思科交换机如何防范欺骗和攻击(2)

　　1.2典型的病毒利用MAC/CAM攻击案例

　　曾经对网络照成非常大威胁的 SQL 蠕虫病毒就利用组播目标地址，构造假目标 MAC 来填满交换机 CAM 表。其特征如下图所示：

　　1.3使用 Port Security feature 防范MAC/CAM攻击

　　思科 Port Security feature 可以防止 MAC 和 MAC/CAM 攻击。通过配置 Port Security 可以控制：

　　?端口上最大可以通过的 MAC 地址数量

　　?端口上学习或通过哪些 MAC 地址

　　?对于超过规定数量的 MAC 处理进行违背处理

　　端口上学习或通过哪些 MAC 地址，可以通过静态手工定义，也可以在交换机自动学习。交换机动态学习端口 MAC ，直到指定的 MAC 地址数量，交换机关机后重新学习。目前较新的技术是 Sticky Port Security ，交换机将学到的 mac 地址写到端口配置中，交换机重启后配置仍然存在。

　　对于超过规定数量的 MAC 处理进行处理一般有三种方式（针对交换机型号会有所不同）：

　　?Shutdown 。这种方式保护能力最强，但是对于一些情况可能会为管理带来麻烦，如某台设备中了病毒，病毒间断性伪造源 MAC 在网络中发送报文。

　　?Protect 。丢弃非法流量，不报警。

　　?Restrict 。丢弃非法流量，报警，对比上面会是交换机 CPU 利用率上升但是不影响交换机的正常使用。推荐使用这种方式。

　　1.4配置

　　port-security 配置选项： Switch(config-if)# switchport port-security ? aging Port-security aging commands mac-address Secure mac address maximum Max secure addresses violation Security violation mode

　　配置 port-security 最大 mac 数目，违背处理方式，恢复方法

　　Cat4507(config)#int fastEthernet 3/48 Cat4507 (config-if)#switchport port-security Cat4507 (config-if)#switchport port-security maximum 2 Cat4507 (config-if)#switchport port-security violation shutdown Cat4507 (config)#errdisable recovery cause psecure-violation Cat4507 (config)#errdisable recovery interval 30

　　通过配置 sticky port-security学得的MAC

　　interface FastEthernet3/29 switchport mode access switchport port-security switchport port-security maximum 5 switchport port-security mac-address sticky switchport port-security mac-address sticky 000b.db1d.6ccd switchport port-security mac-address sticky 000b.db1d.6cce switchport port-security mac-address sticky 000d.6078.2d95 switchport port-security mac-address sticky 000e.848e.ea01

　　1.5使用 其它技术 防范MAC/CAM攻击

　　除了 Port Security 采用 DAI 技术也可以防范 MAC 地址欺骗。

　　2.1采用DHCP管理的常见问题：

　　采用 DHCP server 可以自动为用户设置网络 IP 地址、掩码、网关、 DNS 、 WINS 等网络参数，简化了用户网络设置，提高了管理效率。但在 DHCP 管理使用上也存在着一些另网管人员比较问题，常见的有：

　　?DHCP server 的冒充。

　　?DHCP server 的 Dos 攻击。

　　?有些用户随便指定地址，造成网络地址冲突。

　　由于 DHCP 的运作机制，通常服务器和客户端没有认证机制，如果网络上存在多台 DHCP 服务器将会给网络照成混乱。由于用户不小心配置了 DHCP 服务器引起的网络混乱非常常见，足可见故意人为破坏的简单性。通常黑客攻击是首先将正常的 DHCP 服务器所能分配的 IP 地址耗尽，然后冒充合法的 DHCP 服务器。最为隐蔽和危险的方法是黑客利用冒充的 DHCP 服务器，为用户分配一个经过修改的 DNS server ，在用户毫无察觉的情况下被引导在预先配置好的假金融网站或电子商务网站，骗取用户帐户和密码，这种攻击是非常恶劣的。

　　对于 DHCP server 的 Dos 攻击可以利用前面将的 Port Security 和后面提到的 DAI 技术，对于有些用户随便指定地址，造成网络地址冲突也可以利用后面提到的 DAI 和 IP Source Guard 技术。这部分着重介绍 DHCP 冒用的方法技术。