win10修改mac地址的三種方法 win10修改mac地址方式？很多人不了解，今天各百科為大家?guī)硐嚓P(guān)內(nèi)容，下面為大家?guī)斫榻B。

端口安全技術(shù)

Port-Security

01

MAC地址表的洪水攻擊

黑客利用PC上的工具偽造大量無效的源MAC地址充斥交換機，交換機不斷學(xué)習(xí)，以至于交換機MAC地址列表(也叫CAM列表)被填滿。

當(dāng)交換機的MAC地址表被填滿時，正常主機的MAC地址在老化后無法添加到MAC地址表中，導(dǎo)致后續(xù)數(shù)據(jù)被廣播。

這時候交換機就像一個hub，接收到的流量數(shù)據(jù)幀會泛洪到所有端口。

此時，黑客可以監(jiān)控PC泛洪流量來收集流量樣本或發(fā)起DOS(拒絕服務(wù))攻擊。

端口安全：在交換機的接入接口打開。

設(shè)置白名單地址：限制一個接入接口上學(xué)習(xí)到的MAC地址數(shù)量的上限，接口會緩存之前學(xué)習(xí)到的PC的MAC地址并加入白名單；當(dāng)該接口學(xué)習(xí)到的MAC地址超過上限時，交換機會將該地址列入黑名單，并啟動懲罰機制。有三種主要類型：

1.關(guān)機：默認(rèn)處理方式；將接口設(shè)置為錯誤禁用狀態(tài)相當(dāng)于關(guān)閉端口并交換機會提示日志。

如果端口進入錯誤禁用狀態(tài)，默認(rèn)情況下不會自動恢復(fù)。恢復(fù)方法有：

手動恢復(fù)，進入端口，先關(guān)端口，再關(guān)端口，再恢復(fù)正常狀態(tài)。

自動恢復(fù)：設(shè)置錯誤禁用定時器。當(dāng)端口進入錯誤禁用狀態(tài)時，它將開始計時。定時器超時后，端口狀態(tài)會自動恢復(fù)。

2.restrict:丟棄非法MAC地址的數(shù)據(jù)包，但端口處于UP狀態(tài)，交換機記錄非法數(shù)據(jù)包(相當(dāng)于計入信用)；同時交換機會提示日志。

3.保護：丟棄非法MAC地址的數(shù)據(jù)包，但端口處于UP狀態(tài)。交換機不會記錄非法數(shù)據(jù)包，也不會提示日志。

如果非管理員使用電腦連接交換機的接入接口，然后通過老化的MAC地址列表連接互聯(lián)網(wǎng)，登錄交換機修改或刪除部分配置；要提高交換機的管理安全性：

配置靜態(tài)綁定MAC地址：在接口上手動配置靜態(tài)MAC地址，并將其添加到白名單中。

如果企業(yè)的網(wǎng)絡(luò)規(guī)模很大，我們手動綁定地址有點不現(xiàn)實。所以，這時候我們就需要利用端口安全的粘性特性，可以將交換機接口學(xué)習(xí)到的MAC動態(tài)添加到運行配置中，形成綁定關(guān)系。

接入身份認(rèn)證802.1x認(rèn)證：

82.1x協(xié)議源于IEEE的WLAN協(xié)議802.11。

以太網(wǎng)不提供訪問認(rèn)證，只要用戶可以訪問局域網(wǎng)控制設(shè)備，就可以訪問局域網(wǎng)中的設(shè)備或資源。

802.1X是一種基于客戶機/服務(wù)器模式的訪問控制和認(rèn)證協(xié)議，根據(jù)用戶ID或設(shè)備對網(wǎng)絡(luò)客戶機進行認(rèn)證，提高了以太網(wǎng)訪問的安全性。

認(rèn)證架構(gòu)NAC:

請求方系統(tǒng)RPC:請求方通常是支持802.1x認(rèn)證的用戶終端設(shè)備，用戶通過啟動客戶端軟件發(fā)起802.1x認(rèn)證。

認(rèn)證系統(tǒng)NAS:認(rèn)證系統(tǒng)通常是支持802.1x協(xié)議的網(wǎng)絡(luò)設(shè)備。它為請求者提供服務(wù)端口，可以是物理端口，也可以是邏輯端口。一般來說，802.1x認(rèn)證是在用戶接入設(shè)備(如局域網(wǎng)交換機和AP)上實現(xiàn)的。

