交换机根据数据帧的源MAC 地址学习,目的MAC地址转发。由于交换机型号不同,MAC地址表中可容纳的MAC数量有也不同。但是在通常情况下,MAC地址表的容量是足够使用的。如果有一台攻击主机,通过程序伪造大量包含随机MAC地址的数据帧发往交换机,有些攻击程序一分钟可以伪造几十万个MAC地址,而一般交换机的MAC地址表中的MAC地址表的容量也就几千条。
当交换机受到了MAC地址泛洪攻击以后,那么MAC地址表中的MAC地址爆满,当交换机在收到数据帧后,不管是单播、组播还是广播,交换机不再学习MAC地址了,而是会和集线器一样广播。这时候如果我们使用如sniffer之类的网络流量捕获软件,并且加以分析,就可以达到窃听的目的了。MAC地址表有一个老化时间,默认是5分钟,如果交换机在5分钟之内没有收到一个MAC地址条目的数据帧,那么交换机在MAC地址表中就会清除这些MAC地址,所以攻击主机要持续不断地进行MAC地址攻击。
针对MAC地址泛洪,可以配置交换机的端口安全。限制交换机每个端口可以学习的MAC地址数量,这样攻击主机即使伪造了很多的源MAC地址,交换机只学习有限的MAC地址。如果有攻击电脑入侵,并且违反我们定下的规定,那么我们可以做如下3种操作:1、 shutdown(关闭):是默认的,关闭端口的同时,还发送日志消息,违反计数器加1,2、 protect(保护):交换机会违反的行为不支持,如不学习新MAC地址,但也不会关闭端口3、restrict(约束):和shutdown差不多,会发送日志,违反计数器值也会增加,但不关闭端口(这是我们通常选择的)。
文章TAG:如何防止Arp攻击 攻击源mac是什么 如何 防止 攻击
