什么是MAC地址泛洪
发布网友
发布时间:2022-04-19 17:05
我来回答
共3个回答
热心网友
时间:2023-06-29 17:29
MAC地址泛洪水也称为ARP泛洪攻击,RP泛洪攻击,也叫拒绝服务攻击DoS(Denial of Service)
主要存在这样两种场景:
1、设备处理ARP报文和维护ARP表项都需要消耗系统资源,同时为了满足ARP表项查询效率的要求,一般设备 都会对ARP表项规模有规格*。
攻击者就利用这一点,通过伪造大量源IP地址变化的ARP报文,使得设备ARP表资源被无效的ARP条目耗尽,合法用户的ARP报文不能继续生成ARP条目,导致正常通信中断。
2、攻击者利用工具扫描本网段主机或者进行跨网段扫描时,会向设备发送大量目标IP地址不能解析的IP报文, 导致设备触发大量ARP Miss消息,生成并下发大量临时ARP表项,并广播大量ARP请求报文以对目标IP地址进行解析,从而造成CPU(Central Processing Unit)负荷过重。
防止MAC泛洪方法
1、配置ARP报文限速功能
1.1、配置根据源MAC地址的ARP限速
可以在网关设备上配置设备根据源MAC地址进行ARP报文限速。设备会对上送CPU的ARP报文根据源MAC地址进行统计,如果在1秒内收到的同一个源MAC地址的ARP报文超过设定阈值(ARP报文限速值),设备则丢弃超出阈值部分的ARP报文。
1.2、配置基于源IP的arp报文限速
可以在网关设备上配置设备根据源IP地址进行ARP报文限速。设备会对上送CPU的ARP报文根据源IP地址进行统计,如果在1秒内收到的同一个源IP地址的ARP报文超过设定阈值(ARP报文限速值),设备则丢弃超出阈值部分的ARP报文。
当同一个源IP地址的ARP报文速率超过30pps时,如果是在网关请求同网段内很多个用户MAC地址的场景下,则需要增大设备的ARP报文源IP地址抑制速率值,否则超过30pps的ARP报文将被丢弃,会造成网关学习ARP很慢;
如果是在ARP扫描攻击的场景下,则需要减小设备的ARP报文源IP地址抑制速率值。
1.3、配置基于全局、vlan、接口的ARP报文限速
建议在网关设备上进行如下配置。
当接入设备上部署了MFF功能时,为了避免MFF模块处理过多的过路ARP报文(即ARP报文的目的IP地址不是该报文接收接口的IP地址)导致CPU负荷过重,则可以在接入设备上部署针对全局、VLAN和接口的ARP报文限速功能。
1.4、配置针对Super VLAN的VLANIF接口的ARP报文限速
以下两种情况会触发Super VLAN的VLANIF接口进行ARP学习:
VLANIF接口接收到触发ARP Miss消息的IP报文
VLANIF接口上启用ARP代理功能之后,设备接收到目的IP符合代理条件且该IP对应的ARP条目不存在的ARP请求报文
Super VLAN的VLANIF接口进行ARP学习时会将ARP请求报文在每个Sub VLAN下复制,如果该Super VLAN下配置了大量Sub VLAN,那么设备将产生大量的ARP请求报文。
为了避免CPU因复制、发送大量ARP请求报文而负担过重,设备支持Super VLAN的VLANIF接口下的ARP报文限速功能,以对该场景下设备发送的ARP请求报文进行流量控制。
当设备CPU较为繁忙时,可适当调小ARP请求报文的广播发送*速率;当设备CPU较为空闲时,且希望能够快速广播ARP请求报文,则可以适当调大该速率。请根据设备实际状况和实际网络环境进行调整。
这里有几篇MAC泛洪详细文章www.023wg.com/sort/arp你可以参考
热心网友
时间:2023-06-29 17:30
MAC(Media Access Control, 介质访问控制)MAC地址是烧录在Network Interface Card(网卡,NIC)里的.MAC地址,也叫硬件地址,是由48比特长(6字节),16进制的数字组成.0-23位叫做组织唯一标志符(organizationally unique ,是识别LAN(局域网)节点的标识.24-47位是由厂家自己分配。其中第40位是组播地址标志位。网卡的物理地址通常是由网卡生产厂家烧入网卡的EPROM(一种闪存芯片,通常可以通过程序擦写),它存储的是传输数据时真正赖以标识发出数据的电脑和接收数据的主机的地址。
也就是说,在网络底层的物理传输过程中,是通过物理地址来识别主机的,它一般也是全球唯一的。比如,著名的以太网卡,其物理地址是48bit(比特位)的整数,如:44-45-53-54-00-00,以机器可读的方式存入主机接口中。以太网地址管理机构(除了管这个外还管别的)(IEEE)(IEEEE:电气和电子工程师协会)将以太网地址,也就是48比特的不同组合,分为若干独立的连续地址组,生产以太网网卡的厂家就购买其中一组,具体生产时,逐个将唯一地址赋予以太网卡。
形象的说,MAC地址就如同我们身份证上的身份证号码,具有全球唯一性。
泛洪(flooding) 交换机和网桥使用的一种数据流传递技术,将某个接口收到的数据流从除该接口之外的所有接口发送出去。
SYN泛洪攻击。SYN攻击利用的是TCP的三次握手机制,攻击端利用伪造的IP地址向被攻击端发出请求,而被攻击端发出的响应报文将永远发送不到目的地,那么被攻击端在等待关闭这个连接的过程中消耗了资源,如果有成千上万的这种连接,主机资源将被耗尽,从而达到攻击的目的。我们可以利用路由器的TCP拦截功能,使网络上的主机受到保护(以Cisco路由器为例)。
DHCP报文泛洪攻击
DHCP报文泛洪攻击是指:恶意用户利用工具伪造大量DHCP报文发送到服务器,一方面恶意耗尽了IP资源,使得合法用户无法获得IP资源;另一方面,如果交换机上开启了DHCP Snooping功能,会将接收到的DHCP报文上送到CPU。因此大量的DHCP报文攻击设备会使DHCP服务器高负荷运行,甚至会导致设备瘫痪。
ARP报文泛洪攻击
ARP报文泛洪类似DHCP泛洪,同样是恶意用户发出大量的ARP报文,造成L3设备的ARP表项溢出,影响正常用户的转发。
热心网友
时间:2023-06-29 17:30
maC泛洪是什么意思