🚀 優質資源分享 🚀

學習路線指引（點擊解鎖）知識定位人群定位

🧡 Python實戰微信訂餐小程序 🧡	進階級	本課程是python flask+微信小程序的完美結合，從項目搭建到騰訊云部署上線，打造一個全棧訂餐系統。
💛Python量化交易實戰💛	入門級	手把手帶你打造一個易擴展、更安全、效率更高的量化交易系統

前文我們了解了GRE over IPSec 相關話題，回顧請參考https://blog.csdn.net/qiuhom-1874/p/16601491.html；今天我們來聊一聊mac安全相關話題；

先來回顧下二層交換機的工作原理

我知道對于一臺二層交換機來說，它的核心功能就是根據mac地址來轉發數據；之所以能夠根據mac地址來轉發數據，是因為交換機的工作原理；交換機收到一個幀就會記錄對應的幀的源mac和對應接口做對應；這樣一來，當交換機收到對應目標mac的幀的時候，它就知道該把這個幀從那個接口轉發出去；如果交換機收到的目標mac幀，在對應mac地址表里沒有，此時交換機就會把對應數據包進行泛洪，如果在某一個接口收到了對應包的回復，此時它就會把對應接口和對應接口回復的源mac記錄到mac地址表中；簡單講就是根據mac地址表來轉發數據，如果沒有就泛洪；

基于MAC的攻擊

基于mac的攻擊，通常手段有兩種，一種是泛洪，一種是欺騙；所謂泛洪就是指攻擊者在短時間內偽造很多mac地址幀，直接把交換機的mac地址表給寫滿；這樣做最直接的后果就是，正常的數據包，交換機里沒有對應mac，它不知道怎么轉發，這個時候它就會泛洪，一泛洪，對應攻擊者就能抓到數據包，從而獲取數據；所謂欺騙是指攻擊者惡意發送arp廣播，告訴交換機，網關是我（通常就是欺騙網關，當然中間人攻擊，也是類似的過程，兩邊欺騙）；交換機收到攻擊者的arp廣播，它肯定會記錄對應mac地址和接口，同時因為是arp廣播，交換機上的其他pc收到對應的包，就會在本地記錄對應mac和ip地址；從而在pc和網關通信時，會封裝對應的mac地址，將數據發送給攻擊者；這樣一來攻擊者就能夠通過抓包等手段獲取用戶的數據；總之不管是mac泛洪攻擊還是欺騙攻擊，都是利用交換機的工作原理，通過mac地址表項來轉發數據的特性來實行的攻擊；

提示：上圖為mac泛洪攻擊的示意圖；攻擊者偽造很多mac地址，發送給交換機，以此來占用交換機mac地址表；使得正常的mac地址表項被覆蓋；正常的mac地址表項被覆蓋，正常用戶通信時，交換機就會把對應數據包進行泛洪，使得用戶數據被攻擊者抓取；

MAC地址表項分類

提示：常見的就這三種表項，動態，靜態和黑洞；動態表項是指交換機通過對幀內的源mac進行學習而來，有老化時間；靜態和黑洞都是管理員手動配置的，都不會老化；黑洞表項是指收到對應mac地址的幀都會被丟棄，不管是源mac還是目標mac，交換機只要收到對應有黑洞表項的mac就會主動丟棄；

MAC地址表安全功能

MAC地址表特性參數

提示：默認交換機不做任何配置，動態學習mac的功能是開啟的，老化時間為5分鐘，端口的mac地址的優先級都是0；如果開啟了端口安全，默認端口安全mac地址學習限制數量為1，即只能學習到一個mac，多的學習不到；端口安全的保護動作為restrict，即轉發合法流量和發送告警；mac地址飄逸表項老化時間為5分鐘，丟棄全0非法mac地址，以及收到全0非法mac地址報警功能都是關閉的；mac刷新arp功能也是關閉的；

實驗：基于mac的泛洪攻擊

實驗環境說明：如上實驗拓撲，我們使用云來橋接本地lo接口，另一端開一個kali來模擬攻擊者

沒有攻擊，對應交換機mac地址表

提示：正常情況下，如果交換機沒有收到幀，對應是mac地址表是空的才對，上面的mac地址是我們本地lo接口的mac，這是我們使用云橋接lo接口，默認lo接口會每隔一段時間發送一個ssdp包來發現局域網里的設備，所以我們在交換機上能夠看到對應lo接口的mac地址；如下抓包

使用kali ping pc1和pc2

在交換機上查看mac地址表項

提示：可以看到對應的mac和接口一一對應；正是因為這個mac表項，對應交換機就能正常的將數據包轉發到對應接口發送出去；

查看交換機mac地址表項匯總

提示：這里是模擬器bug，它的統計數據顯示不出來；從上圖可以看到該交換機最大容納32768條mac地址和接口對應的記錄，一旦超過這個記錄就會覆蓋最老的記錄（覆蓋只針對動態學習到的mac,靜態是覆蓋不了的）；

