为什么需要MAC安全?
任何网络接入都需要交换机。
不管是什么类型的交换机,这对二层数据转发都会有MAC地址表来指导转发。
dis mac地址摘要
显示MAC地址的一般信息。
可以看出,有32,768个可用的MAC地址表。
MAC是在同一个广播域中学习的。一般来说,这些MAC条目就足够了。
基于MAC地址的攻击:泛洪和欺骗
洪泛攻击:伪造大量不同来源mac的数据包,如果设备没有ARP保护,交换机的MAC地址条目就会满。如果交换机没有目的MAC地址的交换表,数据包就会被泛洪,同一广播域中的所有设备都会收到。
MAC泛洪攻击实验:
使用Kali Linux系统中的工具macof,用ARP泛洪攻击本地局域网,使用wireshark观察数据包捕获。
短短30秒,Kali用不同的源MAC发出了66万个包。
一旦交换机的MAC地址表满了,交换机收到包后就会泛洪。
会造成严重的信息泄露。
MAC地址欺骗:攻击者通常伪装成网关。局域网中的设备无法访问外部网络。
-修改所有SW的MAC地址表,老化时间为1000S。
mac地址老化时间1000
双MAC地址安全性
(1)静态MAC地址条目优于动态MAC地址条目。
手动配置PC-1的MAC地址绑定到接口G0/0/10。配置完成后,测试PC-2的地址,测试是否连接,并说明原因。
mac地址静态5489-98f1-329d千兆以太网0/0/10 vlan 1
ping是不可能的,因为lsw1在收到pc1的数据帧后会首先查看源mac地址。如果mac地址表中有和这个mac相同的条目,就会刷新老化时间,否则就会记录在mac地址表中。这里,mac地址在mac地址表中,但是接口不一致。因为静态配置比动态学习大,不能覆盖mac地址表,所以不加表。所以发回5489-98f1-329d的数据是从g0/0/10发出的,无法到达pc1,所以无法ping通。
(2)关闭MAC地址学习,可以对MAC表中没有对应条目的数据设置丢弃过程。
PC-3是合法用户,PC-4是攻击者。请确保用户PC-3的通信,拒绝为攻击者改善数据转发服务。
mac地址静态5489-98a2-1e94千兆以太网0/0/3 vlan 1
接口千兆以太网0/0/3
mac地址学习禁用操作丢弃
在关闭g0/0/3接口的mac地址学习功能之前不要ping,以免增加pc-3和pc-4的mac地址。
此时,pc-3可以ping通,但pc-4无法ping通。
当mac地址学习功能关闭时,pc-3和pc-4都可以ping通pc-2。形状\*合并格式。
形状\*合并格式形状\*合并格式
并且会添加mac地址表,然后关闭mac地址学习功能,pc-4仍然可以正常通信。
- MAC地址漂移
(1)如果接口MAC地址的学习优先级相同,则相同MAC地址的学习记录将覆盖第一个。
请调整接口优先级,以确保PC-6发送的数据不会被SW-2转发(可选:解释为什么这样配置)
MAC-学习优先级3
增加lsw2接口g0/0/5的mac地址学习优先级。此时,交换机可以从两个接口学习到相同的mac地址,但优先级更高。没有表的接口无法接收响应数据。
(2)MAC地址检测可以惩罚带有人为MAC地址漂移的接口。
基于这个特性,合法用户PC-7可以正常通信,伪装的PC-8的接口会被SW自动关闭(可选:说明你这样配置的原因)。
注意这次考试。当PC-5和PC-6同时pingPC-1至少30秒,就可以看到效果了。
mac地址摆动检测
首先打开mac地址漂移检查功能。
接口千兆以太网0/0/8
mac地址摆动触发错误-关闭
如果g0/0/8端口出现mac地址漂移,接口将被关闭。
erromacr-down自动恢复导致mac地址摆动间隔30
由于mac地址漂移,接口的恢复时间为30秒。
两个接口都会发生Mac地址漂移,但是在配置mac地址漂移的时候,只会关闭伪装者的接口,这样合法用户可以正常访问,伪装者则不能。
怀疑?两台电脑同时通信,接口恢复后伪装者可以一直通信而不用再次宕机。
