1.1MAC/CAM抨击袭击的事劳憾ョ险
4 t* Q3 T3 V( v8 r6 b 交流机自动进修客户端的 MAC 地址,并成立和维护端口和 MAC 地址的对应表以此成立交流路径,这个表就是凡是我们所说的 CAM 表。 CAM 表的巨细是固定的,分歧的交流机的 CAM 表巨细分歧。 MAC/CAM 抨击袭击是指操作工具发生棍骗 MAC ,快速填满 CAM 表,交流机 CAM 表被填满后,交流机以广播体例措置经由过程交流机的报文,这时抨击袭击者可以操作各类嗅探抨击袭击获取收集信息。 CAM 表满了后,流量以洪泛体例发送到所有接口,也就代表 TRUNK 接口上的流量也会发给所有接口和邻人交流机,会造成交流机负载过年夜,收集迟缓和丢包甚至瘫痪。
t9 _3 ~4 h; }7 g1 p 1.2典型的病毒操作MAC/CAM抨击袭击案例
3 A+ d* k) y) j 曾经对收集照成很是年夜威胁的 SQL 蠕虫病毒就操作组播方针地址,机关假方针 MAC 来填满交流机 CAM 表。- X. v1 ^' v: U6 D
1.3使用 Port Security feature 提防MAC/CAM抨击袭击6 e `6 L, O9 Y8 m
思科 Port Security feature 可以防止 MAC 和 MAC/CAM 抨击袭击。经由过程设置装备摆设 Port Security 可以节制:2 ~+ }% X9 X2 [% q! x4 T
端口上最年夜可以经由过程的 MAC 地址数目0 }: J, Z9 m- I
端口上进修或经由过程哪些 MAC 地址$ `. P' ?* I; a! r; @8 V! M; D
对于跨越划定数目的 MAC 措置进行违反措置
+ n6 ^$ \1 @1 a9 _ 端口上进修或经由过程哪些 MAC 地址,可以经由过程静态手工界说,也可以在交流机自动进修。交流无邪态进修端口 MAC ,直到指定的 MAC 地址数目,交流机关机后年夜头进修。今朝较新的手艺是 Sticky Port Security ,交流机将学到的 mac 地址写到端口设置装备摆设中,交流机重启后设置装备摆设仍然存在。
# Y' o* R8 V* o: i8 o 对于跨越划定数目的 MAC 措置进行措置一般有三种体例(针对交流机型号会有所分歧):% p, y( | Y; |* s4 L+ H {
Shutdown 。这种体例呵护能力最强,可是对于一些情形可能会为打点带来麻烦,如某台设备中了病毒,病毒间断性伪造源 MAC 在收集中发送报文。
' c+ }% m4 S' G/ U4 L Protect 。丢弃犯警流量,不报警。* T4 b3 s* {+ s. k, z: {
Restrict 。丢弃犯警流量,报警,对比膳缦沔会是交流机 CPU 操作率上升可是不影响交流机的正常使用。举荐使用这种体例。" x) N+ Z7 s5 U
1.4设置装备摆设
& c, O! E! ?& J; v3 D0 V8 N port-security 配制揭捉项:) \ e% G, P5 X9 I4 c# Y! _
Switch(config-if)# switchport port-security ?
6 D/ f8 ^! n2 J; @. a3 A6 h5 ~5 f" A6 z5 R aging Port-security aging commands
8 O- { M# m, h8 W mac-address Secure mac address1 O) i' N i) V- i9 b9 p
maximum Max secure addresses
9 c# T! t T) ~/ J: `) N violation Security violation mode, g& [; s: `8 A( B+ h
设置装备摆设 port-security 最年夜 mac 数目,违反措置体例,恢复体例' l) m" ?3 V6 H4 ~, W
Cat4507(config)#int fastEthernet 3/48
& `+ f. t; b! a Cat4507 (config-if)#switchport port-security
! ^: a5 {; ]* V! P2 r1 I3 w Cat4507 (config-if)#switchport port-security maximum 2
1 u2 {5 P( j4 i4 _2 l+ g9 I. b$ C4 K Cat4507 (config-if)#switchport port-security violation shutdown
' ]- t! _' V: n Cat4507 (config)#errdisable recovery cause psecure-violation
( u9 L M7 R- D* `8 Z9 Z8 ^, K+ m0 e Cat4507 (config)#errdisable recovery interval 30 D1 z( o2 M1 v: E. |, X- F3 g# m
经由过程设置装备摆设 sticky port-security学得的MAC
6 a, `0 o: `0 N* N: k- o interface FastEthernet3/29! H1 x2 f& {0 w" ]. x
switchport mode access
7 A# T/ [1 G/ ^6 a. k! R+ j switchport port-security
+ @3 O' u X, S; N switchport port-security maximum 54 W- O0 s4 X% V; o1 A% L4 Q
switchport port-security mac-address sticky g6 o p, h/ U' ~ ?/ M1 i I
switchport port-security mac-address sticky 000b.db1d.6ccd
2 v3 l; r4 e7 m3 Y3 b2 ? switchport port-security mac-address sticky 000b.db1d.6cce/ K" W+ u. }% v! v! I2 C
switchport port-security mac-address sticky 000d.6078.2d95
* {8 J" D; o2 X2 a switchport port-security mac-address sticky 000e.848e.ea01 |