黃怡鶴 孫秋文 吳響 胡俊峰

摘要：隨著醫(yī)院信息化的飛速發(fā)展，如何保障網(wǎng)絡(luò)系統(tǒng)的安全性和防止隱私數(shù)據(jù)泄露成為當(dāng)前面臨的重大挑戰(zhàn)。本文針對MAC地址泛洪攻擊深入研究，提出醫(yī)院惡意MAC地址防洪攻擊防范方案以提高醫(yī)院網(wǎng)絡(luò)的可靠性，并基于MNSS（Medical Network System Simulator）仿真軟件搭建實(shí)驗(yàn)平臺(tái)進(jìn)行虛擬仿真。結(jié)果證明該方案能夠有效預(yù)防MAC地址防洪攻擊，保證醫(yī)院網(wǎng)絡(luò)的安全性。

Abstract： With the rapid development of hospital information technology， how to protect the security of network system and prevent privacy data leakage has become a major challenge. In this paper， aiming at the deep study of flood attack of MAC address， this paper puts forward the prevention scheme of flood control attack of malicious MAC address in hospital in order to improve the reliability of hospital network， and based on MNSS （Medical Network System Simulator） simulation software to build an experimental platform for virtual simulation. The result proves that the scheme can effectively prevent MAC address from flood attack and ensure the safety of hospital network.

關(guān)鍵詞： MNSS；虛擬仿真；網(wǎng)絡(luò)安全；MAC地址泛洪

Key words： MNSS；virtual stimulation；network security；MAC Address Flood

中圖分類號：TN711 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號：1006-4311（2018）27-0240-03

0 引言

隨著信息化建設(shè)的逐步完善，醫(yī)院信息系統(tǒng)所容納的診療數(shù)據(jù)不斷增加，這對醫(yī)院信息網(wǎng)絡(luò)的穩(wěn)定性與安全性提出了越來越高的要求。然而隨著醫(yī)院網(wǎng)絡(luò)體系的不斷完善，相應(yīng)的攻擊手段也在不斷升級。作為網(wǎng)絡(luò)系統(tǒng)的基礎(chǔ)，二層數(shù)據(jù)鏈路是進(jìn)行數(shù)據(jù)傳輸?shù)幕A(chǔ)，而其中基于交換機(jī)工作機(jī)制衍生出多種網(wǎng)絡(luò)攻擊方式[1]。例如：攻擊者通過發(fā)送大量虛假mac地址迫使醫(yī)院交換機(jī)進(jìn)行數(shù)據(jù)廣播從而造成數(shù)據(jù)泄露，這使得醫(yī)院網(wǎng)絡(luò)信息系統(tǒng)的安全性難以得到有效保證。一旦信息泄露，不僅醫(yī)院聲譽(yù)受損，信息濫用所造成的危害也難以估量。針對這一問題，本文對交換機(jī)的工作機(jī)制進(jìn)行深入研究，提出醫(yī)院惡意MAC地址泛洪攻擊防范方案，在一定程度上保障醫(yī)院網(wǎng)絡(luò)的安全性。

為了驗(yàn)證方案可行性，本文使用MNSS搭建仿真實(shí)驗(yàn)環(huán)境，全方位模擬在醫(yī)院網(wǎng)絡(luò)環(huán)境中MAC地址泛洪攻擊的情景[2]。其中，MNSS是徐州醫(yī)科大學(xué)自主研發(fā)的仿真軟件，提供一種簡便的方法來設(shè)計(jì)和構(gòu)建任何規(guī)模的醫(yī)院網(wǎng)絡(luò)拓?fù)?。通過將其引入到醫(yī)院惡意MAC地址泛洪攻擊防范方案的仿真實(shí)驗(yàn)中，模擬真實(shí)醫(yī)院網(wǎng)絡(luò)架構(gòu)，可以一定程度上降低研究成本，保障醫(yī)院網(wǎng)絡(luò)的安全性。

