《電子技術(shù)應(yīng)用》
您所在的位置:首頁(yè) > 通信與網(wǎng)絡(luò) > 設(shè)計(jì)應(yīng)用 > 鏈路層安全隱患及防范技術(shù)
鏈路層安全隱患及防范技術(shù)
來(lái)源:電子技術(shù)應(yīng)用2011年第4期
王 群
江蘇警官學(xué)院 公安科技系,江蘇 南京 210012
摘要: 針對(duì)數(shù)據(jù)鏈路層的安全隱患,利用ARP、DHCP、STP、DTP、VTP等協(xié)議的網(wǎng)絡(luò)攻擊,提出了相應(yīng)的防范對(duì)策。以交換式以太網(wǎng)技術(shù)為基礎(chǔ),分析數(shù)據(jù)鏈路層的不安全因素,有針對(duì)性地給出了相應(yīng)的解決方法和思路。
中圖分類(lèi)號(hào): TP309.2
文獻(xiàn)標(biāo)識(shí)碼: A
文章編號(hào): 0258-7998(2011)04-0133-05
Security risks and defense technology of data link layer
Wang Qun
Department of Science & Technology,Jiangsu Police Institute,Nanjing 210012,China
Abstract: For data link layer security troubles, the attacks using ARP,DHCP,STP,DTP,VTP and other network protocols,this paper puts forward the corresponding preventive measures. Based on the switching ethernet technology, the paper analyzes the security troubles of data link layer through the introduction of implementation details for communication protocol. At last, the paper provides the corresponding solutions and ideas.
Key words : switching Ethernet;data link layer;communication protocol;data frame;network security


    目前,網(wǎng)絡(luò)和信息安全已上升到國(guó)家安全的層面。在早期的計(jì)算機(jī)網(wǎng)絡(luò)安全研究中,普遍存在著重兩頭而輕中間的現(xiàn)象,將網(wǎng)絡(luò)安全的注意力主要集中在網(wǎng)絡(luò)體系結(jié)構(gòu)的高層和低層,而忽視了中間層次的安全問(wèn)題。如針對(duì)物理層的安全提出了大量的涉及物理、電子、電氣和功能等特性的解決方案;針對(duì)應(yīng)用層的安全出現(xiàn)了種類(lèi)豐富、功能完善的面向協(xié)議的技術(shù)和產(chǎn)品。然而,只有當(dāng)ARP欺騙攻擊在局域網(wǎng)中大范圍爆發(fā)而一時(shí)無(wú)法找到徹底的解決辦法時(shí),才注意到中間層,尤其是數(shù)據(jù)鏈路層的安全問(wèn)題。數(shù)據(jù)鏈路層的主要功能是在相鄰節(jié)點(diǎn)之間,通過(guò)各種控制協(xié)議和規(guī)程在有差錯(cuò)的物理信道中實(shí)現(xiàn)無(wú)差錯(cuò)的、可靠的數(shù)據(jù)幀傳輸[1]。本文以交換式局域網(wǎng)應(yīng)用為主,集中分析了數(shù)據(jù)鏈路層的安全問(wèn)題,有針對(duì)性地提出了相應(yīng)的解決方法和思路,并以Cisco交換機(jī)為例,給出了相應(yīng)的配置方法。
1 數(shù)據(jù)鏈路層主要安全問(wèn)題
1.1 ARP欺騙攻擊

