很早之前就看过局域网安全的视频。但是看了之后在实际工作当中很少用到(指我个人的工作环境中，惭愧啊…)，时间长了，好多技术细节的东西就忘记了。这段时间再看看，看的同时会做一下笔记，既能加深印象也方便以后查找。

一． 局域网安全的mac flood/spoof 攻击

Unknown unicast flooding:
交换机收到单播包，但在cam表没有目的mac时会对广播域除入口外的所有端口泛洪，这样会导致非目的mac的终端截获到数据包，有潜在的不安全性。
默认交换机对单播包是可以进行广播的。关闭功能在接口模式下：

switchport block unicast/multicast

Flood:
交换机的cam表容量一定，设计中针对各级别的交换机的cam表容量是足够的。mac flooding attack制造大量的mac抢占cam表空间，不仅消耗交换机资源(cpu, mem,cam等)，还使交换机拒绝正常的服务器请求(比较容易实现，但也容易被发现)。

Spoof:
伪装成已存在的mac，更新cam表中mac和端口的对应关系(cam表以最后收到的数据包更新)。但欺骗的前提是被伪装的mac一直不发包,否则cam表又被刷新(相对比较难实现，但不易被发现)。

一款攻击软件: dsniff
下载地址：

阻止攻击：port security
1. 有效阻止mac flood/spoof攻击
a. mac flood 当特定接口设定的mac table满的时候产生violation
b. 当一个mac在同一个vlan的两个不同接口学到时产生violation
2. port security默认行为
a. 所有接口port security默认disable
端口下启用：

switchport port-security

b. 默认每一个接口的最大mac地址容量是1
c. 默认violation是shutdown
3. 三种violation方式
a. shutdown 使接口处于errordisable状态，并且告警
b. restrict 丢掉违规数据包，并且告警
c. protect 悄无声息的丢弃数据包，没有告警
4. 三种地址学习方式
a. 自动学习(默认)
b. 手动指派: switchport port-security mac-address ****.****.****
c. sticky: switchport port-security mac-address sticky ****.****.****
5. 查看port security的cpu利用率：

show processes cpu | in Port-S

65系列特性：
1.mac move notification 特性能够检测到mac地址的非法移动，虽然不能阻止攻击，却能够比较有效地提醒管理人员存在攻击。
mac-address-table notification mac-move
2. mac-address-table unicast-flood
a. 限制unknown unicast flooding
b. mac-address-table unicast-flood limit 4 vlan 10 filter 5
limit:对同一个vlan,每一个mac，每秒的unicast-flood的数量进行限制
filter:一旦超过limit,过滤unicast-flood的时间(s)
alert:一旦超过limit,告警
shutdown:一旦超过limit,shutdown端口