本文為書中相關知識的摘要,由於書中以思科設備為配置依據,所以筆記中補充了華為、H3C設備的相關配置。華為設備配置參考華為S2352EI 產品版本:V100R005C01文檔版本:02。 H3C配置參考S7600系列文檔(資料版本:6W102-20130226 產品版本:S7600系列—Release 6701及以上版本 S7600-X系列 —Release 6901及以上版本 )。
一、MAC地址泛洪攻擊
通過填滿MAC地址表 (橋接表) 導致同一網段內設備之間通訊無法單播,只能通過未知單播泛洪來進行通訊。從而達到竊聽信息的目的。
解決方法
(1)探測MAC Activity (MAC活躍性) 無實際防護作用,僅對用戶通告相關告警
Cisco: mac-address-table notification mac-move
H3C: MAC Information 類似於思科的相關探測MAC活躍性的作用。僅用戶通過告警。感覺沒什么實質意義。
(2)Port security (端口安全) 如果使用軟件進程來完成相關port security 功能則CPU利用率將會被大量占用。如果基於硬件速率限制則不會。
Cisco: show port-security interface f8/4 查看端口
show port-security address 查看被保護的MAC地址
(書上對配置沒有詳細描述,我對思科設備配置不是很熟悉所以希望大家幫忙補充)
華為:
接口MAC學習數量限制配置
- 執行命令interface interface-type interface-number,進入接口視圖。
- 執行命令mac-limit maximum max-num,限制接口的MAC地址學習數量。
- 缺省情況下,不限制MAC地址學習數量。
H3C的區別,配置接口最多可以學習到的MAC地址數 mac-address max-mac-count count
H3C的區別,配置接口最多可以學習到的MAC地址數 mac-address max-mac-count count
- 執行命令mac-limit alarm { disable | enable },配置當MAC地址數量達到限制后是否進行告警。
- 缺省情況下,對超過MAC地址學習限制的報文進行告警。
執行命令display mac-limit,可以查看MAC地址學習限制的配置是否正確。
執行命令display mac-limit,可以查看MAC地址學習限制的配置是否正確。
接口MAC安全配置 (我認為此配置可較好的解決相關問題,周鵬)
進入相關接口
1、 port-security enable
使能接口安全功能
2、 port-security mac-address sticky
使能接口Sticky MAC功能。
3、 port-security protect-action { protect | restrict | shutdown }
配置接口安全功能的保護動作。
protect 當學習到的MAC地址數達到接口限制數時,接口將丟棄源地址在MAC表以外的報文。
restrict 當學習到的MAC地址數達到接口限制數時,接口將丟棄源地址在MAC表以外的報文,同時發出trap告警。
shutdown 當學習到的MAC地址數達到接口限制數時,接口將執行shutdown操作。
4、 port-security max-mac-num max-number
配置接口MAC地址學習限制數。
可選 port-security mac-address sticky [ mac-address vlan vlan-id ] 手動配置一條sticky-mac表項。
H3C的配置與華為基本相同。功能亦相同。再次不做贅述。
PS:H3C的文檔易讀性明顯不如華為做的好。同樣的內容花了我很多時間去找。
PS:H3C的文檔易讀性明顯不如華為做的好。同樣的內容花了我很多時間去找。
注意事項:
1、執行命令port-security aging-time time ,配置接口學習到的安全動態MAC地址的老化時間。
2、使能接口安全功能后,缺省情況下,接口學習的安全動態MAC地址不老化。若只啟用接口安全功能 則 設備重啟后安全動態MAC地址會丟失,需要重新學習。
3、Sticky MAC的主要作用是將接口學習到的動態MAC地址轉換成靜態MAC地址,可以理解為將MAC地址黏在接口上。當接口學習的最大MAC數量達到上限后,不再學習新的MAC地址,只允許這些Sticky MAC和交換機通信。這樣一可以避免在設備重啟后動態MAC丟失需要重新學習,二可以阻止其他非信任的MAC主機通過本接口和交換機通信。
(3)未知單播泛洪保護(unkonw unicast flooding protection)
CISCO: Router(config)# mac-address-table unicast-flood limit 3 vlan 100 filter 5
limit限制每個源MAC地址以及每個VLAN的每秒單播泛洪個數. filter值規定了對單播泛洪流量進行多次實踐的過濾。 除了filter 還有 alter(告警) shutdown關閉端口 兩個值可選。
Router # show mac-address-table unicast-flood
其他方法:
禁止MAC地址學習 使用純靜態MAC表進行轉發。MAC表中沒有的則直接丟棄
mac-address learning disable 可在端口或VLAN中禁用
執行命令drop illegal-mac enable,配置S2352EI設備丟棄全0非法MAC地址報文。
缺省情況下,S2352EI設備沒有配置丟棄全0非法MAC地址報文的功能
黑客精神不滅,自由意志永存。
黑客精神不滅,自由意志永存。
本文同時發在了通信人家園論壇:http://www.txrjy.com/thread-723472-1-1.html