    ARP(Address Resolution Protocol)的功能是通過(guò)IP地址查找對(duì)應(yīng)端口的MAC地址,以便在TCP/IP網(wǎng)絡(luò)中實(shí)現(xiàn)共享信道的節(jié)點(diǎn)之間利用MAC地址進(jìn)行通信。由于ARP協(xié)議在設(shè)計(jì)中存在主動(dòng)發(fā)送ARP報(bào)文的漏洞,使得主機(jī)可以發(fā)送虛假的ARP請(qǐng)求報(bào)文或響應(yīng)報(bào)文,而報(bào)文中的源IP地址和源MAC地址均可以進(jìn)行偽造。在局域網(wǎng)中,既可以偽造成某一臺(tái)主機(jī)(如服務(wù)器)的IP地址和MAC地址的組合,也可以偽造成網(wǎng)關(guān)IP地址與MAC地址的組合。這種組合可以根據(jù)攻擊者的意圖進(jìn)行任意搭配,而現(xiàn)有的局域網(wǎng)卻沒(méi)有相應(yīng)的機(jī)制和協(xié)議來(lái)防止這種偽造行為。近幾年來(lái),幾乎所有局域網(wǎng)都遭遇過(guò)ARP欺騙攻擊的侵害。
    圖1所示為假設(shè)主機(jī)C為局域網(wǎng)中的網(wǎng)關(guān),主機(jī)D為ARP欺騙者。當(dāng)局域網(wǎng)中的計(jì)算機(jī)要與其他網(wǎng)絡(luò)進(jìn)行通信(如訪問(wèn)Internet)時(shí),所有發(fā)往其他網(wǎng)絡(luò)的數(shù)據(jù)全部發(fā)給了主機(jī)D,而主機(jī)D并非真正的網(wǎng)關(guān),這樣整個(gè)網(wǎng)絡(luò)將無(wú)法與其他網(wǎng)絡(luò)進(jìn)行通信。這種現(xiàn)象在ARP欺騙攻擊中非常普遍。

1.2 DHCP欺騙攻擊
    DHCP(Dynamic Host Configuration Protocol)的功能是對(duì)客戶(hù)端動(dòng)態(tài)地分配IP地址及相關(guān)參數(shù)。但DHCP卻存在著一個(gè)非常大的安全隱患:當(dāng)一臺(tái)運(yùn)行有DHCP客戶(hù)端程序的計(jì)算機(jī)連接到網(wǎng)絡(luò)中時(shí),即使是一個(gè)沒(méi)有權(quán)限使用網(wǎng)絡(luò)的非法用戶(hù)也能很容易地從DHCP服務(wù)器獲得一個(gè)IP地址及網(wǎng)關(guān)、DNS等信息,成為網(wǎng)絡(luò)的合法使用者[2]。由于DHCP客戶(hù)端在獲得DHCP服務(wù)器的IP地址等信息時(shí),系統(tǒng)沒(méi)有提供對(duì)合法DHCP服務(wù)器的認(rèn)證,所以DHCP客戶(hù)端從首先得到DHCP響應(yīng)(DHCPOFFER)的DHCP服務(wù)器處獲得IP地址等信息。為此,不管是人為的網(wǎng)絡(luò)攻擊、破壞,還是無(wú)意的操作,一旦在網(wǎng)絡(luò)中接入了一臺(tái)DHCP服務(wù)器,該DHCP服務(wù)器就可以為DHCP客戶(hù)端提供IP地址等信息的服務(wù)。其結(jié)果是:(1)客戶(hù)端從非法DHCP服務(wù)器獲得了不正確的IP地址、網(wǎng)關(guān)、DNS等參數(shù),無(wú)法實(shí)現(xiàn)正常的網(wǎng)絡(luò)連接;(2)客戶(hù)端從非法DHCP服務(wù)器處獲得的IP地址與網(wǎng)絡(luò)中正常用戶(hù)使用的IP地址沖突,影響了網(wǎng)絡(luò)的正常運(yùn)行。尤其當(dāng)客戶(hù)端獲得的IP地址與網(wǎng)絡(luò)中某些重要的服務(wù)器的IP地址沖突時(shí),整個(gè)網(wǎng)絡(luò)將處于混亂狀態(tài);(3)攻擊偽造大量的DHCP請(qǐng)求報(bào)文,將DHCP服務(wù)器中可供分配的IP地址耗盡,使正常的用戶(hù)無(wú)法獲得IP地址。
1.3 生成樹(shù)協(xié)議攻擊
