《计算机网络安全防护技术（第二版）》 课件 第5章 任务5.2 MAC泛洪攻击与防御

第5章局域网安全技术编著：

秦燊劳翠金

任务5.2MAC泛洪攻击与防御任务5.2MAC泛洪攻击与防御

数据帧到达交换机时，交换机会根据数据帧的目的MAC地址，查找MAC地址表，找到对应的出接口，进行单播转发。如果数据帧的目的MAC地址在MAC地址表中不存在，交换机会把这个数据帧从除入接口之外的所有接口广播出去，收到这个数据帧的设备或主机如果发现数据不是发送给自己的，会将其丢弃，如果是发给自己的，就接收。刚开机时，MAC地址表是空的。当有数据到达交换机时，交换机会将获取该数据的源MAC地址与入接口的对应关系，并存入自己的MAC地址表中，以后一旦有数据去往这些MAC地址，就可以从MAC地址表中查到对应的接口并转发出去。

然而，MAC地址表的存储空间是有限的，如果攻击者将大量虚构源MAC地址的数据发送到交换机，会导致交换机的MAC地址表爆满，无法接收和存储新的MAC地址与接口的对应关系。之后再有数据需要交换机转发时，交换机只能象集线器一样，广播出去了。如果是这样，那么网络上传送的信息同时会广播到攻击者的主机上，攻击者可通过抓包获取和分析这些信息，同时还会造成网络拥塞，网速变慢。5.2.1交换机的工作原理及MAC地址表5.2.2观察MAC地址表一、通过在DHCP服务器上ping其它主机和网关，让交换机学习到各主机以及网关的MAC地址。二、查看交换机的MAC地址表：Switch#showmacaddress-tableMacAddressTable-------------------------------------------VlanMacAddressTypePorts----------------------------10050.56c0.0001DYNAMICGi0/010050.56c0.0002DYNAMICGi0/110050.56c0.0003DYNAMICGi0/210050.56c0.0005DYNAMICGi1/011010.1010.1010DYNAMICGi0/012020.2020.2020DYNAMICGi0/113030.3030.3030DYNAMICGi0/216060.6060.6060DYNAMICGi1/018080.8080.8080DYNAMICGi0/3TotalMacAddressesforthiscriterion:9对照实验拓扑图，可以看到各主机及网关的MAC地址与连接的交换机接口是一致的。三、查看MAC地址表的统计信息：Switch#showmacaddress-tablecountMacEntriesforVlan1:---------------------------DynamicAddressCount:9StaticAddressCount:0TotalMacAddresses:9TotalMacAddressSpaceAvailable:70013688可以看到，MAC地址表的总容量是70013688，已经用去9条。5.2.3MAC地址泛洪攻击一、如图5-2-1所示，攻击者在kalilinux上，打开多个命令行窗口，各窗口同时运行macof命令，发起攻击，开的窗口越多，攻击的频率越快，也就能更快的占满交换机的MAC地址空间。命令如下：root@kali:~#macof图5-2-1KaliLinux运行macof命令经过一段时间的攻击后，查看交换机上的MAC地址表统计信息：Switch#showmacaddress-tablecountMacEntriesforVlan1:---------------------------DynamicAddressCount:45176StaticAddressCount:0TotalMacAddresses:45176TotalMacAddressSpaceAvailable:70013688可以看到，MAC地址表的总容量是70013688，已经被占用了45176条。这台交换机的MAC地址表总容量比较大，要占满还需要一点时间，有些交换机的容量较小，只有8192条，很快就能占满了。MAC表的空间一旦被占满，攻击者就可以抓包获取FTP密码、TELNET密码等相关信息了。5.2.4防御MAC泛洪攻击如何进行MAC地址泛洪攻击的防御呢？可以为接口配置port-security属性，限制接口连接的MAC地址数量，限制同一MAC地址不能同时连接到两个接口中。一旦出现违规，则按配置关闭接口或丢弃违规帧，从而杜绝MAC地址泛洪的出现。具体做法如下：一、为接口配置port-security。Switch#configterminalSwitch(config)#intg1/0Switch(config-if)#switchportmodeaccessSwitch(config-if)#switchportport-security//switchportport-security用于开启接口的port-security，阻止接口的泛洪攻击。开启port-security后，接口连接的MAC地址数受到限制，默认一个接口只能连接一个MAC地址，可以用命令修改成其它数值；另外，同一个MAC地址不能出现在不同的接口上，如果同一个MAC地址在第二个接口上出现，将视为违规。Switch(config-if)#switchportport-securityviolation?protectSecurityviolationprotectmoderestrictSecurityviolationrestrictmodeshutdownSecurityviolationshutdownmode//此处列举了违规帧的三种处理方式。第一种是protect，表示将违规帧丢弃，不发告警；第二种是restrict，表示将违规帧丢弃的同时，发告警；第三种是shutdown，表示关闭出现违规帧的接口，将接口状态变成errordisable，同时发告警。Switch(config-if)#switchportport-securityviolationshutdownSwitch(config-if)#switchportport-securitymaximum2//switchportport-securitymaximum2表示接口允许的MAC地址数量是2，超出将按违规处理。二、攻击者在kaliLinux上运行macof命令，发起攻击。三、查看port-security状态。1．查看接口的port-security状态Switch#showport-securityinterfaceg1/0PortSecurity:EnabledPortStatus:Secure-shutdownViolationMode:ShutdownAgingTime:0minsAgingType:AbsoluteSecureStaticAddressAging:DisabledMaximumMACAddresses:2TotalMACAddresses:0ConfiguredMACAddresses:0StickyMACAddresses:0LastSourceAddress:Vlan:000c.29db.2497:1SecurityViolationCount:1可以看到，PortSecurity是Enable，表示已经启用PortSecurity；PortStatus状态是Secure-shutdown，表示因违规，接口被关闭了；ViolationMode是Shutdown，表示遇到违规，采取的措施是关闭接口；MaximumMACAddresses为2，表示该接口能连接的MAC地址数量最大是2。2．查看port-security地址Switch#showport-securityaddressSecureMacAddressTable-----------------------------------------------------------------------------VlanMacAddressTypePortsRemainingAge(mins)-------------------------------------16060.6060.6060SecureDynamicGi1/0------------------------------------------------------------------------------TotalAddressesinSystem(excludingonemacperport):0MaxAddresseslimitinSystem(excludingonemacperport):4096可以看到，与目前G0/1接口连