使用kali攻擊sw1

提示：使用macof工具來偽裝mac地址，該工具能在一瞬間偽造大量mac地址幀，然后從網卡發送出去；-i選項是用來指定從那個網卡發送；

提示：可以看到我們只把macof工具開來不到5秒，對應交換機就收到了大量的mac地址幀，瞬間交換機的mac地址表也多了許多mac地址條目；

以上就是mac泛洪攻擊的現象，我們總結一下，出現mac泛洪攻擊時，查看交換機的mac地址表項就會發現，在某一個接口下會存在大量的mac地址條目，很顯然這不正常；

MAC安全特性配置

1、添加靜態mac地址表項

提示：添加靜態mac時，我們需要寫清楚對應mac 對應的接口和vlan即可；

驗證：查看靜態mac是否添加成功？

提示：可以看到對應mac地址表里就多了一條我們剛才添加的記錄；匯總里也統計出有一條靜態條目；

2、添加黑洞mac地址表項

驗證：用kali ping pc2的地址，看看是否能夠ping通呢？

提示：可以看到現在kali就不能正常ping通pc2,原因是kali拿不到pc2的mac，因為pc2的mac是一個黑洞mac，對應pc2收到kali的arp請求，在發送自己的mac時，交換機會丟棄對應pc2發送到任何包；

提示：第二張截圖是在pc2上抓取的，可以看到pc2的確回復了kali的arp請求，但是kali卻沒有收到，原因就是交換機丟棄了pc2的包，因為pc2發送的包，源mac被設置成黑洞mac了；

3、配置老化時間

提示：默認mac地址表項的老化時間為300秒；

4、禁止mac地址學習功能

提示：以上命令可以在vlan模式和接口模式下使用，在接口模式下使用作用范圍為當前接口，在vlan模式下使用作用范圍是對應vlan；該命令后面還有兩個參數，一個是forward，一個是discard；默認是不寫后面的動作就是forward，表示轉發；即對應端口或vlan所有接口，只是關閉動態學習mac的功能，但收到arp回復包進行轉發；discard則表示根據目標mac地址，如果目標mac地址在mac地址表項存在，則轉發，如果目標mac地址不存在mac地址表則丟棄；

實驗：把g0/0/4接口的學習mac功能關閉，并配置默認動作為discard

查看mac地址表，看看對應g0/0/4口是否學習到mac?

提示：可以看到現在mac表，對應g0/0/4口沒有學習到任何mac；

用pc1 ping pc3，看看對應接口是否會學習到mac？通信是否會通呢 ？

提示：可以看到對應pc1pingpc3并沒有ping通；

查看mac地址表項

提示：可以看到4口也沒有學習到mac；

抓包查看過程

提示：在pc3上抓包，可以看到對應pc3收到pc1的arp廣播，并做了回復；

在pc1上抓包

提示：在pc1上抓包，對應pc3的arp回復包并沒有收到，說明g0/0/4口丟棄了arp回復包，導致pc1拿不到pc3的mac，也就無法正常通信；

刪除g0/0/4的禁止動態學習mac地址，先讓g0/0/4學習到mac，然后再禁用學習功能呢

pc3發包，讓交換機學習到mac

禁用4口學習mac功能

提示：可以看到現在4口已經學習到mac；

現在pc1 ping pc3 看看是否能通？

提示：可以看到現在pc1pingpc3是能夠正常ping通的，這是因為交換機的mac地址表項里對應通信的目標mac，對應數據包會轉發，如果沒有則丟棄；當然，如果mac地址表老化，對應條目被刪除，那么通信也無法正常進行；

把動作改為forward，看看對應接口是否能夠學習到mac呢？通信是否正常呢？

pc1 ping pc3看看g0/0/4是否學習到mac？對應通信是否能夠正常通行呢？

提示：可以看到通信是可以正常通訊，但是對應接口是不能夠學習到mac條目的；

5、限制端口學習mac地址的數量

提示：該命令可以在接口模式和vlan模式下使用，在接口模式下作用范圍當前接口，在vlan模式下作用范圍是對應vlan；

驗證：用macof工具攻擊，看看對應3口是否只能學習到10條mac地址條目呢？

提示：可以看到對應交換機的終端在報警，對應3口也只能學習到10條mac地址條目；這里需要注意，這個學習到的mac是先學滿10條，后面的就不學習了，并不是重復覆蓋；

6、配置告警

提示：開啟或關閉報警，必須配置前邊的最大學習限制才可以，否則它會提示Error: Failed to change the configurations of the action or alarm because the MAC-limit rule does not exist.；

7、開啟丟棄全0非法mac地址報文的功能

提示：以上兩條命令在全局模式下使用；第一條作用是開啟因收到全0非法mac報警；第二條表示開啟丟棄全0非法mac；

8、配置mac刷新arp功能

提示：arp表是ip地址和mac地址以及出接口的對應表，mac地址表是mac地址和出接口的對應表；兩者老化時間不一樣，就導致當mac地址表是g0/0/1接口更新到g0/0/2口，對應arp里的信息還在g0/0/1口，這會導致通信中斷；為了避免這樣的問題，上述命令就表示當mac表項發生變化，通知arp表項對應條目更新，從而避免通信中斷的問題；

官方文檔示意圖

總結

以上是生活随笔為你收集整理的HCNP RoutingSwitching之MAC安全的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。