mac欺骗	arp欺骗
smac：0.......A	我是10..1.1.1，我的mac地址是0.....C 谁是10..1.1.2，你的mac发给我
dmac：12个F
type：0x0806

现在sw上只能存放三个mac地址条目，而现在有了第四个，所以sw会把第一个mac地址条目删除，存放第四个条目：

————————————————————————————————————————————————————————

二、arp欺骗攻击（欺骗的是PC或者路由器）：

然后交换机发现arp请求中dMAC为12个F（二层广播）接着泛洪给pc2，而arp请求相信后到的，后来者居上，而原来的pc2收到的arp请求为：

10.1.1.1

0..........A

现在又收到另一个：

10.1.1.1

0..........C

由于arp请求是后来者居上，现在pc2要进行arp缓存表的更新，删除原来的：

现在pc2发送的所有数据包目的ip都为10.1.1.1，目的mac都为0.....C，当数据包到达交换机sw时，查询自己的mac地址表发现，0......C是连接在接口为F0/3下面的，所以pc2给pc1发送的所有数据，都会发送给了pc3，而pc3采用特定的技术就能把数据全部还原（数据加密除外）

0...........C

F0/3

vlan 10

—————————————————————————————————————————————————————————

三、 mac地址欺骗（欺骗交换机）：

假设arp请求之中只有mac地址的欺骗，没有arp的欺骗，那么原来pc2收到的arp不变即为：

10.1.1.1

0..........A

而当pc2发送的数据到达交换机时，查看自己的mac地址表发现目的mac地址：0......A是连接在F0/3接口下的，所以数据也会发给pc3，导致了数据的泄密和窃取。

一般情况下，mac地址的欺骗和arp的欺骗组合使用，共同欺骗交换机和PC，增加欺骗成功率。

————————————————————————————————————————————————————————

四、mac地址泛洪攻击与arp泛洪攻击：

当PC恶意大量产生以上没有价值的mac地址和arp时，就造成了mac地址的泛洪和arp的泛洪攻击，还会引发广播风暴。

—————————————————————————————————————————————————————————

五、如何防御：

1、手工绑定ARP表（防止arp的欺骗和泛洪攻击）--------->PC
2、静态MAC地址绑定：防御MAC欺骗和泛洪攻击---------->交换机

 sw(config)#mac-address-table static 0001.0001.0001 interface f0/2 vlan 10 ——手工绑定MAC地址

3、F0/3接口启用端口安全技术

——————————————————————————————————————————————————————————

六、端口安全

（1）不能启用端口安全的特列：

①trunk接口

因为一般情况下一个trunk接口学习到多个mac地址属于正常行为：列如下图核心交换机的F0/8接口

②连接AP的接口：

手机、PC、等上网终端通过AP上访问服务器，所以会在F0/4接口学习到多个mac地址，这是正常的连接，如果在F0/4启用端口安全的话，F0/4接口会立即shutdown，所以这些终端访问会全部中断。

AP（无线访问接入点(WirelessAccessPoint)）简介：

无线AP（Access Point）：即无线接入点，它用于无线网络的无线交换机，也是无线网络的核心。无线AP是移动计算机用户进入有线网络的接入点，主要用于宽带家庭、大楼内部以及园区内部，可以覆盖几十米至上百米。无线AP（又称会话点或存取桥接器）是一个包含很广的名称，它不仅包含单纯性无线接入点（无线AP），同样也是无线路由器（含无线网关、无线网桥）等类设备的统称。

AC（无线接入控制服务器）简介：

接入控制器(AC) 无线局域网接入控制设备，负责把来自不同AP的数据进行汇聚并接入Internet，同时完成AP设备的配置管理、无线用户的认证、管理及宽带访问、安全等控制功能。

——————————————————————————————————————————————————————————

（2）端口安全配置

①开启端口安全————


sw-3550(config)#int f0/1
sw-3550(config-if)#switchport mode access  //必须指定一个模式
sw-3550(config-if)#switchport port-security  //开启端口安全
sw-3550(config-if)#exit

开启端口安全默认行为：此接口只允许学习到1个MAC地址，如果违规则把此接口置为err-disable关闭状态，想要重新开启，必须进入接口 sh no sh

②可选配置命令（1）————


(config)#int f0/1   
(config-if)#switchport port-security maximum 1 可以允许此接口学习1个MAC
(config-if)#switchport port-security violation ?
  protect   Security violation protect mode  // 丢弃、告警，告警日志通过syslog产生的
  restrict   Security violation restrict mode  //无声丢弃
  shutdown  Security violation shutdown mode  //默认的违规行为err-disable
(config-if)#switchport port-security  //开启端口安全

③ 可选配置命令(2)————

端口安全下MAC地址绑定：配置这条命令先把端口关闭情况下配置


(config)#int f0/1
(config-if)#switchport port-security mac-address 0001.0001.0001
(config-if)#switchport port-security
强制指定此接口连接的PC的MAC地址为0001.0001.0001

注：只有特定的终端在指定的接口才能上网

④可选配置（3）————

把第一次动态学习的MAC地址做一个静态映射，做一个静态绑定，且没有老化时间概念，也就意味着这个接口以后只能连接特定PC，除非在交换机上面做相对应修改：


sw-3550(config)#in f0/1            
sw-3550(config-if)#switchport port-security mac-address sticky 
sw-3550(config-if)#switchport port-security 
sw-3550(config-if)#exit

大大地减少了工作量！！！（较优）

⑤老化时间的修改：


 (config-if)#switchport port-security aging time 2----修改动态学习到的mac地址表老化时间，仅针对动态学习到的MAC地址生效
 (config-if)#switchport port-security aging static---即能针对动态学习到的MAC地址生效也能针对纯静态绑定的MAC地址生效，如果超时，同时也会把接口下这些相关的配置也删除掉
           （switchport port-security mac-address 0001.0001.0001
             switchport port-security mac-address 0002.0002.0002
             switchport port-security mac-address 0003.0003.0003）
switchport port-security mac-address sticky---------把动态学习的MAC地址做一个静态映射，且没有老化时间概念，也就意味着这个接口以后只能连接特定PC，除非在交换机上面做相对应修改
 (通过show run 看到的：switchport port-security mac-address sticky 848f.69bf.2f42)

声明：本文内容由网友自发贡献，不代表【wpsshop博客】立场，版权归原作者所有，本站不承担相应法律责任。如您发现有侵权的内容，请联系我们。转载请注明出处：https://www.wpsshop.cn/w/正经夜光杯/article/detail/989822