关于syn泛洪攻击的交换机端口安全

-前言：写这篇文章，是老师课上的讲解和加上自己的百度学习，有可能有不正确的地方，希望大家能提出。O(∩_∩)O谢谢！

1.关于SYN泛洪攻击的一些基本概念。

         SYN攻击利用的是TCP的三次握手机制，攻击端利用伪造的IP地址向被攻击端发出请求，而被攻击端发出的响应报文将永远发送不到目的地，那么被攻击端在等待关闭这个连接的过程中消耗了资源，如果有成千上万的这种连接，主机资源将被耗尽，从而达到攻击的目的。（网上很多人都在说路由器的TCP拦截，然而在此时写这篇文章的我并不清楚怎么做，所以后面应该会更新吧）
    简单通俗的讲，就是你们班有个人想要你晚点吃饭，又怕你不同意。然后他就说班上很多人都想在你那里要纸巾，你忙着给他纸巾，然后你吃饭的时间就延迟了。

2.关于交换机最常用端口安全的理解（在交换机里面的配置）：

 S1>en

S1#conf t

S1(config)#interface range fastEthernet 0/1-2 //同时进入很多命令接口

S1(config-if-range)#shutdown //关闭0/1-2的接口

S1(config-if-range)#switchport mode access//启用access模式

S1(config-if-range)#switchport port-security //启用安全端口

S1(config-if-range)#switchport port-security maximum 1 //设置端口可连接PC的数目为1

S1(config-if-range)#switchport port-security violation restrict //如果违规了，就丢弃数据包

S1(config-if-range)#switchport port-security mac-address sticky  //动态绑定mac地址

S1(config-if-range)#no shutdown //开启1-2的端口

S1(config-if-range)#exit

S1(config)#interface range fastEthernet 0/3-24 //关于其他的端口

S1(config-if-range)#shutdown //关闭其他的端口

S1(config-if-range)#exit

S1(config)#exit
--这段代码的配置，是限制了交换机的端口数量，来限制连入交换机的设备数量。在这里只开启了两个交换机端口（0/1与0/2）。如果多出来一个端口就会被关掉连不进网。多出连接如图：



--这里也设置了端口可连接pc的数量，这里设置的是一个端口只能连接一个pc，超过一个就会出现连接不通的状况。switchport
port-security maximum 1 这个设置就是端口连接的PC最多为1，很多情况下一般都大于1，但肯定值都是比较小的。



OK 但是这里的MAC地址是动态的。