黃飛

摘要：在信息安全的安全網(wǎng)絡(luò)教學(xué)中，攻擊檢測(cè)與防御是一種重要的網(wǎng)絡(luò)安全特性。我們需要對(duì)此進(jìn)行實(shí)驗(yàn)驗(yàn)證，但在實(shí)際實(shí)驗(yàn)的過(guò)程中，發(fā)現(xiàn)信息安全實(shí)驗(yàn)大多具有破壞性和不可逆性等，無(wú)法大規(guī)模在真實(shí)環(huán)境下進(jìn)行。該文利用VMware Workstation和 eNSP 仿真軟件模擬MAC泛洪攻擊過(guò)程與防御措施，便于學(xué)生直觀地了解和分析 MAC泛洪攻擊過(guò)程，加深對(duì)交換機(jī)工作原理的理解，掌握MAC泛洪的具體防御措施。同時(shí)能夠有效突破實(shí)驗(yàn)室設(shè)備固定、設(shè)備數(shù)量限制和網(wǎng)絡(luò)實(shí)驗(yàn)拓?fù)浯罱ǖ葐?wèn)題，便于學(xué)生隨時(shí)隨地學(xué)習(xí)與研究。教學(xué)實(shí)驗(yàn)效果得到了較好的提升。

關(guān)鍵詞：實(shí)驗(yàn)綜述;MAC泛洪;仿真軟件;網(wǎng)絡(luò)安全

中圖分類(lèi)號(hào)：TP393? ? ? ? 文獻(xiàn)標(biāo)識(shí)碼：A

文章編號(hào)：1009-3044（2019）18-0252-02

1 引言

交換機(jī)中的MAC地址表的主要功能是記錄交換機(jī)端口級(jí)聯(lián)主機(jī)MAC地址與交換機(jī)端口對(duì)應(yīng)關(guān)系，交換機(jī)根據(jù)MAC地址表，將接收的數(shù)據(jù)幀傳輸?shù)街付ǖ闹鳈C(jī)上。MAC泛洪攻擊的原理是攻擊者利用攻擊工具不斷發(fā)送大量偽造的MAC地址，讓交換機(jī)自動(dòng)記錄學(xué)習(xí)，從而在短時(shí)間內(nèi)用無(wú)效的虛擬數(shù)據(jù)將交換機(jī)的MAC地址表填滿(mǎn)，導(dǎo)致交換機(jī)只能將接收到的數(shù)據(jù)幀在非接收端口進(jìn)行全部轉(zhuǎn)發(fā)，以達(dá)到黑客進(jìn)行網(wǎng)絡(luò)監(jiān)聽(tīng)的目的。攻擊者在任何一臺(tái)與交換機(jī)級(jí)聯(lián)的主機(jī)上打開(kāi)網(wǎng)絡(luò)監(jiān)聽(tīng)與收集軟件便可獲取數(shù)據(jù)信息，造成網(wǎng)絡(luò)存在較大的安全隱患。

在實(shí)際過(guò)程中，網(wǎng)絡(luò)管理員往往因工作繁忙、網(wǎng)絡(luò)安全意識(shí)淡薄等原因忽視交換機(jī)的端口安全，從而引發(fā)交換機(jī)的MAC泛洪攻擊事件。

通過(guò)交換機(jī)的端口安全技術(shù)（Port-Security）可以有效防御MAC泛洪攻擊。本文利用VMware Workstation和eNSP工具軟件進(jìn)行模擬仿真MAC泛洪攻擊與防御。

VMware Workstation是一款用于安裝windows、linux等主流操作系統(tǒng)的仿真軟件。它不僅可以在一臺(tái)物理PC機(jī)上安裝多個(gè)虛擬操作系統(tǒng)，還可以讓多個(gè)虛擬操作系統(tǒng)進(jìn)行網(wǎng)絡(luò)連接，使用網(wǎng)絡(luò)設(shè)備仿真軟件模擬出完整的網(wǎng)絡(luò)實(shí)驗(yàn)環(huán)境。該仿真軟件具有多種網(wǎng)絡(luò)連接方式種類(lèi)，有“橋接模式”“NAT模式”“僅主機(jī)模式”和“自定義特定虛擬網(wǎng)絡(luò)”等。

eNSP是一款由華為公司提供的網(wǎng)絡(luò)設(shè)備模擬仿真的軟件工具，它不僅可模擬仿真路由器、交換機(jī)、防火墻、WLAN等網(wǎng)絡(luò)產(chǎn)品，完美呈現(xiàn)真實(shí)設(shè)備場(chǎng)景，還支持與物理網(wǎng)卡的綁定，可實(shí)現(xiàn)較復(fù)雜的網(wǎng)絡(luò)拓?fù)淠M與實(shí)驗(yàn)。在沒(méi)有真實(shí)網(wǎng)絡(luò)產(chǎn)品設(shè)備的情況下，網(wǎng)絡(luò)愛(ài)好者也能進(jìn)行網(wǎng)絡(luò)實(shí)驗(yàn)?zāi)M，學(xué)習(xí)網(wǎng)絡(luò)技術(shù)。

