攻击者发送大量无效、MAC 地址不一的数据帧到网络中,交换机根据 MAC 地址学习功能,学习攻击者发送的大量数据帧,不停添加进 MAC 地址表中,当 MAC 地址表的容量到达上限,而交换机依旧在学习攻击者发送数据帧,交换机会覆盖旧的 MAC 地址记载。如果此时,主机 A 发送数据到主机 B,交换机根据 MAC 地址表的记载,发现主机 A 发送的是未知单播帧,交换机执行泛洪处置惩罚,因此,主机 A 发送到主机 B 的数据,攻击者也能接收从而到达信息侦听的目的。 MAC 地址泛洪攻击的关键点是,攻击者利用交换机的基本功能,发送大量的垃圾数据帧填充交换机的 MAC 地址,使得交换机为攻击者发送合法数据,而到达数据侦听的目的。 因此,可以利用端口安全技术,将交换机端口学习到的 MAC 地址以及学习数目与端口进行绑定,限制交换机对数据帧的学习、转发的举动,保障网络的安全、可靠。 端口安全(port security)是一种对网络接入进行控制的安全机制,是对已有的 802.1X 认证和 MAC 地址认证的扩充,如下图是端口安全工作的简朴过程:
攻击者发送大量、无效的数据帧,但是交换机在端口上设置只允许学习 3 个 MAC 地址,对于超出限制的 MAC 地址,交换机不会对数据帧进行 MAC 地址学习以及转发的操纵, 这样,交换机的 MAC 地址表便不会填充大量的 MAC 地址记载了。 端口安全的重要功能就是通过界说各种安全模式,让装备学习到合法的源 MAC 地址, 以到达相应的网络管理效果。对于不能通过安全模式学习到的源 MAC 地址报文,将被视为非法报文。当发现非法报文后,系统将触发相应特性,并按照预先指定的方式自动进行处置惩罚,镌汰了用户的维护工作量,极大地提高了系统的安全性和管理性。 3 Cisco 端口安全
一、安全地址概念
安全地址,交换机中的端口安全(Port security)功能可以使你限制在端口上利用的 MAC 地址(称之为“安全 MAC 地址”)数,允许你阻止未授权 MAC 地址的访问。 安全地址实现方式: 1) 安全设置 MAC 地址:手工添加 MAC 地址与接口的对应关系(将接口与 MAC 地址绑 定),并且会生存到 MAC 地址表和 running-config。 2) 安全动态 MAC 地址:将接口上动态学习到的 MAC 地址作为安全的 MAC 地址,生存 在 MAC 地址表中,重启后丢失。 3) 粘性 MAC 地址:结合了静态手工设置与动态学习 MAC 地址的优势,Sticky 将动态学 习到的 MAC 地址作为安全 MAC地址,并且将效果生存到 running configuration 中(将 MAC 与接口进行绑定)。 二、端口安全的惩罚机制
当端口收到与绑定记载不同等的源 MAC 地址或者超出最大上限时,将触发端口安全的 惩罚机制,该机制有三种方式: 1) shutdown:默认模式,将接口酿成 error-disabled 并 shutdown,并产生日志信息。 2) protect:只丢弃不允许 MAC 地址的流量,别的合法流量正常,不会产生日志信息。 3) restrict:只丢弃不允许 MAC 地址的流量,别的合法流量正常,并产生日志信息。 4 华为端口安全
一、安全地址
安全地址:端口安全将接口学习到的动态 MAC 地址转为安全 MAC 地址,阻止非法用户通过本接口和交换机通讯,从而增强装备的安全性。 安全 MAC 地址的分为:安全动态 MAC 地址、安全静态 MAC 地址与 Sticky MAC。 1) 安全动态 MAC 地址:使能端口安全而未使能 Sticky MAC 功能时转换的 MAC 地址,装备重启后表项会丢失,需要重新学习,缺省情况下不会被老化,只有在设置安全 MAC 的老化时间后才可以被老化。 2) 安全静态 MAC 地址:使能端口安全时手工设置的静态 MAC 地址,不会被老化,手动 生存设置后重启装备不会丢失。 3) Sticky MAC地址:使能端口安全后又同时使能 Sticky MAC 功能后转换到的 MAC 地址,不会被老化,手动生存设置后重启装备不会丢失。 接口上安全 MAC 地址数到达限制后,如果收到源 MAC 地址不存在的报文,无论目的 MAC 地址是否存在,交换机即以为有非法用户攻击,就会根据设置的动尴尬刁难接口做保护处置惩罚。缺省情况下,保护动作是丢弃该报文并上陈诉警。 二、端口安全的保护动作
