摘要：構(gòu)建安全的計(jì)算機(jī)網(wǎng)絡(luò)，是人們追求的目標(biāo)。然而計(jì)算機(jī)病毒的網(wǎng)絡(luò)傳播和黑客的攻擊卻不斷地對(duì)網(wǎng)絡(luò)安全帶來新的挑戰(zhàn)。人們?cè)诳紤]安全防護(hù)時(shí)，往往重視網(wǎng)絡(luò)層和應(yīng)用層的安全防護(hù)，而忽略了數(shù)據(jù)鏈路層的防護(hù)。通過交換機(jī)安全功能和黑客的攻擊方法兩個(gè)角度分析研究，探討了數(shù)據(jù)鏈路層設(shè)備——二層交換機(jī)的安全功能在防御或者緩解黑客攻擊方面的有效對(duì)策。

關(guān)鍵詞：黑客攻擊；二層交換機(jī)；防御對(duì)策

中圖分類號(hào)：TP393 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1009-3044（2013）16-3715-03

構(gòu)建安全的計(jì)算機(jī)網(wǎng)絡(luò)，是人們追求的目標(biāo)。人們研究了各種安全技術(shù)和策略來提高計(jì)算機(jī)網(wǎng)絡(luò)的安全性，然而計(jì)算機(jī)病毒的網(wǎng)絡(luò)傳播和黑客的攻擊卻不斷地對(duì)網(wǎng)絡(luò)安全帶來新的挑戰(zhàn)。因此，如何實(shí)現(xiàn)網(wǎng)絡(luò)的安全是一個(gè)永恒的課題。二層交換機(jī)作為局域網(wǎng)的核心設(shè)備，研究其自身?yè)碛械陌踩怨δ?，充分發(fā)揮其作用，對(duì)防止或緩解黑客攻擊，構(gòu)建安全的計(jì)算機(jī)網(wǎng)絡(luò)具有極其重要的價(jià)值。

1 黑客攻擊

黑客攻擊的過程通常變幻莫測(cè)，但還是有一定規(guī)律可循的，一般有這樣幾個(gè)階段：確定攻擊目的、了解目標(biāo)網(wǎng)絡(luò)結(jié)構(gòu)、收集系統(tǒng)信息、實(shí)施攻擊、鞏固控制、繼續(xù)深入幾個(gè)過程。

黑客攻擊總的目的是破壞數(shù)據(jù)的機(jī)密性、完整性和可用性。目標(biāo)明確以后，黑客會(huì)利用經(jīng)驗(yàn)或工具來分析目的網(wǎng)絡(luò)結(jié)構(gòu)、收集有用的系統(tǒng)信息，為攻擊做準(zhǔn)備。攻擊方法主要有拒絕服務(wù)攻擊、信任關(guān)系欺騙攻擊、緩沖區(qū)溢出、輸入驗(yàn)證漏洞、暴力破解密碼、應(yīng)用程序漏洞或者配置錯(cuò)誤漏洞攻擊以及社會(huì)工程學(xué)。為了進(jìn)一步實(shí)施攻擊，黑客在攻擊成功后往往會(huì)通過修改日志等方法抹去蹤跡，留下后門。

黑客攻擊可以分為數(shù)據(jù)鏈路層攻擊、網(wǎng)絡(luò)層攻擊和應(yīng)用層攻擊。人們?cè)诳紤]安全防護(hù)時(shí)，往往重視網(wǎng)絡(luò)層和應(yīng)用層的安全防護(hù)，而忽略了數(shù)據(jù)鏈路層的防護(hù)。其實(shí)，數(shù)據(jù)鏈路層的防護(hù)和其他層的防護(hù)同樣重要，很多的攻擊就是針對(duì)數(shù)據(jù)鏈路層的，然而作為局域網(wǎng)核心的數(shù)據(jù)鏈路層設(shè)備——二層交換機(jī)的安全防護(hù)功能卻很少得到充分的利用。下面就從交換機(jī)安全功能和黑客的攻擊方法兩個(gè)角度來分析交換機(jī)防御或者緩解黑客攻擊的有效對(duì)策。

