以太网交换安全:MAC地址漂移与检测(实验:二层环路+网络攻击)

一、什么是MAC地址漂移?

MAC地址漂移是指网络中设备的MAC地址在运行过程中发生变化的现象

MAC地址是用于唯一标识网络中的设备。

MAC地址漂移是指交换机上一个VLAN内有两个端口学习到同一个MAC地址,后学习到的MAC地址表项覆盖原MAC地址表项的现象。

当一个MAC地址在两个端口之间频繁发生迁移时,即会产生MAC地址漂移现象:正常情况下,网络中不会在短时间内出现大量MAC地址漂移的情况。出现这种现象一般都意味着网络中存在环路,或者存在网络攻击行为。

二、MAC地址漂移如何防止?

如果是环路引发的MAC地址漂移,解决的方法是部署防环技术,如STP,消除二层环路,假如是网络攻击等其他因素引起的MAC地址漂移可以配置接口MAC地址的学习优先级和配置不允许相同优先级接口MAC地址漂移

(1)在默认时接口MAC地址学习的优先级均为0,数值越大优先级越高。当同一个MAC地址被两个个接口学习到后,接口MAC地址学习优先级高的会被保留,MAC地址学习优先级低的被覆盖。

(2)在配置不允许相同优先级接口MAC地址漂移时,如果安全网络设备下电,则交换机仍会学习到伪造网络设备的MAC地址,当网络设备再次上电时将无法学习到正确的MAC地址。因此该特性需谨慎使用,如果交换机的接口连接的网络设备是服务器,当服务器下电后,另外的接口学习到与服务器相同的MAC地址,当服务器再次上电后就不能学习到正确的MAC地址。

三、MAC地址漂移如何进行检测 ?

交换机支持MAC地址漂移检测机制,分为以下两种方式:

。基于VLAN的MAC地址漂移检测

。配置VLAN的MAC地址漂移检测功能可以检测指定VLAN下的所有的MAC地址是否发生漂移。。当MAC地址发生漂移后,可以配置指定的动作,例如告警、阻断接口或阻断MAC地址。全局MAC地址漂移检测

。该功能可以检测设备上的所有的MAC地址是否发生了漂移。

·若发生漂移,设备会上报告警到网管系统。

。用户也可以指定发生漂移后的处理动作,例如将接口关闭或退出VLAN。

四、实验

由环路引起的MAC地址漂移

由于华为交换机默认打开STP所以实验开始我们要用undo stp enable将交换机的STP关闭

LSW2和LSW4交换机都是一样的操作

实验配置

LSW1命令

[LSW1-GigabitEthernet0/0/2]mac-learning priority 3 //配置接口的优先级为3

LSW2命令

[LSW2]mac-address flapping detection

[LSW2]mac-address flapping aging-time 500

[LSW2int g0/0/2

[LSW2-GigabitEthernet0/0/2]mac-address flapping trigger error-down

//配置检测到mac地址漂移的动作为关闭接口

[LSW2]int g0/0/3

[LSW2-GigabitEthernet0/0/3]mac-address flapping trigger error-down

[LSW2]error-down auto-recovery cause mac-address-flapping interval 500

//自动恢复接口的时间为500秒

注:在教材中配置检测发生漂移动作的处理动作时这个action(有些交换机)没法使用,我们可以用trigger来代替它

测试

用终端去连通server,可以发现连不通,因为当前的网络处于二层环路状态,所以连不通。

当交换机检测到MAC地址漂移后就会进行配置动作(关闭接口),配置动作完成后终端就能连通server

下面可以看到接口已经关闭

[LSW2]dis mac-address flapping record //查看mac地址漂移日志

由网络攻击引起的MAC地址漂移

在配置上与上面的配置差不多,只是不需要关闭stp,且要将两个终端的MAC地址改为一样的

其中一个是伪装的攻击者

LSW5命令

[LSW5-GigabitEthernet0/0/1]mac-learning priority 3

LSW6命令

[LSW6]mac-address flapping detection

[LSW6]mac-address flapping aging-time 60

[LSW6]int g0/0/2

[LSW6-GigabitEthernet0/0/2]mac-address flapping trigger error-down

[LSW6-GigabitEthernet0/0/2]int g0/0/3

[LSW6-GigabitEthernet0/0/3]mac-address flapping trigger error-down

[LSW6]error-down auto-recovery cause mac-address-flapping interval 60

测试

与上面的实验一样也是终端去pingserver,不过在上面的实验是要设备之间能够连通,这个实验是要攻击者ping不到server

当交换机检测到MAC地址漂移后启用动作,PC4连通不了了

[LSW6]dis mac-address flapping record //查看mac地址漂移日志

至此,实验结束

五、总结

总的来说,MAC地址漂移是一种需要及时检测和处理的网络现象,它可能由多种因素引起,对网络的稳定性和性能产生负面影响。通过配置MAC地址漂移检测功能、查看告警信息、分析漂移记录以及采取适当的防止措施,可以有效地管理和解决MAC地址漂移问题。

相关推荐
minos.cpp2 分钟前
Mac上Stable Diffusion的环境搭建(还算比较简单)
macos·ai作画·stable diffusion·aigc
SONG_YIH17 分钟前
5G -- 网络安全
网络·5g·移动通信
toto4126 小时前
线程安全与线程不安全
java·开发语言·安全
maimang099 小时前
关于UDP缓冲区和丢包统计
网络
tjjingpan9 小时前
HCIA-Access V2.5_4_2_静态路由介绍
网络
CESS_Cloud9 小时前
CESS 出席华盛顿区块链政策峰会:参与国家安全与数据隐私保护专题讨论
安全·阿里云·web3·去中心化·区块链
这题怎么做?!?10 小时前
ARP协议及其具体过程
运维·服务器·网络
无线认证x英利检测10 小时前
进网许可认证、交换路由设备检测项目更新25年1月起
网络·智能路由器
卡卡大怪兽11 小时前
fastAPI接口的请求与响应——基础
服务器·网络·fastapi
昌sit!11 小时前
监控IP频繁登录服务器脚本
服务器·网络·tcp/ip