以太网交换安全:MAC地址漂移与检测(实验:二层环路+网络攻击)

一、什么是MAC地址漂移?

MAC地址漂移是指网络中设备的MAC地址在运行过程中发生变化的现象

MAC地址是用于唯一标识网络中的设备。

MAC地址漂移是指交换机上一个VLAN内有两个端口学习到同一个MAC地址,后学习到的MAC地址表项覆盖原MAC地址表项的现象。

当一个MAC地址在两个端口之间频繁发生迁移时,即会产生MAC地址漂移现象:正常情况下,网络中不会在短时间内出现大量MAC地址漂移的情况。出现这种现象一般都意味着网络中存在环路,或者存在网络攻击行为。

二、MAC地址漂移如何防止?

如果是环路引发的MAC地址漂移,解决的方法是部署防环技术,如STP,消除二层环路,假如是网络攻击等其他因素引起的MAC地址漂移可以配置接口MAC地址的学习优先级和配置不允许相同优先级接口MAC地址漂移

(1)在默认时接口MAC地址学习的优先级均为0,数值越大优先级越高。当同一个MAC地址被两个个接口学习到后,接口MAC地址学习优先级高的会被保留,MAC地址学习优先级低的被覆盖。

(2)在配置不允许相同优先级接口MAC地址漂移时,如果安全网络设备下电,则交换机仍会学习到伪造网络设备的MAC地址,当网络设备再次上电时将无法学习到正确的MAC地址。因此该特性需谨慎使用,如果交换机的接口连接的网络设备是服务器,当服务器下电后,另外的接口学习到与服务器相同的MAC地址,当服务器再次上电后就不能学习到正确的MAC地址。

三、MAC地址漂移如何进行检测 ?

交换机支持MAC地址漂移检测机制,分为以下两种方式:

。基于VLAN的MAC地址漂移检测

。配置VLAN的MAC地址漂移检测功能可以检测指定VLAN下的所有的MAC地址是否发生漂移。。当MAC地址发生漂移后,可以配置指定的动作,例如告警、阻断接口或阻断MAC地址。全局MAC地址漂移检测

。该功能可以检测设备上的所有的MAC地址是否发生了漂移。

·若发生漂移,设备会上报告警到网管系统。

。用户也可以指定发生漂移后的处理动作,例如将接口关闭或退出VLAN。

四、实验

由环路引起的MAC地址漂移

由于华为交换机默认打开STP所以实验开始我们要用undo stp enable将交换机的STP关闭

LSW2和LSW4交换机都是一样的操作

实验配置

LSW1命令

[LSW1-GigabitEthernet0/0/2]mac-learning priority 3 //配置接口的优先级为3

LSW2命令

[LSW2]mac-address flapping detection

[LSW2]mac-address flapping aging-time 500

[LSW2int g0/0/2

[LSW2-GigabitEthernet0/0/2]mac-address flapping trigger error-down

//配置检测到mac地址漂移的动作为关闭接口

[LSW2]int g0/0/3

[LSW2-GigabitEthernet0/0/3]mac-address flapping trigger error-down

[LSW2]error-down auto-recovery cause mac-address-flapping interval 500

//自动恢复接口的时间为500秒

注:在教材中配置检测发生漂移动作的处理动作时这个action(有些交换机)没法使用,我们可以用trigger来代替它

测试

用终端去连通server,可以发现连不通,因为当前的网络处于二层环路状态,所以连不通。

当交换机检测到MAC地址漂移后就会进行配置动作(关闭接口),配置动作完成后终端就能连通server

下面可以看到接口已经关闭

[LSW2]dis mac-address flapping record //查看mac地址漂移日志

由网络攻击引起的MAC地址漂移

在配置上与上面的配置差不多,只是不需要关闭stp,且要将两个终端的MAC地址改为一样的

其中一个是伪装的攻击者

LSW5命令

[LSW5-GigabitEthernet0/0/1]mac-learning priority 3

LSW6命令

[LSW6]mac-address flapping detection

[LSW6]mac-address flapping aging-time 60

[LSW6]int g0/0/2

[LSW6-GigabitEthernet0/0/2]mac-address flapping trigger error-down

[LSW6-GigabitEthernet0/0/2]int g0/0/3

[LSW6-GigabitEthernet0/0/3]mac-address flapping trigger error-down

[LSW6]error-down auto-recovery cause mac-address-flapping interval 60

测试

与上面的实验一样也是终端去pingserver,不过在上面的实验是要设备之间能够连通,这个实验是要攻击者ping不到server

当交换机检测到MAC地址漂移后启用动作,PC4连通不了了

[LSW6]dis mac-address flapping record //查看mac地址漂移日志

至此,实验结束

五、总结

总的来说,MAC地址漂移是一种需要及时检测和处理的网络现象,它可能由多种因素引起,对网络的稳定性和性能产生负面影响。通过配置MAC地址漂移检测功能、查看告警信息、分析漂移记录以及采取适当的防止措施,可以有效地管理和解决MAC地址漂移问题。

相关推荐
dot.Net安全矩阵22 分钟前
.NET 通过模块和驱动收集本地EDR的工具
windows·安全·web安全·.net·交互
Hacker_Oldv1 小时前
网络安全的学习路线
学习·安全·web安全
黑客Ash1 小时前
计算机中的网络安全
网络·安全·web安全
PersistJiao1 小时前
Spark 分布式计算中网络传输和序列化的关系(二)
大数据·网络·spark·序列化·分布式计算
云卓SKYDROID1 小时前
无人机的激光雷达避障系统阐述!
科技·安全·无人机·云卓科技·激光雷达避障系统
岳不谢2 小时前
VPN技术-VPN简介学习笔记
网络·笔记·学习·华为
网安-轩逸2 小时前
网络安全、Web安全、渗透测试之笔经面经总结
安全·web安全
follycat2 小时前
信息收集--CDN绕过
网络·安全·网络安全
黑客Ela2 小时前
网络安全问题概述
安全·web安全·php
思通数科多模态大模型3 小时前
10大核心应用场景,解锁AI检测系统的智能安全之道
人工智能·深度学习·安全·目标检测·计算机视觉·自然语言处理·数据挖掘