基于数据链路层攻击和防御.doc

基于数据链路层攻击和防御 　　摘 要：针对如何解决数据链路层的安全防范问题，分析了针对二层交换机设备的MAC洪泛攻击、ARP地址欺骗攻击、以及针对STP技术和VLAN技术的攻击，并提出相应的防御措施。 关键词：数据链路层的安全；MAC洪泛攻击；ARP攻击；STP技术 中图分类号：TP393.08 当前网络安全的问题80%都是来源于“内部网络”，并且网络攻击者攻击的对象更多从单纯的计算机转向了整体的网络结构与网络设计，利用设备本身工作原理的漏洞进行攻击。对于园区网络而言，数据链路层的技术应用范围最为广泛，而且，数据链路层对于整体网络安全防御来说，属于最薄弱的一个环节。可见，针对数据链路层存在的攻击做好防御工作，具有重要的意义。 本文主要分析了针对二层交换机设备的MAC洪泛攻击、ARP地址欺骗攻击、以及针对STP技术和VLAN技术的攻击，并提出相应的防御措施。 1 针对二层交换机的MAC洪泛攻击及防御 Macof对于MAC地址的洪泛攻击，安全软件如防火墙、防病毒软件一般是无效的，无法成功防御[1]。数据链路层设备二层交换机，是利用“MAC地址自学习”技术来构建MAC地址表，然后数据包通过地址表进行二层选路。但MAC地址表的容量是有限的，受二层交换机的内存限制，一般MAC表的容量可以容纳几千到几万条MAC记录。如果MAC表在几秒钟被攻击入侵者充满，那么就会造成交换机MAC地址表溢出，导致正常的MAC地址表无法被交换机成功学习到，交换机就无法执行正常的MAC地址与端口对应关系的选路，进入交换机的数据包就会被广播到每一个端口，这时交换机就变成了和集线器同一种网络设备，交换机会以广播方式处理接收到的任何一个单播帧，入侵者可以从交换机的任何端口上成功监听交换机的所有数据。 可以采用的防御方式有[1]： （1）加强交换机的端口安全。进入要配置的端口，设置为交换访问模式，打开端口安全模式，保证该端口只能容纳一个MAC地址的学习空间，将一个MAC地址与一个端口进行静态绑定。设置非法接入端口的处理方式，以Cisco交换机为例，Switch（config-if）#switchport port-security violation {protect|restrict|shutdown}。Protect表示当超过所允许学习的最大MAC地址数时，将来自新主机的数据帧丢弃，不发任何警告信息；restrict表示将非法的数据帧丢弃，向console平台警告信息；shutdown表示关闭端口，除非管理员手工激活，否则该端口失效。 （2）在交换机端口上阻止单播洪泛。阻止未知单播地址洪泛，设置命令：Switch （config-if）#switchport block unicast。 2 ARP欺骗攻击及防御 2.1 ARP欺骗攻击 ARP欺骗攻击是利用以太网利用MAC地址进行通信来实现的。如果IP主机需要自动请求目标主机的MAC，那么ARP协议就必须被使用。ARP协议简单高效，但存在安全缺陷。攻击者可在被攻击者的ARP关系映射表刷新之前对其进行修改，也可以利用ARP的请求报文广播方式的缺陷，冒充源主机来进行ARP应答。如果攻击者用攻击主机的MAC地址去对应网关的IP地址的方式，让正常的客户主机以为攻击者的主机就是网关，使得正常用户的主机上的原本发送给网关的数据被窃取，有可能给用户造成重大损失。 ARP协议对应答报文是否合法并不进行验证，缺乏认证机制导致攻击者可以发送任意伪造的ARP报文对网络进行攻击，按照攻击类型，ARP攻击可分为仿网关攻击、仿冒用户攻击、泛洪攻击、免费ARP攻击和代理ARP攻击[2]。 2.2 ARP防御 ARP攻击的防御，是将IP地址与MAC地址进行捆绑，去覆盖被欺骗的ARP对应关系。针对单个主机的ARP欺骗攻击，可以将网关等重要设备的IP与MAC地址进行绑定来防御。针对交换机的ARP欺骗攻击，可以将交换机端口与相连设备的MAC地址进行绑定，并通过端口安全功能对攻击者的主机进行相应的处理[3-4]。 还可以使用一些应答包筛选功能的ARP防火墙来防御。这些防火墙可以进行IP地址与MAC地址的静态绑定，同时可以过滤掉那些没有ARP请求对应的应答包，这样更好的防御了局域网的ARP攻击。但和静态ARP缓存表一样在大型网络中仍然不适用[6]。 另外，还可以采用通过在DHCP Snooping绑定表的基础上，使用DAI（Dynamic ARP Inspection）技术来检测ARP请求，拦截非法的ARP报文[5]。DAI动态ARP监测可以核实网络中的ARP数据包，它可以把一个IP到MAC地址绑定的映射关系存储进一个可靠的数据库，并在将数据包转发到目的地