文獻(xiàn)標(biāo)識(shí)碼: A
文章編號(hào): 0258-7998(2011)04-0133-05
目前,網(wǎng)絡(luò)和信息安全已上升到國(guó)家安全的層面。在早期的計(jì)算機(jī)網(wǎng)絡(luò)安全研究中,普遍存在著重兩頭而輕中間的現(xiàn)象,將網(wǎng)絡(luò)安全的注意力主要集中在網(wǎng)絡(luò)體系結(jié)構(gòu)的高層和低層,而忽視了中間層次的安全問(wèn)題。如針對(duì)物理層的安全提出了大量的涉及物理、電子、電氣和功能等特性的解決方案;針對(duì)應(yīng)用層的安全出現(xiàn)了種類(lèi)豐富、功能完善的面向協(xié)議的技術(shù)和產(chǎn)品。然而,只有當(dāng)ARP欺騙攻擊在局域網(wǎng)中大范圍爆發(fā)而一時(shí)無(wú)法找到徹底的解決辦法時(shí),才注意到中間層,尤其是數(shù)據(jù)鏈路層的安全問(wèn)題。數(shù)據(jù)鏈路層的主要功能是在相鄰節(jié)點(diǎn)之間,通過(guò)各種控制協(xié)議和規(guī)程在有差錯(cuò)的物理信道中實(shí)現(xiàn)無(wú)差錯(cuò)的、可靠的數(shù)據(jù)幀傳輸[1]。本文以交換式局域網(wǎng)應(yīng)用為主,集中分析了數(shù)據(jù)鏈路層的安全問(wèn)題,有針對(duì)性地提出了相應(yīng)的解決方法和思路,并以Cisco交換機(jī)為例,給出了相應(yīng)的配置方法。
1 數(shù)據(jù)鏈路層主要安全問(wèn)題
1.1 ARP欺騙攻擊
ARP(Address Resolution Protocol)的功能是通過(guò)IP地址查找對(duì)應(yīng)端口的MAC地址,以便在TCP/IP網(wǎng)絡(luò)中實(shí)現(xiàn)共享信道的節(jié)點(diǎn)之間利用MAC地址進(jìn)行通信。由于ARP協(xié)議在設(shè)計(jì)中存在主動(dòng)發(fā)送ARP報(bào)文的漏洞,使得主機(jī)可以發(fā)送虛假的ARP請(qǐng)求報(bào)文或響應(yīng)報(bào)文,而報(bào)文中的源IP地址和源MAC地址均可以進(jìn)行偽造。在局域網(wǎng)中,既可以偽造成某一臺(tái)主機(jī)(如服務(wù)器)的IP地址和MAC地址的組合,也可以偽造成網(wǎng)關(guān)IP地址與MAC地址的組合。這種組合可以根據(jù)攻擊者的意圖進(jìn)行任意搭配,而現(xiàn)有的局域網(wǎng)卻沒(méi)有相應(yīng)的機(jī)制和協(xié)議來(lái)防止這種偽造行為。近幾年來(lái),幾乎所有局域網(wǎng)都遭遇過(guò)ARP欺騙攻擊的侵害。
圖1所示為假設(shè)主機(jī)C為局域網(wǎng)中的網(wǎng)關(guān),主機(jī)D為ARP欺騙者。當(dāng)局域網(wǎng)中的計(jì)算機(jī)要與其他網(wǎng)絡(luò)進(jìn)行通信(如訪問(wèn)Internet)時(shí),所有發(fā)往其他網(wǎng)絡(luò)的數(shù)據(jù)全部發(fā)給了主機(jī)D,而主機(jī)D并非真正的網(wǎng)關(guān),這樣整個(gè)網(wǎng)絡(luò)將無(wú)法與其他網(wǎng)絡(luò)進(jìn)行通信。這種現(xiàn)象在ARP欺騙攻擊中非常普遍。
1.2 DHCP欺騙攻擊
