針對以太網的安全攻擊及防護

文/顧煒江 劉興光

針對以太網的安全攻擊及防護

文/顧煒江 劉興光

隨著網絡技術的發展，以及越來越多的網絡安全事件的發生，網絡安全得到越來越高的重視，網絡管理員的安全防范意識也在逐步提高。在校園網的規劃、建設和管理過程中，往往采取多種安全措施，例如部署防火墻、入侵檢測系統，升級主機系統等。然而這些措施主要是針對第三層（網絡層）以及第三層以上進行防護，對以太網本身的安全性沒有足夠重視。

然而近年來，針對以太網本身的一些缺陷而產生的安全性問題日益增多，嚴重時甚至影響網絡的正常使用。對以太網的攻擊與常見的網絡攻擊行為有很大不同，主要表現在它的隱蔽性。這類攻擊往往不能被入侵檢測系統和防火墻發現，從而帶來更大的網絡安全隱患。本文將討論幾種較常見的、危害性較大的以太網攻擊方式，并討論相應的解決方法。

圖1 ARP欺騙的過程

ARP欺騙及防護

1. ARP欺騙

以太網的通信很大程度上依賴于ARP(Address Resolution Protocol地址解析協議)。以太網主機進行通信前，必須知道目標主機的M A C地址。每臺主機都維護一個A R P Cache，用于存放IP地址和MAC地址的對應關系。如果主機的ARP Cache中存在關于目標主機的條目，就可以直接使用。當ARP Cache中不存在相應的條目時，就需要向網絡進行查詢，這個工作由ARP協議完成。

ARP協議通過發送一個目的地址為FFFF.FFFF.FFFF的廣播幀，對目標主機的MAC地址進行查詢。以太網段上的所有主機都將接收到這個廣播幀，目的主機將給出ARP的應答響應。發送ARP請求的主機并不判斷應答是否真實可信，只是簡單將這個ARP應答用于更新它的ARP Cache。

ARP欺騙是比較常見的攻擊行為之一。當攻擊者試圖偽裝局域網中的一個主機時，可以通過偽造ARP應答報文，去篡改局域網中其他主機中的ARP Cache，從而使得局域網中所有去往被攻擊主機的數據全部發往攻擊者。攻擊者甚至還可以偽裝成局域網中的路由器，截取所有去往其他子網的數據，給網絡安全帶來很大的隱患。ARP欺騙的過程如圖1所示。

ARP欺騙者(10.0.0.4)在子網中發布ARP廣播報文，聲稱被攻擊主機(10.0.0.3)的MAC地址為自己的MAC地址，這樣子網中其他主機就會用一個錯誤的MAC地址更新自己的ARP緩存，并且將發送給被攻擊主機的數據發送給了ARP欺騙主機。

2. 危害及防御

從2006年開始流行的ARP病毒就是利用了ARP欺騙原理，此類病毒最初是為了竊取網游賬號而設計，病毒感染者利用ARP欺騙將自己偽裝為子網的網關，使得本應該發送到網關的數據轉而發送到欺騙主機上，從而達到竊取賬號的目的。ARP病毒除了竊取網游賬號外，其更大的危害是導致整個子網的計算機使用錯誤的網關MAC地址，導致整個子網無法正常運行，而所表現出的現象卻是網絡本身的故障，給網絡管理者排除故障帶來很大的麻煩。

防止ARP欺騙最直接的方法就是禁止動態ARP協議，在主機中使用靜態ARP表。這種方法雖然可以避免利用ARP協議進行MAC欺騙，然而這種方法卻給使用者和管理者帶來極大的不便、較難實施，適用于對安全性要求較高的網絡。當然，針對目前利用ARP欺騙的病毒猖獗的情況下，部分第三方軟件可以幫助用戶抵御ARP，例如AntiARP Sniffer。

另一種較為常用方法就是在交換機上設置同一子網中的不同端口之間不能相互訪問，即實施端口隔離。這樣也可以防止攻擊者利用MAC欺騙進行攻擊，這種方法較適合接入用戶相對獨立的網絡。

以太網的數據竊聽及防護

1. 以太網數據竊聽

在過去共享介質的以太網中，數據的竊聽是一件非常簡單的事情，這是由共享以太網的工作原理所決定。攻擊者使用類似于Sniffer的嗅包器，就可以對網絡中的數據進行監聽，同時很容易抓取到一些敏感信息，例如用戶的電子郵件口令等。在HUB已經被交換機取代的今天，網絡管理員往往認為在交換以太網中實現竊聽是很困難的事情，除非攻擊者掌握了交換機的控制權。而事實上，針對交換網絡的竊聽也并非不可能，我們首先對交換機的工作原理進行分析：

以太網交換機在進行數據幀轉發時，需要維護一張MAC地址和其對應端口關系的快速轉發表。交換機的端口在接收到一個數據幀后，首先會查找這個快速轉發表。如果在快速轉發表中能夠找到與數據幀中目標主機MAC地址相匹配的條目，則立刻將該數據幀轉發到相應的端口上。如果快速轉發表中不存在相應的條目，交換機就需要將這個數據幀轉發到所有的端口，形成一個廣播，隨后交換機根據目標主機在快速轉發表中添加與該目標主機相關的MAC地址及端口對應關系的條目。

