所属分类: 网络安全 整理: FengNet.Com 更新日期:2006/6/13 8:35:01 阅读次数:5265

局域网数据链路层(第二协议层)网络安全


(Network Security at the Data Link Layer (Layer 2) of LAN)

  通信的每一层中都有自己独特的安全问题。数据链路层(第二协议层)的通信连接就安全而言,是较为薄弱的环节。网络安全的问题应该在多个协议层针对不同的弱点进行解决。在本篇文章中,我们将集中讨论与有线局域网相关的安全问题。无线局域网和广域网(WAN)的安全问题将在其它篇章中单独进行讨论。在第二协议层的通信中,交换机是关键的部件,它们也用于第三协议层的通信。对于相同的第三协议层的许多攻击和许多独特的网络攻击,它们和路由器都会很敏感,这些攻击包括:

内容寻址存储器(CAM)表格淹没:交换机中的 CAM 表格包含了诸如在指定交换机的物理端口所提供的 MAC 地址和相关的 VLAN 参数之类的信息。一个典型的网络侵入者会向该交换机提供大量的无效 MAC 源地址,直到 CAM 表格被添满。当这种情况发生的时候,交换机会将传输进来的信息向所有的端口发送,因为这时交换机不能够从 CAM 表格中查找出特定的 MAC 地址的端口号。CAM 表格淹没只会导致交换机在本地 VLAN 范围内到处发送信息,所以侵入者只能够看到自己所连接到的本地 VLAN 中的信息。
VLAN 中继:VLAN 中继是一种网络攻击,由一终端系统发出以位于不同 VLAN 上的系统为目标地址的数据包,而该系统不可以采用常规的方法被连接。该信息被附加上不同于该终端系统所属网络 VLAN ID 的标签。或者发出攻击的系统伪装成交换机并对中继进行处理,以便于攻击者能够收发其它 VLAN 之间的通信。
操纵生成树协议:生成树协议可用于交换网络中以防止在以太网拓朴结构中产生桥接循环。通过攻击生成树协议,网络攻击者希望将自己的系统伪装成该拓朴结构中的根网桥。要达到此目的,网络攻击者需要向外广播生成树协议配置/拓朴结构改变网桥协议数据单元(BPDU),企图迫使生成树进行重新计算。网络攻击者系统发出的 BPDU 声称发出攻击的网桥优先权较低。如果获得成功,该网络攻击者能够获得各种各样的数据帧。
媒体存取控制地址(MAC)欺骗:在进行 MAC 欺骗攻击的过程中,已知某其它主机的 MAC 地址会被用来使目标交换机向攻击者转发以该主机为目的地址的数据帧。通过发送带有该主机以太网源地址的单个数据帧的办法,网络攻击者改写了 CAM 表格中的条目,使得交换机将以该主机为目的地址的数据包转发给该网络攻击者。除非该主机向外发送信息,否则它不会收到任何信息。当该主机向外发送信息的时候,CAM 表中对应的条目会被再次改写,以便它能恢复到原始的端口。
地址解析协议(ARP)攻击:ARP 协议的作用是在处于同一个子网中的主机所构成的局域网部分中将 IP 地址映射到 MAC 地址。当有人在未获得授权时就企图更改 MAC 和 IP 地址的 ARP 表格中的信息时,就发生了 ARP 攻击。通过这种方式,黑客们可以伪造 MAC 或 IP 地址,以便实施如下的两种攻击:服务拒绝和中间人攻击。
专用 VLAN:专用 VLAN 通过限制 VLAN 中能够与同 VLAN 中其它端口进行通信的端口的方式进行工作。VLAN 中的孤立端口只能和混合端口进行通信。混合端口能够和任何端口进行通信。能够绕过专用 VLAN 安全措施的攻击的实现要使用绕过专用 VLAN 访问限制的代理。
DHCP 耗竭:DHCP 耗竭的攻击通过利用伪造的 MAC 地址来广播 DHCP 请求的方式来进行。利用诸如 gobbler 之类的攻击工具就可以很容易地造成这种情况。如果所发出的请求足够多的话,网络攻击者就可以在一段时间内耗竭向 DHCP 服务器所提供的地址空间。这是一种比较简单的资源耗竭的攻击手段,就像 SYN 泛滥一样。然后网络攻击者可以在自己的系统中建立起虚假的 DHCP 服务器来对网络上客户发出的新 DHCP 请求作出反应。
  降低局域网安全风险