1 相關(guān)技術(shù)研究

1.1 交換機(jī)工作機(jī)制

交換機(jī)通過對比數(shù)據(jù)幀中的目的MAC地址和MAC地址表的映射記錄來選擇通過哪種方式處理數(shù)據(jù)幀[3]。在接收到數(shù)據(jù)幀之后，交換機(jī)首先會(huì)記錄數(shù)據(jù)幀中的源MAC地址與對應(yīng)的接收端口到地址表中，其次檢查地址表中是否包含目標(biāo)MAC地址信息，若有則會(huì)根據(jù)地址表中記錄的對應(yīng)端口將數(shù)據(jù)幀發(fā)送出去（單播），否則將數(shù)據(jù)幀從非接受接口發(fā)送出去（廣播）。如果交換機(jī)端口在一定時(shí)間內(nèi)未收到來自與MAC地址相關(guān)的數(shù)據(jù)，那么這些MAC地址將被從表中刪除，即地址老化。

1.2 MAC地址的泛洪攻擊

攻擊者通過一些手段向交換機(jī)發(fā)送大量包含偽造MAC地址信息的數(shù)據(jù)幀，迫使交換機(jī)的MAC地址表容量迅速被占滿。然而正常主機(jī)的MAC地址信息可能因?yàn)槔匣缫巡辉谠摫碇?。此時(shí)，正常主機(jī)發(fā)送的數(shù)據(jù)幀就會(huì)通過交換機(jī)以廣播的形式來轉(zhuǎn)發(fā)，而攻擊者則可以通過抓包等手段，輕松獲取到重要數(shù)據(jù)。

1.3 MAC地址泛洪攻擊防御措施

①禁用MAC地址學(xué)習(xí)功能：MAC地址表中地址信息的來源除了自學(xué)習(xí)這一動(dòng)態(tài)方式外，還有靜態(tài)手工配置的方式。由于靜態(tài)地址表項(xiàng)不具備老化時(shí)間，在保存配置的條件下，即使設(shè)備重啟也能保留[4]。利用這一特性，可以通過關(guān)閉交換機(jī)MAC地址學(xué)習(xí)的能力，手動(dòng)添加MAC地址映射。該措施能夠最大限度地保障網(wǎng)絡(luò)安全，但在大型網(wǎng)絡(luò)中，此方法所耗費(fèi)的成本是巨大的。

②開啟Port Security功能：Port Security是交換機(jī)上的端口安全特性[5]。該特性可以設(shè)置交換機(jī)端口允許通過的MAC地址數(shù)目，一旦有超過最大數(shù)目的MAC地址嘗試通過該端口，交換機(jī)會(huì)使用以下三種方式應(yīng)答：

1）protect：將來自違規(guī)MAC地址的數(shù)據(jù)幀丟棄，端口依然開啟，不記錄違規(guī)的數(shù)據(jù)幀；

2）restrict：將違規(guī)的數(shù)據(jù)幀丟棄，端口依然開啟，但記錄違規(guī)的數(shù)據(jù)幀；

3）shutdown：默認(rèn)模式，關(guān)閉端口[6]。

2 實(shí)驗(yàn)仿真設(shè)計(jì)

2.1 網(wǎng)絡(luò)拓?fù)浞抡嬖O(shè)計(jì)

在MNSS模擬器的工作區(qū)域中搭建醫(yī)院網(wǎng)絡(luò)的簡易拓?fù)鋱D。如圖1所示：核心網(wǎng)絡(luò)的CoreA、CoreB為三層交換機(jī)；服務(wù)器區(qū)域的FTPserver通過二層交換機(jī)SW1接入核心層。其中，Client模擬某科室內(nèi)的正常主機(jī)，Attacker模擬MAC防洪攻擊者。

2.2 關(guān)鍵設(shè)備的相關(guān)配置

交換機(jī)的相關(guān)配置如表1所示。

2.3 醫(yī)院惡意MAC地址攻擊步驟

①將終端操作系統(tǒng)模塊中的Windows系統(tǒng)鏡像實(shí)例化作為FTPserver（本實(shí)使用Windows 10 Education系統(tǒng)鏡像），并在此系統(tǒng)上搭建FTP服務(wù)器。同時(shí)，添加一個(gè)用戶賬號：user，并設(shè)置密碼：cisco123。

