目录
一、MAC地址表安全
MAC地址表项类型包括:
MAC地址表安全功能:
实验部分:
黑洞MAC地址表:
更改动态MAC地址老化时间:
交换机MAC学习功能切换:
静态MAC地址:
限制接口的MAC地址学习数量:
二、MAC地址漂移
什么是MAC地址漂移?
解决方法:(实验部分:)
1、优先级部署:
2、还可以拒绝相同的优先级:
3、MAC地址漂移检测
(1)基于VLAN的MAC地址漂移检测
(2)基于全局的MAC地址漂移检测
拓扑:
配好所有地址任意主机产生通信则产生mac-add表:这个表就是动态的表自动生成的
#SW1
mac-address blackhole aabb-cc00-0010 vlan 1 (没配vlan,默认vlan)
这里把PC1设置成了黑洞mac-address,于是现象为PC1ping谁也不通,谁也ping不通PC1,黑洞这一词很形象。
现象如图:
![](https://img-
blog.csdnimg.cn/08017668cd0840edb05041f2fe8d0ed4.png)![](https://img-
blog.csdnimg.cn/7c5cc342c2134da2b27701ccef63929f.png)![](https://img-
blog.csdnimg.cn/ccf46e89d1f0482eab7ec5d46e52f9ce.png)
备注:时间一般就默认的即可,现网基本没人动这个,太长更新不及时,太短占用CPU也不太好。
控制是否学习MAC地址并指定后续动作:泛洪/丢弃::forward Forward packets,discard Discard packets
命令:
#SW1
interface GigabitEthernet0/0/1
mac-address learning disable action discard
这里的意思是不学习来自g0/1的源MAC地址并且收到数据包时找不到对应表项不转发泛洪
现象为PC1到PC2/3 不通,交换机也学不到任何mac地址
![](https://img-
blog.csdnimg.cn/f6ec7f70a7f642ffbba8c94778b3901e.png)![](https://img-
blog.csdnimg.cn/37e5ec09016e4282ab464106c2ce8046.png)
其他:
最安全但是要手写条目多比较烦,就是手写静态MAC地址,不是手写的就丢弃
配置:接上边的禁止学习之后,禁止学习配置还在
#SW1
mac-address static aabb-cc00-0010 GigabitEthernet 0/0/1 vlan 1
可以看到PC1到PC2/3通了,这样结合上边的禁止学习功能更加安全实用
配置:
#SW1
interface GigabitEthernet 0/0/3
mac-limit maximum 3 alarm enable
#最多学习3个,超出告警
现象:
3个以内时都是正常:
超过三个后:
可以看到触发告警:
还可以加上动作(模拟器垃圾做不了)
还能基于vlan进行控制
MAC地址漂移是指:
在同一个VLAN内,一个MAC地址有两个出接口,并且后学习到的出接口覆盖原出接口的现象。这是官方定义,通俗的讲,MAC地址漂移指的是MAC地址表项的出接口发生了变更
图文转自:知乎
----作者:网工Fox,原链接:
![](https://img-
blog.csdnimg.cn/8145678caddc4dd98fb77722f820ead9.png)![](https://img-
blog.csdnimg.cn/e11094b2357045b88b9340503c9dc446.png)
但是有的时候漂移是正常的:比如VRRP备设备切换为主设备时发送免费ARP;WLAN的漫游功能也会有漂移。
(实验部分:)
