看看,这样是不是就解决了我们手工去绑定MAC地址那些烦琐的事件了。这样是不是给我们减轻了很大的工作量。
下面这条命令是查看端口安全的,以及每一个端口
从上面我们可以看出FA0/1端口有3条违反我们策略的。指行的是Restrict。而Fa0/2没有违反我们的策略,如果说现有呢就执
以上就是我们基于MAC地址的限制。我想这个功能对于大家在实际工程中应用的还是比较广泛。我们用来做端口安全的还有一种方而这里使用这个软件不能做基于交换机的802.1x认证。那么那天用到真机以后我再将这方面的内容发送出来!
这里只是解决了Mac Flooding Attack现在由于时间太晚了,剩下的明天继续。
2.
MAC地址泛洪攻击
1,2层交换机是基于MAC地址去转发数据帧的。
2,转发过程中依靠对CAM表的查询来确定正确的转发接口。
3,一旦在查询过程中无法找到相关目的MAC对应的条目,此数据帧将作为广播帧来处理。
4,CAM表的容量有限,只能储存不多的条目,当CAM表记录的MAC地址达到上限后,新的条目将不会
添加到CAM表中。
基于以上原理,我们会发现一个非常有趣的现象。某台PC不断发送去往未知目的地的数据帧,且每个包
的源MAC地址都不同,当这样 的数据包发送的速度足够快之后,快到在刷新时间内将交换机的CAM表
迅速填满。CAM表被这些伪造的MAC地址占据,真实的MA C地址条目却无法进入CAM表。那么任何
一个经过交换机的正常单播数据帧都会以广播帧的形式来处理。如下图所示
上传的图像