夏衛(wèi)虎，李元旦

浙江省煙草公司臺(tái)州市公司，浙江臺(tái)州 318000

隨著時(shí)代的發(fā)展，網(wǎng)絡(luò)上信息傳遞的信息量和重要程度都在急劇增加，本文總結(jié)了網(wǎng)絡(luò)中幾種嚴(yán)重的攻擊方式，根據(jù)大部分網(wǎng)絡(luò)攻擊特點(diǎn)，將攻擊終結(jié)在接入層，大大減少了上層核心網(wǎng)絡(luò)被攻擊的風(fēng)險(xiǎn)和業(yè)務(wù)處理負(fù)擔(dān)。

1 攻擊方式概述

1.1 MAC地址泛洪

二層交換機(jī)是基于MAC地址去轉(zhuǎn)發(fā)數(shù)據(jù)幀的，轉(zhuǎn)發(fā)過程中依靠對(duì)CAM表的查詢來確定正確的轉(zhuǎn)發(fā)接口，一旦在查詢過程中無法找到相關(guān)目的MAC對(duì)應(yīng)的條目，此數(shù)據(jù)幀將作為廣播幀從交換機(jī)的所有端口發(fā)送出去。MAC/CAM泛洪攻擊就是利用了交換機(jī)的這個(gè)特點(diǎn)，短時(shí)間內(nèi)產(chǎn)生大量去往未知目的地的數(shù)據(jù)幀，這些欺騙MAC地址將迅速填滿交換機(jī)的CAM表。CAM表被填滿后，流量在所有端口廣播，這時(shí)攻擊者可以利用各種嗅探攻擊獲取網(wǎng)絡(luò)信息。同時(shí)流量以方波方式發(fā)送到鄰接交換機(jī)，造成交換機(jī)負(fù)載過大，網(wǎng)絡(luò)緩慢和丟包甚至癱瘓。

1.2 ARP欺騙攻擊

在以太網(wǎng)等局域網(wǎng)上，使用ARP協(xié)議來實(shí)現(xiàn)lP地址到MAC地址的動(dòng)態(tài)轉(zhuǎn)換。在每臺(tái)安裝有TCP／IP協(xié)議的電腦里都有一個(gè)ARP緩存表，表里的lP地址與MAC地址是一一對(duì)應(yīng)的。ARP欺騙攻擊就是利用ARP協(xié)議漏洞，通過偽造IP地址和MAC地址實(shí)現(xiàn)ARP欺騙的攻擊技術(shù)，并能夠在網(wǎng)絡(luò)中產(chǎn)生大量的ARP通信量使網(wǎng)絡(luò)阻塞，攻擊者只要持續(xù)不斷的發(fā)出偽造的ARP 響應(yīng)包就能更改目標(biāo)主機(jī)ARP緩存中的IP—MAC條目，造成網(wǎng)絡(luò)中斷或中間人攻擊。

從影響網(wǎng)絡(luò)連接通暢的方式來看，ARP欺騙分為二種，一種是對(duì)交換機(jī)ARP表的欺騙：另一種是對(duì)內(nèi)網(wǎng)PC的網(wǎng)關(guān)欺騙。第一種ARP欺騙的原理是向交換機(jī)不斷發(fā)送錯(cuò)誤的MAC地址以填滿交換機(jī)ARP表，而真實(shí)內(nèi)網(wǎng)終端地址信息無法通過更新保存在ARP表中，結(jié)果交換機(jī)的所有數(shù)據(jù)只能發(fā)送給錯(cuò)誤的MAC地址，造成正常PC無法收到信息。第二種ARP欺騙的原理是偽造網(wǎng)關(guān)：攻擊者首先會(huì)偽造網(wǎng)關(guān)地址，使得局域網(wǎng)計(jì)算機(jī)中所有的計(jì)算機(jī)發(fā)給網(wǎng)關(guān)的數(shù)據(jù)全部發(fā)給攻擊者，在收到這些數(shù)據(jù)之后，攻擊者會(huì)將這些數(shù)據(jù)發(fā)往網(wǎng)關(guān)，通過網(wǎng)關(guān)發(fā)送到外部網(wǎng)絡(luò)，外部網(wǎng)絡(luò)會(huì)返回?cái)?shù)據(jù)給攻擊者，攻擊者再將這些返回的數(shù)據(jù)發(fā)送給內(nèi)網(wǎng)計(jì)算機(jī)。攻擊者就這樣成為了計(jì)算機(jī)與外部網(wǎng)絡(luò)數(shù)據(jù)傳輸?shù)闹修D(zhuǎn)站，從而竊取到計(jì)算機(jī)與外部網(wǎng)絡(luò)交互的所有信息，而計(jì)算機(jī)卻全不知情。

2 接入層解決方案

接入層交換機(jī)處在網(wǎng)絡(luò)的邊緣，是整個(gè)網(wǎng)絡(luò)的大門，也是抵御惡意攻擊的第一道防線。以下以思科接入層交換機(jī)為例，提出針對(duì)以上攻擊的解決方案。