DHCP(Dynamic Host Configuration Protocol)的功能是對(duì)客戶(hù)端動(dòng)態(tài)地分配IP地址及相關(guān)參數(shù)。但DHCP卻存在著一個(gè)非常大的安全隱患:當(dāng)一臺(tái)運(yùn)行有DHCP客戶(hù)端程序的計(jì)算機(jī)連接到網(wǎng)絡(luò)中時(shí),即使是一個(gè)沒(méi)有權(quán)限使用網(wǎng)絡(luò)的非法用戶(hù)也能很容易地從DHCP服務(wù)器獲得一個(gè)IP地址及網(wǎng)關(guān)、DNS等信息,成為網(wǎng)絡(luò)的合法使用者[2]。由于DHCP客戶(hù)端在獲得DHCP服務(wù)器的IP地址等信息時(shí),系統(tǒng)沒(méi)有提供對(duì)合法DHCP服務(wù)器的認(rèn)證,所以DHCP客戶(hù)端從首先得到DHCP響應(yīng)(DHCPOFFER)的DHCP服務(wù)器處獲得IP地址等信息。為此,不管是人為的網(wǎng)絡(luò)攻擊、破壞,還是無(wú)意的操作,一旦在網(wǎng)絡(luò)中接入了一臺(tái)DHCP服務(wù)器,該DHCP服務(wù)器就可以為DHCP客戶(hù)端提供IP地址等信息的服務(wù)。其結(jié)果是:(1)客戶(hù)端從非法DHCP服務(wù)器獲得了不正確的IP地址、網(wǎng)關(guān)、DNS等參數(shù),無(wú)法實(shí)現(xiàn)正常的網(wǎng)絡(luò)連接;(2)客戶(hù)端從非法DHCP服務(wù)器處獲得的IP地址與網(wǎng)絡(luò)中正常用戶(hù)使用的IP地址沖突,影響了網(wǎng)絡(luò)的正常運(yùn)行。尤其當(dāng)客戶(hù)端獲得的IP地址與網(wǎng)絡(luò)中某些重要的服務(wù)器的IP地址沖突時(shí),整個(gè)網(wǎng)絡(luò)將處于混亂狀態(tài);(3)攻擊偽造大量的DHCP請(qǐng)求報(bào)文,將DHCP服務(wù)器中可供分配的IP地址耗盡,使正常的用戶(hù)無(wú)法獲得IP地址。
1.3 生成樹(shù)協(xié)議攻擊
生成樹(shù)協(xié)議STP(Spanning Tree Protocol)是用于解決網(wǎng)絡(luò)環(huán)路問(wèn)題的一種智能算法。在交換式網(wǎng)絡(luò)中,通過(guò)在兩個(gè)交換節(jié)點(diǎn)之間提供多條物理鏈路來(lái)提供線路冗余,以增加設(shè)備之間連接的可靠性。但是,當(dāng)在兩個(gè)交換節(jié)點(diǎn)(如交換機(jī))之間存在兩條以上的物理鏈路時(shí)將會(huì)形成環(huán)路。如果沒(méi)有相應(yīng)的備份策略,環(huán)路的存在將會(huì)形成廣播風(fēng)暴。輕則嚴(yán)重影響網(wǎng)絡(luò)的性能,重則導(dǎo)致網(wǎng)絡(luò)癱瘓。生成樹(shù)協(xié)議的實(shí)現(xiàn)基礎(chǔ)是BPDU(Bridge Protocol Data Units)報(bào)文,通過(guò)在不同交換機(jī)之間交換的BPDU報(bào)文,在網(wǎng)絡(luò)中選舉一臺(tái)網(wǎng)橋ID(Bridge ID)最低的交換機(jī)作為根網(wǎng)橋(Root Bridge),并將交換機(jī)上發(fā)送該BPDU報(bào)文端口ID(Port ID)的值設(shè)置為最低,交換機(jī)上端口ID值最低的端口為根端口(Root Port),根端口連接的鏈路為主鏈路。通過(guò)計(jì)算網(wǎng)絡(luò)中各個(gè)交換機(jī)到達(dá)根網(wǎng)橋的路徑開(kāi)銷(xiāo),選擇各交換節(jié)點(diǎn)到達(dá)根網(wǎng)橋的最優(yōu)路徑,同時(shí)阻斷其他的次優(yōu)路徑(即冗余鏈路),從而形成邏輯上無(wú)環(huán)路的樹(shù)形拓?fù)浣Y(jié)構(gòu)。