2 從交換機(jī)安全功能分析防御或緩解攻擊的對(duì)策

現(xiàn)在的交換機(jī)在設(shè)計(jì)時(shí)就會(huì)考慮很多的安全功能，如MAC地址過濾、IP地址過濾、訪問控制、流量控制、安全管理、系統(tǒng)日志、看門狗等功能，來保證交換機(jī)的安全運(yùn)行。充分利用交換機(jī)的安全功能也可以有效地防御或緩解黑客的攻擊。

2.1 端口隔離和私有VLAN功能

交換機(jī)端口隔離功能，可以隔離一切廣播、組播和單播流量；私有VLAN功能可以阻止同一個(gè)VLAN內(nèi)端口間的互相通信，私有VLAN內(nèi)的端口只能和某個(gè)指定的路由器接口通信。由于端口隔離后的計(jì)算機(jī)或處于私有VLAN內(nèi)的計(jì)算機(jī)之間無法直接通信，只能和指定的接口通信，所以只要做好指定接口的安全防范工作，就可以有效地防御或緩解黑客的攻擊。

2.2 風(fēng)暴控制功能

交換機(jī)的風(fēng)暴控制功能可以監(jiān)控端口的入站流量，可以單獨(dú)對(duì)廣播、組播和單播流量占端口帶寬百分比或流量速率進(jìn)行監(jiān)控。

黑客進(jìn)行拒絕服務(wù)（DOS）攻擊的目的，是使計(jì)算機(jī)或網(wǎng)絡(luò)無法提供正常的服務(wù)。最常見的DoS攻擊有計(jì)算機(jī)網(wǎng)絡(luò)帶寬攻擊和連通性攻擊。帶寬攻擊就是以極大的通信量沖擊網(wǎng)絡(luò)，使得所有可用網(wǎng)絡(luò)資源都被消耗殆盡，最終導(dǎo)致合法的用戶請(qǐng)求無法通過。連通性攻擊就是用大量的連接請(qǐng)求沖擊計(jì)算機(jī)，使得所有可用的操作系統(tǒng)資源都被消耗殆盡，最終計(jì)算機(jī)無法再處理合法用戶的請(qǐng)求。利用交換機(jī)提供的風(fēng)暴抑制功能可以有效地緩解拒絕服務(wù)攻擊。

2.3 端口阻塞（Port Blocking）功能

交換機(jī)的端口阻塞功能，可以防止端口轉(zhuǎn)發(fā)未知的單播和組播流量。

交換機(jī)收到數(shù)據(jù)幀時(shí)，會(huì)在MAC地址表中查找目的MAC來轉(zhuǎn)發(fā)數(shù)據(jù)，如果找不到對(duì)應(yīng)的MAC，就將數(shù)據(jù)廣播到同一個(gè)VLAN中的其他所有端口。黑客會(huì)利用交換機(jī)的數(shù)據(jù)轉(zhuǎn)發(fā)特性，對(duì)網(wǎng)絡(luò)發(fā)起泛洪攻擊。利用交換機(jī)的端口阻塞功能可以有效防止或緩解泛洪攻擊。

2.4 端口綁定功能

端口綁定功能可以在交換機(jī)端口上綁定MAC地址、也可以綁定IP地址或者同時(shí)綁定MAC和IP地址。

黑客在進(jìn)行攻擊時(shí)有時(shí)會(huì)采用MAC地址欺騙和IP地址欺騙等手段，利用交換機(jī)端口綁定功能，可以有效地防御這些攻擊。

2.5 訪問控制列表（ACL）功能

交換機(jī)支持的訪問控制列表有4種：路由器ACL，用于三層VLAN虛擬接口；端口ACL，應(yīng)用于物理接口；MAC ACL，可以通過MAC地址信息來過濾某個(gè)VLAN或二層物理接口中的非IP流量；VLAN ACL，可以對(duì)進(jìn)出VLAN的所有流量進(jìn)行過濾。

通過合理地配置訪問控制列表，可以有效地限制非法用戶的訪問，達(dá)到防御、緩解黑客的攻擊的目的。

2.6 DHCP Snooping功能

交換機(jī)提供的DHCP Snooping功能能夠生成并維護(hù)一個(gè)可信的包含MAC地址、IP地址、租期、綁定類型和VLAN編號(hào)等內(nèi)容的列表，并根據(jù)這個(gè)列表對(duì)收到的不可信消息進(jìn)行過濾。

