问答文章1 问答文章501 问答文章1001 问答文章1501 问答文章2001 问答文章2501 问答文章3001 问答文章3501 问答文章4001 问答文章4501 问答文章5001 问答文章5501 问答文章6001 问答文章6501 问答文章7001 问答文章7501 问答文章8001 问答文章8501 问答文章9001 问答文章9501

什么是MAC地址泛洪

发布网友 发布时间:2022-04-19 17:05

我来回答

3个回答

热心网友 时间:2023-06-29 17:29

  MAC地址泛洪水也称为ARP泛洪攻击,RP泛洪攻击,也叫拒绝服务攻击DoS(Denial of Service)
  主要存在这样两种场景:
  1、设备处理ARP报文和维护ARP表项都需要消耗系统资源,同时为了满足ARP表项查询效率的要求,一般设备 都会对ARP表项规模有规格*。
  攻击者就利用这一点,通过伪造大量源IP地址变化的ARP报文,使得设备ARP表资源被无效的ARP条目耗尽,合法用户的ARP报文不能继续生成ARP条目,导致正常通信中断。
  2、攻击者利用工具扫描本网段主机或者进行跨网段扫描时,会向设备发送大量目标IP地址不能解析的IP报文, 导致设备触发大量ARP Miss消息,生成并下发大量临时ARP表项,并广播大量ARP请求报文以对目标IP地址进行解析,从而造成CPU(Central Processing Unit)负荷过重。

  防止MAC泛洪方法
  1、配置ARP报文限速功能
  1.1、配置根据源MAC地址的ARP限速
  可以在网关设备上配置设备根据源MAC地址进行ARP报文限速。设备会对上送CPU的ARP报文根据源MAC地址进行统计,如果在1秒内收到的同一个源MAC地址的ARP报文超过设定阈值(ARP报文限速值),设备则丢弃超出阈值部分的ARP报文。

  1.2、配置基于源IP的arp报文限速
  可以在网关设备上配置设备根据源IP地址进行ARP报文限速。设备会对上送CPU的ARP报文根据源IP地址进行统计,如果在1秒内收到的同一个源IP地址的ARP报文超过设定阈值(ARP报文限速值),设备则丢弃超出阈值部分的ARP报文。
  当同一个源IP地址的ARP报文速率超过30pps时,如果是在网关请求同网段内很多个用户MAC地址的场景下,则需要增大设备的ARP报文源IP地址抑制速率值,否则超过30pps的ARP报文将被丢弃,会造成网关学习ARP很慢;
  如果是在ARP扫描攻击的场景下,则需要减小设备的ARP报文源IP地址抑制速率值。

  1.3、配置基于全局、vlan、接口的ARP报文限速
  建议在网关设备上进行如下配置。
  当接入设备上部署了MFF功能时,为了避免MFF模块处理过多的过路ARP报文(即ARP报文的目的IP地址不是该报文接收接口的IP地址)导致CPU负荷过重,则可以在接入设备上部署针对全局、VLAN和接口的ARP报文限速功能。

  1.4、配置针对Super VLAN的VLANIF接口的ARP报文限速
  以下两种情况会触发Super VLAN的VLANIF接口进行ARP学习:
  VLANIF接口接收到触发ARP Miss消息的IP报文
  VLANIF接口上启用ARP代理功能之后,设备接收到目的IP符合代理条件且该IP对应的ARP条目不存在的ARP请求报文
  Super VLAN的VLANIF接口进行ARP学习时会将ARP请求报文在每个Sub VLAN下复制,如果该Super VLAN下配置了大量Sub VLAN,那么设备将产生大量的ARP请求报文。
  为了避免CPU因复制、发送大量ARP请求报文而负担过重,设备支持Super VLAN的VLANIF接口下的ARP报文限速功能,以对该场景下设备发送的ARP请求报文进行流量控制。
  当设备CPU较为繁忙时,可适当调小ARP请求报文的广播发送*速率;当设备CPU较为空闲时,且希望能够快速广播ARP请求报文,则可以适当调大该速率。请根据设备实际状况和实际网络环境进行调整。
这里有几篇MAC泛洪详细文章www.023wg.com/sort/arp你可以参考
 