根據(jù)STP的工作原理,同一網(wǎng)絡(luò)中的所有交換機(jī)之間都可以通過(guò)網(wǎng)橋ID的值來(lái)選擇根網(wǎng)橋,這樣攻擊者可以在網(wǎng)絡(luò)中接入一臺(tái)交換機(jī)或一臺(tái)計(jì)算機(jī),然后通過(guò)構(gòu)造網(wǎng)橋ID最低的BPDU報(bào)文,使這臺(tái)接入的交換機(jī)或計(jì)算機(jī)成為根網(wǎng)橋,進(jìn)而擾亂正常的網(wǎng)絡(luò)運(yùn)行,最終導(dǎo)致網(wǎng)絡(luò)癱瘓。
1.4 MAC地址泛洪攻擊
交換機(jī)根據(jù)MAC地址來(lái)轉(zhuǎn)發(fā)數(shù)據(jù)幀,交換機(jī)端口與所連設(shè)備MAC地址的對(duì)應(yīng)關(guān)系存儲(chǔ)在內(nèi)容尋址存儲(chǔ)器CAM(Content Addressable Memory)表中,CAM表中還可能包含MAC地址對(duì)應(yīng)的VLAN ID等參數(shù)。當(dāng)交換機(jī)從某一端口接收到一個(gè)數(shù)據(jù)幀時(shí),交換機(jī)首先從數(shù)據(jù)幀中提取源MAC地址和目的MAC地址,然后將端口與源MAC地址的對(duì)應(yīng)關(guān)系記錄在CAM表中。同時(shí),交換機(jī)查詢(xún)CAM表中是否有目的MAC地址對(duì)應(yīng)的記錄,如果有,則可通過(guò)對(duì)應(yīng)的端口將數(shù)據(jù)幀轉(zhuǎn)發(fā)出去,如果沒(méi)有,交換機(jī)的作用則類(lèi)似于集線器,會(huì)將數(shù)據(jù)幀廣播到交換機(jī)其他所有的端口[3]。
MAC地址泛洪攻擊也稱(chēng)為CAM表溢出攻擊。因?yàn)槿魏我慌_(tái)交換機(jī)的CAM表大小是有限制的,當(dāng)記錄數(shù)填滿(mǎn)CAM表時(shí),凡到達(dá)交換機(jī)的具有不同源MAC地址的數(shù)據(jù)幀,其端口和MAC地址的對(duì)應(yīng)關(guān)系將不會(huì)被添加在CAM表中。基于此原理,攻擊者將大量虛構(gòu)的具有不同源MAC地址的數(shù)據(jù)幀發(fā)送給交換機(jī),直至交換機(jī)的CAM表填滿(mǎn)。之后,交換機(jī)將進(jìn)入fail-open(失效開(kāi)放)模式,其功能將類(lèi)似于一臺(tái)集線器。此時(shí),交換機(jī)接收到的任何一個(gè)單播幀都會(huì)以廣播方式處理,攻擊者的計(jì)算機(jī)將會(huì)接收到這些單播幀,從而獲得其他用戶(hù)的信息。
1.5 VLAN 攻擊
虛擬局域網(wǎng)VLAN(Virtual Local Area Network)是在交換式局域網(wǎng)基礎(chǔ)上出現(xiàn)的一項(xiàng)管理技術(shù),通過(guò)在數(shù)據(jù)幀的頭部添加VLAN tag(VLAN標(biāo)識(shí))字段,將局域網(wǎng)用戶(hù)設(shè)備邏輯地劃分為多個(gè)網(wǎng)段,以縮小廣播域,提高用戶(hù)通信的安全性及網(wǎng)絡(luò)的可管理性。VLAN在局域網(wǎng)中一般被作為一項(xiàng)安全技術(shù)使用,但VLAN本身卻存在安全隱患。目前針對(duì)VLAN的攻擊主要集中在VLAN Hopping攻擊和VTP攻擊兩個(gè)方面。
