科普一下:什么叫MAC地址表溢出,一分鐘了解一下

2021-03-07    分類: 網(wǎng)站建設

前兩篇文章通過學習MAC地址的學習機制,我們已經(jīng)知道交換機每收到一個報文,都會取出其源MAC地址,在MAC地址表中添加或者刷新表項。
這種正常的MAC地址學習流程,卻被黑客利用,變成交換機的一個漏洞。因為黑客可以發(fā)送成千上萬的源MAC地址變化的報文,把交換機的MAC地址表填滿,從而造成正常用戶之間通信的報文也以泛洪的形式來轉(zhuǎn)發(fā),從而阻塞整個網(wǎng)絡。
下面我們還是以一個例子來闡述MAC地址表溢出攻擊和其防御手段。
拓撲
科普一下:什么叫MAC地址表溢出,一分鐘了解一下
拓撲圖
測試配置
PC的配置:PC1、PC2、PC3的配置都類似,以PC1為例,
科普一下:什么叫MAC地址表溢出,一分鐘了解一下
PC1配置
交換機配置:所有的PC在同一個VLAN里。
科普一下:什么叫MAC地址表溢出,一分鐘了解一下
交換機配置
測試過程
科普一下:什么叫MAC地址表溢出,一分鐘了解一下
攻擊者占滿MAC地址表
科普一下:什么叫MAC地址表溢出,一分鐘了解一下
PC2發(fā)送的報文
防御手段1:MAC地址老化
MAC地址老化是防止MAC地址表溢出的天然手段,不過它僅僅能用在正常使用的環(huán)境中,如果遇到有黑客攻擊的場景,功能非常有限。
因為黑客會持續(xù)不斷的發(fā)送報文,導致交換機也持續(xù)不斷的刷新MAC地址表,這樣交換機永遠沒有機會把正常PC的源MAC記錄在MAC地址表中。
防御手段2:限制MAC地址數(shù)量
MAC地址溢出攻擊非常容易判斷,當發(fā)現(xiàn)來自一個或者幾個端口的MAC地址把整個MAC地址表填滿之后,就可以判斷這是MAC地址表溢出攻擊了。
如下圖:打印MAC地址表出來以后,發(fā)現(xiàn)來自E0/1的MAC占據(jù)了所有的表項,
科普一下:什么叫MAC地址表溢出,一分鐘了解一下
E0/1接口的MAC太多
這時就可以采用限制MAC地址數(shù)量的方法來防止攻擊了。將大允許的MAC地址數(shù)量設置為2,超過的報文都丟棄,這樣就能讓交換機騰出表項,學習其它正常PC的MAC,配置如下圖所示:
科普一下:什么叫MAC地址表溢出,一分鐘了解一下
配置MAC地址限制
MAC地址表溢出是黑客利用交換機正常的MAC地址學習流程中的漏洞而所做的攻擊,它通過持續(xù)不斷的發(fā)送源MAC地址變化的報文,從而填滿并且一直占用所有的MAC地址表項而實現(xiàn)的。
對于MAC地址表溢出攻擊我們也要引起足夠的重視,不要說交換機性能足夠強悍,不用擔心這樣的攻擊。事實上如果不采取措施,沒有交換機能抵得住MAC地址泛洪攻擊,因為黑客發(fā)送上億個MAC地址變化的報文,也是輕而易舉的事情。
各位經(jīng)過上面的描述,對于MAC地址表溢出攻擊已經(jīng)了解了吧?

分享標題:科普一下:什么叫MAC地址表溢出,一分鐘了解一下
轉(zhuǎn)載來源:http://www.muchs.cn/news/104753.html

成都網(wǎng)站建設公司_創(chuàng)新互聯(lián),為您提供域名注冊、網(wǎng)頁設計公司、Google、網(wǎng)站維護用戶體驗、響應式網(wǎng)站

廣告

聲明:本網(wǎng)站發(fā)布的內(nèi)容(圖片、視頻和文字)以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主,如果涉及侵權(quán)請盡快告知,我們將會在第一時間刪除。文章觀點不代表本網(wǎng)站立場,如需處理請聯(lián)系客服。電話:028-86922220;郵箱:631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載,或轉(zhuǎn)載時需注明來源: 創(chuàng)新互聯(lián)

成都做網(wǎng)站