Cisco网络设备以和故障排查讲解.ppt

* * 各类交换机CAM表容量 Cisco SwitchesBridging Table Capacities Switch Model Number of Bridge-Table Entries Cisco Catalyst Express 500 8000 Cisco Catalyst 2948G 16,000 Cisco Catalyst 2940/50/55/60/70 Up to 8000 Cisco Catalyst 3500XL 8192 Cisco Catalyst 3550/60 Up to 12,000(depending on the model) Cisco Catalyst 3750/3750M 12,000 Cisco Catalyst 4500 32,768 Cisco Catalyst 4948 55,000 Cisco Catalyst 6500/7600 Up to 131,072(more if distributed feature cards are installed) 正常情况下过多,但是在特殊情况下,就不够用了 * 对于交换机不知道的单播包,默认采取泛洪行为 默认情况下,交换机学习正常的CAM表,存储正确的条目 现在,macof这个黑客伪装出很多的MAC地址,瞬间冲刺掉正确的MAC地址 * 当正确的MAC地址表(CAM表)被更改后,当再有一个单播包发向目的主机的时候,交换机就认为是一个未知单播流量,并且向所有相同VLAN(同一个广播域)的主机泛洪 此时,黑客的主机就能收到这个包了,并且在黑客的主机上运行一个抓包软件(sniffer)就可以对telnet , ftp的密码进行抓取 MAC Spoofing Attacks 简单的攻击,以上攻击的缺点是,当攻击的时候,会造成机器变的很慢,容易被管理员发现,而这个攻击不会 黑客向交换机发一个伪装的MAC地址,交换机记录后续的条目到CAM表中 有缺陷: 就是真实的MAC地址主机在不发送任何包的情况下,伪装的条目会一直在CAM表中,如果真实的发消息又会把伪装的冲掉,所以还需要再次伪装 攻击软件: 1.macof --- linux系统支持 2.dsniff --- linux系统支持 * 事例: [root@client root]# ifdown eth1 [root@client root]# macchanger -- mac 00:00:09:03:00:02 eth1 [root@client root]# ifup eth1 注：Mac move notification 这个特性能够检测到MAC地址非法的移动,虽然不能够阻止攻击,却能够比较有效的提醒管理员攻击的存在! 当Linux客户修改自己的MAC后,交换机会提示 Dec 23 22:08:19.108: %MAC_MOVE-SP-4-NOTIF: Host 0000.0903.0002 in vlan 20 is flapping between port Fa3/25 and port Gi1/15 * 示例: Sw1(config)#int f0/6 Sw1(config-if)#switchport port-security 注：当敲入这句话后,默认f0/6口只能学到一个MAC地址,如果超过这个限制,默认shutdown Sw1(config-if)#switchport port-security violation ? protect Security violation protect mode restrict Security violation restrict mode shutdown Security violation shutdown mode 1)默认是shutdown 1.超过MAC地址容量 2.MAC地址通过不同接口学到 注：两种情况会shutdown接口,不仅shutdown还会出现一个control口的告警,也可以把告警信息通过syslog发送到网管中心 2)限制: 当触发规则后会被丢弃数据包,也会有一个control口告警,不会shutdown接口 Sw1(config-if)#switchport port-security violation restrict 3)丢弃: 当