什麼是MAC Flood 攻擊?
MAC Flood攻擊是利用交換機的mac學習原理,通過發送大量偽造mac的數據包,導致交換機mac表滿。
攻擊者的目的:主要是讓交換機癱瘓或抓取全網數據包。
攻擊後特徵:最明顯的特徵是網絡變得緩慢。
MAC Flood原理
如圖所示,網絡中有3個PC和一個交換機,在正常情況下,如果PC A向PC B發送信息,PC C是不會知道的,過程都通過中間的交換機進行透明的處理,並且會記錄下源MAC地址和源端口的信息到交換機中,以便下次快速轉發。
當攻擊者PC C利用MAC flood攻擊對交換機發送很多非法的包含不同源MAC地址的封包時,交換機會把所有這些MAC地址記錄到自己的CAM(Content Addressable Memory)表之中,當這些記錄超過一定的數量,超過交換機所能承載的內存的時候,MAC flooding的效果就達成了。
當MAC flood效果達成的時候,交換機就變成了集線器,對所有信息進行無定向廣播,PC A 發送給PC B的信息PC C也可以收到了。這個時候PC C就可以捕獲數據進行數據截取等操作。
攻擊的後果
- 交換機忙於處理MAC表的更新,數據轉發緩慢。
- 交換機MAC表滿後,所有到交換機的數據會轉發到交換機的所有端口上。
如何預防MAC Flood?
保證端口安全,是預防MAC Flood最基本的方式。端口安全就是限制端口訪問的MAC地址,具體可以從以下幾點去考慮:
- 啟用端口安全
- 設置mac地址限制
- 指定允許的MAC地址
- 定義違規後的操作
如何排除MAC Flood?
由於MAC Flood源IP偽造了MAC,所以很難定位到真正的攻擊源。當攻擊發生時,通過抓包可以定位到MAC Flood的交換機,在相應交換機上逐步排查,可以找到真正的攻擊源主機。
上一篇:
下篇預告:「網絡安全」常見攻擊篇(20)——點擊劫持 敬請關注
閱讀更多 成長點滴 的文章