3、P协议中宣布生成树拓扑变化的BPDU),加速已有真实MAC地址条目的老化,最终使CAM中完全充斥着虚假的MAC地址条目。经过交换机的数据帧因查不到相应的MAC条目,被洪泛到所有的端口。 通过MAC洪泛,攻击者把难以进行嗅探的交换环境演变成为可以进行嗅探的共享环境。在Cisco交换机中启用PortSecurity,限制每个端口可以出现的MAC地址,可以抑制MAC洪泛攻击。 配置命令:CatOS(enable)>set port security 1/1 maximum 2#限制1/1端口最多可能出现的2个MAC地址CatOS(enable)>set port
5、发生变化,以攻击者为根,所有的流量不再经过交换机之间的链路,而是经过攻击者。这样攻击者便可以发动嗅探、会话劫持、中间人(ManInTheMiddle)等诸如此类的攻击。 图1 Cisco交换机中的BPDUGuard特性可以很好地解决针对STP的攻击。当端口上开BPDUGuard以后,交换机不接受从此接口上收到的BPDU。通常可以在PortFast端口上开启BPDUGuard,因为PortFast端口大部分只连接主机终端,不会产生BPDU。当交换机从开启BPDUGuard特性的端口上收到BPDU时,则会关闭该端口。 配置命令:CatOS(enable)>set s