win10修改mac地址的三種方法 win10修改mac地址方式？很多人不了解，今天趣百科為大家帶來相關內容，下面為大家帶來介紹。

端口安全技術

(資料圖片)

Port-Security

01

MAC地址表的洪水攻擊

黑客利用PC上的工具偽造大量無效的源MAC地址充斥交換機，交換機不斷學習，以至于交換機MAC地址列表(也叫CAM列表)被填滿。

當交換機的MAC地址表被填滿時，正常主機的MAC地址在老化后無法添加到MAC地址表中，導致后續數據被廣播。

這時候交換機就像一個hub，接收到的流量數據幀會泛洪到所有端口。

此時，黑客可以監控PC泛洪流量來收集流量樣本或發起DOS(拒絕服務)攻擊。

端口安全：在交換機的接入接口打開。

設置白名單地址：限制一個接入接口上學習到的MAC地址數量的上限，接口會緩存之前學習到的PC的MAC地址并加入白名單；當該接口學習到的MAC地址超過上限時，交換機會將該地址列入黑名單，并啟動懲罰機制。有三種主要類型：

1.關機：默認處理方式；將接口設置為錯誤禁用狀態相當于關閉端口并交換機會提示日志。

如果端口進入錯誤禁用狀態，默認情況下不會自動恢復。恢復方法有：

手動恢復，進入端口，先關端口，再關端口，再恢復正常狀態。

自動恢復：設置錯誤禁用定時器。當端口進入錯誤禁用狀態時，它將開始計時。定時器超時后，端口狀態會自動恢復。

2.restrict:丟棄非法MAC地址的數據包，但端口處于UP狀態，交換機記錄非法數據包(相當于計入信用)；同時交換機會提示日志。

3.保護：丟棄非法MAC地址的數據包，但端口處于UP狀態。交換機不會記錄非法數據包，也不會提示日志。

如果非管理員使用電腦連接交換機的接入接口，然后通過老化的MAC地址列表連接互聯網，登錄交換機修改或刪除部分配置；要提高交換機的管理安全性：

配置靜態綁定MAC地址：在接口上手動配置靜態MAC地址，并將其添加到白名單中。

如果企業的網絡規模很大，我們手動綁定地址有點不現實。所以，這時候我們就需要利用端口安全的粘性特性，可以將交換機接口學習到的MAC動態添加到運行配置中，形成綁定關系。

接入身份認證802.1x認證：

82.1x協議源于IEEE的WLAN協議802.11。

以太網不提供訪問認證，只要用戶可以訪問局域網控制設備，就可以訪問局域網中的設備或資源。

802.1X是一種基于客戶機/服務器模式的訪問控制和認證協議，根據用戶ID或設備對網絡客戶機進行認證，提高了以太網訪問的安全性。

認證架構NAC:

請求方系統RPC:請求方通常是支持802.1x認證的用戶終端設備，用戶通過啟動客戶端軟件發起802.1x認證。

認證系統NAS:認證系統通常是支持802.1x協議的網絡設備。它為請求者提供服務端口，可以是物理端口，也可以是邏輯端口。一般來說，802.1x認證是在用戶接入設備(如局域網交換機和AP)上實現的。

認證服務器：使用AAA服務器結合ACS 5.2/ISE 2.2軟件實現認證和授權功能。

由802.1x定義的eapol(局域網上的可擴展認證協議)協議在請求者和認證系統之間運行；

當認證系統工作在中繼模式時，認證系統和認證服務器也運行EAP協議。認證數據封裝在EAP幀中，協議承載在其他高層協議(如RADIUS)中，以便穿越復雜網絡到達認證服務器。

認證系統接收EAPoL消息，將其轉換為其他認證協議(如RADIUS)，并將用戶認證信息發送到認證服務器系統。

認證系統的每個物理端口包含一個受控端口和一個非受控端口，非受控端口始終處于雙向連接狀態，主要用于傳輸EAPoL協議幀，以保證接收認證請求者發送的EAPoL報文。

受控端口只有在認證通過的狀態下才打開，用于傳遞網絡資源和服務。

認證過程：

1、客戶端向接入設備發送一個EAPoL-Start報文，開始802.1x認證接入;

2、接入設備向客戶端發送EAP-Request/Identity報文，要求客戶端出示用戶名;

3、客戶端回應一個EAP-Response/Identity給接入設備的請求，包括用戶名；

4、接入設備將EAP-Response/Identity報文封裝到RADIUS Access-Request報文中，發送給AAA認證服務器;

5、認證服務器產生一個Challenge，通過接入設備將RADIUS Access-Challenge報文發送給客戶端，其中包含有EAP-Request/MD5-Challenge;

