為什么需要mac安全?
任何網(wǎng)絡(luò)接入都需要交換機(jī)。
不管什么型號(hào)的交換機(jī)這對(duì)二層數(shù)據(jù)轉(zhuǎn)發(fā)都會(huì)有MAC地址表來(lái)進(jìn)行指導(dǎo)轉(zhuǎn)發(fā)。
[SW1]dis mac-address summary
顯示MAC地址總體信息
看出可用MAC地址表共可用數(shù)量32768個(gè)。
MAC的學(xué)習(xí)是在同一個(gè)廣播域里學(xué)習(xí)到的。所以一般這些MAC條目夠用。
基于MAC地址的攻擊:泛洪和欺騙
泛洪攻擊:偽造大量不同源mac的數(shù)據(jù)包,如果設(shè)備沒(méi)有ARP防護(hù)的話(huà)就會(huì)讓交換機(jī)的MAC地址條目占滿(mǎn),交換機(jī)如果沒(méi)有目的MAC地址的交換表,就會(huì)泛洪該數(shù)據(jù)包,所有處在同一廣播域的設(shè)備都會(huì)收到。
MAC泛洪攻擊實(shí)驗(yàn):
使用Kali linux系統(tǒng)中的工具macof工具對(duì)本地局域網(wǎng)進(jìn)行ARP泛洪攻擊并使用wireshark進(jìn)行抓包觀察。
短短三十秒Kali就發(fā)出了66萬(wàn)條源MAC不同的數(shù)據(jù)包。
一旦交換機(jī)的MAC地址表占滿(mǎn),交換機(jī)收到數(shù)據(jù)包后就會(huì)泛洪。
會(huì)造成嚴(yán)重的信息泄露。
MAC地址欺騙:攻擊者通常偽裝成網(wǎng)關(guān)。局域網(wǎng)內(nèi)的設(shè)備不能訪問(wèn)外網(wǎng)。
一---修改所有SW的MAC地址表老化時(shí)間為1000S
mac-address aging-time 1000
二---MAC地址安全
(1)靜態(tài)MAC地址條目?jī)?yōu)于動(dòng)態(tài)
手動(dòng)配置PC-1的MAC地址綁定在G0/0/10接口,配置完成后再補(bǔ)更改PC-1連線的情況下Ping測(cè)PC-2的地址,測(cè)試是否通,解釋原因
[Huawei] mac-address static 5489-98f1-329d GigabitEthernet0/0/10 vlan 1
無(wú)法ping通,因?yàn)閘sw1收到pc1的數(shù)據(jù)幀后先查看源mac地址,若mac地址表存在與該mac相同表項(xiàng)時(shí)刷新老化時(shí)間,若不存在,則記錄到mac地址表。此處mac地址在mac地址表中,但接口不一致,又因?yàn)殪o態(tài)配置大于動(dòng)態(tài)學(xué)習(xí),無(wú)法覆蓋mac地址表,于是不進(jìn)行加表。于是回傳給5489-98f1-329d 的數(shù)據(jù)從g0/0/10發(fā)出,到達(dá)不了pc1,所以無(wú)法ping通。
(2)關(guān)閉MAC地址學(xué)習(xí),可對(duì)MAC表項(xiàng)不存在對(duì)應(yīng)條目的數(shù)據(jù)設(shè)定丟棄處理
PC-3為合法用戶(hù),PC-4為攻擊者,請(qǐng)確保用戶(hù)PC-3的通信,拒絕為攻擊者提高數(shù)據(jù)轉(zhuǎn)發(fā)服務(wù)
[Lsw1]mac-address static 5489-98a2-1e94 GigabitEthernet0/0/3 vlan 1
interface GigabitEthernet0/0/3
mac-address learning disable action discard
在關(guān)閉g0/0/3接口mac地址學(xué)習(xí)功能前不做ping命令,以免pc-3和pc-4的mac地址加表。
此時(shí)pc-3能ping通,pc-4不能ping通。
當(dāng)關(guān)閉mac地址學(xué)習(xí)功能后,pc-3和pc-4都能ping通pc-2. SHAPE * MERGEFORMAT
SHAPE * MERGEFORMAT SHAPE * MERGEFORMAT
并且會(huì)在mac地址表中加表,此時(shí)再關(guān)閉mac地址學(xué)習(xí)功能,pc-4依然可以正常通信
三---MAC地址漂移
(1)接口MAC地址學(xué)習(xí)優(yōu)先級(jí)一致情況下針對(duì)同一MAC地址的學(xué)習(xí)記錄,后學(xué)到的會(huì)覆蓋最先學(xué)到的
請(qǐng)使用調(diào)整接口優(yōu)先級(jí)的方式確保偽裝者PC-6發(fā)出的數(shù)據(jù)不會(huì)被SW-2所轉(zhuǎn)發(fā)(選做:解釋你如此配置的原因)
[Huawei-GigabitEthernet0/0/5]mac-learning priority 3
將lsw2的g0/0/5接口mac地址學(xué)習(xí)的優(yōu)先級(jí)提高,此時(shí)交換機(jī)能從兩個(gè)接口學(xué)到同一個(gè)mac地址,但是優(yōu)先級(jí)更高的加表。未加表的接口無(wú)法收到回應(yīng)的數(shù)據(jù)。
(2)MAC地址檢測(cè)可以對(duì)人為出現(xiàn)MAC地址漂移的接口執(zhí)行懲罰動(dòng)作
基于此特性確保合法用戶(hù)PC-7通信正常,偽裝PC-8的接口會(huì)被SW自動(dòng)shutdown(選做:解釋你如此配置的原因)
注意此項(xiàng)測(cè)試,PC-5和PC-6同時(shí)長(zhǎng)pingPC-1至少30S以上可看到效果
[SW-2]mac-address flApping detection
先開(kāi)啟mac地址漂移檢查功能
interface GigabitEthernet0/0/8
mac-address flapping trigger error-down
在g0/0/8口發(fā)生mac地址漂移則down掉接口
[SW-2]erromacr-down auto-recovery cause mac-address-flapping interval 30
因mac地址漂移down掉的接口恢復(fù)時(shí)間為30秒
兩個(gè)接口都會(huì)發(fā)生mac地址漂移,但是配置mac地址漂移時(shí)只down掉偽裝者的接口,這樣合法用戶(hù)正常訪問(wèn),偽裝者無(wú)法訪問(wèn)。
疑問(wèn)? 兩臺(tái)電腦同時(shí)通訊,偽裝者down掉接口恢復(fù)之后,沒(méi)有再次down掉,可以一直通訊。
