欢迎来到天天文库
浏览记录
ID:57609510
大小:241.50 KB
页数:9页
时间:2020-08-28
《CAM表溢出攻击和MAC地址欺骗.doc》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库。
1、CAM表溢出攻击CAM表是交换机接口和所接设备的MAC地址的对应表(默认老化时间5分钟)CAM表容量有限,满了之后,后面的条目会覆盖前面的条目,CAM表的攻击便会利用到这一条CAM表正常情况下,PC1和PC2之间的通讯是单播,中间的黑客是无法收到任何的包。但是中间的黑客发出多个伪造的包,将交换机的CAM表充满,之后PC1需要将数据包发送给PC2时,交换机发现CAM表中无法找到PC2的MAC所对应的交换机接口是多少,于是交换机在广播域中将数据包泛洪,此时黑客自然也可以收到相应的数据包。MAC地址欺骗1刚开始
2、的MAC地址表是正常的2之后,黑客发给交换机一个伪装包,包的源地址是PC2的MAC地址,于是,交换机更新了CAM表,发生错误的定位,黑客可以获得发往PC2的数据包。防范方法故障现象:深圳LAN1下的所有SGSN(4台)全部无法telnet,ping发现大量丢包,只能偶尔ping通。排故过程:上核心交换机(OM二层直连交换机),发现直连现象一样。首先认为是生成树的问题,但是查了一下生成树是没有问题的。后来发现所有SGSN的MAC地址对应的交换机端口都是同一个端口,而这个端口接的是一个未知的设备,定位故障,断
3、开这个端口,故障解除。故障分析:首先登陆核心交换机,发现直连都不通,那就可以把故障范围定位在二层上,然后通过一下命令检查交换机cam表的mac地址对应表。6509MSFC#ping10.10.1.65Typeescapesequencetoabort.Sending5,100-byteICMPEchosto10.10.1.65,timeoutis2seconds:!!!!!Successrateis100percent(5/5),round-tripmin/avg/max=1/1/4ms6509MSFC#
4、showarp
5、in10.10.1.65Internet10.10.1.6520006.2973.121dARPAVlan2通过以上命令,我们知道10.10.1.65的MAC地址是0006.2973.121d,这是IOS设备的MAC地址表达方式,在CatOS中,应写为00-06-29-73-12-1d.2.在交换机上找出MAC地址所对应的端口6509SE>(enable)showcam00-06-29-73-12-1d*=StaticEntry.+=PermanentEntry.#=SystemEntry
6、.R=RouterEntry.X=PortSecurityEntry$=Dot1xSecurityEntryVLANDestMAC/RouteDes[CoS]DestinationPortsorVCs/[ProtocolType]----------------------------------------------------------------------200-06-29-73-12-1d9/41[ALL]TotalMatchingCAMEntriesDisplayed=1这是不是说IP为1
7、0.10.1.65的机器就接在端口9/41上呢?不一定。如果以下命令中显示该端口上只有一个活动的MAC地址,那么答案就是肯定的:6509SE>(enable)showcamdynamic9/41*=StaticEntry.+=PermanentEntry.#=SystemEntry.R=RouterEntry.X=PortSecurityEntry$=Dot1xSecurityEntryVLANDestMAC/RouteDes[CoS]DestinationPortsorVCs/[ProtocolType
8、]----------------------------------------------------------------------200-06-29-73-12-1d9/41[ALL]TotalMatchingCAMEntriesDisplayed=1如果该命令显示该端口上有多个活动的MAC地址,那么这个端口应该连接到别的交换机或HUB设备上,见下面的例子(查找IP为10.10.1.250所对应的交换机端口):6509MSFC#ping10.10.1.250Typeescapesequence
9、toabort.Sending5,100-byteICMPEchosto10.10.1.250,timeoutis2seconds:!!!!!Successrateis100percent(5/5),round-tripmin/avg/max=1/1/1ms6509MSFC#showarp
10、in10.10.1.250Internet10.10.1.25040009.6b8c.64ecARPAVlan26509SE>(enabl
此文档下载收益归作者所有