目录

1. MAC地址泛洪实验

2. 验证交换机泛洪

3. wireshark分析MAC地址泛洪

4. 如何防御



 

据了解,目前网络安全问题有80%是来自于“内部网络”,黑客的攻击目标从单一的计算机转变到了网络结构和设计上了。交换机作为网络通信中重要的网络设备,其安全防护措施相对于其他网络设备较差,导致容易成为黑客的攻击目标,本篇我们主要了解交换机的一些常见攻击方式和防御。

 

 

1. MAC地址泛洪实验

 

实验目的:通过实践的方式了解一些常见的网络安全问题,同时加深理解交换机的工作原理。

column mac地址 wireshark wireshark看mac地址_交换机

学习思科交换机的时候我们知道,交换机里有一张mac地址表用于存储学习到的mac地址信息,mac地址表的大小也是有限制的,如果有恶意攻击者利用交换机学习mac地址的功能,不断的伪造新的源mac地址发起攻击,使得交换机的mac地址表存满溢出,大大降低交换机处理数据流量的性能,严重的可能导致交换机崩溃重启。

 

 

实验开始之前,先测试实验环境网络连通性:

column mac地址 wireshark wireshark看mac地址_交换机_02

 

 

Cloud用于模拟攻击者进行MAC地址泛洪,实验如下:

column mac地址 wireshark wireshark看mac地址_mac地址_03

执行macof -i eth0命令进行mac地址泛洪,-i选项用于指定网卡信息。如果你不知道自己的网卡是多少的话,可以通过ifconfig命令来查看当前网卡信息。

 

 

dis mac-address命令查看交换机的MAC地址表信息:

column mac地址 wireshark wireshark看mac地址_mac地址_04

从以上信息来看,交换机的mac地址表中被攻击者伪造的源mac地址表填充满溢出了,使交换机的性能严重下降。

 

 

再次测试网络连通性:

column mac地址 wireshark wireshark看mac地址_华为HCNA_05

测试结果可以看到PC1和PC2之间无法通信,mac地址泛洪导致交换机的mac地址表被填满,使得该局域网下正常的网络通信无法进行。

 

原因在于:攻击者通过伪造大量的源MAC地址迅速使交换机的MAC地址表空间耗尽,导致PC1和PC2正常的通信时交换机发送的是广播包,为什么此时交换机发送广播包?因为此时交换机的MAC地址表被伪造的MAC地址占满,原先PC1和PC2主机的MAC地址被“挤掉”了,当交换机收到PC1的ping包查找自己的mac地址表没有找到对应的目标MAC地址信息,根据交换机转发原则就执行泛洪操作。

 

2. 验证交换机泛洪

 

现在交换机的mac地址表被填满了,在e0/0/3端口进行抓包:

column mac地址 wireshark wireshark看mac地址_mac地址_06

 

 

PC1ping PC2,wireshark的过滤器中过滤icmp包:

column mac地址 wireshark wireshark看mac地址_华为HCNA_07

由于交换机的mac地址被填满了,此时PC1 ping PC2发送的icmp请求包被交换机泛洪(广播)出去了,因此在交换机的e0/0/3端口也能抓取到icmp请求包,实验完成。

 

这里留一个思考题:为什么icmp的响应包交换机没有泛洪出去?

 

3. wireshark分析MAC地址泛洪

 

接下来通过wireshark网络分析工具对MAC地址泛洪实验的数据包进行分析:

column mac地址 wireshark wireshark看mac地址_mac地址_08

wireshark总共捕获到了15444个数据分组,除了有小部分STP,NTP协议数据包,大部分都是网络层的IPv4数据包,这些IP包毫无规律可言,并且有大量的源和目的IP,mac地址都不在该局域网下。

 

点击wireshark的统计----->捕获文件属性,进一步分析捕获文件:

column mac地址 wireshark wireshark看mac地址_华为HCNA_09

在捕获文件的时间属性中可以看到第一个分组和最后一个分组的时间,总共是1分49秒。统计属性中记录了总共捕获的分组数量,大小等各种信息,文件注释属性描述了捕获文件的内容信息。

 

 

接下来点击wireshark的统计----->协议分级,分析捕获文件中各种协议类型:

column mac地址 wireshark wireshark看mac地址_华为HCNA_10

经常用wireshark分析网络流量的同学知道,通常一个正常的局域网络中会有各种udp,tcp,http等常见协议类型的流量,但从协议分级统计中可以看到IPv4协议的数据包占了多数,占例高达99%。这些流量是有异常的。

 

 

为了进一步验证我们的怀疑,点击wireshark的统计---->会话,分析这些异常的流量是从哪里来的,目的又是哪里:

column mac地址 wireshark wireshark看mac地址_mac地址泛洪_11

Wireshark显示的15000多个会话中,每一个会话的源和目的都是不同的地址,并且每个会话都只有一个数据包,Bytes字段中显示的每个IP数据包的大小都是60字节,解析地址名称中这些都是不同的设备。正常的局域网络中每一个会话不会都是只有一个数据包,数据包大小几乎一样,也不会出现这么多台来路不明的设备。

 

这些“来路不明”的数据包并不在当前的网络中,因此我们可以确定这些异常的数据包是网络攻击伪造出来的,无法通过源mac和目的mac定位攻击者的位置,但是可以通过查看交换机的mac地址表中这些来路不明的mac地址对应的端口号,该端口号连接的对面就是进行攻击的设备。

 

4. 如何防御

虽然攻击者伪造大量数据包攻击交换机导致mac地址表被占满,但是可以通过端口安全技术来防御MAC地址泛洪攻击。即在交换机的每一个端口上限制mac地址的数量,前面实验中攻击者是通过e0/0/3端口发起攻击的,那么我们可以在交换机的e0/0/3端口进行如下相关配置:

[Huawei-Ethernet0/0/3] port-security enable 
[Huawei-Ethernet0/0/3] port-security mac-address sticky 
[Huawei-Ethernet0/0/3] port-security protect-action protect 
[Huawei-Ethernet0/0/3] port-security max-mac-num 10