交换网络安全防范系列一之MAC/CAM攻击防范-阿里云开发者社区

开发者社区> 技术小胖子> 正文

交换网络安全防范系列一之MAC/CAM攻击防范

简介:
+关注继续查看
1.1MAC/CAM攻击的原理和危害 

   
    交换机主动学习客户端的 MAC 地址,并建立和维护端口和 MAC 地址的对应表以此建立交换路径,这个表就是通常我们所说的 CAM 表。 CAM 表的大小是固定的,不同的交换机的 CAM 表大小不同。 MAC/CAM 攻击是指利用工具产生欺骗 MAC ,快速填满 CAM 表,交换机 CAM 表被填满后,交换机以广播方式处理通过交换机的报文,这时攻击者可以利用各种嗅探攻击获取网络信息。 CAM 表满了后,流量以洪泛方式发送到所有接口,会造成交换机负载过大,网络缓慢和丢包甚至瘫痪。

1.2使用 Port Security feature 防范MAC/CAM攻击
  思科 Port Security feature 可以防止 MAC  MAC/CAM 攻击。通过配置 Port Security 可以控制:

  • 端口上最大可以通过的 MAC 地址数量

  • 端口上学习或通过哪些 MAC 地址

  • 对于超过规定数量的 MAC 处理进行违背处理

  端口上学习或通过哪些 MAC 地址,可以通过静态手工定义,也可以在交换机自动学习。交换机动态学习端口 MAC ,直到指定的 MAC 地址数量,交换机关机后重新学习。目前较新的技术是 Sticky Port Security ,交换机将学到的 mac 地址写到端口配置中,交换机重启后配置仍然存在。

  对于超过规定数量的 MAC 处理进行处理一般有三种方式(针对交换机型号会有所不同):

  • Shutdown 。这种方式保护能力最强,但是对于一些情况可能会为管理带来麻烦,如某台设备中了病毒,病毒间断性伪造源 MAC 在网络中发送报文。

  • Protect 。丢弃非法流量,不报警。

  • Restrict 。丢弃非法流量,报警,对比上面会是交换机 CPU 利用率上升但是不影响交换机的正常使用。推荐使用这种方式。
1.3配置

port-security 配置选项:

Switch(config-if)# switchport port-security ?

aging Port-security aging commands

mac-address Secure mac address

maximum Max secure addresses

violation Security violation mode

启用port-security,配置 port-security静态mac地址、 最大 mac 数目和违背处理方式,恢复方法

Cat4507(config)#int fastEthernet 3/48

Cat4507 (config-if)#switchport port-security

Cat4507 (config-if)#switchport port-security maximum 2

Cat4507 (config-if)#switchport port-security  mac-address 0002.0002.0001 vlan 20

Cat4507 (config-if)#switchport port-security violation shutdown

Cat4507 (config)#errdisable recovery cause psecure-violation

Cat4507 (config)#errdisable recovery interval 30

通过配置 sticky port-security学得的MAC

interface FastEthernet3/29

switchport mode access

switchport port-security

switchport port-security maximum 5

switchport port-security violation shutdown  
switchport port-security mac-address sticky  

 


    本文转自hexianguo 51CTO博客,原文链接:http://blog.51cto.com/xghe110/90866,如需转载请自行联系原作者

版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。

相关文章
《工业控制网络安全技术与实践》一3.2.1 高级持续性威胁攻击
本文讲的是工业控制网络安全技术与实践一3.2.1 高级持续性威胁攻击,本节书摘来华章计算机《工业控制网络安全技术与实践》一书中的第3章,第3.2.1节,姚 羽 祝烈煌 武传坤 编著 译更多章节内容可以访问云栖社区“华章计算机”公众号查看。
1490 0
这些知识点你都了解了吗?#CISSP-D2:资产安全
资产安全知识域涵盖信息和信息资产在其生命周期中的安全保护,包括恰当的收集、分类、处置以及控制措施的选择和使用。本知识域的重要概念包括数据的所有权、隐私、数据安全控制和相关密码学的应用。安全和风险管理知识域包含了许多基本的信息安全概念、原则以及信息安全管理相关活动和方法。
274 0
使用OpenApi弹性释放和设置云服务器ECS释放
云服务器ECS的一个重要特性就是按需创建资源。您可以在业务高峰期按需弹性的自定义规则进行资源创建,在完成业务计算的时候释放资源。本篇将提供几个Tips帮助您更加容易和自动化的完成云服务器的释放和弹性设置。
12078 0
墨者安全报告分析:2019年1月国内网络攻击数据报告
通过墨者安全网络攻击监测数据显示:2019年1月,国内感染网络病毒的终端数为近75万个。其中,近51万个IP地址对应的主机被木马或僵尸程序控制,与上月的近54万个相比下降5.0%。下面是详细的网络攻击监测数据报告:
1446 0
2009年六大网络安全威胁:SQL注入攻击位列榜首
据国外媒体报道,IT安全与控制公司Sophos日前发布2009年网络安全威胁报告称,自20年前世界上第一个蠕虫病毒出现以来,网页成为网络罪犯进行攻击的主要途径,每4.5秒便会发现一个新的被病毒感染网页。
919 0
21119
文章
0
问答
文章排行榜
最热
最新
相关电子书
更多
《2021云上架构与运维峰会演讲合集》
立即下载
《零基础CSS入门教程》
立即下载
《零基础HTML入门教程》
立即下载