局域网MAC泛洪攻击.pptxVIP

局域网安全实战教程曲广平烟台职业学院网络基础理论知识Wireshark的使用DCRS6200交换机的基本配置MAC泛洪攻击DHCP攻击ARP欺骗攻击Spanning Tree协议安全攻防MAC泛洪攻击1. 交换机工作原理交换机的工作方式交换机的工作核心：端口/MAC地址映射表，执行“show mac-address-table”命令边可以查看到MAC地址表。交换机收到数据帧，就去地址表里查找与数据帧的目的MAC地址相对应的端口。如果找到，就将数据帧直接转发到相应端口。如果找不到，就以广播的方式将数据帧向除了源端口以外的其它所有端口转发。MAC地址表的建立交换机启动时MAC地址表是空白的，当某台主机发送数据帧到相应端口后，交换机就将数据帧里的源MAC地址与该端口的对应关系记录在地址表里。只要网络中的每台主机都发送了数据，在地址表中便会记录下所有主机MAC地址与端口的对应关系。MAC地址表的维护地址表建好之后，其中的记录仍然要被不断更新。交换机每收到一个数据帧，都要去检查该端口所对应的源MAC是否发生了变化。若没变化，则重置该条记录的自动老化时间（通常为300秒）。若有变化，则为该端口增加一条新的记录。MAC地址表的容量交换机每个端口可能会对应多个MAC地址，比如交换机之间的级联。地址表的容量是有限的。执行“show mac-address-table count”命令可以查看地址表中已经记录的地址数目，以及最大容量。正常的网络通信正常情况下，在主机C能否捕获到主机A和B之间的通信？主机C 10.39.1.1110.39.1.1010.39.1.5主机A主机B正常的网络通信正常情况下，在主机C能否捕获到主机A和B之间的通信？目标服务器 192.168.2.1目标主机 192.168.2.100Kali Linux MAC泛洪攻击2. MAC泛洪攻击攻击原理攻击者通过工具产生大量的数据帧，这些数据帧中的源MAC地址都是伪造的，并且不断变化。交换机地址表将在短时间内被填满，此时交换机不再学习MAC地址，对于新接收到的数据帧，如果在MAC地址表中找不到相对应的端口，将直接广播出去。攻击者在自己的主机上就可以监听到网络中的所有流量。攻击实施利用Kali中的MAC泛洪工具macof实施攻击。在交换机上执行“show mac-address-table count”命令，查看地址表的情况。Wireshark建议设置捕获过滤器，只抓取特定主机发出和接收的数据包。MAC泛洪攻击3. Port-Security防范MAC泛洪Port-Security（端口安全性）通过该技术可以限制端口上所允许的有效MAC地址的数量。如果MAC地址个数超过最大值，就会发生安全违规。安全违规后交换机将采取的动作关闭（shutdown）：安全违规将造成端口变为错误禁用（error-disabled）状态，并关闭端口LED。此模式为默认模式。保护（protect）：数据帧将被丢弃。限制（restrict）：与保护模式基本相同，区别是在此模式下除了将数据帧丢弃之外，还会发出SNMP消息，并记录日志等。配置Port-SecurityDCRS_A# clear mac-address-table dynamic //清除之前地址表中的记录DCRS_A(config)#mac-address-learning cpu-control //打开CPU控制学习DCRS_A(config)#interface ethernet 1/0/14 //在14号端口上启用port-securityDCRS_A(config-if-ethernet1/0/14)#switchport port-security触发安全违规将电脑连接到14端口，ping交换机，此时14端口会记录一个MAC地址。在电脑上开启虚拟机，在虚拟机中再次ping交换机，这时就会发生安全违规，14端口被关闭。执行“show Interface ethernet 1/0/14”命令查看端口信息，可以发现提示“Ethernet 1/0/14 is shutdown by port security”。Port-Security的其它配置更改有效MAC地址的数目DCRS_A(config-if-ethernet1/0/14)#switchport port-security maximum 2更改安全违规后的动作DCRS_A(config-if-ethernet1/0/14)#switchport port-security violation protect 查看安全端口学习到的MAC地址show port-security address 查看安全端口的状态 show port-sec