缺省时接口MAC地址学习的优先级均为0,数值越大优先级越高。当同一个MAC地址被两个个接口学习到后,接口MAC地址学习优先级高的会被保留,MAC地址学习优先级低的被覆盖。
拓扑图:
配置之前可以看到攻击者会把主机顶下去造成网络故障:
ping同一个地址都能ping通
配置:
interface g 0/0/1
mac-learning priority 3
可以看到PC2开始不通了,PC1通信正常
![](https://img-
blog.csdnimg.cn/8d79342df23b40809179d7d7769e7b6d.png)![](https://img-
blog.csdnimg.cn/7777c693bcc44839a55c882ede7d9221.png)
mac-address地址表也正常:
2、还可以拒绝相同的优先级:
相同优先级不准漂移,后来的不能覆盖之前的
配置:
#SW1
undo mac-learning priority 0 allow-flapping
现象:
先让PC1上线,再让攻击者:PC2上线,可以看到:
地址表正常:
PC1依然正常,PC2失败:
TEST----
PC1
TEST----PC2
根据检测做出相应动作:
mac-address flapping
detection----#默认配置,华为交换机默认开启全局MAC地址漂移检测功能,因此缺省时交换机便会对设备上的所有VLAN进行MAC地址漂移检测。
当交换机检测到MAC地址漂移,在缺省情况下,它只是简单地上报告警,并不会采取其他动作。在实际网络部署中,可以根据网络需求,对检测到MAC地址漂移之后定义以下动作:
其他:
eNSP上是这个:好像有现象但是我这里做实验的时候bug了
还是以PPT上为准吧:
[Switch2-GigabitEthernet0/0/1] mac-address flapping action error-down
在某些场景下,需要对某些VLAN不进行MAC地址漂移检测,可以通过配置MAC地址漂移检测的VLAN白名单来实现。
如果接口由于发生了MAC地址漂移从而被设置为Error-Down,默认情况下是不会自动恢复的。
如果希望Error-Down的接口能够自动恢复,
如果接口由于发生了MAC地址漂移,被设置为离开VLAN,
如要实现接口自动恢复,
配置命令:由于eNSP有的都不支持,就只放截图了看看就好。
display mac-address flapping record 可查看到漂移记录
初入计算机行业的人或者大学计算机相关专业毕业生,很多因缺少实战经验,就业处处碰壁。下面我们来看两组数据:
2023届全国高校毕业生预计达到1158万人,就业形势严峻;
国家网络安全宣传周公布的数据显示,到2027年我国网络安全人员缺口将达327万。
一方面是每年应届毕业生就业形势严峻,一方面是网络安全人才百万缺口。
6月9日,麦可思研究2023年版就业蓝皮书(包括《2023年中国本科生就业报告》《2023年中国高职生就业报告》)正式发布。
2022届大学毕业生月收入较高的前10个专业
本科计算机类、高职自动化类专业月收入较高。2022届本科计算机类、高职自动化类专业月收入分别为6863元、5339元。其中,本科计算机类专业起薪与2021届基本持平,高职自动化类月收入增长明显,2022届反超铁道运输类专业(5295元)排在第一位。
具体看专业,2022届本科月收入较高的专业是信息安全(7579元)。对比2018届,电子科学与技术、自动化等与人工智能相关的本科专业表现不俗,较五年前起薪涨幅均达到了19%。数据科学与大数据技术虽是近年新增专业但表现亮眼,已跻身2022届本科毕业生毕业半年后月收入较高专业前三。五年前唯一进入本科高薪榜前10的人文社科类专业——法语已退出前10之列。
“没有网络安全就没有国家安全”。当前,网络安全已被提升到国家战略的高度,成为影响国家安全、社会稳定至关重要的因素之一。
1、就业薪资非常高,涨薪快 2022年猎聘网发布网络安全行业就业薪资行业最高人均33.77万!