2 實(shí)驗(yàn)內(nèi)容

2.1 實(shí)驗(yàn)?zāi)繕?biāo)

理論知識(shí)目標(biāo)要求了解交換機(jī)工作過(guò)程和原理，掌握交換機(jī)泛洪攻擊的防御方法;技能知識(shí)目標(biāo)要求能夠掌握eNSP和VMware簡(jiǎn)單模擬環(huán)境搭建，熟練掌握交換機(jī)的MAC泛洪攻擊和端口安全配置的防御操作步驟。

2.2 實(shí)驗(yàn)場(chǎng)景及任務(wù)描述

某公司準(zhǔn)備搭建FTP服務(wù)，用于內(nèi)部員工進(jìn)行文件上傳和下載等工作需要。出于安全方面考慮要求設(shè)置FTP服務(wù)的用戶(hù)名和密碼。作為網(wǎng)絡(luò)安全管理員的你，提出了安全不僅是設(shè)置用戶(hù)名和密碼訪問(wèn)FTP服務(wù)就可以解決的，還需要對(duì)內(nèi)部網(wǎng)絡(luò)設(shè)備安全進(jìn)行配置。

任務(wù)一：使用攻擊工具macof對(duì)交換機(jī)進(jìn)行MAC泛洪攻擊，利用抓包工具捕獲數(shù)據(jù)，進(jìn)而獲取FTP服務(wù)的登錄用戶(hù)名和密碼;

任務(wù)二：配置交換機(jī)端口安全，阻止攻擊機(jī)通過(guò)其級(jí)聯(lián)端口與交換機(jī)通信，防御攻擊。

1）實(shí)驗(yàn)拓?fù)鋱D，見(jiàn)下圖1。

2）IP地址規(guī)劃表，見(jiàn)下表1。

3）實(shí)驗(yàn)工具

（1）物理機(jī)

操作系統(tǒng)：Windows7

物理機(jī)安裝工具1：VMware Workstation軟件

物理機(jī)安裝工具2：eNSP軟件

（2）客戶(hù)端

虛擬機(jī)1操作系統(tǒng)：Windows7

（3）服務(wù)器

虛擬機(jī)2操作系統(tǒng)：Windows Server 2012

虛擬機(jī)2安裝工具1：FTP服務(wù)

FTP服務(wù)用戶(hù)名：admin，密碼：admin

（4）攻擊機(jī)

虛擬機(jī)3操作系統(tǒng)：Kali

虛擬機(jī)3安裝工具1：macof

虛擬機(jī)3安裝工具1：抓包工具

4）實(shí)驗(yàn)原理

交換機(jī)中有端口與MAC地址對(duì)應(yīng)關(guān)系表，保存在交換機(jī)的RAM中且自動(dòng)學(xué)習(xí)與維護(hù)，當(dāng)交換機(jī)收到數(shù)據(jù)時(shí)，在建立好的MAC地址表中查尋該數(shù)據(jù)幀中的目的MAC地址，如果有記錄，則會(huì)根據(jù)MAC地址表中記錄的對(duì)應(yīng)端口將數(shù)據(jù)幀轉(zhuǎn)發(fā)，如果沒(méi)有記錄，則會(huì)將該數(shù)據(jù)幀從非接受端口轉(zhuǎn)發(fā)。攻擊者利用交換機(jī)這一特點(diǎn)，發(fā)送大量偽造MAC地址，導(dǎo)致交換機(jī)接受其他主機(jī)的數(shù)據(jù)幀泛洪處理。交換機(jī)的端口安全技術(shù)中可設(shè)置端口學(xué)習(xí)MAC地址的最大數(shù)。

5）實(shí)驗(yàn)步驟

（1）利用VMware Workstation安裝windows 7、kali和windows server 2012三個(gè)虛擬機(jī)操作系統(tǒng)，設(shè)置其網(wǎng)絡(luò)連接模式及IP地址，并在服務(wù)器上搭建FTP服務(wù)等相關(guān)操作。