    生成樹(shù)協(xié)議STP(Spanning Tree Protocol)是用于解決網(wǎng)絡(luò)環(huán)路問(wèn)題的一種智能算法。在交換式網(wǎng)絡(luò)中,通過(guò)在兩個(gè)交換節(jié)點(diǎn)之間提供多條物理鏈路來(lái)提供線路冗余,以增加設(shè)備之間連接的可靠性。但是,當(dāng)在兩個(gè)交換節(jié)點(diǎn)(如交換機(jī))之間存在兩條以上的物理鏈路時(shí)將會(huì)形成環(huán)路。如果沒(méi)有相應(yīng)的備份策略,環(huán)路的存在將會(huì)形成廣播風(fēng)暴。輕則嚴(yán)重影響網(wǎng)絡(luò)的性能,重則導(dǎo)致網(wǎng)絡(luò)癱瘓。生成樹(shù)協(xié)議的實(shí)現(xiàn)基礎(chǔ)是BPDU(Bridge Protocol Data Units)報(bào)文,通過(guò)在不同交換機(jī)之間交換的BPDU報(bào)文,在網(wǎng)絡(luò)中選舉一臺(tái)網(wǎng)橋ID(Bridge ID)最低的交換機(jī)作為根網(wǎng)橋(Root Bridge),并將交換機(jī)上發(fā)送該BPDU報(bào)文端口ID(Port ID)的值設(shè)置為最低,交換機(jī)上端口ID值最低的端口為根端口(Root Port),根端口連接的鏈路為主鏈路。通過(guò)計(jì)算網(wǎng)絡(luò)中各個(gè)交換機(jī)到達(dá)根網(wǎng)橋的路徑開(kāi)銷(xiāo),選擇各交換節(jié)點(diǎn)到達(dá)根網(wǎng)橋的最優(yōu)路徑,同時(shí)阻斷其他的次優(yōu)路徑(即冗余鏈路),從而形成邏輯上無(wú)環(huán)路的樹(shù)形拓?fù)浣Y(jié)構(gòu)。
    根據(jù)STP的工作原理,同一網(wǎng)絡(luò)中的所有交換機(jī)之間都可以通過(guò)網(wǎng)橋ID的值來(lái)選擇根網(wǎng)橋,這樣攻擊者可以在網(wǎng)絡(luò)中接入一臺(tái)交換機(jī)或一臺(tái)計(jì)算機(jī),然后通過(guò)構(gòu)造網(wǎng)橋ID最低的BPDU報(bào)文,使這臺(tái)接入的交換機(jī)或計(jì)算機(jī)成為根網(wǎng)橋,進(jìn)而擾亂正常的網(wǎng)絡(luò)運(yùn)行,最終導(dǎo)致網(wǎng)絡(luò)癱瘓。
1.4 MAC地址泛洪攻擊
    交換機(jī)根據(jù)MAC地址來(lái)轉(zhuǎn)發(fā)數(shù)據(jù)幀,交換機(jī)端口與所連設(shè)備MAC地址的對(duì)應(yīng)關(guān)系存儲(chǔ)在內(nèi)容尋址存儲(chǔ)器CAM(Content Addressable Memory)表中,CAM表中還可能包含MAC地址對(duì)應(yīng)的VLAN ID等參數(shù)。當(dāng)交換機(jī)從某一端口接收到一個(gè)數(shù)據(jù)幀時(shí),交換機(jī)首先從數(shù)據(jù)幀中提取源MAC地址和目的MAC地址,然后將端口與源MAC地址的對(duì)應(yīng)關(guān)系記錄在CAM表中。同時(shí),交換機(jī)查詢(xún)CAM表中是否有目的MAC地址對(duì)應(yīng)的記錄,如果有,則可通過(guò)對(duì)應(yīng)的端口將數(shù)據(jù)幀轉(zhuǎn)發(fā)出去,如果沒(méi)有,交換機(jī)的作用則類(lèi)似于集線器,會(huì)將數(shù)據(jù)幀廣播到交換機(jī)其他所有的端口[3]。
    MAC地址泛洪攻擊也稱(chēng)為CAM表溢出攻擊。因?yàn)槿魏我慌_(tái)交換機(jī)的CAM表大小是有限制的,當(dāng)記錄數(shù)填滿(mǎn)CAM表時(shí),凡到達(dá)交換機(jī)的具有不同源MAC地址的數(shù)據(jù)幀,其端口和MAC地址的對(duì)應(yīng)關(guān)系將不會(huì)被添加在CAM表中。基于此原理,攻擊者將大量虛構(gòu)的具有不同源MAC地址的數(shù)據(jù)幀發(fā)送給交換機(jī),直至交換機(jī)的CAM表填滿(mǎn)。之后,交換機(jī)將進(jìn)入fail-open(失效開(kāi)放)模式,其功能將類(lèi)似于一臺(tái)集線器。此時(shí),交換機(jī)接收到的任何一個(gè)單播幀都會(huì)以廣播方式處理,攻擊者的計(jì)算機(jī)將會(huì)接收到這些單播幀,從而獲得其他用戶(hù)的信息。
