1.1MAC/CAM抨击袭击的事劳憾ョ险
! l% z0 b: }' S0 f, d% {' w 交流机自动进修客户端的 MAC 地址,并成立和维护端口和 MAC 地址的对应表以此成立交流路径,这个表就是凡是我们所说的 CAM 表。 CAM 表的巨细是固定的,分歧的交流机的 CAM 表巨细分歧。 MAC/CAM 抨击袭击是指操作工具发生棍骗 MAC ,快速填满 CAM 表,交流机 CAM 表被填满后,交流机以广播体例措置经由过程交流机的报文,这时抨击袭击者可以操作各类嗅探抨击袭击获取收集信息。 CAM 表满了后,流量以洪泛体例发送到所有接口,也就代表 TRUNK 接口上的流量也会发给所有接口和邻人交流机,会造成交流机负载过年夜,收集迟缓和丢包甚至瘫痪。
8 m( ]# n. g; z" {0 S/ l# |/ j3 t 1.2典型的病毒操作MAC/CAM抨击袭击案例8 e0 G( W# P! Q- F
曾经对收集照成很是年夜威胁的 SQL 蠕虫病毒就操作组播方针地址,机关假方针 MAC 来填满交流机 CAM 表。
6 w0 R, z; T$ Y0 t$ a/ q; s 1.3使用 Port Security feature 提防MAC/CAM抨击袭击
5 N0 ~$ p/ s' D/ H3 a+ t4 e 思科 Port Security feature 可以防止 MAC 和 MAC/CAM 抨击袭击。经由过程设置装备摆设 Port Security 可以节制:
' _: U! L% b3 ]2 P I 端口上最年夜可以经由过程的 MAC 地址数目
# I: b' E- K6 v' C8 i/ ^ 端口上进修或经由过程哪些 MAC 地址
- u9 I' E' ~2 G& x7 j+ \ 对于跨越划定数目的 MAC 措置进行违反措置1 c6 B: u2 Y8 b' @# C1 X `# X* j
端口上进修或经由过程哪些 MAC 地址,可以经由过程静态手工界说,也可以在交流机自动进修。交流无邪态进修端口 MAC ,直到指定的 MAC 地址数目,交流机关机后年夜头进修。今朝较新的手艺是 Sticky Port Security ,交流机将学到的 mac 地址写到端口设置装备摆设中,交流机重启后设置装备摆设仍然存在。
! Y6 O5 k8 E& Q2 W. T# g# Q 对于跨越划定数目的 MAC 措置进行措置一般有三种体例(针对交流机型号会有所分歧):
& C! f4 F1 U; Q Shutdown 。这种体例呵护能力最强,可是对于一些情形可能会为打点带来麻烦,如某台设备中了病毒,病毒间断性伪造源 MAC 在收集中发送报文。
9 z2 e2 M1 c, J8 @+ l Protect 。丢弃犯警流量,不报警。
: s1 E3 u- B2 Q Restrict 。丢弃犯警流量,报警,对比膳缦沔会是交流机 CPU 操作率上升可是不影响交流机的正常使用。举荐使用这种体例。 i1 g) H4 T8 y
1.4设置装备摆设
; o2 u2 m8 q% ?5 Z: c: \ port-security 配制揭捉项:
0 z" Y7 w. V8 h+ d: P6 V3 m5 { Switch(config-if)# switchport port-security ?
9 H- k7 L0 F- x aging Port-security aging commands
$ T9 U) I/ G# Q mac-address Secure mac address6 ?6 a7 O+ r) X& Q6 {6 X! e
maximum Max secure addresses3 A$ b9 I3 Q! Y
violation Security violation mode
) E' U/ f- F! Y! [ 设置装备摆设 port-security 最年夜 mac 数目,违反措置体例,恢复体例8 M ]9 q+ y6 J' l7 B
Cat4507(config)#int fastEthernet 3/48
X* V Q. u1 |5 |9 u Cat4507 (config-if)#switchport port-security
. |* x4 H1 p& N% ?( I7 N Cat4507 (config-if)#switchport port-security maximum 23 c5 ?2 @5 r8 m3 ]: V3 s
Cat4507 (config-if)#switchport port-security violation shutdown
( l7 v. I$ C' ~) ~ L/ G Cat4507 (config)#errdisable recovery cause psecure-violation
2 Y& R/ I, P4 z6 G* ^# `' p Cat4507 (config)#errdisable recovery interval 30/ ]8 d9 C! v) \: N( X+ U
经由过程设置装备摆设 sticky port-security学得的MAC
- w! h9 U. v/ @2 Y; u' e interface FastEthernet3/29, Q! E/ M* z3 O* }1 k! n
switchport mode access8 P2 v! w' Q$ X1 h4 s2 u1 @8 y* |
switchport port-security
- T1 K& ^( V+ |, S- J switchport port-security maximum 5
3 N7 J' o2 T0 y& N4 H p switchport port-security mac-address sticky: u, S3 ~( {2 h* N
switchport port-security mac-address sticky 000b.db1d.6ccd* O" K/ l4 r9 r4 S$ e& y/ r
switchport port-security mac-address sticky 000b.db1d.6cce/ y2 t! h9 J# v: g" b% _8 J) f# ^
switchport port-security mac-address sticky 000d.6078.2d95
/ D9 C2 X2 f, M1 I- W9 [/ X switchport port-security mac-address sticky 000e.848e.ea01 |
发表于 2012-8-3 20:03:30
