数据链路层与网络安全.docx

课程设计任务书题目：网络安全技术分析与安全方案设计指导老师：院系：班级：姓名：小组成员：姓名：刘锡淼学号：540907040127负责内容：统筹协作和运输层安全分析与解决方案姓名：杨大为学号：540907040144负责内容：应用层安全分析与解决方案姓名：余飞学号：540907040145负责内容：网络层安全分析与解决方案姓名：周恺学号：540907040156负责内容：物理层安全分析与解决方案姓名：赵伟学号：540907040153负责内容：数据链路层安全分析与解决方案基本要求：设计网络安全技术实现方案。选择合适的 安全协议、安全技术、安全设备，设计安全组网方案。按5人左右组合成一个小组，集中讨论，提出各小组的实现方案，总结并写出报告。设计目的：分析网络各种安全技术和安全设备设计网络安全的方案计算机网络安全技术内容:保密性安全协议的设计访问控制网络安全分析类别:物理层安全分析及解决方案数据链路层安全分析及解决方案网络层安全分析及解决方案运输层安全分析及解决方案应用层安全分析及解决方案设计内容：数据链路层与网络安全通信的每一层中都有自己独特的安全问题。数据链路层（第二协议层）的通信连接就安全而言，是较为薄弱的环节。网络安全的问题应该在多个协议层针对不同的弱点进行解决。在本部分中，我将集中讨论与有线局域网相关的安全问题。在第二协议层的通信中，交换机是关键的部件，它们也用于第三协议层的通信。对于相同的第三协议层的许多攻击和许多独特的网络攻击，它们和路由器都会很敏感，这些攻击包括：内容寻址存储器（CAM）表格淹没：交换机中的 CAM 表格包含了诸如在指定交换机的物理端口所提供的 MAC 地址和相关的 VLAN 参数之类的信息。一个典型的网络侵入者会向该交换机提供大量的无效 MAC 源地址，直到 CAM 表格被添满。当这种情况发生的时候，交换机会将传输进来的信息向所有的端口发送，因为这时交换机不能够从 CAM 表格中查找出特定的 MAC 地址的端口号。CAM 表格淹没只会导致交换机在本地 VLAN 范围内到处发送信息，所以侵入者只能够看到自己所连接到的本地 VLAN 中的信息。VLAN 中继：VLAN 中继是一种网络攻击，由一终端系统发出以位于不同 VLAN 上的系统为目标地址的数据包，而该系统不可以采用常规的方法被连接。该信息被附加上不同于该终端系统所属网络 VLAN ID 的标签。或者发出攻击的系统伪装成交换机并对中继进行处理，以便于攻击者能够收发其它 VLAN 之间的通信。操纵生成树协议：生成树协议可用于交换网络中以防止在以太网拓朴结构中产生桥接循环。通过攻击生成树协议，网络攻击者希望将自己的系统伪装成该拓朴结构中的根网桥。要达到此目的，网络攻击者需要向外广播生成树协议配置/拓朴结构改变网桥协议数据单元（BPDU），企图迫使生成树进行重新计算。网络攻击者系统发出的 BPDU 声称发出攻击的网桥优先权较低。如果获得成功，该网络攻击者能够获得各种各样的数据帧。媒体存取控制地址（MAC）欺骗：在进行 MAC 欺骗攻击的过程中，已知某其它主机的 MAC 地址会被用来使目标交换机向攻击者转发以该主机为目的地址的数据帧。通过发送带有该主机以太网源地址的单个数据帧的办法，网络攻击者改写了 CAM 表格中的条目，使得交换机将以该主机为目的地址的数据包转发给该网络攻击者。除非该主机向外发送信息，否则它不会收到任何信息。当该主机向外发送信息的时候，CAM 表中对应的条目会被再次改写，以便它能恢复到原始的端口。地址解析协议（ARP）攻击：ARP 协议的作用是在处于同一个子网中的主机所构成的局域网部分中将 IP 地址映射到 MAC 地址。当有人在未获得授权时就企图更改 MAC 和 IP 地址的 ARP 表格中的信息时，就发生了 ARP 攻击。通过这种方式，黑客们可以伪造 MAC 或 IP 地址，以便实施如下的两种攻击：服务拒绝和中间人攻击。专用 VLAN：专用 VLAN 通过限制 VLAN 中能够与同 VLAN 中其它端口进行通信的端口的方式进行工作。VLAN 中的孤立端口只能和混合端口进行通信。混合端口能够和任何端口进行通信。能够绕过专用 VLAN 安全措施的攻击的实现要使用绕过专用 VLAN 访问限制的代理。DHCP 耗竭：DHCP 耗竭的攻击通过利用伪造的 MAC 地址来广播 DHCP 请求的方式来进行。利用诸如 gobbler 之类的攻击工具就可以很容易地造成这种情况。如果所发出的请求足够多的话，网络攻击者就可以在一段时间内耗竭向 DHCP 服务器所提供的地址空间。这是一种比较简单的资源耗竭的攻击手段，就像 SYN 泛滥一样。然后网络攻击者可以在自己的系统中建立起虚假的 DHCP 服务器来对网络上客户发出的新 DHCP 请求作出反应。降低局