1.5 VLAN 攻擊
    虛擬局域網(wǎng)VLAN(Virtual Local Area Network)是在交換式局域網(wǎng)基礎(chǔ)上出現(xiàn)的一項(xiàng)管理技術(shù),通過(guò)在數(shù)據(jù)幀的頭部添加VLAN tag(VLAN標(biāo)識(shí))字段,將局域網(wǎng)用戶(hù)設(shè)備邏輯地劃分為多個(gè)網(wǎng)段,以縮小廣播域,提高用戶(hù)通信的安全性及網(wǎng)絡(luò)的可管理性。VLAN在局域網(wǎng)中一般被作為一項(xiàng)安全技術(shù)使用,但VLAN本身卻存在安全隱患。目前針對(duì)VLAN的攻擊主要集中在VLAN Hopping攻擊和VTP攻擊兩個(gè)方面。
    (1)VLAN Hopping攻擊。VLAN Hopping(VLAN跳躍)攻擊是基于動(dòng)態(tài)主干協(xié)議DTP(Dynamic Trunk Protocol)來(lái)實(shí)現(xiàn)的。當(dāng)兩臺(tái)交換機(jī)互聯(lián)時(shí),通過(guò)DTP可以對(duì)互聯(lián)端口進(jìn)行協(xié)商,確認(rèn)是否設(shè)置為支持IEEE 802.1Q的主干(trunk)端口。如果設(shè)置為主干端口,則允許轉(zhuǎn)發(fā)所有VLAN中的數(shù)據(jù)幀。VLAN Hopping攻擊又分為基本VLAN Hopping攻擊和雙重封裝VLAN跳躍攻擊兩類(lèi)。①基本VLAN Hopping攻擊是攻擊者將計(jì)算機(jī)偽裝成為一臺(tái)交換機(jī),并發(fā)送虛假的DTP協(xié)商報(bào)文,請(qǐng)求成為主干端口。局域網(wǎng)中交換機(jī)在收到這個(gè)DTP報(bào)文后,便啟用基于IEEE 802.1Q的Trunk功能,將攻擊者的計(jì)算機(jī)誤認(rèn)為一臺(tái)合法的交換機(jī)。之后,所有VLAN的數(shù)據(jù)幀都會(huì)發(fā)送到攻擊者的計(jì)算機(jī)上。②雙重封裝VLAN跳躍攻擊是指利用目前大部分局域網(wǎng)交換機(jī)僅支持單層VLAN tag的特點(diǎn),攻擊者根據(jù)要入侵的VLAN ID,首先構(gòu)造一個(gè)包含該VLAN ID的IEEE 802.1Q數(shù)據(jù)幀,然后在該IEEE 802.1Q數(shù)據(jù)幀的外層再封裝一層適合當(dāng)前網(wǎng)絡(luò)的VLAN tag,從而通過(guò)外層VLAN ID實(shí)現(xiàn)對(duì)非授權(quán)VLAN ID的非法訪問(wèn),以獲取非授權(quán)VLAN ID中的用戶(hù)數(shù)據(jù)。
    (2)VTP攻擊。VTP(VLAN Trunk Protocol)以組播方式在同一個(gè)管理域中同步VLAN信息,從而實(shí)現(xiàn)對(duì)管理域中VLAN信息的集中管理。VTP報(bào)文只能在trunk端口上轉(zhuǎn)發(fā)。VTP的三種工作模式及對(duì)應(yīng)的功能如下:
    ①Server(缺?。???梢蕴砑?、刪除、修改VLAN,并同步VLAN信息。VLAN信息存放在NVRAM中。
  ②Client。不允許添加、刪除、修改VLAN,但會(huì)同步VLAN信息。VLAN信息不存放在NVRAM中,斷電后會(huì)自動(dòng)消失。
  ③Transparent。可以添加、刪除、修改VLAN,但不同步VLAN信息。VLAN信息存放在NVRAM中。
  使用VTP的主要目的是實(shí)現(xiàn)對(duì)局域網(wǎng)中VLAN信息的集中管理,以減少網(wǎng)絡(luò)管理員的工作量。但攻擊者可以接入一臺(tái)交換機(jī)或直接使用一臺(tái)計(jì)算機(jī),并與上聯(lián)交換機(jī)之間建立一條主干(trunk)通道后,通過(guò)修改自己的修訂號(hào)(Configuration Revision)來(lái)?yè)碛蠸erver的權(quán)限,進(jìn)而對(duì)局域網(wǎng)的VLAN架構(gòu)進(jìn)行任意更改,以獲得所需要的信息或擾亂網(wǎng)絡(luò)的正常運(yùn)行。