2019年9月18日《中华人民共和国中央人民政府》官方网站发表:我国网络空间安全人才 需求140万人,而全国各大学校每年培养的人员不到1.5W人。猎聘网《2021年上半年网络安全报告》预测2027年网安人才需求300W,现在从事网络安全行业的从业人员只有10W人。
行业发展空间大,岗位非常多
网络安全行业产业以来,随即新增加了几十个网络安全行业岗位︰网络安全专家、网络安全分析师、安全咨询师、网络安全工程师、安全架构师、安全运维工程师、渗透工程师、信息安全管理员、数据安全工程师、网络安全运营工程师、网络安全应急响应工程师、数据鉴定师、网络安全产品经理、网络安全服务工程师、网络安全培训师、网络安全审计员、威胁情报分析工程师、灾难恢复专业人员、实战攻防专业人员…
职业增值潜力大
网络安全专业具有很强的技术特性,尤其是掌握工作中的核心网络架构、安全技术,在职业发展上具有不可替代的竞争优势。
随着个人能力的不断提升,所从事工作的职业价值也会随着自身经验的丰富以及项目运作的成熟,升值空间一路看涨,这也是为什么受大家欢迎的主要原因。
从某种程度来讲,在网络安全领域,跟医生职业一样,越老越吃香,因为技术愈加成熟,自然工作会受到重视,升职加薪则是水到渠成之事。
黑客&网络安全如何学习
今天只要你给我的文章点赞,我私藏的网安学习资料一样免费共享给你们,来看看有哪些东西。
行业发展空间大,岗位非常多
网络安全行业产业以来,随即新增加了几十个网络安全行业岗位︰网络安全专家、网络安全分析师、安全咨询师、网络安全工程师、安全架构师、安全运维工程师、渗透工程师、信息安全管理员、数据安全工程师、网络安全运营工程师、网络安全应急响应工程师、数据鉴定师、网络安全产品经理、网络安全服务工程师、网络安全培训师、网络安全审计员、威胁情报分析工程师、灾难恢复专业人员、实战攻防专业人员…
职业增值潜力大
网络安全专业具有很强的技术特性,尤其是掌握工作中的核心网络架构、安全技术,在职业发展上具有不可替代的竞争优势。
随着个人能力的不断提升,所从事工作的职业价值也会随着自身经验的丰富以及项目运作的成熟,升值空间一路看涨,这也是为什么受大家欢迎的主要原因。
从某种程度来讲,在网络安全领域,跟医生职业一样,越老越吃香,因为技术愈加成熟,自然工作会受到重视,升职加薪则是水到渠成之事。
黑客&网络安全如何学习
今天只要你给我的文章点赞,我私藏的网安学习资料一样免费共享给你们,来看看有哪些东西。
攻击和防守要学的东西也不少,具体要学的东西我都写在了上面的路线图,如果你能学完它们,你去就业和接私活完全没有问题。
网上虽然也有很多的学习资源,但基本上都残缺不全的,这是我自己录的网安视频教程,上面路线图的每一个知识点,我都有配套的视频讲解。
内容涵盖了网络安全法学习、网络安全运营等保测评、渗透测试基础、漏洞详解、计算机基础知识等,都是网络安全入门必知必会的学习内容。
技术文档也是我自己整理的,包括我参加大型网安行动、CTF和挖SRC漏洞的经验和技术要点,电子书也有200多本,由于内容的敏感性,我就不一一展示了。
“工欲善其事必先利其器”我为大家总结出了最受欢迎的几十款款黑客工具。涉及范围主要集中在 信息收集、Android黑客工具、自动化工具、网络钓鱼等,感兴趣的同学不容错过。
还有我视频里讲的案例源码和对应的工具包,需要的话也可以拿走。
这些题目都是大家在面试深信服、奇安信、腾讯或者其它大厂面试时经常遇到的,如果大家有好的题目或者好的见解欢迎分享。
参考解析:深信服官网、奇安信官网、Freebuf、csdn等
内容特点:条理清晰,含图像化表示更加易懂。
内容概要:包括 内网、操作系统、协议、渗透测试、安服、漏洞、注入、XSS、CSRF、SSRF、文件上传、文件下载、文件包含、XXE、逻辑漏洞、工具、SQLmap、NMAP、BP、MSF…
因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取
如果你对网络安全入门感兴趣,那么你需要的话可以点击这里网络安全重磅福利:入门&进阶全套282G学习资源包免费分享!