(1)VLAN Hopping攻擊。VLAN Hopping(VLAN跳躍)攻擊是基于動(dòng)態(tài)主干協(xié)議DTP(Dynamic Trunk Protocol)來(lái)實(shí)現(xiàn)的。當(dāng)兩臺(tái)交換機(jī)互聯(lián)時(shí),通過(guò)DTP可以對(duì)互聯(lián)端口進(jìn)行協(xié)商,確認(rèn)是否設(shè)置為支持IEEE 802.1Q的主干(trunk)端口。如果設(shè)置為主干端口,則允許轉(zhuǎn)發(fā)所有VLAN中的數(shù)據(jù)幀。VLAN Hopping攻擊又分為基本VLAN Hopping攻擊和雙重封裝VLAN跳躍攻擊兩類(lèi)。①基本VLAN Hopping攻擊是攻擊者將計(jì)算機(jī)偽裝成為一臺(tái)交換機(jī),并發(fā)送虛假的DTP協(xié)商報(bào)文,請(qǐng)求成為主干端口。局域網(wǎng)中交換機(jī)在收到這個(gè)DTP報(bào)文后,便啟用基于IEEE 802.1Q的Trunk功能,將攻擊者的計(jì)算機(jī)誤認(rèn)為一臺(tái)合法的交換機(jī)。之后,所有VLAN的數(shù)據(jù)幀都會(huì)發(fā)送到攻擊者的計(jì)算機(jī)上。②雙重封裝VLAN跳躍攻擊是指利用目前大部分局域網(wǎng)交換機(jī)僅支持單層VLAN tag的特點(diǎn),攻擊者根據(jù)要入侵的VLAN ID,首先構(gòu)造一個(gè)包含該VLAN ID的IEEE 802.1Q數(shù)據(jù)幀,然后在該IEEE 802.1Q數(shù)據(jù)幀的外層再封裝一層適合當(dāng)前網(wǎng)絡(luò)的VLAN tag,從而通過(guò)外層VLAN ID實(shí)現(xiàn)對(duì)非授權(quán)VLAN ID的非法訪問(wèn),以獲取非授權(quán)VLAN ID中的用戶(hù)數(shù)據(jù)。
(2)VTP攻擊。VTP(VLAN Trunk Protocol)以組播方式在同一個(gè)管理域中同步VLAN信息,從而實(shí)現(xiàn)對(duì)管理域中VLAN信息的集中管理。VTP報(bào)文只能在trunk端口上轉(zhuǎn)發(fā)。VTP的三種工作模式及對(duì)應(yīng)的功能如下:
①Server(缺?。???梢蕴砑?、刪除、修改VLAN,并同步VLAN信息。VLAN信息存放在NVRAM中。
②Client。不允許添加、刪除、修改VLAN,但會(huì)同步VLAN信息。VLAN信息不存放在NVRAM中,斷電后會(huì)自動(dòng)消失。
③Transparent。可以添加、刪除、修改VLAN,但不同步VLAN信息。VLAN信息存放在NVRAM中。
使用VTP的主要目的是實(shí)現(xiàn)對(duì)局域網(wǎng)中VLAN信息的集中管理,以減少網(wǎng)絡(luò)管理員的工作量。但攻擊者可以接入一臺(tái)交換機(jī)或直接使用一臺(tái)計(jì)算機(jī),并與上聯(lián)交換機(jī)之間建立一條主干(trunk)通道后,通過(guò)修改自己的修訂號(hào)(Configuration Revision)來(lái)?yè)碛蠸erver的權(quán)限,進(jìn)而對(duì)局域網(wǎng)的VLAN架構(gòu)進(jìn)行任意更改,以獲得所需要的信息或擾亂網(wǎng)絡(luò)的正常運(yùn)行。
2 數(shù)據(jù)鏈路層安全防范方法
2.1 針對(duì)ARP欺騙攻擊的防范方法
ARP緩存表中的記錄既可以是動(dòng)態(tài)的,也可以是靜態(tài)的。如果ARP緩存表中的記錄是動(dòng)態(tài)的,則可以通過(guò)老化機(jī)制減少ARP緩存表的長(zhǎng)度并加快查詢(xún)速度;靜態(tài)ARP緩存表中的記錄是永久性的,用戶(hù)可以使用TCP/IP工具來(lái)創(chuàng)建和修改,如Windows操作系統(tǒng)自帶的ARP工具。對(duì)于計(jì)算機(jī)來(lái)說(shuō),可以通過(guò)綁定網(wǎng)關(guān)等重要設(shè)備的IP與MAC地址記錄來(lái)防止ARP欺騙攻擊。