IP/MAC欺骗防范
- 交换网络安全防范系列
- 交换网络安全防范系列五之802.1x-基于端口的网络访问控制技术
- 网络安全系列之1 SYN洪水攻击
- 网络安全系列之三十六 目录遍历攻击
- 如何防范网络攻击?你需要这样的安全态势感知系统
- 防范混合攻击 把网络作为安全第一道防线
- 网络安全:防范NetBIOS漏洞的攻击
- 网络安全:攻防技术 ——网页脚本攻击防范全攻略
- 局域网络环境下ARP欺骗攻击及安全防范策略
- Cisco 安全技术系列之一:2层攻击防范技术
- 网络与安全2 在思科交换机上防范典型的欺骗和二层攻击
- 网络安全之---Cookie攻击与防范技术
- 转载 解密蓝牙mesh系列 | 第八篇【蓝牙mesh网络强制使能安全性】【蓝牙mesh网络安全性的基本概念】【安全分级考量与安全密钥】【区域隔离】【节点移除、密钥刷新与垃圾桶攻击】【隐私】【中继攻击】
- Cisco 安全技术系列之一:2层攻击防范技术
- 网络安全系列之三十 远程文件包含攻击
- 网络安全的7种攻击类型