交換機安全學習筆記 第二章 MAC地址泛洪攻擊


本文為書中相關知識的摘要,由於書中以思科設備為配置依據,所以筆記中補充了華為、H3C設備的相關配置。華為設備配置參考華為S2352EI 產品版本:V100R005C01文檔版本:02。  H3C配置參考S7600系列文檔(資料版本:6W102-20130226 產品版本:S7600系列—Release 6701及以上版本  S7600-X系列 —Release 6901及以上版本 )。
 
一、MAC地址泛洪攻擊
通過填滿MAC地址表 (橋接表) 導致同一網段內設備之間通訊無法單播,只能通過未知單播泛洪來進行通訊。從而達到竊聽信息的目的。
 
解決方法
(1)探測MAC Activity (MAC活躍性)    無實際防護作用,僅對用戶通告相關告警
 
Cisco: mac-address-table notification mac-move
H3C: MAC Information   類似於思科的相關探測MAC活躍性的作用。僅用戶通過告警。感覺沒什么實質意義。
 
(2)Port security (端口安全)  如果使用軟件進程來完成相關port security 功能則CPU利用率將會被大量占用。如果基於硬件速率限制則不會。
 
Cisco:   show port-security interface f8/4 查看端口
            show port-security address         查看被保護的MAC地址
            (書上對配置沒有詳細描述,我對思科設備配置不是很熟悉所以希望大家幫忙補充)
華為:
         接口MAC學習數量限制配置
 
- 執行命令interface interface-type interface-number,進入接口視圖。
 
- 執行命令mac-limit maximum max-num,限制接口的MAC地址學習數量。
 
- 缺省情況下,不限制MAC地址學習數量。
H3C的區別,配置接口最多可以學習到的MAC地址數   mac-address max-mac-count  count
 
- 執行命令mac-limit alarm { disable | enable },配置當MAC地址數量達到限制后是否進行告警。
 
- 缺省情況下,對超過MAC地址學習限制的報文進行告警。
執行命令display mac-limit,可以查看MAC地址學習限制的配置是否正確。
 
         接口MAC安全配置    (我認為此配置可較好的解決相關問題,周鵬)
           進入相關接口
             1、 port-security enable
                   使能接口安全功能
 
             2、 port-security mac-address sticky
                   使能接口Sticky MAC功能。
 
             3、   port-security protect-action { protect | restrict | shutdown }
                   配置接口安全功能的保護動作。
protect      當學習到的MAC地址數達到接口限制數時,接口將丟棄源地址在MAC表以外的報文。
restrict      當學習到的MAC地址數達到接口限制數時,接口將丟棄源地址在MAC表以外的報文,同時發出trap告警。
shutdown  當學習到的MAC地址數達到接口限制數時,接口將執行shutdown操作。
 
             4、 port-security max-mac-num max-number
                   配置接口MAC地址學習限制數。
 
           可選 port-security mac-address sticky [ mac-address vlan vlan-id ]   手動配置一條sticky-mac表項。
 
   H3C的配置與華為基本相同。功能亦相同。再次不做贅述。
   PS:H3C的文檔易讀性明顯不如華為做的好。同樣的內容花了我很多時間去找。 
 
 注意事項:
1、執行命令port-security aging-time time ,配置接口學習到的安全動態MAC地址的老化時間。
2、使能接口安全功能后,缺省情況下,接口學習的安全動態MAC地址不老化。若只啟用接口安全功能 則 設備重啟后安全動態MAC地址會丟失,需要重新學習。
3、Sticky MAC的主要作用是將接口學習到的動態MAC地址轉換成靜態MAC地址,可以理解為將MAC地址黏在接口上。當接口學習的最大MAC數量達到上限后,不再學習新的MAC地址,只允許這些Sticky MAC和交換機通信。這樣一可以避免在設備重啟后動態MAC丟失需要重新學習,二可以阻止其他非信任的MAC主機通過本接口和交換機通信。
 
(3)未知單播泛洪保護(unkonw unicast flooding protection)
CISCO:  Router(config)# mac-address-table unicast-flood limit 3 vlan 100 filter 5
               limit限制每個源MAC地址以及每個VLAN的每秒單播泛洪個數. filter值規定了對單播泛洪流量進行多次實踐的過濾。 除了filter 還有 alter(告警)         shutdown關閉端口 兩個值可選。
               Router #    show mac-address-table  unicast-flood
 
其他方法:
禁止MAC地址學習    使用純靜態MAC表進行轉發。MAC表中沒有的則直接丟棄
mac-address learning disable 可在端口或VLAN中禁用
 
執行命令drop illegal-mac enable,配置S2352EI設備丟棄全0非法MAC地址報文。
 
缺省情況下,S2352EI設備沒有配置丟棄全0非法MAC地址報文的功能


黑客精神不滅,自由意志永存。 


本文同時發在了通信人家園論壇:http://www.txrjy.com/thread-723472-1-1.html


免責聲明!

本站轉載的文章為個人學習借鑒使用,本站對版權不負任何法律責任。如果侵犯了您的隱私權益,請聯系本站郵箱yoyou2525@163.com刪除。



 
粵ICP備18138465號   © 2018-2025 CODEPRJ.COM