今天,网站安全联盟跟大家讨论一下如何防范交换机的CAM表溢出。
防范交换机CAM表的溢出攻击,一方面可以限制交换机单个端口所连接的MAC地址数目,防止类似macof工具发起的攻击;另一方面可以使用Cisco Catalyst交换机的端口安全(Port Security)功能来阻止CAM表溢出攻击。通过交换机端口安全功能,网络管理员可以静态设置每个端口所允许连接的合法MAC地址,实现设备级的安全授权。也可设置端口允许访问的MAC地址的数目,并以一定时间内所学习到的地址作为合法MAC地址。对于违背Port Security策略的端口一般有三种处理方式:Shutdown(端口关闭)、Protect(丢弃非法流量,不报警)和Restrict(丢弃非法流量,报警)。
以下实例为cisco交换机上利用port security feature来实现交换机的CAM溢出防护。
(config)#int fa0/1
(config-if)#switchport mode access
(config-if)#switchport port-security
(config-if)#switchport port-security mac-address 0090.F510.79C1
(config-if)#switchport port security maximum 1
(config-if)#switchport port-security violation protect
出处:EeSafe网站安全联盟