  在交换机上配置端口安全选项可以防止 CAM 表淹没攻击。该选择项要么可以提供特定交换机端口的 MAC 地址说明,要么可以提供一个交换机端口可以习得的 MAC 地址的数目方面的说明。当无效的 MAC 地址在该端口被检测出来之后,该交换机要么可以阻止所提供的 MAC 地址,要么可以关闭该端口。

  对 VLAN 的设置稍作几处改动就可以防止 VLAN 中继攻击。这其中最大的要点在于所有中继端口上都要使用专门的 VLAN ID。同时也要禁用所有使用不到的交换机端口并将它们安排在使用不到的 VLAN 中。通过明确的办法,关闭掉所有用户端口上的 DTP,这样就可以将所有端口设置成非中继模式。

  要防止操纵生成树协议的攻击,需要使用根目录保护和 BPDU 保护加强命令来保持网络中主网桥的位置不发生改变,同时也可以强化生成树协议的域边界。根目录保护功能可提供保持主网桥位置不变的方法。生成树协议 BPDU 保护使得网络设计者能够保持有源网络拓朴结构的可预测性。尽管 BPDU 保护也许看起来是没有必要的,因为管理员可以将网络优先权调至0,但仍然不能保证它将被选做主网桥,因为可能存在一个优先权为0但ID却更低的网桥。使用在面向用户的端口中,BPDU 保护能够发挥出最佳的用途,能够防止攻击者利用伪造交换机进行网络扩展。

  使用端口安全命令可以防止 MAC 欺骗攻击。端口安全命令能够提供指定系统 MAC 地址连接到特定端口的功能。该命令在端口的安全遭到破坏时,还能够提供指定需要采取何种措施的能力。然而,如同防止 CAM 表淹没攻击一样,在每一个端口上都要指定一个 MAC 地址是一种难办的解决方案。在界面设置菜单中选择计时的功能,并设定一个条目在 ARP 缓存中可以持续的时长,能够达到防止 ARP 欺骗的目的。

  对路由器端口访问控制列表(ACL)进行设置可以防止专用 VLAN 攻击。虚拟的 ACL 还可以用于消除专用 VLAN 攻击的影响。

  通过限制交换机端口的 MAC 地址的数目,防止 CAM 表淹没的技术也可以防止 DHCP 耗竭。随着 RFC 3118,DHCP 消息验证的执行,DHCP 耗竭攻击将会变得越来越困难。

  另外,IEEE802.1X 还能够在数据链路层对基本的网络访问进行监测,它本身是一种在有线网络和无线网络中传送可扩展验证协议(EAP)架构的标准。在未完成验证的情况下 801.1X 就拒绝对网络的访问,进而可以防止对网络基础设备实施的,并依赖基本 IP 连接的多种攻击。802.1X 的初始编写目标是用于拔号连接和远程访问网络中的点对点协议(PPP),它现在支持在局域网的环境中使用 EAP,包括无线局域网。


