二层交换机对于未知目的MAC的包进行泛洪？

CloudF_N

突然在参阅《Cisco Catalyst LAN Switching》一书时，突然发现这么个情况：



也就是说：二层交换时，交换机会对未知目的MAC的包进行泛洪。


那么这样的话，是不是有这种可能：

恶意人员可以在交换机任一个端口上，使用发包工具，传输大规模以太网包，到某不存在的目标MAC。（这很容易实现）
此时，交换机将会复制此流量到每个端口（即产生n-1倍流量，n为交换机端口数），使得整个网络堵塞！？（后果很严重）


这种攻击可能存在吗？

若是，是否已有解决方案？

hjp0021

如果网络中存在环路的话，很快就瘫痪。

我用SmartBit测试仪模拟流量，设备是CISCO 3550，大流量下去交换机倒是没有问题，可是另外一台接收的电脑却变得运行缓慢了。

而且，你是要制造不同的MAC，而且还要快速，大流量。这一点对PC来说应该不容易。

[ 本帖最后由 hjp0021 于 2008-10-19 15:16 编辑 ]

CloudF_N

为什么要要存在环路？为什么要制造不同的MAC？

正常无环情况下，不停地使用同一个未知MAC发包


这违背泛洪条件吗？


我觉得不难做出这样的攻击。
当然，交换机理应吃得消，但对于端口上的设备，无论是桌面PC还是服务器，网络都将受到一定程度堵塞（视攻击者发包流量而定）

[ 本帖最后由 CloudF_N 于 2008-10-19 15:41 编辑 ]

ssffzz1

你的理论是没错的。

但是要知道交换机是线速转发的。你要制造这么高的流量本身就很困难。尤其对于纯线速转发的设备来说。

hjp0021

理论上当然可行，可是实际上请问LZ您用什么来产生这么多的流量呢？PC吗？

ssffzz1

对于纯线速转发的交换机，即使每个端口都打100M的流量，背板依然堵不死。堵塞的只是端口而已。

并且你用console线进去依然可以敲命令。你把交换机接成环路试试就知道了。

CloudF_N

攻击的目的当然不是搞垮交换机（应该是搞不垮的，否则该交换机设备厂商就好下台了），只是生成n倍流量（类似于早期的ping定向广播，产生n倍反射流量的效果）到各个交换机端口，对处于端口上的设备产生网络堵塞。

hjp0021

生成不了N倍流量啊，假设你从攻击主机发起100M/S的流量，然后switch将这全部flood，那么人家收到的也只不过是100M而已。

ssffzz1

不过准100M的流量如果目标MAC是广播的话，足矣让PC宕机了。如果不是广播MAC.则PC机的网卡硬件就会过滤掉，因此可能不会给PC造成太大影响。

sen1314

  服务器怎么扫啊