Mac地址泛洪攻击的防御措施和具体配置

  Mac地址泛洪攻击指的是:利用交换机的mac地址学习机制,攻击者不断地刷新mac地址,填满交换机的mac地址表,以致崩溃,使交换机不得不使用广播发包,从而获取其他人的报文信息。

mac地址泛洪攻击的防御措施和具体配置

 限定接入交换机的接入的端口的数量。

 例如:设置该交换机的该端口可以学习10个mac地址,超过了10个mac地址就停止学习,丢弃后来的mac。如图:

  

具体代码如下:

  [Huawei-Ethernet0/0/1] port-security enable
  [Huawei-Ethernet0/0/1] port-security mac-address sticky
  [Huawei-Ethernet0/0/1] port-security protect-action protect
  [Huawei-Ethernet0/0/1] port-security max-mac-num x

x 是指设置的可以学习的mac地址的数量。

时间: 2024-10-13 12:03:09

Mac地址泛洪攻击的防御措施和具体配置的相关文章

分分钟学会系列:mac地址泛洪攻击实验

一.实验目的: 通过实战深入理解mac地址泛洪攻击的原理. 二.实验原理: 交换机中有一张非常重要的表,叫做mac表,这个表是一个硬件组成的表,主要是完成快速转发.mac表有大小限制,不同的交换机的mac表的大小都有不同,越是高端的交换机的表空间越大,但是作为接入交换机,表空间基本都在8K左右.交换机的一个原理是会自动学习并记录mac地址.而攻击者就利用交换机的mac地址学习机制,不断的进行mac地址刷新,迅速填满交换机的mac地址表,以至崩溃,使交换机不得不使用广播发包,从而获取其他人的报文信

MAC地址泛洪攻击测试

测试环境:kali系统(2个kali分别作攻击人和目标用户) win7系统(主机) 1.步配置FTP设置用户名密码 2.在攻击kali端测试网络的连通性 3.测试tpf是否正常 开始泛洪 4.开始抓包 5.登陆FTP 7.查看抓包数据

交换机安全(2)- MAC地址泛洪

MAC层攻击 – MAC地址泛洪 常见的二层攻击或交换机攻击是MAC泛洪,入侵者使用大量无效的源MAC地址,这会导致交换机的CAM表溢出,由于交换机在MAC地址表中找不到目的MAC地址对应的端口,从而导致交换机向其它所有端口定期泛洪数据帧.交换机不会再接收新的合法条目,这会影响到网络中的所有用户的传输速度. 攻击者可通过MAC泛洪实现DOS攻击,也可能会获取全网的数据包. CAM表的容量依据交换机的型号有所不同,常用的Catalyst 接入层交换机为8192,可通过以下的命令查看. Switch

【安全牛学习笔记】Mac地址绑定攻击

MAC地址绑定攻击 MAC绑定                           管理员误以为MAC绑定是一种安全机制 限制可以关联的客户端MAC地址                                                                   准备AP                                AP基本配置                        Open认证                          开启无线过滤   

Web安全之CSRF攻击的防御措施

CSRF是什么? Cross Site Request Forgery,中文是:跨站点请求伪造. CSRF攻击者在用户已经登录目标网站之后,诱使用户访问一个攻击页面,利用目标网站对用户的信任,以用户身份在攻击页面对目标网站发起伪造用户操作的请求,达到攻击目的. 举个例子 简单版: 假如博客园有个加关注的GET接口,blogUserGuid参数很明显是关注人Id,如下: http://www.cnblogs.com/mvc/Follow/FollowBlogger.aspx?blogUserGui

WEB安全实战(三)XSS 攻击的防御

前言 上篇文章中提到了 XSS 攻击,而且,也从几个方面介绍了 XSS 攻击带来的严重影响.那么,这篇文章中,主要是针对 XSS 攻击做一个基本的防御,看看可以通过几种方式来修复这个特别常见的安全漏洞. 由于公司用的是 SpringMVC,因此,这次就主要基于 SpringMVC 来解决这些漏洞.当然,其实这些解决方案都是大同小异,对于什么环境来说根本无所谓.了解了原理,什么环境.什么语言都可以运用自如了.废话就不多说了,直接上解决方案. 解决方案 方案一 方案一主要是利用了 SpringMVC

集中式MAC地址认证实现路由器上网

集中式MAC地址认证实现路由器上网 集中式MAC地址认证实现路由器上网... 1 一:背景... 1 二:技术分析... 1 三:测试总结... 2 测试一:IMC+MAC地址认证固定用户名... 2 测试二:IMC+MAC地址认证MAC用户名... 3 测试三:MAC地址用户名认证+802.1X同时存在... 3 测试四:MAC 地址用户名认证+802.1X同时存在,采用不同的认证域... 4 四:技术问答... 4 五:测试总结... 5 一:背景 家属区无线路由器设备增多,先前采用的腾达W

集中式mac地址认证解决家属区路由器认证问题

集中式MAC地址认证实现路由器上网 目录 集中式MAC地址认证实现路由器上网... 1 一:背景... 1 二:技术分析... 1 三:测试总结... 2 测试一:IMC+MAC地址认证固定用户名... 2 测试二:IMC+MAC地址认证MAC用户名... 3 测试三:MAC地址用户名认证+802.1X同时存在... 3 测试四:MAC 地址用户名认证+802.1X同时存在,采用不同的认证域... 4 四:技术问答... 4 五:测试总结... 5 一:背景 家属区无线路由器设备增多,先前采用的

验证试验 更改了从机CAN通信的MAC地址 从机新挂CAN网络 上电自检通过

更改前 该之后 主机程序 与 从机 程序 已经上传到网盘上 ,主机和从机程序基本一致, 唯一的区别是 从机更好了MAC地址 为0X10  主机的固定MAC地址为 0X1F 改程序的配置上设置的是双滤波 模式 , 起始设计成单滤波.pelican 模式 也是可以. 原文地址:https://www.cnblogs.com/bailongwei654321/p/12216557.html