2.1 基于802.1X

802.1 X是IEEE制定的關(guān)于用戶接入網(wǎng)絡(luò)的認(rèn)證標(biāo)準(zhǔn)，它的全稱是“基于端口的網(wǎng)絡(luò)接人控制”802.1X協(xié)議是基于C/S的訪問控制和認(rèn)證協(xié)議。它可以限制未經(jīng)授權(quán)的用戶或設(shè)備通過接入端口訪問網(wǎng)絡(luò)系統(tǒng)。當(dāng)流量到達(dá)啟用了802.1X的端口后，需要和驗(yàn)證服務(wù)器交互，認(rèn)證通過后得到授權(quán)，才可以訪問網(wǎng)絡(luò)。以下為配置實(shí)例：

switch(config)#aaa new-model //啟用交換機(jī)aaa認(rèn)證功能

switch(config)#aaa authentication dot1x default group radius

//指定802.1X認(rèn)證的方式為radius

switch(config)#radius-server host 【ip address】 key 【password】

//配置驗(yàn)證服務(wù)器和密鑰

switch(config)#dot1x system-auth-control 全局啟用802.1x認(rèn)證

switch(config)#interface F0/0

switch (config-if)#dot1x port-control auto 將F0/0端口開啟802.1x認(rèn)證

2.2 基于端口安全（Port-Secirity）

在企業(yè)，連接到接入層交換機(jī)端口的工作站的MAC地址基本保持不變。可以根據(jù)MAC地址控制對(duì)端口的訪問，首先使用接口配置命令啟用，接下來指定一組允許的MAC地址并設(shè)置最大MAC地址數(shù)目，最后，指定使用端口安全的接口在遇到MAC地址違規(guī)時(shí)的處理方式。通過這樣設(shè)置任何來自非指定的MAC地址的數(shù)據(jù)包都將被丟棄而無法訪問內(nèi)網(wǎng)。 以下為配置實(shí)例：

switch (config)#interface F0/2

switch(config-if)#switchport mode access//配置端口模式為接入

switch(config-if)#switchport port-security//接口下開啟portsecurity

switch(config-if)# switchport port-security maximum 1

//配置接口允許MAC地址的最大數(shù)量

switch(config-if)#switchport port-security mac-address 5337. E6B5.B5CA

//定義允許向此接口發(fā)送數(shù)據(jù)幀的MAC地址

switch(config-if)# switchport port-security violation shutdown

//定義當(dāng)有非法MAC地址接入后所采取的動(dòng)作，以上配置為沖突后關(guān)閉端口

端口接收到非指定的MAC地址后，將Shutdown，并進(jìn)入err-disable狀態(tài)，所有連接在交換機(jī)這個(gè)端口的終端都將斷開。此外，還能設(shè)置交換機(jī)丟棄來自該MAC地址的數(shù)據(jù)包，端口狀態(tài)不受影響。

2.3 動(dòng)態(tài)ARP檢查（DAI）

DAI的工作原理是將交換機(jī)端口劃分為可信和不可信的，交換機(jī)攔截并檢查所有經(jīng)不可信端口到達(dá)的ARP分組，但在可信端口上不執(zhí)行這樣的檢查。在不可信端口上收到ARP應(yīng)答后，交換機(jī)根據(jù)已知的可信值對(duì)其中的MAC和IP地址進(jìn)行檢查。交換機(jī)通過靜態(tài)配置的條目或者DHCP探測(cè)數(shù)據(jù)庫中的動(dòng)態(tài)條目來收集可信的ARP信息。如果ARP應(yīng)答中包含與可信數(shù)據(jù)庫中的條目沖突的非法信息或值，交換機(jī)就將丟棄ARP應(yīng)答，并生成一條日志信息。這種措施可防止非法（偽造）的ARP條目被傳輸給其他機(jī)器并加入到其ARP緩存中。以下為配置實(shí)例：

switch(config)#ip arp inspection vlan 104// 在vlan104上啟用DAI

switch(config)#arp access-list staticarp//配置一個(gè)ARP訪問列表

switch(config-acl)#permit ip host 192.168.1.10 mac host 0003.4b55.a184

//指定允許的MAC-IP地址綁定switch(config-acl)#exit

switch(config)ip arp inspect //將ARP訪問列表應(yīng)用于DAI

3 結(jié)論

本文詳細(xì)分析了幾種攻擊手段的原理和危害，給出基于接入層的解決方案，實(shí)現(xiàn)對(duì)用戶終端接入的有效控制，從而保證企業(yè)內(nèi)網(wǎng)信息的安全訪問。

[1]David Hucaby.CCNP SWITCH（642-813）認(rèn)證考試指南[M].人民郵電出版社，2010.

[2]吳世忠，江常青，彭勇.信息安全保障基礎(chǔ)[M].航空工業(yè)出版社，2009.

[3]徐勝利，孫開云，聶金.加強(qiáng)接入層交換機(jī)安全[J].網(wǎng)管員世界，2011(11).