mac地址泛洪攻击软件,macport攻击

作者:hacker 分类:网站入侵 时间:2022-08-03 22:00:20 浏览:111

内容导读:导航目录:1、MAC地址攻击2、如何避免MAC地址表被填充满?3、什么是MAC地址泛洪4、什么是洪水攻击?怎样进行洪水攻击MAC地址攻击下载ZoneAlarm防火墙,杜绝***攻击,是破解版的,可以升级。用它可...……

导航目录:

MAC地址攻击

下载ZoneAlarm防火墙,杜绝 *** 攻击,是破解版的,可以升级。用它可以隐藏ip地址,对方发现不了你。

ZoneAlarm来保护你的电脑,防止Trojan(特洛伊木马)程序,Trojan也是一种极为可怕的程序。ZoneAlarm可以帮你执行这项重大任务喔。而且还是免费的。使用很简单,你只要在安装时填入你的资料,如有最新的ZoneAlarm,你就可以免费网上更新。安装完后从新开机,ZoneAlarm就会自动启动,帮你执行任务。当有程序想要存取Internet时,如 *** 浏览器可能会出现连不上 *** ,这时你可以在右下角ZoneAlarm的小图示上按两下鼠标左键,选取Programs的选项,勾选你要让哪些软件上网,哪些不可以上网,利用此种 *** 来防治一些来路不明的软件偷偷上网。更好的 *** 是锁住(Lock) *** 不让任何程序通过,只有你核准的软件才可以通行无阻。你还可利用它来看看你开机后已经使用多少 *** 资源,也可以设定锁定 *** 的时间。这么好用的软件你一定要亲自使用才能感觉到它的威力。

如何避免MAC地址表被填充满?

MAC地址表的泛洪攻击

黑客在PC上利用工具伪造大量的无效源MAC地址向交换机泛洪,交换机进行不断的学习,从而交换机MAC地址列表(也叫做CAM列表)被填满

当交换机的MAC地址表被填满后,这样正常的主机的MAC地址在经过老化之后,就无法再添加到MAC地址表中,导致之后的数据都变成了广播

交换机此时就像一个集线器,收到的流量数据帧会被泛洪到所有端口

此时黑客就能监听PC泛洪的流量,达到收集流量样本或者为了发起DOS(拒绝服务)攻击。

Port-Security:在交换机的Access接口开启

设置白名单地址:在一个接入接口上限制学习到的MAC地址数量的上限,同时接口也会缓存之前学习到PC的MAC地址并加入白名单;当该接口学习到的MAC地址超过上限时,交换机就会将该地址加入黑名单并开启惩罚机制,主要有三种:

1、shutdown:是默认处理方式;将接口置为error-disable状态,相当于关闭端口,同时交换机会提示日志。

若端口进入error-disable状态时,默认情况下不会自动恢复,恢复的 *** 有:

手动恢复,进入该端口,先shutdown端口,然后再no shutdown端口,即可恢复为正常状态。

自动恢复,设置error-disable计时器,端口进入error-disable状态时开始计时,计时器超出后端口状态自动恢复。

2、restrict:将违规的MAC地址的分组丢弃,但端口处于UP状态,交换机记录违规分组(相当于计入征信);同时交换机会提示日志。

3、protect:将违规的MAC地址的分组丢弃,但端口处于UP状态,交换机不记录违规分组,交换机也不会提示日志。

如果有非管理员使用电脑连接到交换机的接入接口,然后通过老化MAC地址表项连接上网,登录到交换机修改或者删除某些配置;为提高交换机的管理安全:

配置静态绑定的MAC地址:手工在接口配置静态的MAC地址并加入白名单。

如果所在企业的 *** 规模非常的大,我们手动去绑定地址的办法就有点不太现实了,所以说,这个时候我们需要用到端口安全的sticky(粘连)特性,sticky特性能动态的将交换机接口学习到的MAC加入到运行配置中,形成绑定关系。

什么是MAC地址泛洪

MAC地址泛洪水也称为ARP泛洪攻击,RP泛洪攻击,也叫拒绝服务攻击DoS(Denial of Service)

主要存在这样两种场景:

1、设备处理ARP报文和维护ARP表项都需要消耗系统资源,同时为了满足ARP表项查询效率的要求,一般设备 都会对ARP表项规模有规格限制。

攻击者就利用这一点,通过伪造大量源IP地址变化的ARP报文,使得设备ARP表资源被无效的ARP条目耗尽,合法用户的ARP报文不能继续生成ARP条目,导致正常通信中断。

2、攻击者利用工具扫描本网段主机或者进行跨网段扫描时,会向设备发送大量目标IP地址不能解析的IP报文, 导致设备触发大量ARP Miss消息,生成并下发大量临时ARP表项,并广播大量ARP请求报文以对目标IP地址进行解析,从而造成CPU(Central Processing Unit)负荷过重。

防止MAC泛洪 ***

1、配置ARP报文限速功能

1.1、配置根据源MAC地址的ARP限速

可以在网关设备上配置设备根据源MAC地址进行ARP报文限速。设备会对上送CPU的ARP报文根据源MAC地址进行统计,如果在1秒内收到的同一个源MAC地址的ARP报文超过设定阈值(ARP报文限速值),设备则丢弃超出阈值部分的ARP报文。

