交换笔记
作者:Danbo
MAC Layer Attacks
一般都是基于内网,或者通过远程登录肉鸡。
交换机三大功能:学习、转发、过滤
未知单播帧虽然是单播,单交换机会进行洪泛,应为他不知道目的地址是哪(0.0.0.0)
交换机刚启动,就会保存mac地址和port的绑定表。
攻击者可以利用mac snoofing向交换机发送伪造的流量,可以发送大量的绑定,让其mac地址表项内存空间存满,并且CPU占用率会非常的高。并且可以达到跨vlan攻击。此时交换机可以变成集线器了。
交换机网络的半径是7台。
而且默认5分钟mac地址绑定表会老化的。
当向交换机发送大量的MAC地址表现此时交换机造成负载过重,然后可能会出现vlan的跨越攻击。
交换机三大功能:学习、转发、过滤
未知单播帧虽然是单播,单交换机会进行洪泛,应为他不知道目的地址是哪(0.0.0.0)
交换机刚启动,就会保存mac地址和port的绑定表。
攻击者可以利用mac snoofing向交换机发送伪造的流量,可以发送大量的绑定,让其mac地址表项内存空间存满,并且CPU占用率会非常的高。并且可以达到跨vlan攻击。此时交换机可以变成集线器了。
交换机网络的半径是7台。
而且默认5分钟mac地址绑定表会老化的。
当向交换机发送大量的MAC地址表现此时交换机造成负载过重,然后可能会出现vlan的跨越攻击。
解决解决mac地址欺骗问题:port-security端口安全;
1.定义白名单。(Port Security)
2.MAC地址绑定,利用命令:switchport port-security mac-address interface f0/0
这里不管mac地址是源mac还是目标mac都可以,并且交换机的端口模式为switchport mode access模式
端口安全是基于端口,首先设置为静态动态端口,access。即:
Switch(config-if)#switchport port-security ?
mac-address Secure mac address //防止动态非安全主机使用mac snoo
版权声明:本文为sinat_27298703原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。