②將終端操作系統(tǒng)模塊中的Linux系統(tǒng)鏡像實(shí)例化作為Attacker（本實(shí)使用Kali Linux系統(tǒng)鏡像），使用“macof”命令進(jìn)行模擬攻擊，發(fā)送大量偽造的MAC地址的數(shù)據(jù)幀。

③將終端操作系統(tǒng)模塊中的Linux系統(tǒng)鏡像實(shí)例化作為Client（本實(shí)使用CentOS7 Minimal系統(tǒng)鏡像），登陸FTP服務(wù)器，同時(shí)在Attacker上抓取由于MAC地址泛洪而接收到的數(shù)據(jù)包。圖2為Attacker的抓取情況，可以發(fā)現(xiàn)其中包含有登陸FTP服務(wù)器的賬號和密碼。

2.4 醫(yī)院惡意

2.5 AC地址攻擊防范

①開啟交換機(jī)上的端口安全。

SW1（config-if）#switchport port-security maximum 10 ！ 設(shè)置端口可供通過的最大MAC地址數(shù)目

SW2（config-if）#switchport port-security mac-address sticky ！ 將接口上動(dòng)態(tài)學(xué)習(xí)到的MAC地址變?yōu)椤罢硿睜顟B(tài)

SW2（config-if）#switchport port-security violation restrict ！ 當(dāng)端口上學(xué)習(xí)到的MAC地址信息超過最大數(shù)目后發(fā)出警告

②設(shè)置完成后，重復(fù)上述攻擊實(shí)驗(yàn)，發(fā)現(xiàn)Client能夠正常訪問FTP服務(wù)器而Attacker已經(jīng)無法成功獲取來自Client的數(shù)據(jù)。

3 結(jié)語

信息時(shí)代的到來使得醫(yī)院信息化的步伐越來越快，但信息安全卻成為制約國內(nèi)醫(yī)院信息化的瓶頸。例如：FTP服務(wù)器的簡單便捷的優(yōu)點(diǎn)使其成為醫(yī)院數(shù)據(jù)共享的主要工具。然而，部分不法分子利用MAC地址泛洪攻擊的方式竊取診療數(shù)據(jù)。本文提出醫(yī)院惡意MAC地址防洪攻擊防范方案，通過在交換機(jī)上開啟交換機(jī)端口安全功能的方式，有效地防止醫(yī)院數(shù)據(jù)泄露，保障醫(yī)院網(wǎng)絡(luò)系統(tǒng)的安全，并利用MNSS驗(yàn)證其可行性。

參考文獻(xiàn)：

[1]蘆彩林，李龍軍.基于WinPcap的MAC地址泛洪攻擊技術(shù)研究[J].電腦開發(fā)與應(yīng)用，2012（11）：18-19，23.

[2]王競，吳響，黃怡鶴，等.醫(yī)學(xué)院校物聯(lián)網(wǎng)工程專業(yè)虛擬仿真實(shí)驗(yàn)教學(xué)體系建設(shè)與實(shí)踐[J].高教學(xué)刊，2017（21）：35-37.

[3]劉向東，李志潔，王存睿，姜楠.以太網(wǎng)交換機(jī)原理實(shí)驗(yàn)設(shè)計(jì)[J].實(shí)驗(yàn)室研究與探索，2011，1：48-50，57.

[4]馬偉強(qiáng).交換機(jī)MAC地址表的產(chǎn)生與管理[J].計(jì)算機(jī)與網(wǎng)絡(luò)，2012，9：67-69.

[5]彭永余.淺談交換機(jī)端口的安全配置方法[J].無線互聯(lián)科技，2016（23）：131-132.

[6]趙菁.防御MAC地址泛洪攻擊的交換機(jī)安全配置方法[J].數(shù)碼設(shè)計(jì)，2017，3：83-85.