什么是MAC Flood 攻击?
MAC Flood攻击是利用交换机的mac学习原理,通过发送大量伪造mac的数据包,导致交换机mac表满。
攻击者的目的:主要是让交换机瘫痪或抓取全网数据包。
攻击后特征:最明显的特征是网络变得缓慢。
MAC Flood原理
如图所示,网络中有3个PC和一个交换机,在正常情况下,如果PC A向PC B发送信息,PC C是不会知道的,过程都通过中间的交换机进行透明的处理,并且会记录下源MAC地址和源端口的信息到交换机中,以便下次快速转发。
当攻击者PC C利用MAC flood攻击对交换机发送很多非法的包含不同源MAC地址的封包时,交换机会把所有这些MAC地址记录到自己的CAM(Content Addressable Memory)表之中,当这些记录超过一定的数量,超过交换机所能承载的内存的时候,MAC flooding的效果就达成了。
当MAC flood效果达成的时候,交换机就变成了集线器,对所有信息进行无定向广播,PC A 发送给PC B的信息PC C也可以收到了。这个时候PC C就可以捕获数据进行数据截取等操作。
攻击的后果
- 交换机忙于处理MAC表的更新,数据转发缓慢。
- 交换机MAC表满后,所有到交换机的数据会转发到交换机的所有端口上。
如何预防MAC Flood?
保证端口安全,是预防MAC Flood最基本的方式。端口安全就是限制端口访问的MAC地址,具体可以从以下几点去考虑:
- 启用端口安全
- 设置mac地址限制
- 指定允许的MAC地址
- 定义违规后的操作
如何排除MAC Flood?
由于MAC Flood源IP伪造了MAC,所以很难定位到真正的攻击源。当攻击发生时,通过抓包可以定位到MAC Flood的交换机,在相应交换机上逐步排查,可以找到真正的攻击源主机。
上一篇:
下篇预告:「网络安全」常见攻击篇(20)——点击劫持 敬请关注
分享到:
閱讀更多 成長點滴 的文章
