2-wireshark網絡安全分析——MAC地址泛洪攻擊

目錄

1. MAC地址泛洪實驗

2. 驗證交換機泛洪

3. wireshark分析MAC地址泛洪

4. 如何防禦

---

 

關於交換機原理的參考文章：

18-交換技術——交換機基礎

22-交換技術——企業網絡和二層環路

 

 

據瞭解，目前網絡安全問題有80%是來自於“內部網絡”，黑客的攻擊目標從單一的計算機轉變到了網絡結構和設計上了。交換機作爲網絡通信中重要的網絡設備，其安全防護措施相對於其他網絡設備較差，導致容易成爲黑客的攻擊目標，本篇我們主要了解交換機的一些常見攻擊方式和防禦。

 

 

1. MAC地址泛洪實驗

 

實驗目的：通過實踐的方式瞭解一些常見的網絡安全問題，同時加深理解交換機的工作原理。

學習思科交換機的時候我們知道，交換機裏有一張mac地址表用於存儲學習到的mac地址信息，mac地址表的大小也是有限制的，如果有惡意攻擊者利用交換機學習mac地址的功能，不斷的僞造新的源mac地址發起攻擊，使得交換機的mac地址表存滿溢出，大大降低交換機處理數據流量的性能，嚴重的可能導致交換機崩潰重啓。

 

 

實驗開始之前，先測試實驗環境網絡連通性：

 

 

Cloud用於模擬攻擊者進行MAC地址泛洪，實驗如下：

執行macof -i eth0命令進行mac地址泛洪，-i選項用於指定網卡信息。如果你不知道自己的網卡是多少的話，可以通過ifconfig命令來查看當前網卡信息。

 

 

dis mac-address命令查看交換機的MAC地址表信息：

從以上信息來看，交換機的mac地址表中被攻擊者僞造的源mac地址表填充滿溢出了，使交換機的性能嚴重下降。

 

 

再次測試網絡連通性：

測試結果可以看到PC1和PC2之間無法通信，mac地址泛洪導致交換機的mac地址表被填滿，使得該局域網下正常的網絡通信無法進行。

 

原因在於：攻擊者通過僞造大量的源MAC地址迅速使交換機的MAC地址表空間耗盡，PC1和PC2正常的通信時交換機發送的是廣播包，爲什麼此時交換機發送廣播包？因爲此時交換機的MAC地址表被僞造的MAC地址佔滿，原先PC1和PC2主機的MAC地址被“擠掉”了，當交換機收到PC1的ping包查找自己的mac地址表沒有找到對應的目標MAC地址信息，根據交換機轉發原則就執行泛洪操作。

 

2. 驗證交換機泛洪

 

現在交換機的mac地址表被填滿了，在e0/0/3端口進行抓包：

 

 

PC1ping PC2，wireshark的過濾器中過濾icmp包：

由於交換機的mac地址被填滿了，此時PC1 ping PC2發送的icmp請求包被交換機泛洪（廣播）出去了，因此在交換機的e0/0/3端口也能抓取到icmp請求包，實驗完成。

 

這裏留一個思考題：爲什麼icmp的響應包交換機沒有泛洪出去？

 

3. wireshark分析MAC地址泛洪

 

接下來通過wireshark網絡分析工具對MAC地址泛洪實驗的數據包進行分析：

wireshark總共捕獲到了15444個數據分組，除了有小部分STP，NTP協議數據包，大部分都是網絡層的IPv4數據包，這些IP包毫無規律可言，並且有大量的源和目的IP，mac地址都不在該局域網下。

 

點擊wireshark的統計----->捕獲文件屬性，進一步分析捕獲文件：

在捕獲文件的時間屬性中可以看到第一個分組和最後一個分組的時間，總共是1分49秒。統計屬性中記錄了總共捕獲的分組數量，大小等各種信息，文件註釋屬性描述了捕獲文件的內容信息。

 

 

接下來點擊wireshark的統計----->協議分級，分析捕獲文件中各種協議類型：

經常用wireshark分析網絡流量的同學知道，通常一個正常的局域網絡中會有各種udp，tcp，http等常見協議類型的流量，但從協議分級統計中可以看到IPv4協議的數據包占了多數，佔例高達99%。這些流量是有異常的。

 

 

爲了進一步驗證我們的懷疑，點擊wireshark的統計---->會話，分析這些異常的流量是從哪裏來的，目的又是哪裏：

Wireshark顯示的15000多個會話中，每一個會話的源和目的都是不同的地址，並且每個會話都只有一個數據包，Bytes字段中顯示的每個IP數據包的大小都是60字節，解析地址名稱中這些都是不同的設備。正常的局域網絡中每一個會話不會都是隻有一個數據包，數據包大小几乎一樣，也不會出現這麼多臺來路不明的設備。

 

這些“來路不明”的數據包並不在當前的網絡中，因此我們可以確定這些異常的數據包是網絡攻擊僞造出來的，無法通過源mac和目的mac定位攻擊者的位置，但是可以通過查看交換機的mac地址表中這些來路不明的mac地址對應的端口號，該端口號連接的對面就是進行攻擊的設備。

 

4. 如何防禦

雖然攻擊者僞造大量數據包攻擊交換機導致mac地址表被佔滿，但是可以通過端口安全技術來防禦MAC地址泛洪攻擊。即在交換機的每一個端口上限制mac地址的數量，前面實驗中攻擊者是通過e0/0/3端口發起攻擊的，那麼我們可以在交換機的e0/0/3端口進行如下相關配置：

[Huawei-Ethernet0/0/3] port-security enable 
[Huawei-Ethernet0/0/3] port-security mac-address sticky 
[Huawei-Ethernet0/0/3] port-security protect-action protect 
[Huawei-Ethernet0/0/3] port-security max-mac-num 10

 

 

端口安全技術具體可參考文章：28-交換技術——DHCP部署和端口安全