交换网络安全防系列.doc

交换网络安全防范系列MAC/CAM攻击防范1.1MAC/CAM攻击的原理和危害???? ??? 交换机主动学习客户端的 MAC 地址，并建立和维护端口和 MAC 地址的对应表以此建立交换路径，这个表就是通常我们所说的 CAM 表。 CAM 表的大小是固定的，不同的交换机的 CAM 表大小不同。 MAC/CAM 攻击是指利用工具产生欺骗 MAC ，快速填满 CAM 表，交换机 CAM 表被填满后，交换机以广播方式处理通过交换机的报文，这时攻击者可以利用各种嗅探攻击获取网络信息。 CAM 表满了后，流量以洪泛方式发送到所有接口，会造成交换机负载过大，网络缓慢和丢包甚至瘫痪。 1.2使用 Port Security feature 防范MAC/CAM攻击 　　思科 Port Security feature 可以防止 MAC 和 MAC/CAM 攻击。通过配置 Port Security 可以控制： 　　? 端口上最大可以通过的 MAC 地址数量 　　? 端口上学习或通过哪些 MAC 地址 　　? 对于超过规定数量的 MAC 处理进行违背处理 　　端口上学习或通过哪些 MAC 地址，可以通过静态手工定义，也可以在交换机自动学习。交换机动态学习端口 MAC ，直到指定的 MAC 地址数量，交换机关机后重新学习。目前较新的技术是 Sticky Port Security ，交换机将学到的 mac 地址写到端口配置中，交换机重启后配置仍然存在。 　　对于超过规定数量的 MAC 处理进行处理一般有三种方式（针对交换机型号会有所不同）： 　　? Shutdown 。这种方式保护能力最强，但是对于一些情况可能会为管理带来麻烦，如某台设备中了病毒，病毒间断性伪造源 MAC 在网络中发送报文。 　　? Protect 。丢弃非法流量，不报警。 　　? Restrict 。丢弃非法流量，报警，对比上面会是交换机 CPU 利用率上升但是不影响交换机的正常使用。推荐使用这种方式。 1.3配置 port-security 配置选项： Switch(config-if)# switchport port-security ? aging Port-security aging commands mac-address Secure mac address maximum Max secure addresses violation Security violation mode 启用port-security，配置 port-security静态mac地址、 最大 mac 数目和违背处理方式，恢复方法 Cat4507(config)#int fastEthernet 3/48 Cat4507 (config-if)#switchport port-security Cat4507 (config-if)#switchport port-security maximum 2 Cat4507 (config-if)#switchport port-security mac-address 0002.0002.0001 vlan 20 Cat4507 (config-if)#switchport port-security violation shutdown Cat4507 (config)#errdisable recovery cause psecure-violation Cat4507 (config)#errdisable recovery interval 30 通过配置 sticky port-security学得的MAC interface FastEthernet3/29 switchport mode access switchport port-security switchport port-security maximum 5 switchport port-security violation shutdown?? switchport port-security mac-address sticky DHCP攻击的防范2.1采用DHCP管理的常见问题： 　　采用 DHCP server 可以自动为用户设置网络 IP 地址、掩码、网关、 DNS 、 WINS 等网络参数，简化了用户网络设置，提高了管理效率。但在 DHCP 管理使用上也存在着一些另网管人员比较问题，常见的有： 　　? DHCP server 的冒充。 　　? DHCP server 的 Dos 攻击。 　　? 有些用户随便指定地址，造成网络地址冲突。 　　由于 DHCP 的运作机制，通常