交换网络安全防范系列一之MACCAM攻击防范.docVIP

交换网络安全防范系列一之MAC/CAM攻击防范 2008-08-03 15:53:49 　标签：安全 MAC 防范 交换网络 CAM　　　 [推送到技术圈] 1.1MAC/CAM攻击的原理和危害 交换机主动学习客户端的 MAC 地址，并建立和维护端口和 MAC 地址的对应表以此建立交换路径，这个表就是通常我们所说的 CAM 表。 CAM 表的大小是固定的，不同的交换机的 CAM 表大小不同。 MAC/CAM 攻击是指利用工具产生欺骗 MAC ，快速填满 CAM 表，交换机 CAM 表被填满后，交换机以广播方式处理通过交换机的报文，这时攻击者可以利用各种嗅探攻击获取网络信息。 CAM 表满了后，流量以洪泛方式发送到所有接口，会造成交换机负载过大，网络缓慢和丢包甚至瘫痪。 1.2使用 Port Security feature 防范MAC/CAM攻击 思科 Port Security feature 可以防止 MAC 和 MAC/CAM 攻击。通过配置 Port Security 可以控制： ? 端口上最大可以通过的 MAC 地址数量 ? 端口上学习或通过哪些 MAC 地址 ? 对于超过规定数量的 MAC 处理进行违背处理 端口上学习或通过哪些 MAC 地址，可以通过静态手工定义，也可以在交换机自动学习。交换机动态学习端口 MAC ，直到指定的 MAC 地址数量，交换机关机后重新