HCNP RoutingSwitching之MAC安全
🚀 優質資源分享 🚀
| 🧡 Python實戰微信訂餐小程序 🧡 | 進階級 | 本課程是python flask+微信小程序的完美結合,從項目搭建到騰訊云部署上線,打造一個全棧訂餐系統。 |
| 💛Python量化交易實戰💛 | 入門級 | 手把手帶你打造一個易擴展、更安全、效率更高的量化交易系統 |
前文我們了解了GRE over IPSec 相關話題,回顧請參考https://blog.csdn.net/qiuhom-1874/p/16601491.html;今天我們來聊一聊mac安全相關話題;
先來回顧下二層交換機的工作原理
我知道對于一臺二層交換機來說,它的核心功能就是根據mac地址來轉發數據;之所以能夠根據mac地址來轉發數據,是因為交換機的工作原理;交換機收到一個幀就會記錄對應的幀的源mac和對應接口做對應;這樣一來,當交換機收到對應目標mac的幀的時候,它就知道該把這個幀從那個接口轉發出去;如果交換機收到的目標mac幀,在對應mac地址表里沒有,此時交換機就會把對應數據包進行泛洪,如果在某一個接口收到了對應包的回復,此時它就會把對應接口和對應接口回復的源mac記錄到mac地址表中;簡單講就是根據mac地址表來轉發數據,如果沒有就泛洪;
基于MAC的攻擊
基于mac的攻擊,通常手段有兩種,一種是泛洪,一種是欺騙;所謂泛洪就是指攻擊者在短時間內偽造很多mac地址幀,直接把交換機的mac地址表給寫滿;這樣做最直接的后果就是,正常的數據包,交換機里沒有對應mac,它不知道怎么轉發,這個時候它就會泛洪,一泛洪,對應攻擊者就能抓到數據包,從而獲取數據;所謂欺騙是指攻擊者惡意發送arp廣播,告訴交換機,網關是我(通常就是欺騙網關,當然中間人攻擊,也是類似的過程,兩邊欺騙);交換機收到攻擊者的arp廣播,它肯定會記錄對應mac地址和接口,同時因為是arp廣播,交換機上的其他pc收到對應的包,就會在本地記錄對應mac和ip地址;從而在pc和網關通信時,會封裝對應的mac地址,將數據發送給攻擊者;這樣一來攻擊者就能夠通過抓包等手段獲取用戶的數據;總之不管是mac泛洪攻擊還是欺騙攻擊,都是利用交換機的工作原理,通過mac地址表項來轉發數據的特性來實行的攻擊;
提示:上圖為mac泛洪攻擊的示意圖;攻擊者偽造很多mac地址,發送給交換機,以此來占用交換機mac地址表;使得正常的mac地址表項被覆蓋;正常的mac地址表項被覆蓋,正常用戶通信時,交換機就會把對應數據包進行泛洪,使得用戶數據被攻擊者抓取;
MAC地址表項分類
提示:常見的就這三種表項,動態,靜態和黑洞;動態表項是指交換機通過對幀內的源mac進行學習而來,有老化時間;靜態和黑洞都是管理員手動配置的,都不會老化;黑洞表項是指收到對應mac地址的幀都會被丟棄,不管是源mac還是目標mac,交換機只要收到對應有黑洞表項的mac就會主動丟棄;
MAC地址表安全功能
MAC地址表特性參數
提示:默認交換機不做任何配置,動態學習mac的功能是開啟的,老化時間為5分鐘,端口的mac地址的優先級都是0;如果開啟了端口安全,默認端口安全mac地址學習限制數量為1,即只能學習到一個mac,多的學習不到;端口安全的保護動作為restrict,即轉發合法流量和發送告警;mac地址飄逸表項老化時間為5分鐘,丟棄全0非法mac地址,以及收到全0非法mac地址報警功能都是關閉的;mac刷新arp功能也是關閉的;
實驗:基于mac的泛洪攻擊
實驗環境說明:如上實驗拓撲,我們使用云來橋接本地lo接口,另一端開一個kali來模擬攻擊者
沒有攻擊,對應交換機mac地址表
提示:正常情況下,如果交換機沒有收到幀,對應是mac地址表是空的才對,上面的mac地址是我們本地lo接口的mac,這是我們使用云橋接lo接口,默認lo接口會每隔一段時間發送一個ssdp包來發現局域網里的設備,所以我們在交換機上能夠看到對應lo接口的mac地址;如下抓包
使用kali ping pc1和pc2
在交換機上查看mac地址表項
提示:可以看到對應的mac和接口一一對應;正是因為這個mac表項,對應交換機就能正常的將數據包轉發到對應接口發送出去;
查看交換機mac地址表項匯總
提示:這里是模擬器bug,它的統計數據顯示不出來;從上圖可以看到該交換機最大容納32768條mac地址和接口對應的記錄,一旦超過這個記錄就會覆蓋最老的記錄(覆蓋只針對動態學習到的mac,靜態是覆蓋不了的);
使用kali攻擊sw1
提示:使用macof工具來偽裝mac地址,該工具能在一瞬間偽造大量mac地址幀,然后從網卡發送出去;-i選項是用來指定從那個網卡發送;
提示:可以看到我們只把macof工具開來不到5秒,對應交換機就收到了大量的mac地址幀,瞬間交換機的mac地址表也多了許多mac地址條目;
以上就是mac泛洪攻擊的現象,我們總結一下,出現mac泛洪攻擊時,查看交換機的mac地址表項就會發現,在某一個接口下會存在大量的mac地址條目,很顯然這不正常;
MAC安全特性配置
1、添加靜態mac地址表項
提示:添加靜態mac時,我們需要寫清楚對應mac 對應的接口和vlan即可;
驗證:查看靜態mac是否添加成功?
