二层交换机对于未知目的MAC的包进行泛洪?
突然在参阅《Cisco Catalyst LAN Switching》一书时,突然发现这么个情况:也就是说:二层交换时,交换机会对未知目的MAC的包进行泛洪。
那么这样的话,是不是有这种可能:
恶意人员可以在交换机任一个端口上,使用发包工具,传输大规模以太网包,到某不存在的目标MAC。(这很容易实现)
此时,交换机将会复制此流量到每个端口(即产生n-1倍流量,n为交换机端口数),使得整个网络堵塞!?(后果很严重)
这种攻击可能存在吗?
若是,是否已有解决方案? 如果网络中存在环路的话,很快就瘫痪。
我用SmartBit测试仪模拟流量,设备是CISCO 3550,大流量下去交换机倒是没有问题,可是另外一台接收的电脑却变得运行缓慢了。
而且,你是要制造不同的MAC,而且还要快速,大流量。这一点对PC来说应该不容易。
[ 本帖最后由 hjp0021 于 2008-10-19 15:16 编辑 ] 为什么要要存在环路?为什么要制造不同的MAC?
正常无环情况下,不停地使用同一个未知MAC发包
这违背泛洪条件吗?
我觉得不难做出这样的攻击。
当然,交换机理应吃得消,但对于端口上的设备,无论是桌面PC还是服务器,网络都将受到一定程度堵塞(视攻击者发包流量而定)
[ 本帖最后由 CloudF_N 于 2008-10-19 15:41 编辑 ] 你的理论是没错的。
但是要知道交换机是线速转发的。你要制造这么高的流量本身就很困难。尤其对于纯线速转发的设备来说。 理论上当然可行,可是实际上请问LZ您用什么来产生这么多的流量呢?PC吗? 对于纯线速转发的交换机,即使每个端口都打100M的流量,背板依然堵不死。堵塞的只是端口而已。
并且你用console线进去依然可以敲命令。你把交换机接成环路试试就知道了。
回复 #4 ssffzz1 的帖子
攻击的目的当然不是搞垮交换机(应该是搞不垮的,否则该交换机设备厂商就好下台了),只是生成n倍流量(类似于早期的ping定向广播,产生n倍反射流量的效果)到各个交换机端口,对处于端口上的设备产生网络堵塞。 生成不了N倍流量啊,假设你从攻击主机发起100M/S的流量,然后switch将这全部flood,那么人家收到的也只不过是100M而已。 不过准100M的流量如果目标MAC是广播的话,足矣让PC宕机了。如果不是广播MAC.则PC机的网卡硬件就会过滤掉,因此可能不会给PC造成太大影响。 :sleepy:服务器怎么扫啊
页:
[1]
2