MAC Spoofing攻击...

MAC Spoofing攻击

 (2011-05-19 14:34:28)

转载▼

标签：  杂谈

1）       攻击原理

当一个交换机收到一个单播包，目的MAC并没有出现在CAM表里边，那么交换机把这个包向相同广播域里边的所有接口进行泛洪。这是交换机的默认行为。攻击者可以在一个交换机端口下使用攻击工具产生大量的MAC地址，交换机CAM表溢出（交换机CAM表存放的MAC地址数见表1），导致大量正常的MAC和端口的对应关系列表被丢弃，使交换机频繁的刷新CAM表中的内容。

 

Switch Model	Number of Bridge-Table Entries
Cisco Catalyst 2940/50/55/60/70	Up to 8000
Cisco Catalyst 3500XL	8192
Cisco Catalyst 3550/60	Up to 12000(depending on the model
Cisco Catalyst 3750/3750M	12000
Cisco Catalyst 4500	32768
Cisco Catalyst 4949	55000
Cisco Catalyst 6500/7600	Up to 131072 (more if distributed feature cards are installed

                                 表1

2）       攻击现象

目前一台普通的PC使用攻击软件每秒钟可以产生500个MAC地址，30秒就可以填满一台普通2层交换机的CAM表，当CAM表溢出后被频繁的刷新，该交换机其他端口丢失MAC地址与端口的对应关系，导致正常端口用户无法正常通信，出现丢包或者网络中断现象。由于CAM表的刷新需要使用交换机的cpu资源，大量MAC地址频繁的刷新，使cpu利用率可能过高，导致无法正常网管受攻击交换机。

 

攻击前交换机MAC数量：

6K-1-720# show mac-address count

MAC Entries for all vlans :

Dynamic Address Count: 37

Static Address (User-defined) Count: 494

Total MAC Addresses In Use: 531

Total MAC Addresses Available: 65536

攻击时MAC地址数量：

6K-1-720# show mac-address-table count

MAC Entries for all vlans :

Dynamic Address Count: 58224

Static Address (User-defined) Count: 503

Total MAC Addresses In Use: 58727

Total MAC Addresses Available: 65536

3）       解决方案

采用port-security功能可以有效的阻止MAC Flood攻击。

Port Security的默认行为：

a、  所有的接口Port Security功能都是disable的

b、  默认每一个接口最大MAC地址容量为一个

c、  默认violation是shutdown

              三种violation方式：

a、  shutdown  使接口处于errordisable状态，并且告警

b、  restrict    丢掉违规数据包，并且告警

c、  protect    悄无声息的丢弃数据包，没有告警产生

              三种MAC地址学习方式：

a、  自动学习（默认）

b、  手工指派

c、  Sticky

 

              建议在接入层交换机用户端口上采用MAC地址自动学习，port-security 最大地址个数200，violation方式restrict。

 

              相关命令如下：

                switchport port-security maximum 200

                switchport port-security violation restrict