CCNA 7-4配置交换机安全性可选.ppt

* * 理解 MAC 地址表溢出攻击工作方式的关键是要知道 MAC 地址表的大小有限。MAC 泛洪利用这一限制用虚假源 MAC 地址轰炸交换机，直到交换机 MAC 地址表变满。交换机随后进入称为“失效开放”(fail-open) 的模式，开始像集线器一样工作，并将数据包广播到网络上的所有机器。因此，攻击者可看到从受害主机发送到无 MAC 地址表条目的另一台主机的所有帧。 * 使用网络攻击工具可以执行 MAC 泛洪。网络入侵者使用攻击工具以大量无效的源 MAC 地址泛洪攻击交换机，直到 MAC 地址表充满。当 MAC 地址表变满时，交换机将传入流量泛洪传送到所有端口，因为它在 MAC 地址表中找不到对应特定 MAC 地址的端口号。交换机实际上是在起类似于集线器的作用。 某些网络攻击工具每分钟可以在交换机上生成 155,000 个 MAC 条目。MAC 地址表的最大大小因交换机而异。在图中，攻击工具在屏幕右下角 MAC 地址为 C 的主机上运行。此工具用伪造的数据包来泛洪攻击交换机，数据包中包含随机生成的源和目的 MAC 地址以及源和目的 IP 地址。经过很短时间之后，交换机中的 MAC 地址表将被填满，直到无法接受新条目。当 MAC 地址表中充满无效的源 MAC 地址时，交换机开始将收到的所有帧都转发到每一个端口。 * * * * * * * * * * CDP 包含有关设备的信息，