交换机安全学习笔记 第二章 MAC地址泛洪攻击

本文为书中相关知识的摘要，由于书中以思科设备为配置依据，所以笔记中补充了华为、H3C设备的相关配置。华为设备配置参考华为S2352EI 产品版本：V100R005C01文档版本：02。  H3C配置参考S7600系列文档（资料版本：6W102-20130226 产品版本：S7600系列—Release 6701及以上版本  S7600-X系列 —Release 6901及以上版本 ）。

 

一、MAC地址泛洪攻击

通过填满MAC地址表 (桥接表) 导致同一网段内设备之间通讯无法单播，只能通过未知单播泛洪来进行通讯。从而达到窃听信息的目的。

 

解决方法

（1）探测MAC Activity （MAC活跃性）    无实际防护作用，仅对用户通告相关告警

 

Cisco: mac-address-table notification mac-move

H3C： MAC Information   类似于思科的相关探测MAC活跃性的作用。仅用户通过告警。感觉没什么实质意义。

 

（2）Port security （端口安全）  如果使用软件进程来完成相关port security 功能则CPU利用率将会被大量占用。如果基于硬件速率限制则不会。

 

Cisco:   show port-security interface f8/4 查看端口

            show port-security address         查看被保护的MAC地址

            （书上对配置没有详细描述，我对思科设备配置不是很熟悉所以希望大家帮忙补充）

华为：

        接口MAC学习数量限制配置

 

- 执行命令interface interface-type interface-number，进入接口视图。

 

- 执行命令mac-limit maximum max-num，限制接口的MAC地址学习数量。

 

- 缺省情况下，不限制MAC地址学习数量。
H3C的区别,配置接口最多可以学习到的MAC地址数   mac-address max-mac-count  count

 

- 执行命令mac-limit alarm { disable | enable }，配置当MAC地址数量达到限制后是否进行告警。

 

- 缺省情况下，对超过MAC地址学习限制的报文进行告警。
执行命令display mac-limit，可以查看MAC地址学习限制的配置是否正确。

 

        接口MAC安全配置    （我认为此配置可较好的解决相关问题，周鹏）

           进入相关接口

             1、 port-security enable

                   使能接口安全功能

 

             2、 port-security mac-address sticky

                   使能接口Sticky MAC功能。

 

             3、   port-security protect-action { protect | restrict | shutdown }

                   配置接口安全功能的保护动作。

protect      当学习到的MAC地址数达到接口限制数时，接口将丢弃源地址在MAC表以外的报文。

restrict      当学习到的MAC地址数达到接口限制数时，接口将丢弃源地址在MAC表以外的报文，同时发出trap告警。

shutdown  当学习到的MAC地址数达到接口限制数时，接口将执行shutdown操作。

 

             4、 port-security max-mac-num max-number

                   配置接口MAC地址学习限制数。

 

           可选 port-security mac-address sticky [ mac-address vlan vlan-id ]   手动配置一条sticky-mac表项。

 

   H3C的配置与华为基本相同。功能亦相同。再次不做赘述。
   PS:H3C的文档易读性明显不如华为做的好。同样的内容花了我很多时间去找。 
 

 注意事项：

1、执行命令port-security aging-time time ，配置接口学习到的安全动态MAC地址的老化时间。

2、使能接口安全功能后，缺省情况下，接口学习的安全动态MAC地址不老化。若只启用接口安全功能 则 设备重启后安全动态MAC地址会丢失，需要重新学习。

3、Sticky MAC的主要作用是将接口学习到的动态MAC地址转换成静态MAC地址，可以理解为将MAC地址黏在接口上。当接口学习的最大MAC数量达到上限后，不再学习新的MAC地址，只允许这些Sticky MAC和交换机通信。这样一可以避免在设备重启后动态MAC丢失需要重新学习，二可以阻止其他非信任的MAC主机通过本接口和交换机通信。

 

（3）未知单播泛洪保护（unkonw unicast flooding protection）

CISCO：  Router(config)# mac-address-table unicast-flood limit 3 vlan 100 filter 5

               limit限制每个源MAC地址以及每个VLAN的每秒单播泛洪个数. filter值规定了对单播泛洪流量进行多次实践的过滤。 除了filter 还有 alter（告警）         shutdown关闭端口 两个值可选。

               Router #    show mac-address-table  unicast-flood

 

其他方法：

禁止MAC地址学习    使用纯静态MAC表进行转发。MAC表中没有的则直接丢弃

mac-address learning disable 可在端口或VLAN中禁用

 

执行命令drop illegal-mac enable，配置S2352EI设备丢弃全0非法MAC地址报文。

 

缺省情况下，S2352EI设备没有配置丢弃全0非法MAC地址报文的功能

黑客精神不灭，自由意志永存。 

本文同时发在了通信人家园论坛:http://www.txrjy.com/thread-723472-1-1.html