2 數(shù)據(jù)鏈路層安全防范方法
2.1 針對(duì)ARP欺騙攻擊的防范方法

    ARP緩存表中的記錄既可以是動(dòng)態(tài)的,也可以是靜態(tài)的。如果ARP緩存表中的記錄是動(dòng)態(tài)的,則可以通過(guò)老化機(jī)制減少ARP緩存表的長(zhǎng)度并加快查詢(xún)速度;靜態(tài)ARP緩存表中的記錄是永久性的,用戶(hù)可以使用TCP/IP工具來(lái)創(chuàng)建和修改,如Windows操作系統(tǒng)自帶的ARP工具。對(duì)于計(jì)算機(jī)來(lái)說(shuō),可以通過(guò)綁定網(wǎng)關(guān)等重要設(shè)備的IP與MAC地址記錄來(lái)防止ARP欺騙攻擊。在交換機(jī)上防范ARP欺騙攻擊的方法與在計(jì)算機(jī)上基本相同,可以將下連設(shè)備的MAC地址與交換機(jī)端口進(jìn)行綁定,并通過(guò)端口安全功能(Port Security feature)對(duì)違背規(guī)則的主機(jī)(攻擊者)進(jìn)行相應(yīng)的處理。通過(guò)Cisco交換機(jī)可以在DHCP Snooping綁定表的基礎(chǔ)上,使用DAI(Dynamic ARP Inspection)技術(shù)來(lái)檢測(cè)ARP請(qǐng)求,攔截非法的ARP報(bào)文,具體配置如下:
    Switch(config)#ip arp inspection vlan 20-30,100-110,315(定義ARP檢測(cè)的VLAN范圍,該范圍根據(jù)DHCP snooping binding表做判斷)
    Switch(config-if)#ip arp inspection limit rate 30 (限制端口每秒轉(zhuǎn)發(fā)ARP報(bào)文的數(shù)量為30)
2.2 針對(duì)DHCP欺騙攻擊的防范方法
    對(duì)于DHCP欺騙攻擊的防洪可以采用兩種方法。
    (1)采用DHCP Snooping過(guò)濾來(lái)自網(wǎng)絡(luò)中非法DHCP服務(wù)器或其他設(shè)備的非信任DHCP響應(yīng)報(bào)文。在交換機(jī)上,當(dāng)某一端口設(shè)置為非信任端口時(shí),可以限制客戶(hù)端特定的IP地址、MAC地址或VLAN ID等報(bào)文通過(guò)。為此,可以使用DHCP Snooping特性中的可信任端口來(lái)防止用戶(hù)私置DHCP服務(wù)器或DHCP代理[4]。一旦將交換機(jī)的某一端口設(shè)置為指向正確DHCP服務(wù)器的接入端口,則交換機(jī)會(huì)自動(dòng)丟失從其他端口上接收到的DHCP響應(yīng)報(bào)文。例如,在Cisco交換機(jī)上通過(guò)以下命令將指定端口設(shè)置為信任端口:
     Switch(config-if)# ip dhcp snooping trust(定義該端口為DHCP信任端口)
     Switch(config)#ip dhcp snooping (啟用DHCP snooping功能)
     Switch(config)#ip dhcp snooping vlan 20-30,100-110,315 (定義DHCP snooping作用的VLAN)
  (2)通過(guò)DHCP服務(wù)器(如基于Windows 2003/2008操作系統(tǒng)的DHCP服務(wù)器)綁定IP與MAC地址,實(shí)現(xiàn)對(duì)指定計(jì)算機(jī)IP地址的安全分配。
2.3 針對(duì)生成樹(shù)協(xié)議攻擊的防范方法
    對(duì)于STP攻擊可以采取STP環(huán)路保護(hù)機(jī)制來(lái)防范。為了防止客戶(hù)端交換機(jī)偶然成為根網(wǎng)橋,在Cisco交換機(jī)中可以使用Root Guard特性來(lái)避免這種現(xiàn)象的發(fā)生[5]。如圖2所示,如果STP偶然選擇出客戶(hù)端交換機(jī)(交換機(jī)D)成為根網(wǎng)橋,即交換機(jī)C與交換機(jī)D相連接的端口成為根端口(Root Port),則Root Guard特性自動(dòng)將交換機(jī)C與交換機(jī)D相連接的端口設(shè)置為root-inconsistent狀態(tài)(根阻塞狀態(tài)),以防止客戶(hù)端交換機(jī)D成為根網(wǎng)橋。一旦在交換機(jī)中配置了Root Guard特性,其將對(duì)所有的VLAN都有效。

