（安徽城市管理職業(yè)學(xué)院，安徽 合肥 230050）

0 引言

交換機(jī)MAC 泛洪攻擊是利用工具不斷大量偽造MAC 地址，利用交換機(jī)學(xué)習(xí)MAC 地址沒有安全驗(yàn)證機(jī)制這一漏洞，攻擊者利用虛假物理地址欺騙交換機(jī)，交換機(jī)的MAC 地址表被填滿后，交換機(jī)將以廣播的方式工作。攻擊者可在網(wǎng)絡(luò)內(nèi)任何一臺主機(jī)上抓取數(shù)據(jù)包，通過對數(shù)據(jù)包解密從而竊取重要信息，從而引發(fā)交換機(jī)的MAC 泛洪攻擊事件。交換機(jī)開啟端口安全可以在很大程度上防范MAC 泛洪攻擊。本文利用VMware Workstation 和eNSP 工具模擬竊取信息并通過給出安全防御方法。

1 實(shí)驗(yàn)內(nèi)容

1.1 實(shí)驗(yàn)?zāi)繕?biāo)

了解交換機(jī)MAC 洪泛攻擊的原理，并能對其進(jìn)行有效的防御，掌握攻擊步驟和防御方法并能應(yīng)用到真實(shí)環(huán)境中。

1.2 實(shí)驗(yàn)場景及任務(wù)描述

某公司準(zhǔn)備搭建FTP 服務(wù)，用于內(nèi)部員工進(jìn)行文件上傳和下載等工作需要。出于安全方面考慮要求設(shè)置FTP 服務(wù)的用戶名和密碼。作為網(wǎng)絡(luò)安全管理員的你，提出了安全不僅是設(shè)置用戶名和密碼訪問FTP 服務(wù)就可以解決的，還需要對內(nèi)部網(wǎng)絡(luò)設(shè)備安全進(jìn)行配置。

任務(wù)一：在BT5上使用攻擊工具macof 對網(wǎng)絡(luò)開展MAC 泛洪攻擊，并利用協(xié)議分析軟件Wireshark 捕獲網(wǎng)絡(luò)中明文傳輸?shù)腇TP 服務(wù)器的登錄用戶名和密碼。

任務(wù)二：對交換機(jī)開啟端口安全，阻止攻擊機(jī)通過其級聯(lián)端口與交換機(jī)通信，防御攻擊。

1.2.1 實(shí)驗(yàn)拓?fù)鋱D，見下圖1。

圖1 實(shí)驗(yàn)拓?fù)鋱D

1.2.2 IP 地址規(guī)劃表，見下表1。

表1 IP地址規(guī)劃表

1.2.3 實(shí)驗(yàn)工具

（1）物理機(jī)

操作系統(tǒng)：Windows7

物理機(jī)安裝工具1：VMware Workstation 12.5軟件

物理機(jī)安裝工具2：eNSP 1.2軟件

（2）客戶端

eNSP 自帶的client

（3）服務(wù)器

eNSP 自帶的Server

FTP 服務(wù)用戶名：1，密碼：1

（4）攻擊機(jī)

虛擬機(jī)操作系統(tǒng)：BT5

虛擬機(jī)安裝工具1：macof

虛擬機(jī)安裝工具1：抓包工具Wireshark

1.2.4 實(shí)驗(yàn)原理

攻擊者通過攻擊機(jī)BT5執(zhí)行macof 命令在目標(biāo)網(wǎng)絡(luò)中不斷泛洪大量不同源MAC 地址的數(shù)據(jù)包，導(dǎo)致交換機(jī)MAC 地址表溢出，攻擊者能進(jìn)一步利用嗅探工具（例如Wireshark）對網(wǎng)絡(luò)內(nèi)所有用戶的信息進(jìn)行捕獲，從而捕獲到用明文傳輸?shù)挠脩裘兔艽a，如FTP、Telnet 服務(wù)等。防御的方法可以通過開啟交換機(jī)的Port Security功能能有效的防范MAC flooding 攻擊。更明細(xì)地，可以控制每個端口所能發(fā)送的源MAC 地址數(shù)量，甚至可以自動或手動綁定一個MAC 地址到特定端口。

1.2.5 實(shí)驗(yàn)步驟

（1）打開eNSP 軟件，按拓?fù)鋱D添加設(shè)備并配置好IP 地址等，其中Clund1的配置參照圖2，完成實(shí)驗(yàn)環(huán)境的準(zhǔn)備工作。

（2）在攻擊機(jī)BT5上打開終端并調(diào)用macof 工具，同時，在終端的窗口中使用命令wireahark 打開抓包模塊，做好MAC 泛洪后的數(shù)據(jù)抓取準(zhǔn)備工作。

（3）在BT5 上打開協(xié)議分析軟件Wireshark，接著在Client 端訪問FTP 服務(wù)器，輸入用戶名和密碼并點(diǎn)擊登錄。Wireshark 上可以截獲到客戶端發(fā)給服務(wù)器的用戶名和密碼。如下圖3：

1.2.6 解決方法

靜態(tài)MAC 地址綁定，同時限定接入交換機(jī)端口接入MAC 地址的數(shù)量。如設(shè)置交換機(jī)的該端口最多可以學(xué)習(xí)10個MAC 地址

圖2 Cloud1設(shè)置

圖3 捕獲的用戶名和密碼

[Huawei-GigabitEthernet0/0/3]port-security enable

[Huawei-GigabitEthernet0/0/3]port-security macaddress sticky

[Huawei-GigabitEthernet0/0/3]port-security protectaction protect

[Huawei-GigabitEthernet0/0/3]port-security max-macnum 10

按照該方法對交換機(jī)配置，然后再次重復(fù)2.2.5的實(shí)驗(yàn)內(nèi)容，無法截獲客戶機(jī)發(fā)給服務(wù)器的FTP 用戶名和密碼。

1.3 實(shí)驗(yàn)結(jié)果與分析

正常工作的交換機(jī)根據(jù)MAC 地址表對數(shù)據(jù)轉(zhuǎn)發(fā)，地址表的數(shù)量一般有4K 或8K，一旦MAC 地址表溢出則會把在地址表中沒有學(xué)習(xí)到的目的MAC 地址的幀向所有端口轉(zhuǎn)發(fā)，導(dǎo)致重要信息泄露等。開啟端口安全，可以對服務(wù)器等重要MAC 地址和相應(yīng)端口進(jìn)行綁定，通過粘連動態(tài)學(xué)習(xí)，也可以手工指定，可以定義接口學(xué)習(xí)的MAC 地址數(shù)量，最后定義違規(guī)的動作丟棄、告警、關(guān)閉端口3種處理方式。

通過交換機(jī)的端口安全技術(shù)，可以有效防御MAC泛洪攻擊，提高交換機(jī)的性能，進(jìn)而增強(qiáng)設(shè)備的安全性。

2 結(jié)束語

通過VMware Workstation 與eNSP 構(gòu)建的實(shí)驗(yàn)環(huán)境，一方面解決了固定設(shè)備無法靈活組建實(shí)驗(yàn)環(huán)境的問題，另一方面也在一定程度上解決了實(shí)驗(yàn)設(shè)備缺乏無的問題。同時通過協(xié)議分析軟件的使用，加深了學(xué)生對交換機(jī)內(nèi)部工作原理的理解和掌握，提高了廣大學(xué)生的信息網(wǎng)絡(luò)安全意識和操作技能。