MAC泛洪攻击及解决方法

交换机工作原理

交换机工作原理：交换机中有一个交换地址表（MAC地址表）表里面是端口与MAC的对应。交换机初始状态下，交换机的MAC地址表为空，当交换机中的某个端口要转发数据时，首先会进行ARP解析，会朝着交换机发送ARP请求，交换机会自学习ARP中封装的源MAC和对应的端口号，记录在交换机中的交换地址表中，然后交换机会向着除了源端口以外的所有端口泛洪，只有目的主机会做ARP响应，然后交换机会继续自学习目的主机的MAC及其对应端口，记录在交换地址表中，当这两台主机再次通信时，交换机直接看交换地址表中信息进行转发，但是交换地址表中的每条记录有老化时间300s，超过这段时间不转发数据则删除对应的记录信息。

MAC地址泛洪攻击

MAC地址泛洪攻击：是攻击者利用了交换机自学习的原理，通过一定手段可以在几秒内生成几十万不同的MAC地址，并发送给交换机，这台交换机的MAC地址表很快就被这些伪造的MAC地址占满。当交换机的MAC地址表存储达到上限后，再收到数据帧时，一看该目标MAC地址，不在交换机的MAC地址表中，就会通过交换机的原理，进行泛洪，这样攻击者就会捕获这些数据帧。

配置安全端口解决

这里通过华为的ENSP来进行模拟配置。

配置动态MAC地址安全端口

通过下面的配置，在Ethernet0/0/1端口学习到的第一个MAC地址设置为安全MAC地址，再在Ethernet0/0/1端口学习到其他的MAC地址将丢弃不转发，等到200s后交换机的MAC地址表刷新，重新学习MAC地址，先学到那个MAC地址，那个就是安全MAC地址。
配置命令：
[Huawei-Ethernet0/0/1]port-security enable
开启端口安全功能
[Huawei-Ethernet0/0/1]port-security max-mac-num 1
安全MAC地址最大数量为1个
[Huawei-Ethernet0/0/1]port-security protect-action ?
protect Discard packets 丢弃
restrict Discard packets and warning 丢弃，并发出告警信息
shutdown Shutdown 丢弃，关闭端口
[Huawei-Ethernet0/0/1]port-security aging-time 200
MAC地址老化时间为200s

配置sticky粘贴MAC地址安全端口

此功能与配置动态MAC地址安全端口一样，不同之处在于：粘贴MAC地址不会老化，关机重开也依然存在。
配置命令：
[Huawei-Ethernet0/0/2]port-security enable
开启端口安全功能
[Huawei-Ethernet0/0/2]port-security mac-address sticky
开启粘贴功能
[Huawei-Ethernet0/0/2]port-security max-mac-num 1
安全MAC地址最大数量为1个
[Huawei-Ethernet0/0/2]port-security protect-action restrict
丢弃，并发出告警信息

如有错误，欢迎各位读者给予指导。
如有侵权，请及时联系。