    在Cicsco交換機(jī)中配置Root Guard特性的命令如下:
    Switch(config-if)#spanning-tree guard root
2.4 針對(duì)MAC地址泛洪攻擊的防范方法
    針對(duì)MAC地址泛洪攻擊,可以采取以下多種方法進(jìn)行防范:
    (1)限制未知目的MAC地址的組播(multicast)幀和單播(unicast)幀通過(guò)本端口進(jìn)行轉(zhuǎn)發(fā)。在Cisco交換機(jī)的配置如下:
    Switch(config-if)# switchport block multicast
    Switch(config-if)# switchport block unicast
    (2)限制端口學(xué)習(xí)到的最大MAC地址數(shù)量。以下配置中將該端口最大能夠?qū)W習(xí)到的MAC地址數(shù)限制為10:
    Switch(config-if)#switchport port-security maximum 10
    (3)限制端口單位時(shí)間(一般為每秒)通過(guò)的最大數(shù)據(jù)幀數(shù)量,可以分別針對(duì)單播幀、組播幀和廣播幀進(jìn)行設(shè)置。以下配置中將該端口每秒通過(guò)的單播幀、組播幀和廣播幀的數(shù)量分別限制為10:
    Switch(config-if)# storm-control unicast level 10
    Switch(config-if)# storm-control multicast level 10
    Switch(config-if)# storm-control broadcast level 10
    當(dāng)通過(guò)以上方式對(duì)交換機(jī)的端口進(jìn)行限制后,對(duì)于違背安全規(guī)則的端口,交換機(jī)將自動(dòng)采取protect(丟棄非法流量,不報(bào)警)、restrict(丟棄非法流量,報(bào)警)、shutdown(關(guān)閉端口)和shutdown vlan(關(guān)閉VLAN)等安全保護(hù)方式。
2.5 針對(duì)VLAN攻擊的防范方法
    (1)針對(duì)基本VLAN Hopping攻擊,最有效的解決方法是關(guān)閉交換機(jī)的DTP功能,將交換機(jī)之間的互聯(lián)端口手動(dòng)設(shè)置為T(mén)runk即可。在Cisco交換機(jī)上將某一端口設(shè)置為T(mén)runk的配置如下:
  Switch(config-if)# switchport(設(shè)置為二層端口)
  Switch(config-if)#switchport trunk encapsulation dot1q(啟用IEEE 802.1Q)
  Switch(config-if)#switchport mode trunk(設(shè)置該端口為trunk)或
  Switch(config-if)# switchport mode dynamic desirable(使該端口既主動(dòng)發(fā)送DTP報(bào)文,也允許對(duì)DTP報(bào)文進(jìn)行響應(yīng),這是以太網(wǎng)端口的默認(rèn)狀態(tài))
  關(guān)閉交換機(jī)上DTP功能的配置如下:
  Switch(config-if)# switchport mode access(設(shè)置為訪問(wèn)端口,不具有DTP功能)或
  Switch(config-if)# switchport mode dynamic auto(使該端口可以響應(yīng)DTP報(bào)文,但不允許主動(dòng)發(fā)送DTP報(bào)文)
