黃飛

摘要：在信息安全的安全網(wǎng)絡教學中，攻擊檢測與防御是一種重要的網(wǎng)絡安全特性。我們需要對此進行實驗驗證，但在實際實驗的過程中，發(fā)現(xiàn)信息安全實驗大多具有破壞性和不可逆性等，無法大規(guī)模在真實環(huán)境下進行。該文利用VMware Workstation和 eNSP 仿真軟件模擬MAC泛洪攻擊過程與防御措施，便于學生直觀地了解和分析 MAC泛洪攻擊過程，加深對交換機工作原理的理解，掌握MAC泛洪的具體防御措施。同時能夠有效突破實驗室設備固定、設備數(shù)量限制和網(wǎng)絡實驗拓撲搭建等問題，便于學生隨時隨地學習與研究。教學實驗效果得到了較好的提升。

關鍵詞：實驗綜述;MAC泛洪;仿真軟件;網(wǎng)絡安全

中圖分類號：TP393? ? ? ? 文獻標識碼：A

文章編號：1009-3044（2019）18-0252-02

1 引言

交換機中的MAC地址表的主要功能是記錄交換機端口級聯(lián)主機MAC地址與交換機端口對應關系，交換機根據(jù)MAC地址表，將接收的數(shù)據(jù)幀傳輸?shù)街付ǖ闹鳈C上。MAC泛洪攻擊的原理是攻擊者利用攻擊工具不斷發(fā)送大量偽造的MAC地址，讓交換機自動記錄學習，從而在短時間內(nèi)用無效的虛擬數(shù)據(jù)將交換機的MAC地址表填滿，導致交換機只能將接收到的數(shù)據(jù)幀在非接收端口進行全部轉(zhuǎn)發(fā)，以達到黑客進行網(wǎng)絡監(jiān)聽的目的。攻擊者在任何一臺與交換機級聯(lián)的主機上打開網(wǎng)絡監(jiān)聽與收集軟件便可獲取數(shù)據(jù)信息，造成網(wǎng)絡存在較大的安全隱患。

在實際過程中，網(wǎng)絡管理員往往因工作繁忙、網(wǎng)絡安全意識淡薄等原因忽視交換機的端口安全，從而引發(fā)交換機的MAC泛洪攻擊事件。

通過交換機的端口安全技術（Port-Security）可以有效防御MAC泛洪攻擊。本文利用VMware Workstation和eNSP工具軟件進行模擬仿真MAC泛洪攻擊與防御。

VMware Workstation是一款用于安裝windows、linux等主流操作系統(tǒng)的仿真軟件。它不僅可以在一臺物理PC機上安裝多個虛擬操作系統(tǒng)，還可以讓多個虛擬操作系統(tǒng)進行網(wǎng)絡連接，使用網(wǎng)絡設備仿真軟件模擬出完整的網(wǎng)絡實驗環(huán)境。該仿真軟件具有多種網(wǎng)絡連接方式種類，有“橋接模式”“NAT模式”“僅主機模式”和“自定義特定虛擬網(wǎng)絡”等。

eNSP是一款由華為公司提供的網(wǎng)絡設備模擬仿真的軟件工具，它不僅可模擬仿真路由器、交換機、防火墻、WLAN等網(wǎng)絡產(chǎn)品，完美呈現(xiàn)真實設備場景，還支持與物理網(wǎng)卡的綁定，可實現(xiàn)較復雜的網(wǎng)絡拓撲模擬與實驗。在沒有真實網(wǎng)絡產(chǎn)品設備的情況下，網(wǎng)絡愛好者也能進行網(wǎng)絡實驗模擬，學習網(wǎng)絡技術。

2 實驗內(nèi)容

2.1 實驗目標

理論知識目標要求了解交換機工作過程和原理，掌握交換機泛洪攻擊的防御方法;技能知識目標要求能夠掌握eNSP和VMware簡單模擬環(huán)境搭建，熟練掌握交換機的MAC泛洪攻擊和端口安全配置的防御操作步驟。

2.2 實驗場景及任務描述

某公司準備搭建FTP服務，用于內(nèi)部員工進行文件上傳和下載等工作需要。出于安全方面考慮要求設置FTP服務的用戶名和密碼。作為網(wǎng)絡安全管理員的你，提出了安全不僅是設置用戶名和密碼訪問FTP服務就可以解決的，還需要對內(nèi)部網(wǎng)絡設備安全進行配置。

任務一：使用攻擊工具macof對交換機進行MAC泛洪攻擊，利用抓包工具捕獲數(shù)據(jù)，進而獲取FTP服務的登錄用戶名和密碼;

