泛洪攻击的类型

1. TCP SYN Flood：

   • 攻击者向目标服务器发送大量的 TCP SYN 请求，但不完成握手过程。服务器为每个请求分配资源，最终可能耗尽其连接表，导致无法处理正常请求。

2. UDP Flood：

   • 攻击者向目标发送大量的 UDP 数据包，通常使用随机端口号。目标接收到这些数据包后，会尝试响应，但由于请求量过大，最终会消耗带宽和处理能力。

3. ICMP Flood（Ping Flood）：

   • 攻击者发送大量 ICMP 回显请求（Ping），目标服务器需要处理这些请求并发送回显应答，导致其资源被耗尽。

4. HTTP Flood：

   • 攻击者发送大量的 HTTP 请求（例如，通过伪造的浏览器请求），使得 Web 服务器无法处理正常用户的请求，导致服务中断。

5. MAC Flood

MAC Flood

交换机的 MAC 地址表工作原理

1. 学习阶段：
   • 当交换机接收到一个数据帧时，它会查看源 MAC 地址，并将该地址与接收该帧的端口记录到 MAC 地址表中。
2. 转发阶段：
   • 如果交换机的 MAC 地址表中有目标 MAC 地址，它会将数据帧转发到对应的端口；如果没有，就会进行广播。
3. 老化机制：
   • 为了保持 MAC 地址表的有效性，交换机会定期检查并删除长时间未使用的 MAC 地址。这称为老化（aging）

攻击方式:

1. 占满 MAC 地址表：

   • 攻击者通过工具（如 macof）发送大量伪造的以太网帧，每个帧使用不同的源 MAC 地址。这样做的目的是快速填满交换机的 MAC 地址表。

2. MAC 地址表溢出：

   • 当 MAC 地址表被填满后，交换机将无法再学习新的 MAC 地址。此时，交换机会将收到的数据帧广播到所有端口，而不是根据 MAC 地址转发。

3. 导致广播风暴：

   • 由于广播数据帧会发送到所有端口，网络中流量会显著增加，导致拥塞和延迟。合法用户的流量可能被干扰，网络性能下降。

4. 影响网络安全：

   • 攻击者可以利用广播的特性监听通过网络传输的所有数据，进一步实施其他攻击，比如嗅探数据包。

攻击方式

macof进行攻击 ，一般都是在打的都是局域网交换机。 主要是他会模拟多台设备访问mac表。

1. 无线接入点（AP）：无线网络中的接入点负责处理设备之间的流量。尽管没有物理交换机，但 AP 仍然会维护一个 MAC 地址表，用于确定数据包应该发送到哪个设备。

2. MAC 泛洪攻击：即使在无线网络中，使用 macof 等工具进行 MAC 泛洪攻击仍然可以导致 AP 的 MAC 地址表溢出，从而使得流量被广播到所有连接的设备。这会影响到所有连接在同一热点上的设备。

mac防御

是的，使用静态 MAC 转发表可以有效减少广播的发生。在静态 MAC 转发表中，交换机只知道那些手动配置的 MAC 地址，因此不会因为接收到未知的 MAC 地址而发送广播。

具体影响如下：

1. 减少广播域的大小：由于交换机只处理已知的静态 MAC 地址，任何未知地址的流量不会引发广播，从而减少了广播风暴的可能性。

2. 提高网络性能：减少广播流量有助于提高网络的整体性能和响应速度，因为交换机不再需要处理大量无效的广播包。

3. 增强安全性：静态配置的 MAC 地址表可以防止攻击者通过伪造 MAC 地址进行网络攻击，从而降低了网络被滥用的风险

防守策略

1. 流量监测与分析：

   • 使用流量监测工具检测异常流量模式，及时识别攻击行为。

2. 流量限制：

   • 对每个 IP 地址的请求数量进行限制，减少恶意请求的影响。

3. 防火墙与入侵检测系统（IDS）：

   • 部署防火墙和 IDS，可以识别并阻止恶意流量。

4. 负载均衡：

   • 使用负载均衡技术分散流量，将请求分散到多个服务器上，降低单个服务器的压力。

5. 黑名单/白名单策略：

   • 根据流量来源设置黑名单或白名单，限制不明或可疑的 IP 地址

MAC泛洪攻击实验

1. 建立网络拓扑
   

简单解释一下，我们利用云开了两个端口，我用的桥接网卡将ip设置为 192.168.234.22
加入到了我们局域网中

由于我们需要mac泛洪攻击就是，填充mac表因此先清空mac表。

sy 
display mac-address
undo    mac-address

开始泛洪攻击

• 占用资源，使得局域网内部通信变慢
• 嗅探局域网内部信息

因此我们是使用刚才的client 和server 进行模拟正常用户正常流量通过，之后我们利用泛洪攻击针对于数据进行嗅探。
在Kali Linux中安装 macof（通常作为 dsniff 套件的一部分）

PS mac泛洪只能在局域网

网络隔离：路由器设计的目的就是将不同的网络隔离开来，广播帧不会跨越路由器。因此，虽然你可以通过路由器访问另一个局域网，但MAC地址泛洪攻击需要在同一个局域网内部进行，而不是跨网络。

数据链路层的限制：在数据链路层，MAC地址是局域网内使用的。即使你通过路由器连接到另一个局域网，你的MAC帧依然是基于你的本地网络环境发送的，不会影响目标局域网的交换机。

防火墙和安全机制：现代网络通常会配置防火墙和其他安全机制来防止未经授权的访问。这些机制会限制对内部网络的访问，进一步阻碍了通过路由器进行MAC泛洪攻击的可能性。

ftp文件传输

模拟正常用户文件传输