原文发表于:2010-09-22
转载至cu于:2012-07-21
很早之前就看过秦柯讲的局域网安全的视频。但是看了之后在实际工作当中很少用到(指我个人的工作环境中,惭愧啊…),时间长了,好多技术细节的东西就忘记了。这段时间再看看,看的同时会做一下笔记,既能加深印象也方便以后查找。
- 局域网安全的mac flood/spoof 攻击
Unknown unicast flooding:
交换机收到单播包,但在cam表没有目的mac时会对广播域除入口外的所有端口泛洪,这样会导致非目的mac的终端截获到数据包,有潜在的不安全性。
默认交换机对单播包是可以进行广播的.。关闭功能在接口模式下:switchport block unicast/multicast
Flood:
交换机的cam表容量一定,设计中针对各级别的交换机的cam表容量是足够的。mac flooding attack制造大量的mac抢占cam表空间,不仅消耗交换机资源(cpu, mem,cam等),还使交换机拒绝正常的服务器请求(比较容易实现,但也容易被发现)。
Spoof:
伪装成已存在的mac,更新cam表中mac和端口的对应关系(cam表以最后收到的数据包更新)。但欺骗的前提是被伪装的mac一直不发包,否则cam表又被刷新(相对比较难实现,但不易被发现)。
一款攻击软件:dsniff
下载地址:http://www.monkey.org/~dugsong/dsniff/dsniff-2.3.tar.gz
阻止攻击:port security
1. 有效阻止mac flood/spoof攻击
a. mac flood 当特定接口设定的mac table满的时候产生violation
b. 当一个mac在同一个vlan的两个不同接口学到时产生violation
2. port security默认行为
a. 所有接口port security默认disable,端口下启用:switchport port-security
b. 默认每一个接口的最大mac地址容量是1
c. 默认violation是shutdown
3. 三种violation方式
a. shutdown 使接口处于errordisable状态,并且告警
b. restrict 丢掉违规数据包,并且告警
c. protect 悄无声息的丢弃数据包,没有告警
4. 三种地址学习方式
a. 自动学习(默认)
b. 手动指派: switchport port-security mac-address ****.****.****
c. sticky: switchport port-security mac-address sticky ****.****.****
5. 查看port security的cpu利用率
show processes cpu | in Port-S
65系列特性:
mac-address-table notification mac-move
mac move notification 特性能够检测到mac地址的非法移动,虽然不能阻止攻击,却能够比较有效地提醒管理人员存在攻击。
mac-address-table unicast-flood
a. 限制unknown unicast flooding
b. mac-address-table unicast-flood limit 4 vlan 10 filter 5
limit:对同一个vlan,每一个mac,每秒的unicast-flood的数量进行限制
filter:一旦超过limit,过滤unicast-flood的时间(s)
alert:一旦超过limit,告警
shutdown:一旦超过limit,shutdown端口