考试网 >> IT认证 >> 思科 >> Cisco指导 >> 思科交换机如何防范典型欺骗和攻击

发布时间：2006-06-28 06:12     点击：

　　交换机主动学习客户端的 MAC 地址，并建立和维护端口和 MAC 地址的对应表以此建立交换路径，这个表就是通常我们所说的 CAM 表。 CAM 表的大小是固定的，不同的交换机的 CAM 表大小不同。 MAC/CAM 攻击是指利用工具产生欺骗 MAC ，快速填满 CAM 表，交换机 CAM 表被填满后，交换机以广播方式处理通过交换机的报文，这时攻击者可以利用各种嗅探攻击获取网络信息。 CAM 表满了后，流量以洪泛方式发送到所有接口，也就代表 TRUNK 接口上的流量也会发给所有接口和邻接交换机，会造成交换机负载过大，网络缓慢和丢包甚至瘫痪。

　　1.2典型的病毒利用MAC/CAM攻击案例

　　曾经对网络照成非常大威胁的 SQL 蠕虫病毒就利用组播目标地址，构造假目标 MAC 来填满交换机 CAM 表。其特征如下图所示:

1.3使用 Port Security feature 防范MAC/CAM攻击

　　思科 Port Security feature 可以防止 MAC 和 MAC/CAM 攻击。通过配置 Port Security 可以控制：

　　• 端口上最大可以通过的 MAC 地址数量

　　• 端口上学习或通过哪些 MAC 地址

　　• 对于超过规定数量的 MAC 处理进行违背处理

　　端口上学习或通过哪些 MAC 地址，可以通过静态手工定义，也可以在交换机自动学习。交换机动态学习端口 MAC ，直到指定的 MAC 地址数量，交换机关机后重新学习。目前较新的技术是 Sticky Port Security ，交换机将学到的 mac 地址写到端口配置中，交换机重启后配置仍然存在。

　　对于超过规定数量的 MAC 处理进行处理一般有三种方式（针对交换机型号会有所不同）：

　　• Shutdown 。这种方式保护能力最强，但是对于一些情况可能会为管理带来麻烦，如某台设备中了病毒，病毒间断性伪造源 MAC 在网络中发送报文。

　　• Protect 。丢弃非法流量，不报警。

　　• Restrict 。丢弃非法流量，报警，对比上面会是交换机 CPU 利用率上升但是不影响交换机的正常使用。推荐使用这种方式。

　　1.4配置

port-security 配置选项：

发表评论： 匿名发表 用户名: 查看评论

您将承担一切因您的行为、言论而直接或间接导致的民事或刑事法律责任 留言板管理人员有权保留或删除其管辖留言中的任意内容 本站提醒：不要进行人身攻击。谢谢配合。