科普一下:什么叫MAC地址表溢出,一分钟了解一下

2021-03-07    分类: 网站建设

前两篇文章通过学习MAC地址的学习机制,我们已经知道交换机每收到一个报文,都会取出其源MAC地址,在MAC地址表中添加或者刷新表项。
这种正常的MAC地址学习流程,却被黑客利用,变成交换机的一个漏洞。因为黑客可以发送成千上万的源MAC地址变化的报文,把交换机的MAC地址表填满,从而造成正常用户之间通信的报文也以泛洪的形式来转发,从而阻塞整个网络。
下面我们还是以一个例子来阐述MAC地址表溢出攻击和其防御手段。
拓扑
科普一下:什么叫MAC地址表溢出,一分钟了解一下
拓扑图
测试配置
PC的配置:PC1、PC2、PC3的配置都类似,以PC1为例,
科普一下:什么叫MAC地址表溢出,一分钟了解一下
PC1配置
交换机配置:所有的PC在同一个VLAN里。
科普一下:什么叫MAC地址表溢出,一分钟了解一下
交换机配置
测试过程
科普一下:什么叫MAC地址表溢出,一分钟了解一下
攻击者占满MAC地址表
科普一下:什么叫MAC地址表溢出,一分钟了解一下
PC2发送的报文
防御手段1:MAC地址老化
MAC地址老化是防止MAC地址表溢出的天然手段,不过它仅仅能用在正常使用的环境中,如果遇到有黑客攻击的场景,功能非常有限。
因为黑客会持续不断的发送报文,导致交换机也持续不断的刷新MAC地址表,这样交换机永远没有机会把正常PC的源MAC记录在MAC地址表中。
防御手段2:限制MAC地址数量
MAC地址溢出攻击非常容易判断,当发现来自一个或者几个端口的MAC地址把整个MAC地址表填满之后,就可以判断这是MAC地址表溢出攻击了。
如下图:打印MAC地址表出来以后,发现来自E0/1的MAC占据了所有的表项,
科普一下:什么叫MAC地址表溢出,一分钟了解一下
E0/1接口的MAC太多
这时就可以采用限制MAC地址数量的方法来防止攻击了。将大允许的MAC地址数量设置为2,超过的报文都丢弃,这样就能让交换机腾出表项,学习其它正常PC的MAC,配置如下图所示:
科普一下:什么叫MAC地址表溢出,一分钟了解一下
配置MAC地址限制
MAC地址表溢出是黑客利用交换机正常的MAC地址学习流程中的漏洞而所做的攻击,它通过持续不断的发送源MAC地址变化的报文,从而填满并且一直占用所有的MAC地址表项而实现的。
对于MAC地址表溢出攻击我们也要引起足够的重视,不要说交换机性能足够强悍,不用担心这样的攻击。事实上如果不采取措施,没有交换机能抵得住MAC地址泛洪攻击,因为黑客发送上亿个MAC地址变化的报文,也是轻而易举的事情。
各位经过上面的描述,对于MAC地址表溢出攻击已经了解了吧?

文章名称:科普一下:什么叫MAC地址表溢出,一分钟了解一下
网站链接:/news3/104753.html

成都网站建设公司_创新互联,为您提供企业建站虚拟主机手机网站建设品牌网站建设电子商务小程序开发

广告

声明:本网站发布的内容(图片、视频和文字)以用户投稿、用户转载内容为主,如果涉及侵权请尽快告知,我们将会在第一时间删除。文章观点不代表本网站立场,如需处理请联系客服。电话:028-86922220;邮箱:631063699@qq.com。内容未经允许不得转载,或转载时需注明来源: 创新互联

手机网站建设