局域网安全-MAC Flood/Spoof

原文发表于：2010-09-22

转载至cu于：2012-07-21

很早之前就看过秦柯讲的局域网安全的视频。但是看了之后在实际工作当中很少用到(指我个人的工作环境中，惭愧啊…)，时间长了，好多技术细节的东西就忘记了。这段时间再看看，看的同时会做一下笔记，既能加深印象也方便以后查找。

• 局域网安全的mac flood/spoof 攻击

Unknown unicast flooding:

交换机收到单播包，但在cam表没有目的mac时会对广播域除入口外的所有端口泛洪，这样会导致非目的mac的终端截获到数据包，有潜在的不安全性。

默认交换机对单播包是可以进行广播的.。关闭功能在接口模式下：switchport block unicast/multicast

Flood:

交换机的cam表容量一定，设计中针对各级别的交换机的cam表容量是足够的。mac flooding attack制造大量的mac抢占cam表空间，不仅消耗交换机资源(cpu, mem,cam等)，还使交换机拒绝正常的服务器请求(比较容易实现，但也容易被发现)。

Spoof:

伪装成已存在的mac，更新cam表中mac和端口的对应关系(cam表以最后收到的数据包更新)。但欺骗的前提是被伪装的mac一直不发包,否则cam表又被刷新(相对比较难实现，但不易被发现)。

• 一款攻击软件:dsniff

下载地址：http://www.monkey.org/~dugsong/dsniff/dsniff-2.3.tar.gz

• 阻止攻击：port security

1. 有效阻止mac flood/spoof攻击

a. mac flood 当特定接口设定的mac table满的时候产生violation

b. 当一个mac在同一个vlan的两个不同接口学到时产生violation

2. port security默认行为

a. 所有接口port security默认disable，端口下启用：switchport port-security

b. 默认每一个接口的最大mac地址容量是1

c. 默认violation是shutdown

3. 三种violation方式

a. shutdown 使接口处于errordisable状态，并且告警

b. restrict 丢掉违规数据包，并且告警

c. protect 悄无声息的丢弃数据包，没有告警

4. 三种地址学习方式

a. 自动学习(默认)

b. 手动指派: switchport port-security mac-address ****.****.****

c. sticky: switchport port-security mac-address sticky ****.****.****

5. 查看port security的cpu利用率

show processes cpu | in Port-S

• 65系列特性：

mac-address-table notification mac-move

mac move notification 特性能够检测到mac地址的非法移动，虽然不能阻止攻击，却能够比较有效地提醒管理人员存在攻击。

mac-address-table unicast-flood

a. 限制unknown unicast flooding

b. mac-address-table unicast-flood limit 4 vlan 10 filter 5

limit:对同一个vlan,每一个mac，每秒的unicast-flood的数量进行限制

filter:一旦超过limit,过滤unicast-flood的时间(s)

alert:一旦超过limit,告警

shutdown:一旦超过limit,shutdown端口