返回
【精品】Cisco交换机上防范ARP欺骗和二层攻击

【精品】Cisco交换机上防范ARP欺骗和二层攻击

ID:43723873

大小:225.15 KB

页数:12页

时间:2019-10-13

【精品】Cisco交换机上防范ARP欺骗和二层攻击_第1页
【精品】Cisco交换机上防范ARP欺骗和二层攻击_第2页
【精品】Cisco交换机上防范ARP欺骗和二层攻击_第3页
【精品】Cisco交换机上防范ARP欺骗和二层攻击_第4页
【精品】Cisco交换机上防范ARP欺骗和二层攻击_第5页
资源描述:

《【精品】Cisco交换机上防范ARP欺骗和二层攻击》由会员上传分享,免费在线阅读,更多相关内容在工程资料-天天文库

1、1MAC/CAM攻击的防范1.1MAC/CAM攻击的原理和危害交换机主动学习客户端的MAC地址,并建立和维护端口和MAC地址的对应表以此建立交换路径,这个表就是通常我们所说的CAM表。CAM表的大小是固定的,不同的交换机的CAM衣大小不同。MAC/CAM攻击是指利用工具产生欺骗MAC,快速填满CAM表,交换机CAM表被填满后,交换机以广播方式处理通过交换机的报文,这吋攻击者可以利用各种嗅探攻击获取网络信息。CAM表满了后,流量以洪泛方式发送到所有接口,也就代表TRUNK接口上的流量也会发给所有接口和邻接交换机,会造成交换机负

2、载过大,网络缓慢和丢包其至瘫痪。1.2典型的病毒利用MAC/CAM攻击案例曾经对网络照成非常大威胁的SQL蠕山病毒就利川组播目标地址,构造假H标MAC來填满交换机CAM3Is-51^.01^1si;一:其特征如下图所示-IG團史悔4.“ssadc■"CSXt•CCXICEAOE•EtJBCtfCf:9>39O»C9»>S3«rtADDkSTBO»ccc:ooo>»t»3CC7»OCX^P;0:;•0CX9RCB•KC9X»0rcD・l<•KCXE4X•cccir^coc>xi)r«»23«41OISix*/nurgmmW42

3、X23」鼻IS2SIS:X)O1X>I*l«1ie1vi»411ft1:23WQ“acgscy1.3使用PortSecurityfeature防范MAC/CAM攻击思科PortSecurityfeature可以防止MAC和MAC/CAM攻击。通过配置PortSecurity可以控制:・端口上故大可以通过的MAC地址数量•端口上学习或通过哪些MAC地址・对于超过规定数量的MAC处理进行违背处理端口上学习或通过哪些MAC地址,可以通过静态手工定义,也可以在交换机自动学习。交换机动态学习端口MA

4、C,直到指定的MAC地址数量,交换机关机后亜新学习。目前较新的技术是StickyPortSecurity,交换机将学到的mac地址写到端口配置中,交换机重启后配置仍然存在。对丁•超过规定数量的MAC处理进行处理一般有三种方式(针对交换机型号会有所不同):•Shutdown。这种方式保护能力最强,但是对于一些情况口J能会为管理带來麻烦,如某台设备中了病毒,病毒间断性伪造源MAC在网络中发送报文。•Protect。丢弃非法流量,不报警。•Restricto丢弃非法流量,报警,对比上而会是交换机CPU利用率上升但是不影响交换机的正

5、常使用。推荐使用这种方式。1.4配置port-security配置选项:.1.4SBport-security配首选项:Switch(config_if)#switchportport_secuxity?agingPort^securityagingcommandsmac-addressSecuremacaddressmaximumMaxsecureaddressesviolationSecurityviolationmode配苴port-security最大mac数目,违背处理方式,恢复方法Cat4507(config)#

6、intfastEthernet3/48Cat4507(config~if)#switchportport^securityCat4507(config^if)#switchportport~securitymaximum2Cat4507(config^if)#switchportport-securityviolationshutdownCat4507(config)#errdisablerecoverycausepsecure-violationCat4507(config)#errdisablerecoveryinter

7、val30通过配苴stickyport-security学得的MACinterfaceFastEtherne13/29switchportmodeaccessswitchpoztport^secuxityswitchportpoxt^securitymaximum5switchportport-securitymac-addressstickyswitchportport-securitymac^addresssticky000b.dbld.6ccdswitchportport-securitymac-addressstic

8、ky000b.dbld.6cceswitchportpoxt^securitymac-addressstickyOOOd.6078.2d95switchportport^secuxitymac-addresssticky000e.848e.eaOl防范MAC/CAfVI攻击1.5使用其它技

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。