利用這個(gè)功能可以有效防止假冒DHCP服務(wù)器、地址欺騙類攻擊。

2.7 IP源地址防護(hù)功能

IP源地址防護(hù)是利用DHCP Snooping列表或手工綁定的IP源地址，對(duì)不信任的二層接口進(jìn)行IP流量過濾，只要入站數(shù)據(jù)包的源IP地址不是綁定的地址就會(huì)被過濾掉。

利用這個(gè)功能可以防止IP地址欺騙攻擊。

2.8 端口鏡像功能

端口鏡像功能是將一個(gè)或多個(gè)端口的數(shù)據(jù)轉(zhuǎn)發(fā)到某一個(gè)端口來實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)的監(jiān)聽的功能。這個(gè)功能本身不能防御或緩解黑客攻擊，但這個(gè)功能在對(duì)付黑客方面卻很有用，可以用于入侵檢測(cè)系統(tǒng)和網(wǎng)絡(luò)分析儀。

3 從黑客的攻擊方式來分析交換機(jī)的防御對(duì)策

3.1 ARP掃描攻擊與防御對(duì)策

黑客在進(jìn)行攻擊時(shí)會(huì)采用各種工具來探測(cè)網(wǎng)絡(luò)結(jié)構(gòu)，收集網(wǎng)絡(luò)信息。為了探測(cè)網(wǎng)段內(nèi)的所有活動(dòng)主機(jī)，攻擊源將會(huì)產(chǎn)生大量的ARP 報(bào)文在網(wǎng)段內(nèi)廣播，這些廣播報(bào)文極大的消耗網(wǎng)絡(luò)的帶寬資源；黑客甚至直接通過偽造大量ARP報(bào)文而在網(wǎng)絡(luò)內(nèi)實(shí)施大流量攻擊，使網(wǎng)絡(luò)帶寬消耗殆盡而癱瘓。

ARP 掃描通常是其他更加嚴(yán)重的攻擊方式的前奏，充分利用交換機(jī)提供的防ARP掃描功能，可以有效防御或緩解ARP掃描攻擊和后續(xù)的攻擊。防ARP掃描的一般思路是如果發(fā)現(xiàn)網(wǎng)段內(nèi)存在具有ARP掃描特征的主機(jī)或端口，就切斷攻擊源頭，保障網(wǎng)絡(luò)的安全。

具體防御方法是在交換機(jī)上設(shè)置信任和不信任端口，不對(duì)信任端口進(jìn)行檢查，對(duì)不信任端口可以基于端口或基于IP地址兩種方式來設(shè)置ARP掃描防御，根據(jù)單位時(shí)間內(nèi)從某個(gè)端口或者某個(gè)IP接收到的ARP報(bào)文的數(shù)量是否超過了預(yù)先設(shè)定的閾值來判斷。

3.2 ARP欺騙攻擊與防御對(duì)策

ARP是將IP地址解析為MAC地址的協(xié)議，主機(jī)的ARP緩存中存有IP地址與MAC地址的對(duì)應(yīng)關(guān)系。ARP協(xié)議的設(shè)計(jì)存在嚴(yán)重的安全漏洞，任何網(wǎng)絡(luò)設(shè)備都可以發(fā)送ARP報(bào)文通告IP地址和MAC地址的映射關(guān)系。這就為ARP欺騙提供了可乘之機(jī)，黑客通過發(fā)送ARP request報(bào)文或者ARP reply報(bào)文通告錯(cuò)誤的IP地址和MAC地址映射關(guān)系，毒化主機(jī)的ARP緩存，達(dá)到攻擊的目的。

ARP欺騙攻擊可以用交換機(jī)的動(dòng)態(tài)ARP監(jiān)控（DAI）功能來防御。在使用DHCP的環(huán)境中，利用DHCP snooping綁定表對(duì)進(jìn)入交換機(jī)的數(shù)據(jù)包的IP-MAC地址綁定關(guān)系進(jìn)行監(jiān)控，阻斷非法數(shù)據(jù)包；在非DHCP環(huán)境中，通過定義ARP 訪問控制列表（ACL）綁定MAC地址和IP地址，使用人工綁定的條目對(duì)進(jìn)入交換機(jī)的數(shù)據(jù)包進(jìn)行監(jiān)控。

