基于数据链路层的攻击与防御作者:姜海波来源:《计算机光盘软件与应用》引擎
2013年第23期 摘 要:针对如何解决数据链路层的安全防范问题,分析了针对二层交换机设备的MAC洪泛攻击、ARP地址欺骗攻击、以及针对STP技术和VLAN技术的攻击,并提出相应的防御措施。 关键词:数据链路层的安全;MAC洪泛攻击;ARP攻击;STP技术
中图分类号:TP393.08
当前网络安全的问题80%都是来源于dwg“孑孓内部网络”,并且网络攻击者攻击的对象更多从单纯的计算机转向了整体的网络结构与网络设计,利用设备本身工作原理的漏洞进行攻击。对于园区网络而言,数据链路层的技术应用范围最为广泛,而且,数据链路层对于整体网络安全防御来说,属于最薄弱的一个环节。可见,针对数据链路层存在的攻击做好防御工作,具有重要的意义。
本文主要分析了针对二层交换机设备的MAC洪泛攻击、ARP苏嘉杭高速地址欺骗攻击、以及针对STP技术和VLAN技术的攻击,并提出相应的防御措施。
1 针对二层交换机的MAC洪泛攻击及防御
Macof对于MAC地址的洪泛攻击,安全软件如防火墙、防病毒软件一般是无效的,无法成功防御[1]。数据链路层设备二层交换机,是利用“MAC地址自学习”技术来构建MAC银钎焊地址表,然后数据包通过地址表进行二层选路。但MAC地址表的容量是有限的,受二层交换机的内存限制,一般MAC表的容量可以容纳几千到几万条工程监理企业资质管理规定MAC记录。如果MAC表在几秒钟被攻击入侵者充满,那么就会造成交换机MAC地址表溢出,导致正常的MAC地址表无法被交换机成功学习到,交换机就无法执行正常的MAC地址与端口对应关系的选路,进入交换机的数据包就会被广播到每一个端口,这时交换机就变成了和集线器同一种网络设备,交换机会以广播方式处理接收到的任何一个单播帧,入侵者可以从交换机的任何端口上成功监听交换机的所有数据。