1.1MAC/CAM攻擊的原理和危害
交換機主動學習用戶端的 MAC 位址,并建立和維護端口和 MAC 位址的對應表以此建立交換路徑,這個表就是通常我們所說的 CAM 表。 CAM 表的大小是固定的,不同的交換機的 CAM 表大小不同。 MAC/CAM 攻擊是指利用工具産生欺騙 MAC ,快速填滿 CAM 表,交換機 CAM 表被填滿後,交換機以廣播方式處理通過交換機的封包,這時攻擊者可以利用各種嗅探攻擊擷取網絡資訊。 CAM 表滿了後,流量以洪泛方式發送到所有接口,會造成交換機負載過大,網絡緩慢和丢包甚至癱瘓。
1.2使用 Port Security feature 防範MAC/CAM攻擊
思科 Port Security feature 可以防止 MAC 和 MAC/CAM 攻擊。通過配置 Port Security 可以控制:
• 端口上最大可以通過的 MAC 位址數量
• 端口上學習或通過哪些 MAC 位址
• 對于超過規定數量的 MAC 處理進行違背處理
端口上學習或通過哪些 MAC 位址,可以通過靜态手工定義,也可以在交換機自動學習。交換機動态學習端口 MAC ,直到指定的 MAC 位址數量,交換機關機後重新學習。目前較新的技術是 Sticky Port Security ,交換機将學到的 mac 位址寫到端口配置中,交換機重新開機後配置仍然存在。
對于超過規定數量的 MAC 處理進行處理一般有三種方式(針對交換機型号會有所不同):
• Shutdown 。這種方式保護能力最強,但是對于一些情況可能會為管理帶來麻煩,如某台裝置中了病毒,病毒間斷性僞造源 MAC 在網絡中發送封包。
• Protect 。丢棄非法流量,不報警。
• Restrict 。丢棄非法流量,報警,對比上面會是交換機 CPU 使用率上升但是不影響交換機的正常使用。推薦使用這種方式。
1.3配置
port-security 配置選項:
Switch(config-if)# switchport port-security ?
aging Port-security aging commands
mac-address Secure mac address
maximum Max secure addresses
violation Security violation mode
啟用port-security,配置 port-security靜态mac位址、 最大 mac 數目和違背處理方式,恢複方法
Cat4507(config)#int fastEthernet 3/48
Cat4507 (config-if)#switchport port-security
Cat4507 (config-if)#switchport port-security maximum 2
Cat4507 (config-if)#switchport port-security mac-address 0002.0002.0001 vlan 20
Cat4507 (config-if)#switchport port-security violation shutdown
Cat4507 (config)#errdisable recovery cause psecure-violation
Cat4507 (config)#errdisable recovery interval 30
通過配置 sticky port-security學得的MAC
interface FastEthernet3/29
switchport mode access
switchport port-security
switchport port-security maximum 5
switchport port-security violation shutdown
switchport port-security mac-address sticky
本文轉自hexianguo 51CTO部落格,原文連結:http://blog.51cto.com/xghe110/90866,如需轉載請自行聯系原作者
![nmap –script 使用:nmap-vulners 和 vulscan出現錯誤 ‘/usr/bin/../share/nmap/scripts/vulscan’ found, but will[圖]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)