科普一下：什么叫MAC地址表溢出，一分鐘了解一下

2021-03-07 分類：網站建設

前兩篇文章通過學習MAC地址的學習機制，我們已經知道交換機每收到一個報文，都會取出其源MAC地址，在MAC地址表中添加或者刷新表項。

這種正常的MAC地址學習流程，卻被黑客利用，變成交換機的一個漏洞。因為黑客可以發送成千上萬的源MAC地址變化的報文，把交換機的MAC地址表填滿，從而造成正常用戶之間通信的報文也以泛洪的形式來轉發，從而阻塞整個網絡。

下面我們還是以一個例子來闡述MAC地址表溢出攻擊和其防御手段。

拓撲

科普一下：什么叫MAC地址表溢出，一分鐘了解一下

拓撲圖

測試配置

PC的配置：PC1、PC2、PC3的配置都類似，以PC1為例,

科普一下：什么叫MAC地址表溢出，一分鐘了解一下

PC1配置

交換機配置：所有的PC在同一個VLAN里。

科普一下：什么叫MAC地址表溢出，一分鐘了解一下

交換機配置

測試過程

科普一下：什么叫MAC地址表溢出，一分鐘了解一下

攻擊者占滿MAC地址表

科普一下：什么叫MAC地址表溢出，一分鐘了解一下

PC2發送的報文

防御手段1：MAC地址老化

MAC地址老化是防止MAC地址表溢出的天然手段，不過它僅僅能用在正常使用的環境中，如果遇到有黑客攻擊的場景，功能非常有限。

因為黑客會持續不斷的發送報文，導致交換機也持續不斷的刷新MAC地址表，這樣交換機永遠沒有機會把正常PC的源MAC記錄在MAC地址表中。

防御手段2：限制MAC地址數量

MAC地址溢出攻擊非常容易判斷，當發現來自一個或者幾個端口的MAC地址把整個MAC地址表填滿之后，就可以判斷這是MAC地址表溢出攻擊了。

如下圖：打印MAC地址表出來以后，發現來自E0/1的MAC占據了所有的表項，

科普一下：什么叫MAC地址表溢出，一分鐘了解一下

E0/1接口的MAC太多

這時就可以采用限制MAC地址數量的方法來防止攻擊了。將大允許的MAC地址數量設置為2，超過的報文都丟棄，這樣就能讓交換機騰出表項，學習其它正常PC的MAC，配置如下圖所示：

科普一下：什么叫MAC地址表溢出，一分鐘了解一下

配置MAC地址限制

MAC地址表溢出是黑客利用交換機正常的MAC地址學習流程中的漏洞而所做的攻擊，它通過持續不斷的發送源MAC地址變化的報文，從而填滿并且一直占用所有的MAC地址表項而實現的。

對于MAC地址表溢出攻擊我們也要引起足夠的重視，不要說交換機性能足夠強悍，不用擔心這樣的攻擊。事實上如果不采取措施，沒有交換機能抵得住MAC地址泛洪攻擊，因為黑客發送上億個MAC地址變化的報文，也是輕而易舉的事情。

各位經過上面的描述，對于MAC地址表溢出攻擊已經了解了吧？

聲明：本網站發布的內容（圖片、視頻和文字）以用戶投稿、用戶轉載內容為主，如果涉及侵權請盡快告知，我們將會在第一時間刪除。文章觀點不代表本網站立場，如需處理請聯系客服。電話：028-86922220；郵箱：631063699@qq.com。內容未經允許不得轉載，或轉載時需注明來源：創新互聯

猜你還喜歡下面的內容

免费观看又色又爽又黄的小说免费_美女福利视频国产片_亚洲欧美精品_美国一级大黄大色毛片