--------------------------------------------------------------------------------

相关文章
《国家网络空间安全战略》全文 2017/2/10 19:07:39
云安全责任共担模式解读 2017/1/24 16:14:44
Wi-Fi无线网络技术及安全性 2014/2/8 23:23:24
基于IPv6的下一代网络技术的特征分析 2014/2/8 23:22:44
数据中心安全防护之道 2013/4/27 10:39:16
思科路由器模式全解 2011/3/22 13:03:17
财政部信息化网络建设管理办法 2010/4/23 14:57:58
安全审计自己动手 2010/4/14 11:12:19
NetEye防火墙与Cisco路由器的安全问题 2010/4/5 11:50:04
思科Private VLAN与Switchport Protected 2010/3/17 12:30:45
管理思科路由器的十大蠢事 2009/12/16 13:13:32
思科Private VLAN与Switchport Protected 2009/12/16 13:09:44
网络流量控制对管理起到的作用 2009/11/28 14:34:26
北京市东城区“十一五”信息化发展规划 2009/11/4 15:22:19
2006—2020年国家信息化发展战略 2009/11/4 15:15:56
青岛市电子政务发展“十一五”规划纲要 2009/11/4 15:14:39
中医药信息化建设“十一五”规划纲要 2009/11/4 15:08:08
基于网络流量模型的异常检测方法 2008/8/7 15:02:25
熟悉ROM Monitor维护路由器 2008/8/7 14:18:42
部署企业级城域网和局域网的核心技术 2008/7/31 8:45:33
路由器的一般故障分类和排障步骤 2008/7/16 8:23:31
Cisco(思科)路由器上如何防止DDoS 2008/6/7 11:24:30
浙江省嘉兴市“十一五”交通信息化规划 2008/2/10 20:59:59
浙江建设事业“十一五”规划信息化专项规划纲要(2006—2010) 2008/2/10 20:58:59
“数字温州”建设规划纲要 2008/2/10 20:57:40
浙江人事、编制2005─2009年信息化建设规划 2008/2/10 20:56:31
浙江省富阳市信息化“十一五”发展规划 2008/2/10 20:51:59
浙江省“金质工程”(一期)建设计划 2008/2/10 20:50:36
宁波市电子政务发展总体规划 2008/2/10 20:48:37
浙江省电子政务十一五发展规划 2008/2/10 20:47:43
Cisco路由器上防止分布式拒绝服务(DDoS) 2008/1/10 9:07:50
协议欺骗攻击技术常见种类简析及防范 2008/1/10 8:45:52
路由技术 利用路由器防止DoS疯狂攻击 2007/11/19 13:36:33
路由技术如何利用路由器防DoS疯狂攻击 2007/9/18 14:02:03
Cisco路由器如何防止DDoS攻击 2007/5/10 14:47:23
让路由器成为你防范的堡垒 2006/12/14 13:58:13
网站服务器通用和专用保护方法比较分析 2006/12/14 13:31:38
某运营商受DDOS攻击的应急响应内部文档 2006/12/14 13:30:52
自适应网络主动防御产品安全检验规范 2006/12/14 10:33:10
信息技术日志分析产品安全检验规范 2006/12/14 10:31:54
《互联网安全保护技术措施规定》 2006/12/8 12:42:35
信息安全呼唤理论创新 2006/12/8 12:36:44
L2与L3 VPN的详细介绍与对比 2006/12/4 16:54:19
交换网络中的嗅探和ARP欺骗 2006/12/4 16:48:30
应对Linux服务器四种级别攻击 2006/12/4 16:44:54
新一代网络安全接入技术对比分析 2006/12/4 16:40:41
对目标进行ARP欺骗 2006/11/27 15:04:33
Cisco IOS防火墙的安全规则和配置方案 2006/10/28 10:07:06
Cisco防火墙技术汇总 2006/10/28 9:50:56
网络信息安全等级保护制度 2006/10/27 10:05:24
在交换机上实现存储安全 2006/10/27 10:02:36
保护路由器的十四招 2006/9/27 17:33:41
信息安全事件管理 2006/8/4 18:45:28
UNIX网络系统的安全管理策略 2006/8/4 7:45:43
解决在DHCP环境下私自指定IP和私自搭建DHCP服务器的方法 2006/8/4 7:00:32
用ACL构建防火墙体系 2006/8/2 14:43:20
计算机信息系统安全专用产品分类原则 2006/7/29 8:11:57
信息技术主机文件监测产品安全检验规范 2006/7/29 8:09:34