1) restrict:丢弃源 MAC 地址不存在的报文并上陈诉警。保举利用 restrict 动作。 2) protect:只丢弃源 MAC 地址不存在的报文,不上陈诉警。 3) shutdown:接口状态被置为 error-down,并上陈诉警。 5 华三端口安全
一、端口安全特性
1) NTK:NTK(Need To Know)特性通过检测从端口发出的数据帧的目的 MAC 地址,保证数据帧只能被发送到已经通过认证的装备上,从而防止非法装备窃听网络数据。 2) Intrusion Protection:该特性通过检测端口接收到的数据帧的源 MAC 地址或 802.1x 认证的用户名、密码,发现非法报文或非法变乱,并采取相应的动作,包括临时断开端口连接、永世断开端口连接或是过滤此 MAC 地址的报文,保证了端口的安全性。 3) Device Tracking:该特性是指当端口有特定的数据包(由非法入侵,用户不正常上下线等缘故原由引起)传送时,装备将会发送 Trap 信息,便于网络管理员对这些特殊的举动进行监控。 二、端口安全模式
autolearn:此模式下,端口学习到的 MAC 地址会变化为 Security MAC 地址;当端口下Security MAC 地址数超过 port-security max-mac-count 下令设置的数目后,端口模式会自动变化为 secure 模式;之后,该端口不会再添加新的 Security MAC;只有源 MAC 为 Security MAC 或已设置的动态 MAC 的报文,才气通过该端口。 三、安全 MAC 地址
安全 MAC 地址是一种特殊的 MAC 地址,其特性类似于静态 MAC 地址。在同一个VLAN内,一个 Security MAC 地址只能被添加到一个端口上,利用该特点,可以实现同一 VLAN 内 MAC 地址与端口的绑定。 Security MAC可以由启用Port-Security功能的端口自动学习,也可以由下令行或者MIB手动设置。手动设置的 Security MAC 与端口自动学习的 Security MAC 没有区别。 在添加 Security MAC 地址之前,需要先设置端口的安全模式为“autolearn”。设置端口的安全模式为 autolearn 之后,端口的 MAC 地址学习方式将会发生变化: 1) 端口原有的动态 MAC 被删除; 2) 当端口的 Security MAC 没有到达设置的最大数目时,端口新学到的 MAC 地址会被添 加为 Security MAC; 3) 当端口的 Security MAC 到达设置的最大数目时,端口将不会继续学习 MAC 地址,端 口状态将从“autolearn”状态变化为“secure”状态。 四、入侵检测机制
当装备检测到一个非法的用户通过端口试图访问网络时,入侵检测特性用于设置装备可能对其采取的安全措施,包括以下三种方式: 1) blockmac:表示将非法报文的源 MAC 地址加入阻塞 MAC 地址列表中,源 MAC 地址 为阻塞MAC地址的报文将被丢弃。此MAC地址在被阻塞3分钟(系统默认,不可配)后规复正常。 2) disableport:表示将收到非法报文的端口永世关闭。 3) disableport-temporarily:表示将收到非法报文的端口临时关闭一段时间。关闭时长可通过 port-security timer disableport 下令设置。 6 端口安全利用场景
