互换网络安全防备系列一之 MAC/CAM 袭击防备 -08-03 15:53:49 标签:安全 MAC 防备 互换网络 CAM [推送到技术圈] 1.1MAC/CAM 袭击的原理和危害 互换机积极学习客户端的 MAC 地址,并建立和维护端口和 MAC 地址的对应表以此建立互换途径,这个表就是一般我们所说的 CAM 表。 CAM 表的大小是固定的,不一样的互换机的 CAM 表大小不一样。 MAC/CAM 袭击是指运用工具产生欺骗 MAC ,迅速填满 CAM 表,互换机 CAM 表被填满后,互换机以广播方式处理通过互换机的报文,这时袭击者可以运用多种嗅探袭击获取网络信息。 CAM 表满了后,流量以洪泛方式发送到所有接口,会导致互换机负载过大,网络缓慢和丢包甚至瘫痪。 1.2 使用 Port Security feature 防备 MAC/CAM 袭击 思科 Port Security feature 可以防止 MAC 和 MAC/CAM 袭击。通过配置 Port Security 可以控制: • 端口上最大可以通过的 MAC 地址数量 • 端口上学习或通过哪些 MAC 地址 • 对于超过规定数量的 MAC 处理进行违反处理 端口上学习或通过哪些 MAC 地址,可以通过静态手工定义,也可以在互换机自动学习。互换机动态学习端口 MAC ,直到指定的 MAC 地址数量,互换机关机后重新学习。目前较新的技术是 Sticky Port Security ,互换机将学到的 mac 地址写到端口配置中,互换机重启后配置仍然存在。 对于超过规定数量的 MAC 处理进行处理一般有三种方式(针对互换机型号会有所不一样): • Shutdown 。这种方式保护能力最强,不过对于某些状况也许会为管理带来麻烦,如某台设备中了病毒,病毒间断性伪造源 MAC 在网络中发送报文。 • Protect 。丢弃非法流量,不报警。 • Restrict 。丢弃非法流量,报警,对比上面会是互换机 CPU 运用率上升不过不影响互换机的正常使用。推荐使用这种方式。 1.3 配置 port-security 配置选项: Switch(config-if)# switchport port-security ? aging Port-security aging commands mac-address Secure mac address maximum Max secure addresses violation Security violation mode 启用 port-security,配置 port-security 静态 mac 地址、 最大 mac 数目和违反处理方式,恢复措施 Cat4507(config)#int fastEthernet 3/48 Cat4507 (config-if)#switchport port-security Cat4507 (config-if)#switchport port-security maximum 2 Cat4507 (config-if)#switchport port-security mac-address 0002.0002.0001 vlan 20Cat4507 (config-if)#switchport port-security violation shutdown Cat4507 (config)#errdisable recovery cause psecure-violation Cat4507 (config)#errdisable recovery interval 30 通过配置 sticky port-security 学得的 MAC interface FastEthernet3/29 switchport mode access switchport port-security switchport port-security maximum 5 switchport port-security violation shutdown switchport port-security mac-address sticky