信息技术安全管理平台产品安全检验规范 2006/7/29 8:08:47
信息技术主机文件监测产品安全检验规范 2006/7/29 8:07:49
本地数据备份与恢复产品安全检验规范 2006/7/29 8:06:10
反垃圾邮件客户端产品安全检验规范 2006/7/29 8:05:15
信息技术反垃圾邮件产品安全检验规范 2006/7/29 8:04:16
信息技术网际恶意代码产品安全检验规范 2006/7/29 8:02:45
信息技术数据库安全审计产品检验规范 2006/7/29 8:01:22
信息技术日志分析产品安全检验规范 2006/7/29 7:58:46
信息技术主机安全漏洞扫描产品技术要求 2006/7/29 7:57:26
信息技术数据库扫描器产品安全检验规范 2006/7/29 7:55:56
信息技术非授权外联监测产品安全检验规范 2006/7/29 7:54:46
信息技术远程主机监测产品安全检验规范 2006/7/29 7:53:41
信息技术访问控制产品安全检验规范 2006/7/29 7:52:38
信息技术网站恢复产品安全检验规范 2006/7/29 7:50:47
信息技术网络通讯安全审计产品检验规范 2006/7/29 7:48:26
信息技术信息过滤产品安全检验规范 2006/7/29 7:46:15
信息技术入侵防御产品安全检验规范 2006/7/29 7:44:11
信息技术网闸产品安全检验规范 2006/7/29 7:41:21
信息技术VPN产品安全检验规范 2006/7/29 7:39:40
信息技术个人防火墙产品安全检验规范 2006/7/29 7:30:46
关于网络信息安全等级保护制度的思考 2006/7/29 7:21:35
电子政务特点及其系统安全全攻略 2006/7/29 7:16:55
通过路由器保护内网安全的九大步骤 2006/7/18 17:59:07
Cisco配置手记 2006/7/17 10:08:27
用Solaris防火墙构建非军事区 2006/7/14 9:54:53
工程师工作流程 2006/7/10 13:58:00
交换机 VLAN配置基础及实例 2006/7/4 19:48:33
IP/MPLS网络管理系统建设的思维转变 2006/6/25 17:40:00
在Cisco交换机上实现隔离访问 2006/6/13 8:36:02
一些有关网络的故障案例 2006/6/9 20:36:48
入侵检测系统逃避技术和对策的介绍 2006/6/7 9:25:12
网络流量监控的常用方法 2006/6/3 12:47:41
MPLS VPN 路由器与交换机选购指南 2006/5/30 14:27:52
核心 MPLS IP VPN 体系结构 2006/5/30 14:04:49
网络应用服务安全分析 2006/5/30 7:34:49
构建安全的N层环境 2006/5/25 19:50:04
网络安全讲座之八:审计结果 2006/5/24 19:46:24
网络安全讲座之七:IDS系统 2006/5/24 19:45:52
网络安全讲座之六:侦察与工具 2006/5/24 19:43:53
网络安全讲座之三:防火墙技术 2006/5/24 19:41:57
网络安全讲座之二:加密的应用 2006/5/24 19:41:13
网络安全讲座之一:网络安全的重要性 2006/5/24 19:39:52
Solaris基本安全配置规范 2006/5/24 11:14:30
网络安全中能起重大作用的三条命令 2006/5/22 17:18:33
基于PACS的网络层访问控制方案 2006/5/8 19:39:56
多层次访问控制技术与策略深入研究 2006/5/8 19:38:47
使用OPENVPN实现各机房的互通 2006/5/8 14:34:04
vsftp配置大全 2006/5/6 18:17:32
IP地址的盗用和防范 2006/4/30 13:35:26
分级防御对Linux服务器的攻击 2006/4/30 13:28:03
在Cisco设备上实现IOS DHCP Server的功能 2006/4/30 12:31:15
基于PACS的网络层访问控制 2006/4/25 18:30:30
网络分析监听技术之原理、应用与防范 2006/4/6 19:22:39
核心 MPLS IP VPN 体系结构(RFC2917) 2006/3/30 21:56:34
cisco四种类型的网络防火墙技术汇总 2006/3/20 12:59:53
在Cisco交换机上实现隔离访问 2006/3/20 12:55:26
IPv6基础知识 2006/3/8 10:55:04
MPLS VPN的原理及构建 2006/3/7 9:13:35
无线网络技术轻松配置五字诀 2006/3/1 8:33:54
Cisco产品采用的网络协议总结 2006/1/12 14:15:24
交换机网络安全策略全方位解析 2006/1/8 16:25:52
工程师工作流程 2005/11/24 9:20:19
强审计:亟待深耕的沃土 2005/11/21 9:05:12
《网络基础学习之十七》路由器原理、分类和选购 2005/11/11 9:59:28
