黃飛

摘要：在信息安全的安全網(wǎng)絡(luò)教學(xué)中，攻擊檢測與防御是一種重要的網(wǎng)絡(luò)安全特性。我們需要對此進行實驗驗證，但在實際實驗的過程中，發(fā)現(xiàn)信息安全實驗大多具有破壞性和不可逆性等，無法大規(guī)模在真實環(huán)境下進行。該文利用VMware Workstation和 eNSP 仿真軟件模擬MAC泛洪攻擊過程與防御措施，便于學(xué)生直觀地了解和分析 MAC泛洪攻擊過程，加深對交換機工作原理的理解，掌握MAC泛洪的具體防御措施。同時能夠有效突破實驗室設(shè)備固定、設(shè)備數(shù)量限制和網(wǎng)絡(luò)實驗拓撲搭建等問題，便于學(xué)生隨時隨地學(xué)習(xí)與研究。教學(xué)實驗效果得到了較好的提升。

關(guān)鍵詞：實驗綜述;MAC泛洪;仿真軟件;網(wǎng)絡(luò)安全

中圖分類號：TP393? ? ? ? 文獻標(biāo)識碼：A

文章編號：1009-3044（2019）18-0252-02

1 引言

交換機中的MAC地址表的主要功能是記錄交換機端口級聯(lián)主機MAC地址與交換機端口對應(yīng)關(guān)系，交換機根據(jù)MAC地址表，將接收的數(shù)據(jù)幀傳輸?shù)街付ǖ闹鳈C上。MAC泛洪攻擊的原理是攻擊者利用攻擊工具不斷發(fā)送大量偽造的MAC地址，讓交換機自動記錄學(xué)習(xí)，從而在短時間內(nèi)用無效的虛擬數(shù)據(jù)將交換機的MAC地址表填滿，導(dǎo)致交換機只能將接收到的數(shù)據(jù)幀在非接收端口進行全部轉(zhuǎn)發(fā)，以達到黑客進行網(wǎng)絡(luò)監(jiān)聽的目的。攻擊者在任何一臺與交換機級聯(lián)的主機上打開網(wǎng)絡(luò)監(jiān)聽與收集軟件便可獲取數(shù)據(jù)信息，造成網(wǎng)絡(luò)存在較大的安全隱患。

在實際過程中，網(wǎng)絡(luò)管理員往往因工作繁忙、網(wǎng)絡(luò)安全意識淡薄等原因忽視交換機的端口安全，從而引發(fā)交換機的MAC泛洪攻擊事件。

通過交換機的端口安全技術(shù)（Port-Security）可以有效防御MAC泛洪攻擊。本文利用VMware Workstation和eNSP工具軟件進行模擬仿真MAC泛洪攻擊與防御。

VMware Workstation是一款用于安裝windows、linux等主流操作系統(tǒng)的仿真軟件。它不僅可以在一臺物理PC機上安裝多個虛擬操作系統(tǒng)，還可以讓多個虛擬操作系統(tǒng)進行網(wǎng)絡(luò)連接，使用網(wǎng)絡(luò)設(shè)備仿真軟件模擬出完整的網(wǎng)絡(luò)實驗環(huán)境。該仿真軟件具有多種網(wǎng)絡(luò)連接方式種類，有“橋接模式”“NAT模式”“僅主機模式”和“自定義特定虛擬網(wǎng)絡(luò)”等。

eNSP是一款由華為公司提供的網(wǎng)絡(luò)設(shè)備模擬仿真的軟件工具，它不僅可模擬仿真路由器、交換機、防火墻、WLAN等網(wǎng)絡(luò)產(chǎn)品，完美呈現(xiàn)真實設(shè)備場景，還支持與物理網(wǎng)卡的綁定，可實現(xiàn)較復(fù)雜的網(wǎng)絡(luò)拓撲模擬與實驗。在沒有真實網(wǎng)絡(luò)產(chǎn)品設(shè)備的情況下，網(wǎng)絡(luò)愛好者也能進行網(wǎng)絡(luò)實驗?zāi)M，學(xué)習(xí)網(wǎng)絡(luò)技術(shù)。

2 實驗內(nèi)容

2.1 實驗?zāi)繕?biāo)

理論知識目標(biāo)要求了解交換機工作過程和原理，掌握交換機泛洪攻擊的防御方法;技能知識目標(biāo)要求能夠掌握eNSP和VMware簡單模擬環(huán)境搭建，熟練掌握交換機的MAC泛洪攻擊和端口安全配置的防御操作步驟。

2.2 實驗場景及任務(wù)描述

某公司準(zhǔn)備搭建FTP服務(wù)，用于內(nèi)部員工進行文件上傳和下載等工作需要。出于安全方面考慮要求設(shè)置FTP服務(wù)的用戶名和密碼。作為網(wǎng)絡(luò)安全管理員的你，提出了安全不僅是設(shè)置用戶名和密碼訪問FTP服務(wù)就可以解決的，還需要對內(nèi)部網(wǎng)絡(luò)設(shè)備安全進行配置。

任務(wù)一：使用攻擊工具macof對交換機進行MAC泛洪攻擊，利用抓包工具捕獲數(shù)據(jù)，進而獲取FTP服務(wù)的登錄用戶名和密碼;