認(rèn)證服務(wù)器：使用AAA服務(wù)器結(jié)合ACS 5.2/ISE 2.2軟件實現(xiàn)認(rèn)證和授權(quán)功能。

由802.1x定義的eapol(局域網(wǎng)上的可擴展認(rèn)證協(xié)議)協(xié)議在請求者和認(rèn)證系統(tǒng)之間運行；

當(dāng)認(rèn)證系統(tǒng)工作在中繼模式時，認(rèn)證系統(tǒng)和認(rèn)證服務(wù)器也運行EAP協(xié)議。認(rèn)證數(shù)據(jù)封裝在EAP幀中，協(xié)議承載在其他高層協(xié)議(如RADIUS)中，以便穿越復(fù)雜網(wǎng)絡(luò)到達認(rèn)證服務(wù)器。

認(rèn)證系統(tǒng)接收EAPoL消息，將其轉(zhuǎn)換為其他認(rèn)證協(xié)議(如RADIUS)，并將用戶認(rèn)證信息發(fā)送到認(rèn)證服務(wù)器系統(tǒng)。

認(rèn)證系統(tǒng)的每個物理端口包含一個受控端口和一個非受控端口，非受控端口始終處于雙向連接狀態(tài)，主要用于傳輸EAPoL協(xié)議幀，以保證接收認(rèn)證請求者發(fā)送的EAPoL報文。

受控端口只有在認(rèn)證通過的狀態(tài)下才打開，用于傳遞網(wǎng)絡(luò)資源和服務(wù)。

認(rèn)證過程：

1、客戶端向接入設(shè)備發(fā)送一個EAPoL-Start報文，開始802.1x認(rèn)證接入;

2、接入設(shè)備向客戶端發(fā)送EAP-Request/Identity報文，要求客戶端出示用戶名;

3、客戶端回應(yīng)一個EAP-Response/Identity給接入設(shè)備的請求，包括用戶名；

4、接入設(shè)備將EAP-Response/Identity報文封裝到RADIUS Access-Request報文中，發(fā)送給AAA認(rèn)證服務(wù)器;

5、認(rèn)證服務(wù)器產(chǎn)生一個Challenge，通過接入設(shè)備將RADIUS Access-Challenge報文發(fā)送給客戶端，其中包含有EAP-Request/MD5-Challenge;

6、接入設(shè)備通過EAP-Request/MD5-Challenge發(fā)給客戶端，要求客戶端認(rèn)證；

7、客戶端收到EAP-Request/MD5-Challenge報文后，將密碼和Challenge做MD5后的Challenged-Pass-word，在EAP-Response/MD5-Challenge回給接入設(shè)備；

8、接入設(shè)備將Challenge、Challenged Password和用戶名一起送到認(rèn)證服務(wù)器，由RADIUS服務(wù)器進行認(rèn)證。

9、RADIUS服務(wù)器根據(jù)用戶信息，做MD5算法，判斷用戶是否合法，然后回應(yīng)認(rèn)證成功/失敗報文到接入設(shè)備。如果成功，攜帶協(xié)商參數(shù)，以及用戶的相關(guān)業(yè)務(wù)屬性給用戶授權(quán)。如果認(rèn)證失敗，則流程到此結(jié)束;

10、如果認(rèn)證通過，用戶通過標(biāo)準(zhǔn)的DHCP協(xié)議 (可以是DHCP Relay) ，通過接入設(shè)備獲取規(guī)劃的IP地址;

11、如果認(rèn)證通過，接入設(shè)備發(fā)起計費開始請求給RADIUS用戶認(rèn)證服務(wù)器;

12、RADIUS用戶認(rèn)證服務(wù)器回應(yīng)計費開始請求報文。用戶上線完畢。

認(rèn)證模式：基于端口認(rèn)證模式和基于MAC地址認(rèn)證

基于端口認(rèn)證模式：在模式下只要連接到端口的某個設(shè)備通過認(rèn)證，其他設(shè)備則不需要認(rèn)證，就可以訪問網(wǎng)絡(luò)資源。

基于MAC地址認(rèn)證：該模式下連接到同一端口的每個設(shè)備都需要單獨進行認(rèn)證。

對無法進行802.1X驗證的硬件設(shè)備配置Mac Address Bypass(MAB)功能

當(dāng)啟用IEEE 802.1x認(rèn)證的端口連接的設(shè)備是打印機（或者其他無法進行交互認(rèn)證的設(shè)備）時，應(yīng)當(dāng)使用此特性。