热心网友 时间:2023-06-29 17:30

  MAC(Media Access Control, 介质访问控制)MAC地址是烧录在Network Interface Card(网卡,NIC)里的.MAC地址,也叫硬件地址,是由48比特长(6字节),16进制的数字组成.0-23位叫做组织唯一标志符(organizationally unique ,是识别LAN(局域网)节点的标识.24-47位是由厂家自己分配。其中第40位是组播地址标志位。网卡的物理地址通常是由网卡生产厂家烧入网卡的EPROM(一种闪存芯片,通常可以通过程序擦写),它存储的是传输数据时真正赖以标识发出数据的电脑和接收数据的主机的地址。
  也就是说,在网络底层的物理传输过程中,是通过物理地址来识别主机的,它一般也是全球唯一的。比如,著名的以太网卡,其物理地址是48bit(比特位)的整数,如:44-45-53-54-00-00,以机器可读的方式存入主机接口中。以太网地址管理机构(除了管这个外还管别的)(IEEE)(IEEEE:电气和电子工程师协会)将以太网地址,也就是48比特的不同组合,分为若干独立的连续地址组,生产以太网网卡的厂家就购买其中一组,具体生产时,逐个将唯一地址赋予以太网卡。
  形象的说,MAC地址就如同我们身份证上的身份证号码,具有全球唯一性。

  泛洪(flooding) 交换机和网桥使用的一种数据流传递技术,将某个接口收到的数据流从除该接口之外的所有接口发送出去。
  SYN泛洪攻击。SYN攻击利用的是TCP的三次握手机制,攻击端利用伪造的IP地址向被攻击端发出请求,而被攻击端发出的响应报文将永远发送不到目的地,那么被攻击端在等待关闭这个连接的过程中消耗了资源,如果有成千上万的这种连接,主机资源将被耗尽,从而达到攻击的目的。我们可以利用路由器的TCP拦截功能,使网络上的主机受到保护(以Cisco路由器为例)。
  DHCP报文泛洪攻击
  DHCP报文泛洪攻击是指:恶意用户利用工具伪造大量DHCP报文发送到服务器,一方面恶意耗尽了IP资源,使得合法用户无法获得IP资源;另一方面,如果交换机上开启了DHCP Snooping功能,会将接收到的DHCP报文上送到CPU。因此大量的DHCP报文攻击设备会使DHCP服务器高负荷运行,甚至会导致设备瘫痪。
  ARP报文泛洪攻击
  ARP报文泛洪类似DHCP泛洪,同样是恶意用户发出大量的ARP报文,造成L3设备的ARP表项溢出,影响正常用户的转发。

热心网友 时间:2023-06-29 17:30

maC泛洪是什么意思
声明声明:本网页内容为用户发布,旨在传播知识,不代表本网认同其观点,若有侵权等问题请及时与本网联系,我们将在第一时间删除处理。E-MAIL:11247931@qq.com
姐妹们,哥伦比亚的徒步鞋怎么样?下个月就要去吴越古道户外徒步旅行... 徒步装备选哪个牌子好 徒步小白上线!想问问大神们徒步鞋哥伦比亚户外活动性能如何?方便吗? 去医院怎么检查自己缺钙和缺维生素? 查缺钙做什么检查 骨骼缺钙怎么检查 检查缺钙查什么 joryaweekend是什么牌子 剪映在那里修改视频尺寸 剪映如何修改视频画面尺寸 修改视频画面尺寸方法分享 长度单位的换算。微米,纳米,毫米,厘米,分米,米之间。要具体。 长度单位换算表大全 steam异地登陆要多频繁会被封号? 短期内网络失败登录过多是什么鬼 steam频繁异地登陆会被停号?要多频繁才算 steam手机令牌短期内来自您网络的失败登录过多,请... steam的您的帐户恢复尝试次数已达上限.请稍后再试... steam短期内来自您网络的失败登录过多 steam无法登陆 steam短期内来自您的网络的失败登录过多,请稍后再... STEAM上登陆失败次数过多怎么解决,求大神 从来没登陆过,但显示steam短期失败登陆过多怎么办? steam显示短期来自您网络的失败登录次数过多,请稍... steam短期内来自您网络的失败登录太多,请稍后再试... Steam经常登录的时候提醒短期内来自您网络的失败登... 短期内来自您网络的失败登录过多什么意思? sufsce失败登录次数过多 steam登录错误次数过多会怎么样 steam短期内来自您网络的失败登录过多怎么回事? steam登陆过多要等多久 steam登录太多不让登了怎么办 力矩NM换算液压PSI的公式 怎么换算 司空见惯的意思是什么 司空见惯是说司空见惯了什么?求答案 司空见惯的意思是什么? 司空见惯什么意思 司空见惯是什么意思 司空见惯是什么意思? 司空见惯形容什么 “司空见惯”是什么意思 解释成语。司空见惯 "司空见惯”的来源 什么是“司空见惯”? 司空见惯 司空的意思 司空见惯的意思,司空见惯什么意思,出处 司空见惯的司空是什么意思 司空见惯的意思是? 司空见惯 司空见惯的意思 司空见惯的司是什么意思 1psi等于多少Mpa?