任務二：配置交換機端口安全，阻止攻擊機通過其級聯(lián)端口與交換機通信，防御攻擊。

1）實驗拓撲圖，見下圖1。

2）IP地址規(guī)劃表，見下表1。

3）實驗工具

（1）物理機

操作系統(tǒng)：Windows7

物理機安裝工具1：VMware Workstation軟件

物理機安裝工具2：eNSP軟件

（2）客戶端

虛擬機1操作系統(tǒng)：Windows7

（3）服務器

虛擬機2操作系統(tǒng)：Windows Server 2012

虛擬機2安裝工具1：FTP服務

FTP服務用戶名：admin，密碼：admin

（4）攻擊機

虛擬機3操作系統(tǒng)：Kali

虛擬機3安裝工具1：macof

虛擬機3安裝工具1：抓包工具

4）實驗原理

交換機中有端口與MAC地址對應關系表，保存在交換機的RAM中且自動學習與維護，當交換機收到數(shù)據(jù)時，在建立好的MAC地址表中查尋該數(shù)據(jù)幀中的目的MAC地址，如果有記錄，則會根據(jù)MAC地址表中記錄的對應端口將數(shù)據(jù)幀轉(zhuǎn)發(fā)，如果沒有記錄，則會將該數(shù)據(jù)幀從非接受端口轉(zhuǎn)發(fā)。攻擊者利用交換機這一特點，發(fā)送大量偽造MAC地址，導致交換機接受其他主機的數(shù)據(jù)幀泛洪處理。交換機的端口安全技術中可設置端口學習MAC地址的最大數(shù)。

5）實驗步驟

（1）利用VMware Workstation安裝windows 7、kali和windows server 2012三個虛擬機操作系統(tǒng)，設置其網(wǎng)絡連接模式及IP地址，并在服務器上搭建FTP服務等相關操作。

（2）打開eNSP軟件，添加仿真交換機和Cloud，配置eNSP的Cloud中的IO與VMware Workstation的三個虛擬機網(wǎng)絡連接，搭建實驗拓撲圖。

（3）在攻擊機kali上打開終端并調(diào)用macof工具，為了達到盡快填滿交換機的MAC地址表，可以開啟多個窗口運行。與此同時，在終端的窗口中使用命令tcpdump -i eth0 -nn -X tcp port 21打開抓包模塊，做好MAC泛洪后的數(shù)據(jù)抓取準備工作。

（4）在客戶端虛擬機windows 7上使用“我的電腦”地址欄訪問FTP服務，并輸入用戶名和密碼。

（5）打開準備好的抓包模塊，查看抓包數(shù)據(jù)信息，通過實際的實驗操作達到既定的效果，獲得了ftp服務的登錄用戶名和密碼。

（6）配置交換機端口（與攻擊機級聯(lián)端口）安全。

（7）再次打開攻擊機kali中的macof工具并查看交換機MAC地址。

6）實驗結(jié)果與分析

正常情況下，交換機根據(jù)MAC地址表進行數(shù)據(jù)的轉(zhuǎn)發(fā)，一旦數(shù)據(jù)幀中的目的MAC地址不在MAC地址表中，則向所有端口轉(zhuǎn)發(fā)，導致數(shù)據(jù)被捕獲和密碼等信息泄露等。這樣的轉(zhuǎn)發(fā)方式不僅存在安全隱患，還大大降低交換機的性能，這就需要我們對此進行有效的防范。

通過交換機的端口安全技術，可以有效防御MAC泛洪攻擊，提高交換機的性能，進而增強設備的安全性。

3 總結(jié)

隨著當前信息化技術的飛速發(fā)展，網(wǎng)絡的攻擊日益增多，而通信協(xié)議本身的缺陷以及網(wǎng)絡部署問題，導致網(wǎng)絡攻擊造成的影響越來越大。特別是對網(wǎng)絡設備的攻擊，將會導致設備或者網(wǎng)絡癱瘓等嚴重后果，合理配置網(wǎng)絡中的設備可以有效提高網(wǎng)絡的安全性。

通過仿真軟件VMware Workstation與eNSP搭建模擬的實驗環(huán)境，一方面解決了實訓室設備固定無法靈活組建實驗環(huán)境，另一方面解決了由于實驗設備缺乏無法大規(guī)模開展實驗教學的問題。同時也加深了學生對交換機工作過程和原理理論知識的掌握和理解，培養(yǎng)和提高了學生的網(wǎng)絡安全意識和操作技能。

參考文獻：

[1] 魏娜，范學超.基于eNSP的模擬仿真教學在《現(xiàn)代交換技術》課程中的應用[J].科技創(chuàng)新導報，2018，15（29）：135-137+139.

[2] 趙菁.防御MAC地址泛洪攻擊的交換機安全配置方法[J].數(shù)碼設計，2017，6（05）：83-85.

[3] 俞海.場景仿真及分析在計算機網(wǎng)絡安全教學中的應用[J].計算機時代，2016（10）：57-59.

[4] 華為技術有限公司.eNSP版本說明書[EB/OL].2014：1.

[5] VMware. VMware Workstation使用手冊[S].2010.

【通聯(lián)編輯：代影】