无码人妻久久一区二区三区不卡_ 使用Cisco Packet Tracer之交換機端口安全之MAC地址洪泛攻擊

使用Cisco Packet Tracer之交換機端口安全之MAC地址洪泛攻擊 2009-10-06 02:07:36

我們都知道，組建我們的網(wǎng)絡(luò )，交換機是必不可少的一個(gè)設備，我們都會(huì )用它來(lái)做一些相應的配置，如劃分VLAN、VTP、以及生成樹(shù)這些，，但是當我們配置了這些以后呢？我們如何來(lái)保證我們局域網(wǎng)內的端口安全呢？這是一個(gè)必要的操作。那么下面我們就使用Cisco Packet Tracer 5.2來(lái)做做這方面的實(shí)驗，但是還是有一些不足，哎……，這也沒(méi)有辦法，畢竟是模擬器不是真實(shí)的交換機。

我們知道交換機在網(wǎng)絡(luò )中存在規模最大，

通過(guò)這個(gè)圖我們得出一個(gè)結論那就是：離接入層越近風(fēng)險越大，所以問(wèn)題主要集中在接入層。

那么下來(lái)我們就來(lái)分析一下這個(gè)交換機倒底存在那些安全呢？

交換機所面臨攻擊的層面：

MAC layer attacks

VLAN attacks

Spoofing attacks

Attacks on switch devices

那么我們知道了交換機所面臨這四種攻擊，我們現在來(lái)一個(gè)一個(gè)的分析一下這些：

Mac Flooding Attack:

利用偽造數據幀或數據包軟件，不停變化源MAC地址向外發(fā)包，讓有限的MAC地址表空間無(wú)法容納進(jìn)而破壞MAC地址表。

應對：限定端口映射的MAC數量

在這里三臺PC的IP地址如下：

以下我們在交換機上面配置MAC地址綁定。

Switch(config)#interface fastEthernet 0/1
Switch(config-if)#switchport mode access        （當端口連接是主機時(shí)，接入鏈路）
Switch(config-if)#switchport port-security        （啟動(dòng)端口安全）
Switch(config-if)#switchport port-security mac-address 00E0.A342.20E6   （綁定一個(gè)MAC地址，默認只能綁定一個(gè)MAC地址）
Switch(config-if)#switchport port-security violation ?
protect   Security violation protect mode             （不轉發(fā)數據）
restrict Security violation restrict mode                (不轉發(fā)數據，上報網(wǎng)管平臺)
shutdown Security violation shutdown mode      （關(guān)閉接口，并上報網(wǎng)管平臺）
Switch(config-if)#switchport port-security violation shutdown

那現我們來(lái)測試一下看看能否正常使用。

從這里我們可以看見(jiàn)，PC0能夠正常使用。那我們再新添加一臺PC并將這臺PC接到FA0/1端口上面看看會(huì )是什么效果。

從這個(gè)圖我們可以看見(jiàn)，PC3接在FA0/1接口上面，當PC3沒(méi)有向其它網(wǎng)段發(fā)送數據包的時(shí)候一切正常，那么下面我們來(lái)發(fā)送一個(gè)數據包看看呢？會(huì )有什么樣的反應？

我們可以看出來(lái)，當交換機的FA0/1接口接PC0的時(shí)候，能夠正常使用，但是當我的PC3接入到交換機的FA0/1上，當我發(fā)送數據包PC2上面時(shí)候，而交換機發(fā)現我PC3的MAC地址不是我當初指定的那個(gè)MAC地址，所以就執行將此接口shutdown掉，從上圖我們也可以看見(jiàn)，PC3連接的FA0/1已經(jīng)被shutdown了。

那么當有其它MAC地址的計算機接入一我們這個(gè)端口以后，該端口會(huì )自動(dòng)shutdown，那么當shutdown以后的接口如何恢復呢？

注意以下來(lái)條命令不能在Cisco Packet Tracer 5.2中使用，這個(gè)軟件里面現在還沒(méi)有集成這幾條命令。

Switch(config)#errdisable recovery interval ?
<30-86400> timer-interval(sec)
可以調整在30－86400秒，缺省是300秒。

這種方法只能對付下掛交換機的情況，不能對付下掛路由器的情況。

如果產(chǎn)生err-disable的原因是udld，下面有一條命令非常管用：

Switch#udld reset

No ports are disabled by UDLD.
同時(shí)，接口在被置為err-disable的時(shí)候，通常有一系列的日志產(chǎn)生，如下：
*Mar 15 15:47:19.984: %SPANTREE-2-BLOCK_BPDUGUARD: Received BPDU on port FastEthernet0/47 with BPDU Guard enabled. Disabling port.
sw1#
*Mar 15 15:47:19.984: %PM-4-ERR_DISABLE: bpduguard error detected on Fa0/47, putting Fa0/47 in err-disable state
sw1#
*Mar 15 15:47:21.996: %LINK-3-UPDOWN: Interface FastEthernet0/47, changed state to down

收集這些日志也非常管用。
所以建議配置一個(gè)syslog server，收集log信息。

剛才在上面我們綁定的那個(gè)MAC地址是PC0的，我們現在查看一下交換機上面的MAC地址表看看：

Switch#show mac-address-table
Mac Address Table
-------------------------------------------

Vlan Mac Address Type Ports
---- ----------- -------- -----

   1    0009.7c11.89e7    DYNAMIC     Fa0/3              而這一條是動(dòng)態(tài)學(xué)習到的
   1    000a.41a9.79b0    DYNAMIC     Fa0/2              這條也是動(dòng)態(tài)學(xué)習到的
   1    00e0.a342.20e6    STATIC      Fa0/1 這一個(gè)端口的MAC地址我們可以看見(jiàn)是靜態(tài)指定的。
Switch#