任務(wù)二：配置交換機端口安全，阻止攻擊機通過其級聯(lián)端口與交換機通信，防御攻擊。

1）實驗拓撲圖，見下圖1。

2）IP地址規(guī)劃表，見下表1。

3）實驗工具

（1）物理機

操作系統(tǒng)：Windows7

物理機安裝工具1：VMware Workstation軟件

物理機安裝工具2：eNSP軟件

（2）客戶端

虛擬機1操作系統(tǒng)：Windows7

（3）服務(wù)器

虛擬機2操作系統(tǒng)：Windows Server 2012

虛擬機2安裝工具1：FTP服務(wù)

FTP服務(wù)用戶名：admin，密碼：admin

（4）攻擊機

虛擬機3操作系統(tǒng)：Kali

虛擬機3安裝工具1：macof

虛擬機3安裝工具1：抓包工具

4）實驗原理

交換機中有端口與MAC地址對應(yīng)關(guān)系表，保存在交換機的RAM中且自動學(xué)習(xí)與維護，當(dāng)交換機收到數(shù)據(jù)時，在建立好的MAC地址表中查尋該數(shù)據(jù)幀中的目的MAC地址，如果有記錄，則會根據(jù)MAC地址表中記錄的對應(yīng)端口將數(shù)據(jù)幀轉(zhuǎn)發(fā)，如果沒有記錄，則會將該數(shù)據(jù)幀從非接受端口轉(zhuǎn)發(fā)。攻擊者利用交換機這一特點，發(fā)送大量偽造MAC地址，導(dǎo)致交換機接受其他主機的數(shù)據(jù)幀泛洪處理。交換機的端口安全技術(shù)中可設(shè)置端口學(xué)習(xí)MAC地址的最大數(shù)。

5）實驗步驟

（1）利用VMware Workstation安裝windows 7、kali和windows server 2012三個虛擬機操作系統(tǒng)，設(shè)置其網(wǎng)絡(luò)連接模式及IP地址，并在服務(wù)器上搭建FTP服務(wù)等相關(guān)操作。

（2）打開eNSP軟件，添加仿真交換機和Cloud，配置eNSP的Cloud中的IO與VMware Workstation的三個虛擬機網(wǎng)絡(luò)連接，搭建實驗拓撲圖。

（3）在攻擊機kali上打開終端并調(diào)用macof工具，為了達到盡快填滿交換機的MAC地址表，可以開啟多個窗口運行。與此同時，在終端的窗口中使用命令tcpdump -i eth0 -nn -X tcp port 21打開抓包模塊，做好MAC泛洪后的數(shù)據(jù)抓取準(zhǔn)備工作。

（4）在客戶端虛擬機windows 7上使用“我的電腦”地址欄訪問FTP服務(wù)，并輸入用戶名和密碼。

（5）打開準(zhǔn)備好的抓包模塊，查看抓包數(shù)據(jù)信息，通過實際的實驗操作達到既定的效果，獲得了ftp服務(wù)的登錄用戶名和密碼。

（6）配置交換機端口（與攻擊機級聯(lián)端口）安全。

（7）再次打開攻擊機kali中的macof工具并查看交換機MAC地址。

6）實驗結(jié)果與分析

正常情況下，交換機根據(jù)MAC地址表進行數(shù)據(jù)的轉(zhuǎn)發(fā)，一旦數(shù)據(jù)幀中的目的MAC地址不在MAC地址表中，則向所有端口轉(zhuǎn)發(fā)，導(dǎo)致數(shù)據(jù)被捕獲和密碼等信息泄露等。這樣的轉(zhuǎn)發(fā)方式不僅存在安全隱患，還大大降低交換機的性能，這就需要我們對此進行有效的防范。

通過交換機的端口安全技術(shù)，可以有效防御MAC泛洪攻擊，提高交換機的性能，進而增強設(shè)備的安全性。

3 總結(jié)

隨著當(dāng)前信息化技術(shù)的飛速發(fā)展，網(wǎng)絡(luò)的攻擊日益增多，而通信協(xié)議本身的缺陷以及網(wǎng)絡(luò)部署問題，導(dǎo)致網(wǎng)絡(luò)攻擊造成的影響越來越大。特別是對網(wǎng)絡(luò)設(shè)備的攻擊，將會導(dǎo)致設(shè)備或者網(wǎng)絡(luò)癱瘓等嚴(yán)重后果，合理配置網(wǎng)絡(luò)中的設(shè)備可以有效提高網(wǎng)絡(luò)的安全性。

通過仿真軟件VMware Workstation與eNSP搭建模擬的實驗環(huán)境，一方面解決了實訓(xùn)室設(shè)備固定無法靈活組建實驗環(huán)境，另一方面解決了由于實驗設(shè)備缺乏無法大規(guī)模開展實驗教學(xué)的問題。同時也加深了學(xué)生對交換機工作過程和原理理論知識的掌握和理解，培養(yǎng)和提高了學(xué)生的網(wǎng)絡(luò)安全意識和操作技能。

參考文獻：

[1] 魏娜，范學(xué)超.基于eNSP的模擬仿真教學(xué)在《現(xiàn)代交換技術(shù)》課程中的應(yīng)用[J].科技創(chuàng)新導(dǎo)報，2018，15（29）：135-137+139.

[2] 趙菁.防御MAC地址泛洪攻擊的交換機安全配置方法[J].數(shù)碼設(shè)計，2017，6（05）：83-85.

[3] 俞海.場景仿真及分析在計算機網(wǎng)絡(luò)安全教學(xué)中的應(yīng)用[J].計算機時代，2016（10）：57-59.

[4] 華為技術(shù)有限公司.eNSP版本說明書[EB/OL].2014：1.

[5] VMware. VMware Workstation使用手冊[S].2010.

【通聯(lián)編輯：代影】