使用macof发起MAC地址泛洪攻击
MAC地址泛洪攻击原理:
MAC地址泛洪攻击是一种针对交换机的攻击方式,目的是监听同一局域网中用户的通信数据。交换机的工作核心:端口- MAC地址映射表。这张表记录了交换机每个端口和与之相连的主机MAC地址之间的对应关系。通常情况下,交换机的每个端口只会连接一台主机,因而在CAM表中每个端口只对应一个MAC地址。由于交换机的缓存有限,因此它的CAM表中能保存的内容也是有限的。现在交换机都使用级联技术,也就是A交换机可以连接到B交换机的级联端口。这样B交换机的级联端口上就对应多台主机的MAC地址,从而在CAM表中产生大量的记录。MAC泛洪攻击就是由攻击者通过工具产生大量的数据帧,这些数据帧中的源MAC地址都是伪造的,而且不断变化。因而交换机将在攻击主机所连接端口上产生大量的MAC地址表条目,从而在短时间内将交换机的CAM表填满,无法再接收新的条目。
那么此时对于网络中的那些事先没有在交换机的MAC地址表中留下记录的主机,它们之间的数据通信就会全部采用广播的方式进行。
网络管理员可以采取措施来缓解MAC地址泛洪攻击,例如配置安全策略、使用入侵检测系统或更新交换机固件以应对此类威胁。
MAC地址泛洪攻击网络结构图
通过eNSP中云与VMware相连,利用它可以将虚拟设备和外部真实网络连接到一起。这里简述一下将VMware中的Kali Linux2虚拟机连接到eNSP中。
将Kali Linux 2 虚拟机的连接方式设置为VMnet8(NAT),然后将云连接到VMnet8上。具体步骤如下:
(1)首先在VMware中Kali Linux2虚拟机的网络连接方式设置为NAT,然后启动。
(2)启动eNSP,新建一个网络拓扑如上图所示,并在其中添加一个交换机和两个PC机。
(3)向网络拓扑中添加一个云设备。
(4)云设备的配置如下图
(5)PC1设置如下图
PC2配置参照PC1,172.16.12.102 / 24。
MAC地址泛洪攻击步骤
在VMware中打开Kali Linux 2,以root身份运行macof,如下图所示:
由于华为S3700的CAM表很大,需要同时开启多个macof,这样才能快速将CAM表填满。如下图
交换机在遭到了攻击后,内部的CAM表很快就被填满。交换机退化成集线器,会将收到的数据包全部广播出去,从而无法正常向局域网提供转发功能。
此时在PC1端ping测试Kali端和PC2端是不通的,如下图:
如何防御MAC地址泛洪攻击
根据上面的实验分析,我们知道,如果限制每个端口对应的MAC地址数量就可以了。仍以ENSP中的S3700交换机为例,我们发现所有流量都来自于交换机的Ethernet 0/0/3端口,那么就可以在这个端口设置,保证端口最多学习8个mac地址,在交换机中配置如下:
[Huawei-Ethernet0/0/3] port-security enable
[Huawei-Ethernet0/0/3] port-security mac-address sticky
[Huawei-Ethernet0/0/3] port-security protect-action protect
[Huawei-Ethernet0/0/3] port-security max-mac-num 8
完成这个配置之后,再次启动macof进行攻击,发现虽然攻击者依然产生大量数据包,但是CAM表中只占8项,因而永远无法达到填满CAM表的目的。如下图