交换机安全-MAC地址泛洪

交换机根据数据帧的源MAC 地址学习，目的MAC地址转发。由于交换机型号不同，MAC地址表中可容纳的MAC数量有也不同。但是在通常情况下，MAC地址表的容量是足够使用的。

如果有一台攻击主机，通过程序伪造大量包含随机MAC地址的数据帧发往交换机，有些攻击程序一分钟可以伪造几十万个MAC地址，而一般交换机的MAC地址表中的MAC地址表的容量也就几千条。当交换机受到了MAC地址泛洪攻击以后，那么MAC地址表中的MAC地址爆满，当交换机在收到数据帧后，不管是单播、组播还是广播，交换机不再学习MAC地址了，而是会和集线器一样广播。这时候如果我们使用如sniffer之类的网络流量捕获软件，并且加以分析，就可以达到窃听的目的了。

MAC地址表有一个老化时间，默认是5分钟，如果交换机在5分钟之内没有收到一个MAC地址条目的数据帧，那么交换机在MAC地址表中就会清除这些MAC地址，所以攻击主机要持续不断地进行MAC地址攻击。

针对MAC地址泛洪，可以配置交换机的端口安全。限制交换机每个端口可以学习的MAC地址数量，这样攻击主机即使伪造了很多的源MAC地址，交换机只学习有限的MAC地址。

如果有攻击电脑入侵，并且违反我们定下的规定，那么我们可以做如下三种操作：

1、  shutdown（关闭）：是默认的，关闭端口的同时，还发送日志消息，违反计数器加1,

2、  protect（保护）：交换机会违反的行为不支持，如不学习新MAC地址，但也不会关闭端口

3、restrict（约束）：和shutdown差不多，会发送日志，违反计数器值也会增加，但不关闭端口（这是我们通常选择的）

最近在回顾计算机网络的基础知识，有兴趣学习的同学，可以扫面下方二维码，或者搜索【资深无证 IT man】关注我的微信公众号，后续的学习将继续在微信公众号中更新。