根據交換機的工作原理可以看出，在快速轉發表已經建立的前提下，數據幀是直接從一個端口轉發到另一個端口的。在快速轉發表中還沒有建立，或者快速轉發表中不存在目標主機的信息時，交換機會將數據幀廣播到所有端口上。這種行為使得這個被廣播的數據幀能夠被連接在這個交換機上的所有主機接收到，就好像是一個HUB一樣。

交換機快速轉發表的容量通常有一定的大小限制。當快速轉發表被填滿時，交換機接收到新的數據幀后就無法在快速轉發表中找到相應的條目(即使這個條目曾經存在過)，需要再次對這個數據幀進行廣播，以便能夠重新在快速轉發表中建立相應的條目。

一般情況下，交換機的快速轉發表的容量在8000個條目左右。當攻擊者試圖對交換機正在轉發的數據幀進行竊聽時，利用連接到這個交換機上某個端口的主機發送偽造的數據幀到交換機上，迫使交換機不斷更新其快速轉發表中的內容，直到將表中原有的條目全部替換掉，這樣交換機轉發正常的數據幀時就無法在快速轉發表中找到相應的條目，而不得不重新將該數據幀進行廣播，以獲得其對應的端口。如此，只要攻擊者發送偽造數據幀的速度足夠快，使得快速轉發表中正常的條目無法保留，就可以竊聽到用戶的數據了。

根據上面的分析可以看到，在交換網絡中，攻擊者通過對快速轉發表的攻擊，將正常的轉發數據變為廣播數據，從而達到竊聽的目的。這種對快速轉發表的攻擊行為相當隱蔽，并且很難被網絡管理員察覺。

2. 數據竊聽的防護

為了解決這個問題，可以在交換機上設置快速轉發表中每個端口相關的MAC地址的最大值，這種設置對正常的網絡使用沒有任何影響，而攻擊者則無法使用偽造數據幀沖擊快速轉發表的方法來對網絡進行竊聽。

在交換機的缺省配置情況下，快速轉發表中每個端口對應的MAC地址數量是不作限制的，因此才會造成上面描述的利用大量偽造報文對快速轉發表進行攻擊的情況。可以通過修改交換機的配置，設定每個端口允許的最大MAC地址數，根據每個端口上所連接的主機數量，決定所允許的最大MAC地址數上限。當端口上出現超過設定上限值的MAC地址數量時，就可以對該端口采取相應的措施，關閉該端口并向網絡管理員給出警告信息，從而對整個快速轉發表進行保護。在最理想的完全交換到桌面的網絡中，每個交換機端口只連接一臺計算機，就可以設置交換機的每個端口允許的MAC地址數為1，這樣就可以防止對以太網交換機快速轉發表的攻擊。

圖2

圖3

對生成樹的攻擊及防護

1. 對生成樹的攻擊

在交換網絡中，出于對網絡冗余度的需要而設置環路，或者由于管理員的失誤造成網絡中產生環路是很常見的現象。網絡中的環路會影響到網絡的正常運行。因此，以太網采用生成樹技術來避免網絡中出現環路。生成樹技術可以找到網絡中產生環路的端口，并將其暫時置于阻塞狀態，從而達到避免環路的目的。

在一個交換網絡中，交換機使用一個選舉算法，在所有的交換機中選出一個作為生成樹的根節點。每個交換機擁有一個Bridge ID，這個Bridge ID由交換機的MAC地址和一個優先級組成，其中優先級可以被管理員設定。交換機之間使用BPDU(Bridging Protocol Data Unit，橋接協議數據單元)相互交換Bridge ID進行選舉，最終選擇Bridge ID最小的交換機將成為生成樹的根節點。交換機在運行時繼續監聽相鄰設備發送的BPDU，當網絡中有交換機具有更小的Bridge ID出現時，就會重新對根節點進行選舉，并重新計算出生成樹。

攻擊者利用生成樹協議可以改變網絡的拓撲結構，進而達到攻擊網絡的目的。如圖2所示，交換機A連接了兩個網段，這兩個網段之間的所有數據都是通過交換機A進行轉發的。

圖3中，攻擊者將一個交換機B加入到網絡中，并且同時連接了兩個網段。攻擊者為了改變生成樹的狀態，將交換機B的Bridge ID設置為一個較低的值，經過生成樹算法的重新選舉，交換機B成為根節點，而交換機A連接到其中一個網段的端口則被置為阻塞狀態。這樣，兩個網段之間的所有數據將通過交換機B進行轉發。由于交換機B是受攻擊者控制的設備，因此兩個網段之間的所有數據都有可能被竊聽，甚至受到更進一步的攻擊。

2. 攻擊造成的危害及防御

對生成樹的攻擊造成的后果是正常的端口被阻塞，數據幀在第二層的交換路徑發生了變化，很難被用戶察覺，甚至網絡管理員也很容易忽視，具有很強的隱蔽性。對于這種攻擊方法，最好的防范就是避免未經許可的交換機加入到網絡中，參與根節點的選舉和生成樹的計算。在除了交換機互聯的端口之外的所有端口上，關閉對BPDU的發送和監聽，這樣即使這些端口上有攻擊者加入了一個非法的交換機，其發送的BPDU也不可能被合法的交換機接收到，更不可能影響網絡的生成樹。

（作者單位為南京林業大學信息網絡中心）