MAC--泛洪欺骗

本文主要是介绍MAC--泛洪欺骗，希望对大家解决编程问题提供一定的参考价值，需要的开发者们随着小编来一起学习吧！

免责声明:本文仅做分享...

目录

不知道目的的单播帧:

 交换机CAM表容量:

MAC泛洪

防御MAC泛洪

MAC欺骗

交换机端口学习原理:

欺骗:

防御MAC欺骗:

1-静态绑定MAC地址

2-使用粘滞安全MAC地址

---

不知道目的的单播帧:

当交换机收到一个单播包，目的 MAC 并没有出现在 CAM表 里边，那么交换机会把这个包向相同广播域里边的所有接口（除入接口以外）进行泛洪.

这是交换机的默认行为！

---

 交换机CAM表容量:

有的大 , 但却有限!!!

---

 

MAC泛洪

kali:
macof命令
大量发送随机伪装源MAC地址的帧,毒化整个MAC地址表. 
交换机:
接收一个网络帧,只要CAM表里面没有,那么该帧会以广播的方式发向交换机的每一个接口.
由于MAC表已经被毒化,所有正常帧都将被泛洪,此时的交换机就相当于一个集线器HUB，我们就可以监听网络中的所有通讯报文。
(你来我就学,超过容量,旧的会超时.)

 

--这个macof太快了...我ensp这边设备都卡死了.....

 

---

防御MAC泛洪

进入接口

启用端口安全

[Huawei-GigabitEthernet0/0/1]port-security  ?aging-time      Aging timeenable          Enable port securitymac-address     Mac addressmax-mac-num     Maximum mac address can learnprotect-action  Action if beyond the limit

设置最大MAC地址数量

----------------------------------------------------------------------

配置违规动作:

[Huawei-GigabitEthernet0/0/1]port-security protect-action ?
  protect   Discard packets--当MAC地址数量超过限制时,丢弃后续的数据包,但不警告或关接口.

  restrict  Discard packets and warning--当地MAC地址数量超过限制时,丢弃数据包并警告,但不关接口.

  shutdown  Shutdown --当地MAC地址数量超过限制时,直接关接口.

---

MAC欺骗

 MAC地址欺骗是数据链路层攻击，它是利用 交换机端口学习 的漏洞，通过客户端向交换机发送欺骗报文、攻击交换机的CAM表的方式，使交换机CAM表的记录与真实的主机对应MAC地址不一致，从而使交换机将报文错误转发给攻击者。

交换机端口学习原理:

 两图都是PC1 -> PC2

正常:

 

伪装: 

 

(源MAC + 接口)

---所以,交换机从某个端口收到一个数据包，它先读取包头中的源MAC地址，这样他就知道源MAC地址来自哪个端口，它会在CAM表中添加一条端口和MAC地址对应的记录。

这种工作很高效，但如果交换机接收到了客户端伪造的源MAC地址的数据包，交换机同样也会将伪造的记录添加到CAM表中，作为信任的记录，这样就形成了MAC地址欺骗.

---

补充:上述的发包方式，虽然可以达到欺骗目的，但由于目的mac地址随机设置，交换机在接收到CAM表没有的MAC地址后，会以广播包的形式转发到网络中，这样网络中会产生大量的网络包，容易被受害者发现。因此，针对这种情况，可以将目标MAC地址设置为欺骗者本身的MAC地址，源MAC地址设置为受害者的MAC地址。同时，此过程可以使用工具ettercap实现，具体命令如下。ettercap -T -q -M port:remote /<目的IP>//

 

---

欺骗:

正常时，交换机的 4 接口可以抓到 (PC2 MAC -> kali MAC)的包。

欺骗成功时-->抓不到该包，但在交换机的 1 接口上可以抓到该包。

PC1:(伪造发包)
kali MAC -> PC2PC2:(正常发包)
PC2 MAC -> kali--抓接口 1 和 4 的流量.

可以发现,咱们在PC2上构造的包, 竟然到了GE0/0/1接口.

而接口 4 上 没有包包.

---所以: PC2 到 kali 的包 ,  被欺骗, 发到了PC1上.

             

---

防御MAC欺骗:

1-静态绑定MAC地址

[Huawei-GigabitEthernet0/0/1]port-security mac-address sticky ?H-H-H  Mac address<cr>   

--将特定的MAC地址静态绑定到接口上.

---

2-使用粘滞安全MAC地址

port-security mac-address sticky

--允许交换机接口自动学习第一个(或指定数量的)MAC地址, 并将其作为粘滞MAC地址保存.

重启也在.

---

 

这篇关于MAC--泛洪欺骗的文章就介绍到这儿，希望我们推荐的文章对编程师们有所帮助！

---