原理：如果交換機等待客戶端返回IEEE 802.1x認(rèn)證的EAPOL響應(yīng)包超時，交換機就會嘗試使用基于Mac地址的免認(rèn)證特性來識別客戶端，當(dāng)某個IEEE 802.1x認(rèn)證端口啟用Mac地址的免認(rèn)證特性時，交換機就會使用Mac地址作為客戶端的身份標(biāo)記，把客戶端的Mac地址作為用戶名和密碼發(fā)送給認(rèn)證服務(wù)器RADIUS-access/request幀，認(rèn)證服務(wù)器有一個允許使用網(wǎng)絡(luò)的客戶端MAC地址數(shù)據(jù)庫，如果認(rèn)證通過，交換機就會讓客戶端使用網(wǎng)絡(luò)

如果認(rèn)證失敗且未定義失敗動作時，交換機會把端口分配到一個預(yù)先指定的Guest Vlan。

*只能夠在已經(jīng)啟用了IEEE 802.1x認(rèn)證的端口使用基于mac地址的免認(rèn)證特性。

*如果配置了Guest VLAN，當(dāng)客戶端屬于一個非法的mac時，只有未在Lanenfocer上設(shè)置失敗動作的時候，交換機才會把客戶端分配到Guest VLAN。

02

基于VLAN的攻擊

由于思科交換機的接口默認(rèn)是開啟DTP協(xié)議，接口工作在Auto協(xié)商的模式，當(dāng)它接收到DTP幀后，會自動協(xié)商成為Trunk鏈路，惡意終端設(shè)備通過模擬DTP報文欺騙交換機，就可以訪問和接收所有放行VLAN的數(shù)據(jù)。

*把接入接口配置為access模式

*接口關(guān)閉DTP協(xié)商

*在全局或接口開啟BPDU GUARD或者接口開啟BPDU FILTER，前者收到BPDU直接關(guān)閉接口，較強硬，后者完全忽略BPDU數(shù)據(jù)包，較溫和。

基于雙層標(biāo)簽實現(xiàn)VLAN跳轉(zhuǎn)攻擊：惡意終端系統(tǒng)發(fā)送雙層802.1Q標(biāo)簽的數(shù)據(jù)幀，接收到該幀的第一臺交換機會剝離第一層標(biāo)簽，如果Trunk的Native VLAN等于該層的標(biāo)簽中的VLAN ID，交換機就會把這個包含第二層的數(shù)據(jù)幀從Trunk轉(zhuǎn)發(fā)出去，接收到該幀的第二臺交換機則會根據(jù)這第二層的VLAN標(biāo)記轉(zhuǎn)發(fā)到目的VLAN中去。

ISL屬于思科專有技術(shù)，是設(shè)備中使用的擴展分組報頭的緊湊形式，每個分組總會獲得一個標(biāo)記，沒有標(biāo)識丟失風(fēng)險，因而可以提高安全性。

*嚴(yán)格限制交換機的Access接口不能收到帶有vlan標(biāo)記的數(shù)據(jù)幀

*把所有未使用的接口配置為Access

*所有未使用的接口放入一個VLAN中，這個VLAN不承載任何數(shù)據(jù)流量

*NATIVE VLAN與任何數(shù)據(jù)VLAN不相同。

*手工指定Trunk模式，不要Auto和Desirable

*在Trunk上排除放行NATIVE VLAN

基于VTP的VLAN攻擊

惡意黑客通過連接到交換機，并在自己的計算機和交換機之間建立一條中繼，就可以充分利用VTP，黑客可以發(fā)送VTP消息到配置版本號高于當(dāng)前的VTP服務(wù)器，這會導(dǎo)致所有交換機都與惡意黑客的計算機進行同步，從而把所有非默認(rèn)的VLAN從VLAN數(shù)據(jù)庫中移除出去；這樣黑客就可以讓VTP為己所用，移除網(wǎng)絡(luò)上的所有VLAN(除了默認(rèn)的VLAN外)，這樣他就可以進入其他每個用戶所在的同一個VLAN上。

03欺騙攻擊

DHCP的欺詐攻擊DHCP Sproofing：

DHCP Sproofing同樣是一種中間人攻擊方式

DHCP是提供IP地址分配的服務(wù)，當(dāng)局域網(wǎng)中的PC設(shè)置為自動獲取IP，就會在啟動后發(fā)送廣播包請求IP地址，DHCP服務(wù)器（如路由器）會分配一個IP地址給PC

攻擊者可以通過偽造大量的IP請求包，消耗掉現(xiàn)有DHCP服務(wù)器的IP資源，當(dāng)有PC請求IP的時候，DHCP服務(wù)器就無法分配IP（黑客在局域網(wǎng)內(nèi)，PC會先收到黑客分配的IP地址）

