文档介绍：Cisco交换机上防范ARP欺骗和二层攻击人为实施通常是指使用一些黑客的工具对网络进行扫描和嗅探,获取管理帐户和相关密码,在网络上中安插木马,从而进行进一步窃取机密文件。攻击和欺骗过程往往比较隐蔽和安静,但对于信息安全要求高的企业危害是极大的。而来自木马或者病毒及蠕虫的攻击和往往会偏离攻击和欺骗本身的目的,现象有时非常直接,会带来网络流量加大、设备CPU利用率过高、二层生成树环路直至网络瘫痪。目前这类攻击和欺骗工具已经非常成熟和易用,而目前企业在部署这方面的防范还存在很多不足,有很多工作要做。思科针对这类攻击已有较为成熟的解决方案,主要基于下面的几个关键的技术:?PortSecurityfeature?DHCPSnooping?DynamicARPInspection(DAI)?IPSourceGuard下面部分主要针对目前非常典型的二层攻击和欺骗说明如何在思科交换机上组合运用和部署上述技术,从而实现防止在交换环境中实施“中间人”攻击、MAC/CAM攻击、DHCP攻击、地址欺骗等,更具意义的是通过上面技术的部署可以简化地址管理,直接跟踪用户IP和对应的交换机端口;防止IP地址冲突。同时对于大多数对二层网络造成很大危害的具有地址扫描、欺骗等特征的病毒可以有效的报警和隔离。1MAC/,并建立和维护端口和MAC地址的对应表以此建立交换路径,这个表就是通常我们所说的CAM表。CAM表的大小是固定的,不同的交换机的CAM表大小不同。MAC/CAM攻击是指利用工具产生欺骗MAC,快速填满CAM表,交换机CAM表被填满后,交换机以广播方式处理通过交换机的报文,这时攻击者可以利用各种嗅探攻击获取网络信息。CAM表满了后,流量以洪泛方式发送到所有接口,也就代表TRUNK接口上的流量也会发给所有接口和邻接交换机,会造成交换机负载过大,网络缓慢和丢包甚至瘫痪。,构造假目标MAC来填满交换机CAM表。其特征如下图所示:。通过配置PortSecurity可以控制:?端口上最大可以通过的MAC地址数量?端口上学习或通过哪些MAC地址?对于超过规定数量的MAC处理进行违背处理端口上学习或通过哪些MAC地址,可以通过静态手工定义,也可以在交换机自动学习。交换机动态学习端口MAC,直到指定的MAC地址数量,交换机关机后重新学习。目前较新的技术是StickyPortSecurity,交换机将学到的mac地址写到端口配置中,交换机重启后配置仍然存在。对于超过规定数量的MAC处理进行处理一般有三种方式(针对交换机型号会有所不同):?Shutdown。这种方式保护能力最强,但是对于一些情况可能会为管理带来麻烦,如某台设备中了病毒,病毒间断性伪造源MAC在网络中发送报文。?Protect。丢弃非法流量,不报警。?Restrict。丢弃非法流量,报警,对比上面会是交换机CPU利用率上升但是不影响交换机的正常使用。推荐使用这种方式。-security配置选项:Switch(config-if)#switchportport-security?agingPort-mandsmac-addressSecuremacaddressmaximumMaxsecureaddressesviolationSecurityviolationmode配置port-security最大mac数目,违背处理方式,恢复方法Cat4507(config)#3/48Cat4507(config-if)#switchportport-securityCat4507(config-if)#switchportport-securitymaximum2Cat4507(config-if)#switchportport-securityviolationshutdownCat4507(config)#errdisablerecoverycausepsecure-violationCat4507(config)#errdisablerecoveryinterval30通过配置stickyport-3/essswitchportport-securityswitchportport-securitymaximum5switchportport-securitymac-addressstickyswitchportport-securitymac-addresssticky