提示:可以看到對應mac地址表里就多了一條我們剛才添加的記錄;匯總里也統計出有一條靜態條目;
2、添加黑洞mac地址表項
驗證:用kali ping pc2的地址,看看是否能夠ping通呢?
提示:可以看到現在kali就不能正常ping通pc2,原因是kali拿不到pc2的mac,因為pc2的mac是一個黑洞mac,對應pc2收到kali的arp請求,在發送自己的mac時,交換機會丟棄對應pc2發送到任何包;
提示:第二張截圖是在pc2上抓取的,可以看到pc2的確回復了kali的arp請求,但是kali卻沒有收到,原因就是交換機丟棄了pc2的包,因為pc2發送的包,源mac被設置成黑洞mac了;
3、配置老化時間
提示:默認mac地址表項的老化時間為300秒;
4、禁止mac地址學習功能
提示:以上命令可以在vlan模式和接口模式下使用,在接口模式下使用作用范圍為當前接口,在vlan模式下使用作用范圍是對應vlan;該命令后面還有兩個參數,一個是forward,一個是discard;默認是不寫后面的動作就是forward,表示轉發;即對應端口或vlan所有接口,只是關閉動態學習mac的功能,但收到arp回復包進行轉發;discard則表示根據目標mac地址,如果目標mac地址在mac地址表項存在,則轉發,如果目標mac地址不存在mac地址表則丟棄;
實驗:把g0/0/4接口的學習mac功能關閉,并配置默認動作為discard
查看mac地址表,看看對應g0/0/4口是否學習到mac?
提示:可以看到現在mac表,對應g0/0/4口沒有學習到任何mac;
用pc1 ping pc3,看看對應接口是否會學習到mac?通信是否會通呢 ?
提示:可以看到對應pc1pingpc3并沒有ping通;
查看mac地址表項
提示:可以看到4口也沒有學習到mac;
抓包查看過程
提示:在pc3上抓包,可以看到對應pc3收到pc1的arp廣播,并做了回復;
在pc1上抓包
提示:在pc1上抓包,對應pc3的arp回復包并沒有收到,說明g0/0/4口丟棄了arp回復包,導致pc1拿不到pc3的mac,也就無法正常通信;
刪除g0/0/4的禁止動態學習mac地址,先讓g0/0/4學習到mac,然后再禁用學習功能呢
pc3發包,讓交換機學習到mac
禁用4口學習mac功能
提示:可以看到現在4口已經學習到mac;
現在pc1 ping pc3 看看是否能通?
提示:可以看到現在pc1pingpc3是能夠正常ping通的,這是因為交換機的mac地址表項里對應通信的目標mac,對應數據包會轉發,如果沒有則丟棄;當然,如果mac地址表老化,對應條目被刪除,那么通信也無法正常進行;
把動作改為forward,看看對應接口是否能夠學習到mac呢?通信是否正常呢?
pc1 ping pc3看看g0/0/4是否學習到mac?對應通信是否能夠正常通行呢?
提示:可以看到通信是可以正常通訊,但是對應接口是不能夠學習到mac條目的;
5、限制端口學習mac地址的數量
提示:該命令可以在接口模式和vlan模式下使用,在接口模式下作用范圍當前接口,在vlan模式下作用范圍是對應vlan;
驗證:用macof工具攻擊,看看對應3口是否只能學習到10條mac地址條目呢?
提示:可以看到對應交換機的終端在報警,對應3口也只能學習到10條mac地址條目;這里需要注意,這個學習到的mac是先學滿10條,后面的就不學習了,并不是重復覆蓋;
6、配置告警
提示:開啟或關閉報警,必須配置前邊的最大學習限制才可以,否則它會提示Error: Failed to change the configurations of the action or alarm because the MAC-limit rule does not exist.;
7、開啟丟棄全0非法mac地址報文的功能
提示:以上兩條命令在全局模式下使用;第一條作用是開啟因收到全0非法mac報警;第二條表示開啟丟棄全0非法mac;
8、配置mac刷新arp功能
提示:arp表是ip地址和mac地址以及出接口的對應表,mac地址表是mac地址和出接口的對應表;兩者老化時間不一樣,就導致當mac地址表是g0/0/1接口更新到g0/0/2口,對應arp里的信息還在g0/0/1口,這會導致通信中斷;為了避免這樣的問題,上述命令就表示當mac表項發生變化,通知arp表項對應條目更新,從而避免通信中斷的問題;
官方文檔示意圖
總結
以上是生活随笔為你收集整理的HCNP RoutingSwitching之MAC安全的全部內容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: 剪辑视频,怎么虚化边框缩小原视频
- 下一篇: 第三方高德地图