6、接入設備通過EAP-Request/MD5-Challenge發給客戶端，要求客戶端認證；

7、客戶端收到EAP-Request/MD5-Challenge報文后，將密碼和Challenge做MD5后的Challenged-Pass-word，在EAP-Response/MD5-Challenge回給接入設備；

8、接入設備將Challenge、Challenged Password和用戶名一起送到認證服務器，由RADIUS服務器進行認證。

9、RADIUS服務器根據用戶信息，做MD5算法，判斷用戶是否合法，然后回應認證成功/失敗報文到接入設備。如果成功，攜帶協商參數，以及用戶的相關業務屬性給用戶授權。如果認證失敗，則流程到此結束;

10、如果認證通過，用戶通過標準的DHCP協議 (可以是DHCP Relay) ，通過接入設備獲取規劃的IP地址;

11、如果認證通過，接入設備發起計費開始請求給RADIUS用戶認證服務器;

12、RADIUS用戶認證服務器回應計費開始請求報文。用戶上線完畢。

認證模式：基于端口認證模式和基于MAC地址認證

基于端口認證模式：在模式下只要連接到端口的某個設備通過認證，其他設備則不需要認證，就可以訪問網絡資源。

基于MAC地址認證：該模式下連接到同一端口的每個設備都需要單獨進行認證。

對無法進行802.1X驗證的硬件設備配置Mac Address Bypass(MAB)功能

當啟用IEEE 802.1x認證的端口連接的設備是打印機（或者其他無法進行交互認證的設備）時，應當使用此特性。

原理：如果交換機等待客戶端返回IEEE 802.1x認證的EAPOL響應包超時，交換機就會嘗試使用基于Mac地址的免認證特性來識別客戶端，當某個IEEE 802.1x認證端口啟用Mac地址的免認證特性時，交換機就會使用Mac地址作為客戶端的身份標記，把客戶端的Mac地址作為用戶名和密碼發送給認證服務器RADIUS-access/request幀，認證服務器有一個允許使用網絡的客戶端MAC地址數據庫，如果認證通過，交換機就會讓客戶端使用網絡

如果認證失敗且未定義失敗動作時，交換機會把端口分配到一個預先指定的Guest Vlan。

*只能夠在已經啟用了IEEE 802.1x認證的端口使用基于mac地址的免認證特性。

*如果配置了Guest VLAN，當客戶端屬于一個非法的mac時，只有未在Lanenfocer上設置失敗動作的時候，交換機才會把客戶端分配到Guest VLAN。

02

基于VLAN的攻擊

由于思科交換機的接口默認是開啟DTP協議，接口工作在Auto協商的模式，當它接收到DTP幀后，會自動協商成為Trunk鏈路，惡意終端設備通過模擬DTP報文欺騙交換機，就可以訪問和接收所有放行VLAN的數據。

*把接入接口配置為access模式

*接口關閉DTP協商

*在全局或接口開啟BPDU GUARD或者接口開啟BPDU FILTER，前者收到BPDU直接關閉接口，較強硬，后者完全忽略BPDU數據包，較溫和。

基于雙層標簽實現VLAN跳轉攻擊：惡意終端系統發送雙層802.1Q標簽的數據幀，接收到該幀的第一臺交換機會剝離第一層標簽，如果Trunk的Native VLAN等于該層的標簽中的VLAN ID，交換機就會把這個包含第二層的數據幀從Trunk轉發出去，接收到該幀的第二臺交換機則會根據這第二層的VLAN標記轉發到目的VLAN中去。

ISL屬于思科專有技術，是設備中使用的擴展分組報頭的緊湊形式，每個分組總會獲得一個標記，沒有標識丟失風險，因而可以提高安全性。

*嚴格限制交換機的Access接口不能收到帶有vlan標記的數據幀

*把所有未使用的接口配置為Access

*所有未使用的接口放入一個VLAN中，這個VLAN不承載任何數據流量

*NATIVE VLAN與任何數據VLAN不相同。

*手工指定Trunk模式，不要Auto和Desirable

*在Trunk上排除放行NATIVE VLAN

基于VTP的VLAN攻擊

惡意黑客通過連接到交換機，并在自己的計算機和交換機之間建立一條中繼，就可以充分利用VTP，黑客可以發送VTP消息到配置版本號高于當前的VTP服務器，這會導致所有交換機都與惡意黑客的計算機進行同步，從而把所有非默認的VLAN從VLAN數據庫中移除出去；這樣黑客就可以讓VTP為己所用，移除網絡上的所有VLAN(除了默認的VLAN外)，這樣他就可以進入其他每個用戶所在的同一個VLAN上。

