交換機安全學習筆記 第二章 MAC地址泛洪攻擊

本文爲書中相關知識的摘要，因爲書中以思科設備爲配置依據，因此筆記中補充了華爲、H3C設備的相關配置。華爲設備配置參考華爲S2352EI 產品版本：V100R005C01文檔版本：02。  H3C配置參考S7600系列文檔（資料版本：6W102-20130226 產品版本：S7600系列—Release 6701及以上版本  S7600-X系列 —Release 6901及以上版本 ）。

 

1、MAC地址泛洪攻擊

經過填滿MAC地址表 (橋接表) 致使同一網段內設備之間通信沒法單播，只能經過未知單播泛洪來進行通信。從而達到竊聽信息的目的。

 

解決方法

（1）探測MAC Activity （MAC活躍性）    無實際防禦做用，僅對用戶通告相關告警

 

Cisco: mac-address-table notification mac-move

H3C： MAC Information   相似於思科的相關探測MAC活躍性的做用。僅用戶經過告警。感受沒什麼實質意義。

 

（2）Port security （端口安全）  若是使用軟件進程來完成相關port security 功能則CPU利用率將會被大量佔用。若是基於硬件速率限制則不會。

 

Cisco:   show port-security interface f8/4 查看端口

            show port-security address         查看被保護的MAC地址

            （書上對配置沒有詳細描述，我對思科設備配置不是很熟悉因此但願你們幫忙補充）

華爲：

         接口MAC學習數量限制配置

 

- 執行命令interface interface-type interface-number，進入接口視圖。

 

- 執行命令mac-limit maximum max-num，限制接口的MAC地址學習數量。

 

- 缺省狀況下，不限制MAC地址學習數量。
H3C的區別,配置接口最多能夠學習到的MAC地址數   mac-address max-mac-count  count

 

- 執行命令mac-limit alarm { disable | enable }，配置當MAC地址數量達到限制後是否進行告警。

 

- 缺省狀況下，對超過MAC地址學習限制的報文進行告警。
執行命令display mac-limit，能夠查看MAC地址學習限制的配置是否正確。

 

         接口MAC安全配置    （我認爲此配置可較好的解決相關問題，周鵬）

           進入相關接口

             一、 port-security enable

                   使能接口安全功能

 

             二、 port-security mac-address sticky

                   使能接口Sticky MAC功能。

 

             三、   port-security protect-action { protect | restrict | shutdown }

                   配置接口安全功能的保護動做。

protect      當學習到的MAC地址數達到接口限制數時，接口將丟棄源地址在MAC表之外的報文。

restrict      當學習到的MAC地址數達到接口限制數時，接口將丟棄源地址在MAC表之外的報文，同時發出trap告警。

shutdown  當學習到的MAC地址數達到接口限制數時，接口將執行shutdown操做。

 

             四、 port-security max-mac-num max-number

                   配置接口MAC地址學習限制數。

 

           可選 port-security mac-address sticky [ mac-address vlan vlan-id ]   手動配置一條sticky-mac表項。

 

   H3C的配置與華爲基本相同。功能亦相同。再次不作贅述。
   PS:H3C的文檔易讀性明顯不如華爲作的好。一樣的內容花了我不少時間去找。 
 

 注意事項：

一、執行命令port-security aging-time time ，配置接口學習到的安全動態MAC地址的老化時間。

二、使能接口安全功能後，缺省狀況下，接口學習的安全動態MAC地址不老化。若只啓用接口安全功能 則 設備重啓後安全動態MAC地址會丟失，須要從新學習。

三、Sticky MAC的主要做用是將接口學習到的動態MAC地址轉換成靜態MAC地址，能夠理解爲將MAC地址黏在接口上。當接口學習的最大MAC數量達到上限後，再也不學習新的MAC地址，只容許這些Sticky MAC和交換機通訊。這樣一能夠避免在設備重啓後動態MAC丟失須要從新學習，二能夠阻止其餘非信任的MAC主機經過本接口和交換機通訊。

 

（3）未知單播泛洪保護（unkonw unicast flooding protection）

CISCO：  Router(config)# mac-address-table unicast-flood limit 3 vlan 100 filter 5

               limit限制每一個源MAC地址以及每一個VLAN的每秒單播泛洪個數. filter值規定了對單播泛洪流量進行屢次實踐的過濾。 除了filter 還有 alter（告警）         shutdown關閉端口 兩個值可選。

               Router #    show mac-address-table  unicast-flood

 

其餘方法：

禁止MAC地址學習    使用純靜態MAC表進行轉發。MAC表中沒有的則直接丟棄

mac-address learning disable 可在端口或VLAN中禁用

 

執行命令drop illegal-mac enable，配置S2352EI設備丟棄全0非法MAC地址報文。

 

缺省狀況下，S2352EI設備沒有配置丟棄全0非法MAC地址報文的功能


黑客精神不滅，自由意志永存。 

本文同時發在了通訊人家園論壇:http://www.txrjy.com/thread-723472-1-1.html