（2）打開(kāi)eNSP軟件，添加仿真交換機(jī)和Cloud，配置eNSP的Cloud中的IO與VMware Workstation的三個(gè)虛擬機(jī)網(wǎng)絡(luò)連接，搭建實(shí)驗(yàn)拓?fù)鋱D。

（3）在攻擊機(jī)kali上打開(kāi)終端并調(diào)用macof工具，為了達(dá)到盡快填滿(mǎn)交換機(jī)的MAC地址表，可以開(kāi)啟多個(gè)窗口運(yùn)行。與此同時(shí)，在終端的窗口中使用命令tcpdump -i eth0 -nn -X tcp port 21打開(kāi)抓包模塊，做好MAC泛洪后的數(shù)據(jù)抓取準(zhǔn)備工作。

（4）在客戶(hù)端虛擬機(jī)windows 7上使用“我的電腦”地址欄訪問(wèn)FTP服務(wù)，并輸入用戶(hù)名和密碼。

（5）打開(kāi)準(zhǔn)備好的抓包模塊，查看抓包數(shù)據(jù)信息，通過(guò)實(shí)際的實(shí)驗(yàn)操作達(dá)到既定的效果，獲得了ftp服務(wù)的登錄用戶(hù)名和密碼。

（6）配置交換機(jī)端口（與攻擊機(jī)級(jí)聯(lián)端口）安全。

（7）再次打開(kāi)攻擊機(jī)kali中的macof工具并查看交換機(jī)MAC地址。

6）實(shí)驗(yàn)結(jié)果與分析

正常情況下，交換機(jī)根據(jù)MAC地址表進(jìn)行數(shù)據(jù)的轉(zhuǎn)發(fā)，一旦數(shù)據(jù)幀中的目的MAC地址不在MAC地址表中，則向所有端口轉(zhuǎn)發(fā)，導(dǎo)致數(shù)據(jù)被捕獲和密碼等信息泄露等。這樣的轉(zhuǎn)發(fā)方式不僅存在安全隱患，還大大降低交換機(jī)的性能，這就需要我們對(duì)此進(jìn)行有效的防范。

通過(guò)交換機(jī)的端口安全技術(shù)，可以有效防御MAC泛洪攻擊，提高交換機(jī)的性能，進(jìn)而增強(qiáng)設(shè)備的安全性。

3 總結(jié)

隨著當(dāng)前信息化技術(shù)的飛速發(fā)展，網(wǎng)絡(luò)的攻擊日益增多，而通信協(xié)議本身的缺陷以及網(wǎng)絡(luò)部署問(wèn)題，導(dǎo)致網(wǎng)絡(luò)攻擊造成的影響越來(lái)越大。特別是對(duì)網(wǎng)絡(luò)設(shè)備的攻擊，將會(huì)導(dǎo)致設(shè)備或者網(wǎng)絡(luò)癱瘓等嚴(yán)重后果，合理配置網(wǎng)絡(luò)中的設(shè)備可以有效提高網(wǎng)絡(luò)的安全性。

通過(guò)仿真軟件VMware Workstation與eNSP搭建模擬的實(shí)驗(yàn)環(huán)境，一方面解決了實(shí)訓(xùn)室設(shè)備固定無(wú)法靈活組建實(shí)驗(yàn)環(huán)境，另一方面解決了由于實(shí)驗(yàn)設(shè)備缺乏無(wú)法大規(guī)模開(kāi)展實(shí)驗(yàn)教學(xué)的問(wèn)題。同時(shí)也加深了學(xué)生對(duì)交換機(jī)工作過(guò)程和原理理論知識(shí)的掌握和理解，培養(yǎng)和提高了學(xué)生的網(wǎng)絡(luò)安全意識(shí)和操作技能。

參考文獻(xiàn)：

[1] 魏娜，范學(xué)超.基于eNSP的模擬仿真教學(xué)在《現(xiàn)代交換技術(shù)》課程中的應(yīng)用[J].科技創(chuàng)新導(dǎo)報(bào)，2018，15（29）：135-137+139.

[2] 趙菁.防御MAC地址泛洪攻擊的交換機(jī)安全配置方法[J].數(shù)碼設(shè)計(jì)，2017，6（05）：83-85.

[3] 俞海.場(chǎng)景仿真及分析在計(jì)算機(jī)網(wǎng)絡(luò)安全教學(xué)中的應(yīng)用[J].計(jì)算機(jī)時(shí)代，2016（10）：57-59.

[4] 華為技術(shù)有限公司.eNSP版本說(shuō)明書(shū)[EB/OL].2014：1.

[5] VMware. VMware Workstation使用手冊(cè)[S].2010.

【通聯(lián)編輯：代影】