Bridge(橋接器)在現代網路架構中扮演關鍵角色。理解其 MAC Table 機制與安全風險,是掌握網路基礎架構的核心能力。
MAC Table 機制與碰撞網域隔離
Bridge 運作於 OSI 第二層(資料連結層),核心任務是依據 MAC 位址決定封包的轉發或過濾。當封包抵達時,Bridge 記錄來源 MAC 與對應埠號至 MAC Address Table(CAM Table)。若目的 MAC 已存在於表中,封包僅轉發至對應埠;若不存在,則泛洪至所有埠(Flooding)。這套機制將每個埠隔離成獨立的碰撞網域(Collision Domain),有效降低碰撞率並提升頻寬利用效率,是相較於 Hub 的核心優勢。
重啟後的泛洪竊聽風險窗口
MAC Table 儲存於揮發性記憶體,Bridge 重啟後 Table 完全清空。在重新學習完成前,所有目的 MAC 均為「未知單播(Unknown Unicast)」,Bridge 將封包泛洪至所有埠。攻擊者若於此窗口期連接至任一埠,即可被動竊聽全部流量,形成安全漏洞。此外,刻意發送大量偽造來源 MAC 的封包(MAC Flooding 攻擊)可使 Table 溢出,強制 Bridge 持續泛洪,達到相同竊聽效果。對策包含啟用 Port Security 限制每埠最大 MAC 數量,以及設定 MAC Table 老化時間。
💡 重點整理
- Bridge 依 MAC Table 決定轉發或過濾,每埠為獨立碰撞網域。
- 重啟後 MAC Table 清空,未知單播觸發全埠泛洪,形成竊聽窗口。
- MAC Flooding 攻擊可人為清空 Table,迫使 Bridge 持續泛洪。
- Port Security 與 MAC 數量上限是防禦泛洪攻擊的首要對策。
Bridge 的泛洪機制是功能與風險的兩面刃。掌握 MAC Table 的運作原理,並在架構設計時落實 Port Security 策略,是構建安全網路環境不可忽視的基礎功課。
📚 參考文獻
- Cisco — Understanding and Configuring Port Security(官方技術文件,涵蓋 MAC Flooding 防禦機制)
- IEEE 802.1D — MAC Bridges Standard(Bridge 運作原理的規範來源)
⚠️ 本文內容基於撰寫時的最新資訊,實際應用時請參考官方文件的最新版本。
留言
張貼留言