這時攻擊者可以偽造一個DHCP服務(wù)器給PC分配網(wǎng)關(guān)地址，PC發(fā)送的任何數(shù)據(jù)都會經(jīng)過黑客主機；此時黑客就能監(jiān)聽PC發(fā)送的流量，達到收集流量樣本或者發(fā)起拒絕服務(wù)DDOS攻擊。

DHCP嗅探/snooping：

通過建立和維護DHCP Snooping綁定表，包含不信任區(qū)域的用戶MAC地址、IP地址、租用期、VLAN-ID 接口等信息，通過這張表來判定IP地址或者mac地址是否合法，通過過濾不可信任的DHCP信息來限制用戶連接到網(wǎng)絡(luò)的

當(dāng)交換機開啟了 DHCP-Snooping后，會對DHCP報文進行偵聽，并從接收到的DHCP Request或DHCP Ack報文中提取并記錄IP地址和MAC地址信息，形成一張DHCP Snooping綁定表（可以手工指定）

另外DHCP-Snooping允許將某個物理端口設(shè)置為信任端口或不信任端口

信任端口可以正常接收并轉(zhuǎn)發(fā)DHCP Offer報文，而不信任端口會將接收到的DHCP Offer報文丟棄，這樣交換機可以對假冒DHCP Server進行屏蔽，確?？蛻舳藦暮戏ǖ腄HCP Server獲取IP地址。

在一個交換區(qū)塊內(nèi)的所有交換機上面都啟用，先在全局啟用DHCP Snooping，然后針對有使用者PC的VLAN進行啟用

啟用了DHCP Snooping的接口默認(rèn)對應(yīng)兩種狀態(tài)，信任接口trust或非信任接口untrust

在交換機上，將連接合法DHCP服務(wù)器的接口配置為trust，trust接口上可以收發(fā)的來自DHCP server/client的全部報文

而untrust接口（默認(rèn)狀態(tài)）上收到的來自DHCP server的報文被過濾掉（可以收發(fā)DHCP客戶端發(fā)送的報文，也可以發(fā)送DHCP服務(wù)器產(chǎn)生的報文），就可以防止非法的DHCP server接入。

部署了DHCP Snooping了交換機本地，會維護一張DHCP snooping的綁定數(shù)據(jù)庫（binding database），用于保存?zhèn)陕牭降腄HCP交互的表項，信息包括（針對untrust接口的）：MAC地址、IP地址（DHCP分配的）、租期、綁定類型、VLAN號、接口編號（DHCP客戶端也就是連接客戶端PC的untrust接口）

DHCP snooping banding databse除了可以做一些基本的安全接入控制，還能夠用于防ARP欺騙等一系列的防范攻擊解決方案。

DHCP中繼代理信息選項option 82：是DHCP報文中的一個選項，其編號為82；

Code：82 LEN：長度，Ag Inf field，不包含code及l(fā)en字段的長度。

Option 82中可包含多個suboption：

Subopt：子選項編號，如果是circuit ID則值為1，remote ID則值為2

Len：Sub-option Value的字節(jié)個數(shù)，不包括Sub opt和Len字段的兩個字節(jié)

Option 82子選項1：即Circuit ID，它表示接收到的DHCP請求報文來自的電路標(biāo)識，這個標(biāo)識只在中繼代理節(jié)點內(nèi)部有意義，在服務(wù)器端不可以解析其含義，只作為一個不具含義的標(biāo)識使用。一般情況下，默認(rèn)是接收到DHCP請求報文的接入交換機Vlan ID加接入二層端口名稱，如Vlan 2+Ethernet0/0/10

通常子選項1與子選項2要共同使用來標(biāo)識DHCP客戶端的信息

基于Option 82可以實現(xiàn)基于策略的DHCP的地址分發(fā)。

Option 82子選項2：即Remote ID，一般情況下為插入該option82信息的接入層交換機的MAC地址。

一臺支持DHCP snooping的交換機，如果在其untrust接口上，收到來自下游交換機發(fā)送的、且?guī)в衞ption 82的DHCP報文，則默認(rèn)的動作是丟棄這些報文。

如果該交換機開啟了DHCP snooping并且?guī)в衞ption 82的DHCP報文是在trusted接口上收到的，則交換機接收這些報文，但是不會根據(jù)報文中包含的相關(guān)信息建立DHCP bingding databse表項。

DHCP snooping防范DHCP的饑餓攻擊：DHCP Starvation是用虛假的MAC地址廣播DHCP請求

如果發(fā)送了大量的請求，攻擊者可以在一定時間內(nèi)耗盡DHCP Servers可提供的地址空間

DHCP snooping可以幫助防范DHCP Starvation，

限制一個untrust接口每分鐘最多可以接收多少disscover個報文。