本文所提到的攻擊和欺騙行為主要針對(duì)鏈路層和網(wǎng)絡(luò)層。在網(wǎng)絡(luò)實(shí)際環(huán)境中，其來(lái)源可概括為兩個(gè)途徑：人為實(shí)施；病毒或蠕蟲。人為實(shí)施通常是指使用一些黑客的工具對(duì)網(wǎng)絡(luò)進(jìn)行掃描和嗅探，獲取管理帳戶和相關(guān)密碼，在網(wǎng)絡(luò)上中安插木馬，從而進(jìn)行進(jìn)一步竊取機(jī)密文件。攻擊和欺騙過(guò)程往往比較隱蔽和安靜，但對(duì)于信息安全要求高的企業(yè)危害是極大的。而來(lái)自木馬或者病毒及蠕蟲的攻擊和往往會(huì)偏離攻擊和欺騙本身的目的，現(xiàn)象有時(shí)非常直接，會(huì)帶來(lái)網(wǎng)絡(luò)流量加大、設(shè)備 CPU 利用率過(guò)高、二層生成樹(shù)環(huán)路直至網(wǎng)絡(luò)癱瘓。

目前這類攻擊和欺騙工具已經(jīng)非常成熟和易用，而目前企業(yè)在部署這方面的防范還存在很多不足，有很多工作要做。思科針對(duì)這類攻擊已有較為成熟的解決方案，主要基于下面的幾個(gè)關(guān)鍵的技術(shù)：
• Port Security feature
• DHCP Snooping
• Dynamic ARP Inspection (DAI)
• IP Source Guard

下面部分主要針對(duì)目前非常典型的二層攻擊和欺騙說(shuō)明如何在思科交換機(jī)上組合運(yùn)用和部署上述技術(shù)，從而實(shí)現(xiàn)防止在交換環(huán)境中實(shí)施“中間人”攻擊、 MAC/CAM 攻擊、 DHCP 攻擊、地址欺騙等，更具意義的是通過(guò)上面技術(shù)的部署可以簡(jiǎn)化地址管理，直接跟蹤用戶 IP 和對(duì)應(yīng)的交換機(jī)端口；防止 IP 地址沖突。同時(shí)對(duì)于大多數(shù)對(duì)二層網(wǎng)絡(luò)造成很大危害的具有地址掃描、欺騙等特征的病毒可以有效的報(bào)警和隔離。

1 MAC/CAM攻擊的防范
1.1MAC/CAM攻擊的原理和危害

交換機(jī)主動(dòng)學(xué)習(xí)客戶端的 MAC 地址，并建立和維護(hù)端口和 MAC 地址的對(duì)應(yīng)表以此建立交換路徑，這個(gè)表就是通常我們所說(shuō)的 CAM 表。 CAM 表的大小是固定的，不同的交換機(jī)的 CAM 表大小不同。 MAC/CAM 攻擊是指利用工具產(chǎn)生欺騙 MAC ，快速填滿 CAM 表，交換機(jī) CAM 表被填滿后，交換機(jī)以廣播方式處理通過(guò)交換機(jī)的報(bào)文，這時(shí)攻擊者可以利用各種嗅探攻擊獲取網(wǎng)絡(luò)信息。 CAM 表滿了后，流量以洪泛方式發(fā)送到所有接口，也就代表 TRUNK 接口上的流量也會(huì)發(fā)給所有接口和鄰接交換機(jī)，會(huì)造成交換機(jī)負(fù)載過(guò)大，網(wǎng)絡(luò)緩慢和丟包甚至癱瘓。

1.2典型的病毒利用MAC/CAM攻擊案例

曾經(jīng)對(duì)網(wǎng)絡(luò)照成非常大威脅的 SQL 蠕蟲病毒就利用組播目標(biāo)地址，構(gòu)造假目標(biāo) MAC 來(lái)填滿交換機(jī) CAM 表。其特征如下圖所示：

1.3使用 Port Security feature 防范MAC/CAM攻擊

思科 Port Security feature 可以防止 MAC 和 MAC/CAM 攻擊。通過(guò)配置 Port Security 可以控制：

• 端口上最大可以通過(guò)的 MAC 地址數(shù)量
• 端口上學(xué)習(xí)或通過(guò)哪些 MAC 地址
• 對(duì)于超過(guò)規(guī)定數(shù)量的 MAC 處理進(jìn)行違背處理

端口上學(xué)習(xí)或通過(guò)哪些 MAC 地址，可以通過(guò)靜態(tài)手工定義，也可以在交換機(jī)自動(dòng)學(xué)習(xí)。交換機(jī)動(dòng)態(tài)學(xué)習(xí)端口 MAC ，直到指定的 MAC 地址數(shù)量，交換機(jī)關(guān)機(jī)后重新學(xué)習(xí)。目前較新的技術(shù)是 Sticky Port Security ，交換機(jī)將學(xué)到的 mac 地址寫到端口配置中，交換機(jī)重啟后配置仍然存在。

對(duì)于超過(guò)規(guī)定數(shù)量的 MAC 處理進(jìn)行處理一般有三種方式（針對(duì)交換機(jī)型號(hào)會(huì)有所不同）：

• Shutdown 。這種方式保護(hù)能力最強(qiáng)，但是對(duì)于一些情況可能會(huì)為管理帶來(lái)麻煩，如某臺(tái)設(shè)備中了病毒，病毒間斷性偽造源 MAC 在網(wǎng)絡(luò)中發(fā)送報(bào)文。
• Protect 。丟棄非法流量，不報(bào)警。
• Restrict 。丟棄非法流量，報(bào)警，對(duì)比上面會(huì)是交換機(jī) CPU 利用率上升但是不影響交換機(jī)的正常使用。推薦使用這種方式。
1.4配置

port-security 配置選項(xiàng)： 

Switch(config-if)# switchport port-security ? 

aging Port-security aging commands 

mac-address Secure mac address 

maximum Max secure addresses 

violation Security violation mode 

配置 port-security 最大 mac 數(shù)目，違背處理方式，恢復(fù)方法

Cat4507(config)#int fastEthernet 3/48 

Cat4507 (config-if)#switchport port-security 

Cat4507 (config-if)#switchport port-security maximum 2 

Cat4507 (config-if)#switchport port-security violation shutdown 

Cat4507 (config)#errdisable recovery cause psecure-violation 

Cat4507 (config)#errdisable recovery interval 30 

通過(guò)配置 sticky port-security學(xué)得的MAC

interface FastEthernet3/29 

switchport mode access 

switchport port-security 

switchport port-security maximum 5 

switchport port-security mac-address sticky 

switchport port-security mac-address sticky 000b.db1d.6ccd 

switchport port-security mac-address sticky 000b.db1d.6cce 

switchport port-security mac-address sticky 000d.6078.2d95 

switchport port-security mac-address sticky 000e.848e.ea01 

1.5使用 其它技術(shù) 防范MAC/CAM攻擊

除了 Port Security 采用 DAI 技術(shù)也可以防范 MAC 地址欺騙。