03欺騙攻擊

DHCP的欺詐攻擊DHCP Sproofing：

DHCP Sproofing同樣是一種中間人攻擊方式

DHCP是提供IP地址分配的服務，當局域網中的PC設置為自動獲取IP，就會在啟動后發送廣播包請求IP地址，DHCP服務器（如路由器）會分配一個IP地址給PC

攻擊者可以通過偽造大量的IP請求包，消耗掉現有DHCP服務器的IP資源，當有PC請求IP的時候，DHCP服務器就無法分配IP（黑客在局域網內，PC會先收到黑客分配的IP地址）

這時攻擊者可以偽造一個DHCP服務器給PC分配網關地址，PC發送的任何數據都會經過黑客主機；此時黑客就能監聽PC發送的流量，達到收集流量樣本或者發起拒絕服務DDOS攻擊。

DHCP嗅探/snooping：

通過建立和維護DHCP Snooping綁定表，包含不信任區域的用戶MAC地址、IP地址、租用期、VLAN-ID 接口等信息，通過這張表來判定IP地址或者mac地址是否合法，通過過濾不可信任的DHCP信息來限制用戶連接到網絡的

當交換機開啟了 DHCP-Snooping后，會對DHCP報文進行偵聽，并從接收到的DHCP Request或DHCP Ack報文中提取并記錄IP地址和MAC地址信息，形成一張DHCP Snooping綁定表（可以手工指定）

另外DHCP-Snooping允許將某個物理端口設置為信任端口或不信任端口

信任端口可以正常接收并轉發DHCP Offer報文，而不信任端口會將接收到的DHCP Offer報文丟棄，這樣交換機可以對假冒DHCP Server進行屏蔽，確保客戶端從合法的DHCP Server獲取IP地址。

在一個交換區塊內的所有交換機上面都啟用，先在全局啟用DHCP Snooping，然后針對有使用者PC的VLAN進行啟用

啟用了DHCP Snooping的接口默認對應兩種狀態，信任接口trust或非信任接口untrust

在交換機上，將連接合法DHCP服務器的接口配置為trust，trust接口上可以收發的來自DHCP server/client的全部報文

而untrust接口（默認狀態）上收到的來自DHCP server的報文被過濾掉（可以收發DHCP客戶端發送的報文，也可以發送DHCP服務器產生的報文），就可以防止非法的DHCP server接入。

部署了DHCP Snooping了交換機本地，會維護一張DHCP snooping的綁定數據庫（binding database），用于保存偵聽到的DHCP交互的表項，信息包括（針對untrust接口的）：MAC地址、IP地址（DHCP分配的）、租期、綁定類型、VLAN號、接口編號（DHCP客戶端也就是連接客戶端PC的untrust接口）

DHCP snooping banding databse除了可以做一些基本的安全接入控制，還能夠用于防ARP欺騙等一系列的防范攻擊解決方案。

DHCP中繼代理信息選項option 82：是DHCP報文中的一個選項，其編號為82；

Code：82 LEN：長度，Ag Inf field，不包含code及len字段的長度。

Option 82中可包含多個suboption：

Subopt：子選項編號，如果是circuit ID則值為1，remote ID則值為2

Len：Sub-option Value的字節個數，不包括Sub opt和Len字段的兩個字節

Option 82子選項1：即Circuit ID，它表示接收到的DHCP請求報文來自的電路標識，這個標識只在中繼代理節點內部有意義，在服務器端不可以解析其含義，只作為一個不具含義的標識使用。一般情況下，默認是接收到DHCP請求報文的接入交換機Vlan ID加接入二層端口名稱，如Vlan 2+Ethernet0/0/10

通常子選項1與子選項2要共同使用來標識DHCP客戶端的信息

基于Option 82可以實現基于策略的DHCP的地址分發。

Option 82子選項2：即Remote ID，一般情況下為插入該option82信息的接入層交換機的MAC地址。

一臺支持DHCP snooping的交換機，如果在其untrust接口上，收到來自下游交換機發送的、且帶有option 82的DHCP報文，則默認的動作是丟棄這些報文。

如果該交換機開啟了DHCP snooping并且帶有option 82的DHCP報文是在trusted接口上收到的，則交換機接收這些報文，但是不會根據報文中包含的相關信息建立DHCP bingding databse表項。

DHCP snooping防范DHCP的饑餓攻擊：DHCP Starvation是用虛假的MAC地址廣播DHCP請求

如果發送了大量的請求，攻擊者可以在一定時間內耗盡DHCP Servers可提供的地址空間

DHCP snooping可以幫助防范DHCP Starvation，

限制一個untrust接口每分鐘最多可以接收多少disscover個報文。

花貝 亻言用卡 提現微信 15129 739599

亻言用卡★花貝★白條★分付等★提·現

關鍵詞：