前兩篇文章通過(guò)學(xué)習(xí)MAC地址的學(xué)習(xí)機(jī)制,我們已經(jīng)知道交換機(jī)每收到一個(gè)報(bào)文,都會(huì)取出其源MAC地址,在MAC地址表中添加或者刷新表項(xiàng)。
這種正常的MAC地址學(xué)習(xí)流程,卻被黑客利用,變成交換機(jī)的一個(gè)漏洞。因?yàn)楹诳涂梢园l(fā)送成千上萬(wàn)的源MAC地址變化的報(bào)文,把交換機(jī)的MAC地址表填滿(mǎn),從而造成正常用戶(hù)之間通信的報(bào)文也以泛洪的形式來(lái)轉(zhuǎn)發(fā),從而阻塞整個(gè)網(wǎng)絡(luò)。
下面我們還是以一個(gè)例子來(lái)闡述MAC地址表溢出攻擊和其防御手段。
拓?fù)?
拓?fù)鋱D
測(cè)試配置
PC的配置:PC1、PC2、PC3的配置都類(lèi)似,以PC1為例,
PC1配置
交換機(jī)配置:所有的PC在同一個(gè)VLAN里。
交換機(jī)配置
測(cè)試過(guò)程
攻擊者占滿(mǎn)MAC地址表
PC2發(fā)送的報(bào)文
防御手段1:MAC地址老化
MAC地址老化是防止MAC地址表溢出的天然手段,不過(guò)它僅僅能用在正常使用的環(huán)境中,如果遇到有黑客攻擊的場(chǎng)景,功能非常有限。
因?yàn)楹诳蜁?huì)持續(xù)不斷的發(fā)送報(bào)文,導(dǎo)致交換機(jī)也持續(xù)不斷的刷新MAC地址表,這樣交換機(jī)永遠(yuǎn)沒(méi)有機(jī)會(huì)把正常PC的源MAC記錄在MAC地址表中。
防御手段2:限制MAC地址數(shù)量
MAC地址溢出攻擊非常容易判斷,當(dāng)發(fā)現(xiàn)來(lái)自一個(gè)或者幾個(gè)端口的MAC地址把整個(gè)MAC地址表填滿(mǎn)之后,就可以判斷這是MAC地址表溢出攻擊了。
如下圖:打印MAC地址表出來(lái)以后,發(fā)現(xiàn)來(lái)自E0/1的MAC占據(jù)了所有的表項(xiàng),
E0/1接口的MAC太多
這時(shí)就可以采用限制MAC地址數(shù)量的方法來(lái)防止攻擊了。將大允許的MAC地址數(shù)量設(shè)置為2,超過(guò)的報(bào)文都丟棄,這樣就能讓交換機(jī)騰出表項(xiàng),學(xué)習(xí)其它正常PC的MAC,配置如下圖所示:
配置MAC地址限制
MAC地址表溢出是黑客利用交換機(jī)正常的MAC地址學(xué)習(xí)流程中的漏洞而所做的攻擊,它通過(guò)持續(xù)不斷的發(fā)送源MAC地址變化的報(bào)文,從而填滿(mǎn)并且一直占用所有的MAC地址表項(xiàng)而實(shí)現(xiàn)的。
對(duì)于MAC地址表溢出攻擊我們也要引起足夠的重視,不要說(shuō)交換機(jī)性能足夠強(qiáng)悍,不用擔(dān)心這樣的攻擊。事實(shí)上如果不采取措施,沒(méi)有交換機(jī)能抵得住MAC地址泛洪攻擊,因?yàn)楹诳桶l(fā)送上億個(gè)MAC地址變化的報(bào)文,也是輕而易舉的事情。
各位經(jīng)過(guò)上面的描述,對(duì)于MAC地址表溢出攻擊已經(jīng)了解了吧?
分享標(biāo)題:科普一下:什么叫MAC地址表溢出,一分鐘了解一下
轉(zhuǎn)載來(lái)源:http://www.rwnh.cn/news/104753.html
成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián),為您提供域名注冊(cè)、網(wǎng)頁(yè)設(shè)計(jì)公司、Google、網(wǎng)站維護(hù)、用戶(hù)體驗(yàn)、響應(yīng)式網(wǎng)站
廣告
聲明:本網(wǎng)站發(fā)布的內(nèi)容(圖片、視頻和文字)以用戶(hù)投稿、用戶(hù)轉(zhuǎn)載內(nèi)容為主,如果涉及侵權(quán)請(qǐng)盡快告知,我們將會(huì)在第一時(shí)間刪除。文章觀(guān)點(diǎn)不代表本網(wǎng)站立場(chǎng),如需處理請(qǐng)聯(lián)系客服。電話(huà):028-86922220;郵箱:631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載,或轉(zhuǎn)載時(shí)需注明來(lái)源:
創(chuàng)新互聯(lián)