  針對(duì)雙重封裝VLAN Hopping攻擊,目前最有效的解決辦法是為trunk端口單獨(dú)設(shè)置一個(gè)native VLAN,且在native VLAN中不加入任何用戶(hù)的端口。配置方法如下:
  Switch(config-if)#switchport trunk native vlan vlan-id
  (2)由于實(shí)現(xiàn)VTP攻擊的前提是攻擊者與上聯(lián)交換機(jī)之間要建立一條主干(trunk)通道,所以可以采取與防范基本VLAN Hopping攻擊相同的方法來(lái)解決這一問(wèn)題。另外,可以為VTP域設(shè)置密碼,當(dāng)域中要加入新的交換機(jī)時(shí)必須輸入正確的密碼,通過(guò)對(duì)VTP域密碼的管理便可以防范VTP攻擊。在Cisco交換機(jī)中的配置實(shí)例如下:
  Switch(config)# vtp mode server(將VTP的工作模式設(shè)置為Server)
  Switch(config)# vtp domain VTP-JSPI(設(shè)置VTP的域名為VTP-JSPI)
  Switch(config)#vtp pruning (設(shè)置VTP修剪,以減少trunk端口上不必要的流量)
  Switch(config)#vtp version 2(設(shè)置VTP的版本號(hào)為2)
  Switch(config)#vtp password cisco-jspi(將VTP域的密碼設(shè)置為cisco-jspi)
    需要說(shuō)明的是:VTP域中的所有交換機(jī)必須設(shè)置相同的密碼,否則無(wú)法正確工作。另外,VTP的域密碼是以明文方式在網(wǎng)絡(luò)中傳輸,安全性較差。
    在OSI參考模型中,局域網(wǎng)僅涉及到物理層和數(shù)據(jù)鏈路層,以上各層的功能由局域網(wǎng)操作系統(tǒng)來(lái)完成。在網(wǎng)絡(luò)體系結(jié)構(gòu)中,越是低層的安全問(wèn)題所產(chǎn)生的影響也越大,而且越不容易徹底解決。正因?yàn)槿绱?,?dāng)ARP、DHCP、VLAN、STP等主要針對(duì)數(shù)據(jù)鏈路層協(xié)議的攻擊出現(xiàn)時(shí),一般借助于對(duì)交換機(jī)等數(shù)據(jù)鏈路層設(shè)備的安全管理來(lái)解決。針對(duì)局域網(wǎng)應(yīng)用和管理實(shí)際,本文僅對(duì)數(shù)據(jù)鏈路層的主要安全問(wèn)題進(jìn)行了分析,并給出了Cisco交換機(jī)上的配置方法,其他品牌交換機(jī)的配置讀者可參閱相關(guān)的技術(shù)文檔。隨著網(wǎng)絡(luò)應(yīng)用不斷深入,新的安全問(wèn)題也將不斷出現(xiàn),針對(duì)數(shù)據(jù)鏈路層的安全研究也將是一項(xiàng)長(zhǎng)期的工作。
參考文獻(xiàn)
[1] TANENBAUM A S. Computer networks fourth edition(影印版)[M].北京:清華大學(xué)出版,2008.
[2] 任鳳姣,王 洪,賈卓生.DHCP安全系統(tǒng)[J].計(jì)算機(jī)工程,2004,17(9):127-129.
[3] 王群.計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)[M].北京:清華大學(xué)出版,2008.
[4] PATRICK M. Motorola BCS. DHCP relay agent information option[EB/OL]. http://www.rfc-editor.org/rfc/rfc3046.txt, January 2001.
[5] Cisco Systems, Inc. Spanning tree protocol root guard enhancement[EB/OL]. http://www.cisco.com/application/pdf/paws/10588/74.pdf, August 2005.

此內(nèi)容為AET網(wǎng)站原創(chuàng),未經(jīng)授權(quán)禁止轉(zhuǎn)載。