文章浏览阅读564次,点赞28次,收藏10次。一个开源嵌入式USB设备协议栈:FelisUSB
文章浏览阅读1k次。Laydate控件如何只显示年份如下所示在下面加入css样式 便只显示年份了.laydate_m,.laydate_table{ display:none;} Laydate控件如何只显示时分秒#laydate_box.laydate_top,#laydate_box.laydate_table,#laydate_today{display:none;}当然都还需要对应修改下面的format$(document).ready(function(){laydate({elem:'#haha',//目标元素。_vue3 移动端框架下载
文章浏览阅读402次。ubuntu桌面卡死问题如何解决之前的操作就是关机、重启现在找到一种新的解决办法:切换到tty模式,执行pkill X;start X;即可补充一点:Ctrl+Atl+F3/F4/F5/F6 进入ttyCtrl+Atl+F2退出tty不过有一点:所有的进程都会被杀死,重新进来之后,啥都没有了,不过好像重启也会这样的。..._ubuntu 设置桌面 卡死
文章浏览阅读279次。java基础**面向对象——多态** 来,此篇博客来看看Java面向对象最后一篇——多态,也是Java最简单的最后部分了。 这个多态呀。就是事物的多种形态,主要分为静多态和动多态多态 前提:不知道还记得继承和方法重写重载么。 体现:父类引用或者接口引用执行子类的对象。(就是基类的引用引用派生类的对象)我记..._son son=(parent) parent
文章浏览阅读278次。数据类型-字符串字符串是 python最常见的基本数据类型之一,常见的定义方式是一对单引号( '……')或者一对双引号 ("……")创建,多行字符串也可使用三单引号或者三双引号定义。1. 特点不可变类型: 在元素定义之后不能对其进行修改,否则会报错可以进行切片和索引操作: 索引下标从零开始示例a = "hello world"b = 'hello python'print(type(a), typ..._name[:-4:-1]
文章浏览阅读680次。中文名称:磷脂-聚乙二醇-半乳糖 半乳糖-聚乙二醇-磷脂简称:DSPE-PEG-Galactose Galactose-PEG-DSPE外观: 根据不同的分子量为半固体或固体分子量(PEG ):1000、2000、3400、5000,其他分子量可以定制。溶剂:溶于部分常规有机溶剂存储条件:-20℃以下冰冻、干燥、避光。长期保存惰性(氩气或者氮气)保护。二硬脂酰磷脂酰乙醇胺-聚乙二醇-半乳糖对脂质体表面进行聚乙二醇修饰后,得到长循环脂质体可以延长脂质体的半衰期和提高它在血液循环中的稳定性、改变脂质体的生物_dspe-peg-gal
文章浏览阅读245次。在这个循环里,将异或得到的结果每次减去1,同时在数组里写上1,往后遍历数组。查看,main函数,首先是将输入的数据与key中的字符依次异或。直到异或得到的结果减为0,在数组中写一个0进行标记。最后比较数组是否与r数组相同。_easyxor
文章浏览阅读543次。取一个随机数 if(temp_rand_leach代码
文章浏览阅读2.8k次,点赞3次,收藏19次。NVIDIA DALI从入门到放弃之一:概述NVIDIA DALI从入门到放弃之二:入门示例NVIDIA DALI从入门到放弃之三:Data LoadingNVIDIA DALI从入门到放弃之四:Multiple GPUNVIDIA DALI从入门到放弃之五:Image ProcessingNVIDIA DALI从入门到放弃之六:Geometric TransformsNVIDIA DALI从入门到放弃之七:Sequence ProcessingNVIDIA DALI从入门到放弃之八:PyTo_nvidia dail
文章浏览阅读165次。安装CSF 防火墙通常是我们在服务器上所做的第二件事。防火墙的主要目的是为了帮助完成如下任务:1 防止暴力破解密码,自动屏蔽连续登陆失败的IP2 管理网络端口,只开放必要的端口3 免疫小流量的 DDos 和 CC ***。(对于免疫这些的*** 个人感觉也就那么回事)CSF是一个功能完善的防火墙,并且提供 cPanel 插件,便于管理。当然除了 Web GUI..._如何安装csf包
文章浏览阅读1k次,点赞2次,收藏6次。CMake使用_set( cmake_cxx_flags "${cmake_cxx_flags} -y_gpp")
文章浏览阅读177次。在机器学习中,对抗性攻击指的是利用模型的弱点来误导模型做出错误决策的方法。通过对抗性攻击生成的图像或视频可能包含细微的、专门设计的扰动,这些扰动对人眼几乎不可见,但可以使得人脸识别系统无法正确识别。如果AI生成的换脸图像足够逼真,它可能会误导基于图像的人脸识别系统。尽管采取了这些防御措施,没有任何安全系统是绝对安全的,而技术的进步总是在不断地推动攻防之间的较量。通过创建目标人脸的3D模型,并将其用于生成图像或视频,可以生成能够误导2D或3D人脸识别系统的视觉内容。_ai换脸可以人脸识别吗