在交換機(jī)上防范ARP欺騙攻擊的方法與在計(jì)算機(jī)上基本相同,可以將下連設(shè)備的MAC地址與交換機(jī)端口進(jìn)行綁定,并通過(guò)端口安全功能(Port Security feature)對(duì)違背規(guī)則的主機(jī)(攻擊者)進(jìn)行相應(yīng)的處理。通過(guò)Cisco交換機(jī)可以在DHCP Snooping綁定表的基礎(chǔ)上,使用DAI(Dynamic ARP Inspection)技術(shù)來(lái)檢測(cè)ARP請(qǐng)求,攔截非法的ARP報(bào)文,具體配置如下:
Switch(config)#ip arp inspection vlan 20-30,100-110,315(定義ARP檢測(cè)的VLAN范圍,該范圍根據(jù)DHCP snooping binding表做判斷)
Switch(config-if)#ip arp inspection limit rate 30 (限制端口每秒轉(zhuǎn)發(fā)ARP報(bào)文的數(shù)量為30)
2.2 針對(duì)DHCP欺騙攻擊的防范方法
對(duì)于DHCP欺騙攻擊的防洪可以采用兩種方法。
(1)采用DHCP Snooping過(guò)濾來(lái)自網(wǎng)絡(luò)中非法DHCP服務(wù)器或其他設(shè)備的非信任DHCP響應(yīng)報(bào)文。在交換機(jī)上,當(dāng)某一端口設(shè)置為非信任端口時(shí),可以限制客戶(hù)端特定的IP地址、MAC地址或VLAN ID等報(bào)文通過(guò)。為此,可以使用DHCP Snooping特性中的可信任端口來(lái)防止用戶(hù)私置DHCP服務(wù)器或DHCP代理[4]。一旦將交換機(jī)的某一端口設(shè)置為指向正確DHCP服務(wù)器的接入端口,則交換機(jī)會(huì)自動(dòng)丟失從其他端口上接收到的DHCP響應(yīng)報(bào)文。例如,在Cisco交換機(jī)上通過(guò)以下命令將指定端口設(shè)置為信任端口:
Switch(config-if)# ip dhcp snooping trust(定義該端口為DHCP信任端口)
Switch(config)#ip dhcp snooping (啟用DHCP snooping功能)
Switch(config)#ip dhcp snooping vlan 20-30,100-110,315 (定義DHCP snooping作用的VLAN)
(2)通過(guò)DHCP服務(wù)器(如基于Windows 2003/2008操作系統(tǒng)的DHCP服務(wù)器)綁定IP與MAC地址,實(shí)現(xiàn)對(duì)指定計(jì)算機(jī)IP地址的安全分配。
2.3 針對(duì)生成樹(shù)協(xié)議攻擊的防范方法
對(duì)于STP攻擊可以采取STP環(huán)路保護(hù)機(jī)制來(lái)防范。為了防止客戶(hù)端交換機(jī)偶然成為根網(wǎng)橋,在Cisco交換機(jī)中可以使用Root Guard特性來(lái)避免這種現(xiàn)象的發(fā)生[5]。如圖2所示,如果STP偶然選擇出客戶(hù)端交換機(jī)(交換機(jī)D)成為根網(wǎng)橋,即交換機(jī)C與交換機(jī)D相連接的端口成為根端口(Root Port),則Root Guard特性自動(dòng)將交換機(jī)C與交換機(jī)D相連接的端口設(shè)置為root-inconsistent狀態(tài)(根阻塞狀態(tài)),以防止客戶(hù)端交換機(jī)D成為根網(wǎng)橋。一旦在交換機(jī)中配置了Root Guard特性,其將對(duì)所有的VLAN都有效。
在Cicsco交換機(jī)中配置Root Guard特性的命令如下:
Switch(config-if)#spanning-tree guard root
2.4 針對(duì)MAC地址泛洪攻擊的防范方法
針對(duì)MAC地址泛洪攻擊,可以采取以下多種方法進(jìn)行防范:
(1)限制未知目的MAC地址的組播(multicast)幀和單播(unicast)幀通過(guò)本端口進(jìn)行轉(zhuǎn)發(fā)。在Cisco交換機(jī)的配置如下:
Switch(config-if)# switchport block multicast
Switch(config-if)# switchport block unicast
(2)限制端口學(xué)習(xí)到的最大MAC地址數(shù)量。以下配置中將該端口最大能夠?qū)W習(xí)到的MAC地址數(shù)限制為10:
Switch(config-if)#switchport port-security maximum 10
(3)限制端口單位時(shí)間(一般為每秒)通過(guò)的最大數(shù)據(jù)幀數(shù)量,可以分別針對(duì)單播幀、組播幀和廣播幀進(jìn)行設(shè)置。以下配置中將該端口每秒通過(guò)的單播幀、組播幀和廣播幀的數(shù)量分別限制為10:
Switch(config-if)# storm-control unicast level 10
Switch(config-if)# storm-control multicast level 10
Switch(config-if)# storm-control broadcast level 10
當(dāng)通過(guò)以上方式對(duì)交換機(jī)的端口進(jìn)行限制后,對(duì)于違背安全規(guī)則的端口,交換機(jī)將自動(dòng)采取protect(丟棄非法流量,不報(bào)警)、restrict(丟棄非法流量,報(bào)警)、shutdown(關(guān)閉端口)和shutdown vlan(關(guān)閉VLAN)等安全保護(hù)方式。
2.5 針對(duì)VLAN攻擊的防范方法
(1)針對(duì)基本VLAN Hopping攻擊,最有效的解決方法是關(guān)閉交換機(jī)的DTP功能,將交換機(jī)之間的互聯(lián)端口手動(dòng)設(shè)置為T(mén)runk即可。在Cisco交換機(jī)上將某一端口設(shè)置為T(mén)runk的配置如下:
Switch(config-if)# switchport(設(shè)置為二層端口)
Switch(config-if)#switchport trunk encapsulation dot1q(啟用IEEE 802.1Q)
Switch(config-if)#switchport mode trunk(設(shè)置該端口為trunk)或
Switch(config-if)# switchport mode dynamic desirable(使該端口既主動(dòng)發(fā)送DTP報(bào)文,也允許對(duì)DTP報(bào)文進(jìn)行響應(yīng),這是以太網(wǎng)端口的默認(rèn)狀態(tài))
關(guān)閉交換機(jī)上DTP功能的配置如下:
Switch(config-if)# switchport mode access(設(shè)置為訪問(wèn)端口,不具有DTP功能)或
Switch(config-if)# switchport mode dynamic auto(使該端口可以響應(yīng)DTP報(bào)文,但不允許主動(dòng)發(fā)送DTP報(bào)文)
針對(duì)雙重封裝VLAN Hopping攻擊,目前最有效的解決辦法是為trunk端口單獨(dú)設(shè)置一個(gè)native VLAN,且在native VLAN中不加入任何用戶(hù)的端口。配置方法如下:
Switch(config-if)#switchport trunk native vlan vlan-id
(2)由于實(shí)現(xiàn)VTP攻擊的前提是攻擊者與上聯(lián)交換機(jī)之間要建立一條主干(trunk)通道,所以可以采取與防范基本VLAN Hopping攻擊相同的方法來(lái)解決這一問(wèn)題。另外,可以為VTP域設(shè)置密碼,當(dāng)域中要加入新的交換機(jī)時(shí)必須輸入正確的密碼,通過(guò)對(duì)VTP域密碼的管理便可以防范VTP攻擊。在Cisco交換機(jī)中的配置實(shí)例如下:
Switch(config)# vtp mode server(將VTP的工作模式設(shè)置為Server)
Switch(config)# vtp domain VTP-JSPI(設(shè)置VTP的域名為VTP-JSPI)
Switch(config)#vtp pruning (設(shè)置VTP修剪,以減少trunk端口上不必要的流量)
Switch(config)#vtp version 2(設(shè)置VTP的版本號(hào)為2)
Switch(config)#vtp password cisco-jspi(將VTP域的密碼設(shè)置為cisco-jspi)
需要說(shuō)明的是:VTP域中的所有交換機(jī)必須設(shè)置相同的密碼,否則無(wú)法正確工作。另外,VTP的域密碼是以明文方式在網(wǎng)絡(luò)中傳輸,安全性較差。
在OSI參考模型中,局域網(wǎng)僅涉及到物理層和數(shù)據(jù)鏈路層,以上各層的功能由局域網(wǎng)操作系統(tǒng)來(lái)完成。在網(wǎng)絡(luò)體系結(jié)構(gòu)中,越是低層的安全問(wèn)題所產(chǎn)生的影響也越大,而且越不容易徹底解決。正因?yàn)槿绱?,?dāng)ARP、DHCP、VLAN、STP等主要針對(duì)數(shù)據(jù)鏈路層協(xié)議的攻擊出現(xiàn)時(shí),一般借助于對(duì)交換機(jī)等數(shù)據(jù)鏈路層設(shè)備的安全管理來(lái)解決。針對(duì)局域網(wǎng)應(yīng)用和管理實(shí)際,本文僅對(duì)數(shù)據(jù)鏈路層的主要安全問(wèn)題進(jìn)行了分析,并給出了Cisco交換機(jī)上的配置方法,其他品牌交換機(jī)的配置讀者可參閱相關(guān)的技術(shù)文檔。隨著網(wǎng)絡(luò)應(yīng)用不斷深入,新的安全問(wèn)題也將不斷出現(xiàn),針對(duì)數(shù)據(jù)鏈路層的安全研究也將是一項(xiàng)長(zhǎng)期的工作。
參考文獻(xiàn)
[1] TANENBAUM A S. Computer networks fourth edition(影印版)[M].北京:清華大學(xué)出版,2008.
[2] 任鳳姣,王 洪,賈卓生.DHCP安全系統(tǒng)[J].計(jì)算機(jī)工程,2004,17(9):127-129.
[3] 王群.計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)[M].北京:清華大學(xué)出版,2008.
[4] PATRICK M. Motorola BCS. DHCP relay agent information option[EB/OL]. http://www.rfc-editor.org/rfc/rfc3046.txt, January 2001.
[5] Cisco Systems, Inc. Spanning tree protocol root guard enhancement[EB/OL]. http://www.cisco.com/application/pdf/paws/10588/74.pdf, August 2005.