▏埠安全
mac泛洪攻擊利用了交換機的mac學習機制,攻擊者通過傳送偽造源位址的資料報,讓交換機學習到錯誤的mac**表項,同時交換機的mac**表項就會被這種虛假的資訊佔滿,導致正常的資料報**時,匹配不到**表項而泛洪到vlan內的所有其它埠,這樣就可以實現報文監聽了。
1、交換機的mac學習機制
2、mac表項的數目限制
3、交換機的**機制
mac泛洪攻擊的預防
1、配置靜態mac**表
2、配置埠的mac學習數目限制
[switcha]vlan 80
[switcha-vlan80]mac-address learning disable #關閉mac位址學習功能
[switcha-vlan80]mac-limit maximum 80 #限制介面的mac位址學習數
[switcha-vlan80]mac-limit alarm enable #mac位址數達到限制後進行告警
[switcha-vlan80] loop-detect eth-loop block-mac block-time 6000 retry-times 5#配置mac位址漂移檢測功能
[switcha]display mac-limit #檢視mac位址學習數限制資訊
[routerc-ethernet0/0/1] quit
[switcha]undo mac-address #清除所有mac位址表項
[switcha]mac-address static 0002-0002-0002 ethernet2/0/1 vlan 2 #靜態繫結mac位址
[switcha]mac-address blackhole 0005-0005-0005 vlan 3 #配置黑洞mac位址表項
[switcha]display mac-address blackhole #檢視黑洞mac表是否新增成功
[switcha]display system-mac #檢視系統的mac位址
▏埠安全配置步驟
埠安全配置:(基於源mac允許流量)
inte***ce f0/0 先關閉埠再配置安全資訊
switchport mode access 啟用埠安全時,必須先設為access
switchport port-security 啟用埠安全(預設只能學1個mac)
switchport port-security mac-address ***x.***x.***x 埠授權的mac位址
switchport port-security maximum 3 指定最多允許學多少個位址
switchport port-security mac-address sticky 將動態學到的位址粘住,永久使用
switchport protected 埠隔離(protected之間不能互訪、可以與其他埠訪問)
switchport block unicast 禁止單播(埠安全優化)
switchport port-security violation [protect|restrict|shutdown] 指定行為
proctect #當超過所允許學習的最大mac數時,將未授權主機的幀丟棄drop,但不會通知有流量違規
restric#禁止不合法的mac位址流量,但會通知,傳送snmp trap,並會記錄syslog
shutdown#預設模式,收到不合法的mac位址,將介面變成error-disable並關閉,並傳送snmp trap,並會記錄syslog
show port-security 檢視埠安全狀態,哪些介面應用了埠安全
show port-security address 可以看到授權的mac位址
show port-security inte***ce f0/1 可以看到介面的具體狀態
讓err-disable介面自動恢復
errdisable recovery cause psecure-violation
show errdisable
mac-address-table static ***x.***x.***x vlan 1 drop #基於源mac限制流量,拒絕某個vlan的某個mac位址
show mac-address-table檢視命令
同台交換機上protected port與protected port之間的流量相互被拒絕,只針對同一vlan,不同交換機是可以通訊的
注:埠安全不能在dynamic介面上配置
埠安全不能是span的目標介面,不能在etherchannel中
檢視埠 Linux如何檢視埠狀態
netstat命令各個引數說明如下 t 指明顯示tcp埠 u 指明顯示udp埠 l 僅顯示監聽套接字 所謂套接字就是使應用程式能夠讀寫與收發通訊協議 protocol 與資料的程式 p 顯示程序識別符號和程式名稱,每乙個套接字 埠都屬於乙個程式。n 不進行dns輪詢,顯示ip 可以加速操作 即可顯示...
Linux檢視埠使用狀態 關閉埠
1.可以通過 netstat anp 來檢視哪些埠被開啟。注 加引數 n 會將應用程式轉為埠顯示,即數字格式的位址,如 nfs 2049,ftp 21,因此可以開啟兩個終端,一一對應一下程式所對應的埠號 2.然後可以通過 lsof i port 檢視應用該埠的程式 port指對應的埠號 或者你也可以...
端通過 與裝置端通訊
adb 全稱android debug bridge,是android sdk裡的乙個工具,用這個工具可以直接操作管理android模擬器或者真實的andriod裝置 如g1手機 它的主要功能有 一 adb client 及 adb server 上圖開啟了兩個adb client,乙個adb se...