一、什么是MAC地址漂移？

MAC地址漂移是指在计算机网络中，MAC（Media Access Control）地址被动态更改的现象。每个网络接口设备都有一个唯一的MAC地址，用来标识该设备在网络中的身份。然而，有些恶意软件或网络攻击技术可以通过技术手段更改MAC地址，以隐藏其真实身份或绕过网络安全措施。这种更改MAC地址的行为被称为MAC地址漂移。MAC地址漂移可以使攻击者更难被追踪，增加网络安全的难度。

二、怎么防止MAC地址漂移。

1. 使用静态MAC地址：在网络设备的配置中，可以手动设置一个特定的MAC地址，这样就不会发生漂移。静态MAC地址通常与设备的硬件地址（即出厂时设备内置的地址）相同。

2. 使用MAC地址过滤：在网络设备上配置MAC地址过滤规则，只允许特定的MAC地址通过网络。这样可以防止未授权的设备接入网络，也可以防止漂移。

3. 使用802.1X认证：802.1X认证是一种网络访问控制协议，可以要求用户在接入网络前进行认证。认证成功后，网络设备会为用户分配一个唯一的MAC地址，从而防止漂移。

4. 使用网络入侵检测系统（NIDS）：NIDS可以监控网络流量，检测异常行为，包括MAC地址漂移。一旦发现漂移，NIDS会发出警报。

5. 定期检查MAC地址表：网络设备通常会维护一个MAC地址表，记录与之连接的设备的MAC地址。定期检查MAC地址表，发现异常的MAC地址即可判断是否发生漂移。

三、怎么检测MAC地址漂移。

1. 收集设备的原始MAC地址：首先需要获取设备的原始MAC地址，可以通过查看设备的网络设置或者使用特定的命令来获取。

2. 监控网络流量：使用网络监控工具，如Wireshark等，来监视设备的网络流量。可以设置过滤规则来仅显示特定设备的流量。

3. 检测MAC地址变化：观察设备在网络流量中的MAC地址是否有变化。如果发现MAC地址发生了改变，可能表示设备正在进行MAC地址漂移。

4. 比对地址变化：将设备的新MAC地址与前面收集的原始MAC地址进行对比。如果两者不匹配，可以认为设备可能发生了MAC地址漂移。

四、实验拓扑图及命令与步骤。

由环路引起的MAC地址漂移

 

 

 

由于华为交换机默认打开STP所以实验开始我们要用undo stp enable将交换机的STP关闭

LSW2和LSW4交换机都是一样的操作

实验配置

LSW1命令

[LSW1-GigabitEthernet0/0/2]mac-learning priority 3   //配置接口的优先级为3

LSW2命令

[LSW2]mac-address flapping detection
[LSW2]mac-address flapping aging-time 500
[LSW2int g0/0/2
[LSW2-GigabitEthernet0/0/2]mac-address flapping trigger error-down
//配置检测到mac地址漂移的动作为关闭接口
[LSW2]int g0/0/3
[LSW2-GigabitEthernet0/0/3]mac-address flapping trigger error-down
[LSW2]error-down auto-recovery cause mac-address-flapping interval 500

//自动恢复接口的时间为500秒

注：在教材中配置检测发生漂移动作的处理动作时这个action（有些交换机）没法使用，我们可以用trigger来代替它
测试

用终端去连通server，可以发现连不通，因为当前的网络处于二层环路状态，所以连不通。

 

当交换机检测到MAC地址漂移后就会进行配置动作（关闭接口），配置动作完成后终端就能连通server

下面可以看到接口已经关闭

[LSW2]dis mac-address flapping record  //查看mac地址漂移日志

由网络攻击引起的MAC地址漂移

在配置上与上面的配置差不多，只是不需要关闭stp，且要将两个终端的MAC地址改为一样的

其中一个是伪装的攻击者

LSW5命令
[LSW5-GigabitEthernet0/0/1]mac-learning priority 3
LSW6命令
[LSW6]mac-address flapping detection
[LSW6]mac-address flapping aging-time 60
[LSW6]int g0/0/2
[LSW6-GigabitEthernet0/0/2]mac-address flapping trigger error-down
[LSW6-GigabitEthernet0/0/2]int g0/0/3
[LSW6-GigabitEthernet0/0/3]mac-address flapping trigger error-down
[LSW6]error-down auto-recovery cause mac-address-flapping interval 60

测试

与上面的实验一样也是终端去pingserver，不过在上面的实验是要设备之间能够连通，这个实验是要攻击者ping不到server

当交换机检测到MAC地址漂移后启用动作，PC3连通不了了

[LSW6]dis mac-address flapping record  //查看mac地址漂移日志

至此，实验结束

五、总结
总的来说，MAC地址漂移是一种需要及时检测和处理的网络现象，它可能由多种因素引起，对网络的稳定性和性能产生负面影响。通过配置MAC地址漂移检测功能、查看告警信息、分析漂移记录以及采取适当的防止措施，可以有效地管理和解决MAC地址漂移问题。