利用交換機(jī)的接口上配置抑制計(jì)時(shí)器功能，為ARP條目指定ARP緩存中的生存時(shí)間，也可以緩解ARP欺騙攻擊。

有些廠家的交換機(jī)提供了ARP防御（ARP Guard）功能，可以通過在接口上配置ARP防御的IP地址，來防御ARP欺騙。如果交換機(jī)收到源IP地址是受到保護(hù)IP地址的ARP報(bào)文，就直接丟棄，不進(jìn)行轉(zhuǎn)發(fā)，從而保護(hù)主機(jī)不受欺騙。這種防御功能一般用于保護(hù)網(wǎng)關(guān)不被攻擊。

3.3 MAC地址欺騙攻擊與防范對(duì)策

MAC地址欺騙攻擊是黑客將MAC地址偽裝成網(wǎng)絡(luò)中的其他信任主機(jī)的MAC地址，利用這種方式強(qiáng)制交換機(jī)在向信任主機(jī)轉(zhuǎn)發(fā)數(shù)據(jù)幀的時(shí)候，將數(shù)據(jù)幀轉(zhuǎn)發(fā)給攻擊者。與ARP欺騙不同，不是毒化ARP緩存，而是造成交換機(jī)MAC地址表混亂。它可能導(dǎo)致信任主機(jī)拒絕服務(wù)，也可能導(dǎo)致交換機(jī)性能嚴(yán)重下降。

MAC地址欺騙攻擊可以通過在交換機(jī)上配置端口安全特性來防御，在交換機(jī)端口上打開交換機(jī)端口安全功能，對(duì)合法的主機(jī)MAC地址進(jìn)行綁定，當(dāng)交換機(jī)從該接口收到數(shù)據(jù)幀時(shí)，會(huì)對(duì)MAC地址進(jìn)行合法性檢查。

3.4 MAC地址泛洪攻擊與防范對(duì)策

MAC地址泛洪攻擊針對(duì)交換機(jī)的CAM，造成存儲(chǔ)器溢出。CAM是一個(gè)包含MAC地址表和相關(guān)VLAN參數(shù)的存儲(chǔ)空間，由于這個(gè)存儲(chǔ)空間有限，黑客可以采用MAC地址泛洪來攻擊，導(dǎo)致CAM溢出。溢出產(chǎn)生后，交換機(jī)就變成了一個(gè)大的廣播域。

MAC地址泛洪可以通過在交換機(jī)上配置端口安全特性來緩解。交換機(jī)提供了端口安全性功能，開啟端口安全性功能后，可以限制通過端口的MAC地址數(shù)量，可以靜態(tài)綁定安全MAC地址，對(duì)MAC地址進(jìn)行合法性檢查，自動(dòng)對(duì)非法MAC采取相應(yīng)的策略，包括丟棄數(shù)據(jù)幀、報(bào)警、關(guān)閉端口等。

4 結(jié)束語

黑客攻擊的方法很多，防御或緩解的方法也很多，這里主要分析了二層交換機(jī)自身的安全功能，有針對(duì)性地分析了各項(xiàng)安全功能在防黑客方面的具體應(yīng)用。充分利用交換機(jī)的安全功能，可以有效地預(yù)防或緩解黑客的攻擊。

參考文獻(xiàn)：

[1] 武新華，孫世寧，楊平.矛與盾——黑客就這幾招[M].北京：機(jī)械工業(yè)出版社，2010：126-146.

[2] 程慶梅，徐雪鵬.信息安全教學(xué)系統(tǒng)實(shí)訓(xùn)教程[M].北京：機(jī)械工業(yè)出版社，2012：146-193.

[3] Yusuf Bhaiji.網(wǎng)絡(luò)安全技術(shù)與解決方案[M].2版.北京：人民郵電出版社，2010：184-199.

[4] 馮昊，黃治虎.交換機(jī)/路由器的配置與管理[M].2版.北京：清華大學(xué)出版社，2009：251-261.

[5] 莫洪林.淺析交換機(jī)端口隔離在校園網(wǎng)防范ARP攻擊中的應(yīng)用[J].信息安全與技術(shù)，2011（6）：49-53.