新情况？mac盗用？

paple · 发表于 2011-10-18 13:15:49

以前只关注IP盗用的问题，通过IP/mac绑定解决。。
现在发现原来Mac也是可以手动修改的，ip/mac绑定的方法失效。
不知盗用mac地址有没有什么办法检测？？？

steve-zhu · 发表于 2011-10-18 13:28:07

交换机上配置MAC绑定，可以避免多个主机具有相同MAC；配置Port security可以解决mac乱改的问题。

nsexpert · 发表于 2011-10-18 13:54:08

如果攻击者同时将IP和MAC改为正常主机的，即同时效用IP和MAC。
在交换机上配置Port security后，会怎么样呢，两台主机都阻止，还是阻止其中一台？

paple · 发表于 2011-10-18 14:24:46

如果一个Port下又接了二层的接入交换机，接入交换内部有人盗用其他的人的IP和mac，port security也检测不出啊~~~~~~

steve-zhu · 发表于 2011-10-18 15:00:14

3# nsexpert Port security是限制交换机端口关联的MAC地址数量的，Cisco缺省是粘滞学习，如果某主机接入Port security接口，该接口就不能在出现其他MAC了，只针对出问题的接口不会影响其他主机。port security主要是来避免用户随便更改MAC地址或者用HUB接入。
当然如果攻击者先把MAC改掉，再接入port security接口就没辙了。

steve-zhu · 发表于 2011-10-18 15:01:59

4# paple
如果你确定有人恶意更改MAC，而又找不到是谁，那最好用静态MAC绑定。

ylzwg · 发表于 2011-10-25 00:23:36

如果你采用DHCP的话，相同的MAC会在DHCP中产生错误信息