安基网 首页 系统 网络学院 查看内容

科普一下:什么叫MAC地址表溢出,一分钟了解一下

2019-10-8 11:38| 投稿: xiaotiger |来自: 互联网


免责声明:本站系公益性非盈利IT技术普及网,本文由投稿者转载自互联网的公开文章,文末均已注明出处,其内容和图片版权归原网站或作者所有,文中所述不代表本站观点,若有无意侵权或转载不当之处请从网站右下角联系我们处理,谢谢合作!

摘要: 概述前两篇文章通过学习MAC地址的学习机制,我们已经知道交换机每收到一个报文,都会取出其源MAC地址,在MAC地址表中添加或者刷新表项。这种正常的MAC地址学习流程,却被黑客利用,变成交换机的一个漏洞。因为黑客可以发送成千上万的源MAC地址变化的报文,把交换机的MAC地址表填满,从而造成正常用户之 ...

概述

前两篇文章通过学习MAC地址的学习机制,我们已经知道交换机每收到一个报文,都会取出其源MAC地址,在MAC地址表中添加或者刷新表项。

这种正常的MAC地址学习流程,却被黑客利用,变成交换机的一个漏洞。因为黑客可以发送成千上万的源MAC地址变化的报文,把交换机的MAC地址表填满,从而造成正常用户之间通信的报文也以泛洪的形式来转发,从而阻塞整个网络

下面我们还是以一个例子来阐述MAC地址表溢出攻击和其防御手段。

MAC地址表溢出

拓扑

拓扑图

  • 交换机的4个端口E0/0-3都在同一个VLAN 10里;
  • 假设交换机的最大MAC地址表项值为5(最多能创建5个表项);
  • 攻击者持续不断的发送源MAC地址变化的报文(源MAC总共变化5次);
  • PC2向PC1发送报文。

测试配置

PC的配置:PC1、PC2、PC3的配置都类似,以PC1为例,

PC1配置

交换机配置:所有的PC在同一个VLAN里。

交换机配置

测试过程

  • 攻击者持续不断的发送源MAC地址变化的报文,会导致交换机所有的MAC表项都被占用,如下图所示:MAC地址表已经达到最大值(5);

攻击者占满MAC地址表

  • PC2访问PC1,发送的报文到达交换机;交换机会取出报文的目的MAC地址,查找MAC地址表,发现没有PC1对于的表项;

PC2发送的报文

  • 交换机会把这个报文从所有在同一个VLAN的接口发送出去,这样就形成泛洪;
  • 在这个场景下,PC1和PC3都能收到PC2发送给PC1的报文,这不仅导致网络中有多余的流量,也会让PC2发送的数据不安全。
  • 造成这样的现象是因为交换机没有学习PC1的MAC地址,如果交换机学习了PC1的MAC地址,则PC2的流量只会从E0/1转发出去,不会泛洪。但是攻击者把MAC地址表填充满了,交换机没有能力把PC1的MAC加入到表中。
  • 如果网络的规模比较大,则网络中所有PC互通的流量都泛洪到网络中,带宽很快的就会被占满。

防御手段

防御手段1:MAC地址老化

MAC地址老化是防止MAC地址表溢出的天然手段,不过它仅仅能用在正常使用的环境中,如果遇到有黑客攻击的场景,功能非常有限。

因为黑客会持续不断的发送报文,导致交换机也持续不断的刷新MAC地址表,这样交换机永远没有机会把正常PC的源MAC记录在MAC地址表中

防御手段2:限制MAC地址数量

MAC地址溢出攻击非常容易判断,当发现来自一个或者几个端口的MAC地址把整个MAC地址表填满之后,就可以判断这是MAC地址表溢出攻击了。

�6�7如下图:打印MAC地址表出来以后,发现来自E0/1的MAC占据了所有的表项,

E0/1接口的MAC太多

这时就可以采用限制MAC地址数量的方法来防止攻击了。将最大允许的MAC地址数量设置为2,超过的报文都丢弃,这样就能让交换机腾出表项,学习其它正常PC的MAC,配置如下图所示:

配置MAC地址限制

总结

MAC地址表溢出是黑客利用交换机正常的MAC地址学习流程中的漏洞而所做的攻击,它通过持续不断的发送源MAC地址变化的报文,从而填满并且一直占用所有的MAC地址表项而实现的。

对于MAC地址表溢出攻击我们也要引起足够的重视,不要说交换机性能足够强悍,不用担心这样的攻击。事实上如果不采取措施,没有交换机能抵得住MAC地址泛洪攻击,因为黑客发送上亿个MAC地址变化的报文,也是轻而易举的事情。

各位经过上面的描述,对于MAC地址表溢出攻击已经了解了吧?

如果还有疑问,欢迎留言谈论!也非常欢迎关注我的头条号,一起讨论网络问题!



小编推荐:欲学习电脑技术、系统维护、网络管理、编程开发和安全攻防等高端IT技术,请 点击这里 注册账号,公开课频道价值万元IT培训教程免费学,让您少走弯路、事半功倍,好工作升职加薪!

本文出自:https://www.toutiao.com/a6745074758506775044/

免责声明:本站系公益性非盈利IT技术普及网,本文由投稿者转载自互联网的公开文章,文末均已注明出处,其内容和图片版权归原网站或作者所有,文中所述不代表本站观点,若有无意侵权或转载不当之处请从网站右下角联系我们处理,谢谢合作!


鲜花

握手

雷人

路过

鸡蛋

相关阅读

最新评论

 最新
返回顶部