1.2、配置基于源IP的arp报文限速

可以在网关设备上配置设备根据源IP地址进行ARP报文限速。设备会对上送CPU的ARP报文根据源IP地址进行统计,如果在1秒内收到的同一个源IP地址的ARP报文超过设定阈值(ARP报文限速值),设备则丢弃超出阈值部分的ARP报文。

当同一个源IP地址的ARP报文速率超过30pps时,如果是在网关请求同网段内很多个用户MAC地址的场景下,则需要增大设备的ARP报文源IP地址抑制速率值,否则超过30pps的ARP报文将被丢弃,会造成网关学习ARP很慢;

如果是在ARP扫描攻击的场景下,则需要减小设备的ARP报文源IP地址抑制速率值。

1.3、配置基于全局、vlan、接口的ARP报文限速

建议在网关设备上进行如下配置。

当接入设备上部署了MFF功能时,为了避免MFF模块处理过多的过路ARP报文(即ARP报文的目的IP地址不是该报文接收接口的IP地址)导致CPU负荷过重,则可以在接入设备上部署针对全局、VLAN和接口的ARP报文限速功能。

1.4、配置针对Super VLAN的VLANIF接口的ARP报文限速

以下两种情况会触发Super VLAN的VLANIF接口进行ARP学习:

VLANIF接口接收到触发ARP Miss消息的IP报文

VLANIF接口上启用ARP *** 功能之后,设备接收到目的IP符合 *** 条件且该IP对应的ARP条目不存在的ARP请求报文

Super VLAN的VLANIF接口进行ARP学习时会将ARP请求报文在每个Sub VLAN下复制,如果该Super VLAN下配置了大量Sub VLAN,那么设备将产生大量的ARP请求报文。

为了避免CPU因复制、发送大量ARP请求报文而负担过重,设备支持Super VLAN的VLANIF接口下的ARP报文限速功能,以对该场景下设备发送的ARP请求报文进行流量控制。

当设备CPU较为繁忙时,可适当调小ARP请求报文的广播发送限制速率;当设备CPU较为空闲时,且希望能够快速广播ARP请求报文,则可以适当调大该速率。请根据设备实际状况和实际 *** 环境进行调整。

这里有几篇MAC泛洪详细文章你可以参考

 

什么是洪水攻击?怎样进行洪水攻击

bixiaoxue先生解释得有些片面,DDOS只是洪水攻击的一个种类。其实还有其它种类的洪水攻击。

从定义上说,攻击者对 *** 资源发送过量数据时就发生了洪水攻击,这个 *** 资源可以是router,switch,host,application等。常见的洪水攻击包含MAC泛洪, *** 泛洪,TCP SYN泛洪和应用程序泛洪。接下来简单的分别解释一下以上这些:

MAC泛洪发生在OSI第二层,攻击者进入LAN内,将假冒源MAC地址和目的MAC地址将数据帧发送到以太网上导致交换机的内容可寻址存储器(CAM)满掉,然后交换机失去转发功能,导致攻击者可以像在共享式以太网上对某些帧进行嗅探,这种攻击可以通过端口安全技术方式,比如端口和MAC地址绑定。

*** 泛洪包括Smurf和DDos:

*** urf发生在OSI第三层,就是假冒ICMP广播ping,如果路由器没有关闭定向广播,那攻击者就可以在某个 *** 内对其它 *** 发送定向广播ping,那个 *** 中的主机越是多,造成的结果越是严重,因为每个主机默认都会响应这个ping,导致链路流量过大而拒绝服务,所以属于增幅泛洪攻击,当然也可以对本 *** 发送广播ping。

DDos发生在OSI第三、四层,攻击侵入许多因特网上的系统,将DDos控制软件安装进去,然后这些系统再去感染其它系统,通过这些 *** ,攻击者将攻击指令发送给DDos控制软件,然后这个系统就去控制下面的 *** 系统去对某个IP地址发送大量假冒的 *** 流量,然后受攻击者的 *** 将被这些假的流量所占据就无法为他们的正常用户提供服务了。

TCP SYN泛洪发生在OSI第四层,这种方式利用TCP协议的特性,就是三次握手。攻击者发送TCP SYN,SYN是TCP三次握手中的之一个数据包,而当服务器返回ACK后,改攻击者就不对之进行再确认,那这个TCP连接就处于挂起状态,也就是所谓的半连接状态,服务器收不到再确认的话,还会重复发送ACK给攻击者。这样更加会浪费服务器的资源。攻击者就对服务器发送非常大量的这种TCP连接,由于每一个都没法完成三次握手,所以在服务器上,这些TCP连接会因为挂起状态而消耗CPU和内存,最后服务器可能死机,就无法为正常用户提供服务了。

最后应用程序泛洪发生在OSI第七层,目的是消耗应用程序或系统资源,比较常见的应用程序泛洪是什么呢?没错,就是垃圾邮件,但一般无法产生严重的结果。其它类型的应用程序泛洪可能是在服务器上持续运行高CPU消耗的程序或者用持续不断的认证请求对服务器进行泛洪攻击,意思就是当TCP连接完成后,在服务器提示输入密码的时候停止响应。

对于大部分的攻击都能通过IDS来防御或日志分析来判断,可以检查相关的资料