但是針對Cisco Packet Tracer 5.2來(lái)說(shuō)，我們不能直接使用no shutdown命令來(lái)啟用，也不能使用我們上面的那條命令，那么我們現在就只能將我們上面的那條的那條命令改成當發(fā)現有其他的MAC地址接入到此端口的時(shí)候我們就將它設置不不轉發(fā)數據并且上報網(wǎng)管平臺。

Switch(config)#interface fastEthernet 0/1
Switch(config-if)#switchport port-security violation restrict

從上面我們可以看見(jiàn)，當設置為數據包不轉發(fā)以后，我們從PC3上面還是ping不通我們的PC2，而我們的交換機只是不轉發(fā)此數據包，當我們的PC3不發(fā)送數據而我們交換FA0/1這個(gè)端口沒(méi)有被shutdown。

那么我們又出現一個(gè)新的問(wèn)題？我們不可能一個(gè)端口只綁定一個(gè)MAC地址吧！那么我們如何給一個(gè)端口綁定多個(gè)MAC地址通行呢？

SW1(config)#interface fastethernet 0/1
Switch(config-if)#Switch port-security maximum 3 設置綁定多少個(gè)MAC地址，而這里我設置的是3條
Switch(config-if)#Switchport port-security max-address ***        第一條的MAC地址。
Switch(config-if)#Switchport port-security mac-address ***        第二條的MAC地址。
Switch(config-if)#Switchport port-security max-address ***        第三條的MAC地址。

但是這個(gè)設置手工綁定多條MAC地址的命令在這里沒(méi)有，所以這個(gè)也不能使用。

但是在這里如果我設置了maximum設置為100的話(huà)，那么不是我們手工需要綁定100條？而且我們還需要去收集這100個(gè)MAC地址。這對于我們網(wǎng)管員來(lái)說(shuō)是一個(gè)非常煩瑣的事，那么有沒(méi)有一種辦法讓它將接入到此端口的MAC地址自動(dòng)綁定到這個(gè)MAC地址中呢？

SW1(config)#interface fastethernet 0/1
Switch(config-if)#Switch port-security maximum 3 設置綁定多少個(gè)MAC地址，而這里我設置的是3條
Switch(config-if)#switchport port-security mac-address sticky 這條命令就是將前三個(gè)接入到這個(gè)端口的計算機的MAC地址自動(dòng)的加入到我們的MAC地址表中。

那么我們再來(lái)試試看呢？

Switch(config)#interface fastEthernet 0/2
Switch(config-if)#switchport mode access
Switch(config-if)#switchport port-security
Switch(config-if)#switchport port-security mac-address sticky

我們使用接入到交換機端口FA0/2這個(gè)接口的計算機發(fā)送一點(diǎn)數據包來(lái)看看。

現在來(lái)在交換機上面來(lái)查看一下MAC地址表。

這個(gè)表是沒(méi)有發(fā)達數據包之前的。我們可以看見(jiàn)還是動(dòng)態(tài)學(xué)習到的。

Switch#show mac-address-table
Mac Address Table
-------------------------------------------

Vlan Mac Address Type Ports
---- ----------- -------- -----

   1    0009.7c11.89e7    DYNAMIC     Fa0/3
   1    000a.41a9.79b0    DYNAMIC     Fa0/2
   1    00e0.a342.20e6    STATIC      Fa0/1
Switch#

而下面的是我們命令了動(dòng)態(tài)學(xué)習的到第一臺通過(guò)這個(gè)端口發(fā)送數據包的那臺計算機的MAC地址。而自動(dòng)變成靜態(tài)綁定的。

Switch#show mac-address-table
Mac Address Table
-------------------------------------------

Vlan Mac Address Type Ports
---- ----------- -------- -----

   1    0009.7c11.89e7    DYNAMIC     Fa0/3
   1    000a.41a9.79b0    STATIC      Fa0/2
   1    00e0.a342.20e6    STATIC      Fa0/1
Switch#

看看，這樣是不是就解決了我們手工去綁定MAC地址那些煩瑣的事件了。這樣是不是給我們減輕了很大的工作量。

下面這條命令是查看端口安全的，以及每一個(gè)端口

Switch#show port-security
Secure Port MaxSecureAddr CurrentAddr SecurityViolation Security Action
               (Count)       (Count)        (Count)
--------------------------------------------------------------------
        Fa0/1        1          1                 3         Restrict
        Fa0/2        1          1                 0         Shutdown
----------------------------------------------------------------------
Switch#

從上面我們可以看出FA0/1端口有3條違反我們策略的。指行的是Restrict。而Fa0/2沒(méi)有違反我們的策略，如果說(shuō)現有呢就執行Shutdown。

以上就是我們基于MAC地址的限制。我想這個(gè)功能對于大家在實(shí)際工程中應用的還是比較廣泛。我們用來(lái)做端口安全的還有一種方法那就是使用802.1x認證。

而這里使用這個(gè)軟件不能做基于交換機的802.1x認證。那么那天用到真機以后我再將這方面的內容發(fā)送出來(lái)！

這里只是解決了Mac Flooding Attack現在由于時(shí)間太晚了，剩下的明天繼續。

本站僅提供存儲服務(wù)，所有內容均由用戶(hù)發(fā)布，如發(fā)現有害或侵權內容，請點(diǎn)擊舉報。

欧美性猛交XXXX免费看蜜桃,成人网18免费韩国,亚洲国产成人精品区综合,欧美日韩一区二区三区高清不卡,亚洲综合一区二区精品久久