《网络基础学习之十五》交换机VLAN的配置 2005/11/11 9:57:10
《网络基础学习之十二》交换机的分类 2005/11/11 9:52:55
《网络基础学习之七》构建对等网 2005/11/11 9:44:30
IPSEC 安全架构、应用及展望 2005/11/5 20:58:28
交换机ACL配置实战 2005/11/4 11:18:08
用ACL构建防火墙体系 2005/11/4 11:16:35
系统入侵者攻击企业或敏感数据网络方法白皮书 2005/10/11 10:52:53
剖析入侵检测系统的安全性 2005/10/11 10:41:45
解析网络防护层配置以及物理安全性 2005/9/14 10:52:05
安全防护-入侵检测实战之全面问答(下) 2005/9/14 10:47:29
安全防护-入侵检测实战之全面问答(上) 2005/9/14 10:46:03
VPN的基本配置 2005/9/7 16:05:31
网管、安全管理员、机房管理制度的章程 2005/8/30 8:59:45
安全保障体系 2005/8/18 8:59:54
利用网络漏洞扫描系统保障系统与网络的安全 2005/8/16 17:46:26
信息安全需要技术保障 2005/8/16 17:34:40
交换机里的安全因子 2005/8/16 17:32:10
如何利用Catalyst交换机及时发现、追踪和缓解蠕虫病毒的入侵? 2005/8/4 13:31:23
[网工]安全级别的划分 2005/7/9 19:35:36
IPSec基础-IPSec服务 2005/7/6 21:00:34
网络设计师考试资料-典型选择题及答案 2005/7/6 20:57:18
路由器(Router)原理介绍 2005/6/22 7:58:05
网络安全方面的专业词汇大全 2005/6/20 10:33:11
网络杀虫经验谈:防虫手段和安全应用 2005/6/10 20:54:13
在Linux操作系统下备份恢复技术的应用 2005/6/3 11:53:31
一个安全保障体系的整套解决方案 2004/11/9 14:21:27
如何配置Cisco PIX防火墙 2004/11/9 10:11:50
系统安全名词列表(2) 2004/10/8 9:40:16
系统安全名词列表(1) 2004/10/8 9:38:02
插翅难逃 根据Web服务器的记录来追踪黑客 2004/9/17 8:56:49
怎样在Cisco设备上实现IOS DHCP Server的功能 2004/9/1 11:19:27
资源共享,如此“GUEST” 2004/9/1 11:16:29
深入浅出了解交换机是怎么工作的 2004/8/16 8:21:07
让路由器成为你防范的堡垒 2004/8/13 12:54:21
CCNA专业词汇全集 2004/8/10 7:50:25
政府网络中物理隔离技术的应用 2004/7/27 17:08:14
关于Sniffer 2004/7/26 8:47:20
安全网闸的工作原理及缺陷 2004/7/26 8:43:49
网闸40问 2004/7/26 8:43:18
路由器测试的类型和方法 2004/7/23 10:04:30
安全配置WIN2000服务器 2004/6/2 15:08:02
TCP/IP各层的安全性和提高各层安全性的方法 2004/3/31 14:39:14
WEB安全工具 2004/2/20 13:51:23
CCNP路由部分精华 2004/1/6 11:10:54
高性能linux双效防火墙howto 2003/12/31 20:32:05
Netsh命令备份/恢复服务器网络设置 2003/12/21 9:52:36
CCNP课堂---交换(Switch)篇 2003/12/2 10:45:32
装机软件合集 2003/10/31 9:28:44
华为s系列手册(连载3) 2003/9/8 16:15:55
最佳的75个安全工具 2003/9/5 15:18:38
某大型企业局域网安全解决方案 2003/9/2 9:14:09
Linux系统下的扫描器及防范 2003/7/30 17:26:42
iptables基础,绝对的基础 2003/7/30 17:17:23
系统安全名词列表 2003/7/29 10:27:02
常用的Linux网络安全工具介绍 2003/7/13 18:11:03
路由的中文笔记 2003/7/8 12:22:30
[转帖]:攻破天网的几种办法 2003/7/2 9:55:38
Linux新手入门教程 2003/5/16 23:18:21
系统管理员安全 2003/5/11 21:52:29
Sniffer的一些资料 2003/4/9 9:34:08
Sniffer 常见问题集(FAQ) 2003/4/9 9:20:30
Windows下的个人防火墙-网络数据包拦截技术概览 2003/3/31 10:17:45
局域网中代理服务器、路由器的配置案例 2003/3/23 21:47:36
深入浅出谈防火墙 2003/3/17 22:45:38
某大型企业局域网安全解决方案 2003/3/17 22:44:09
Internet安全,防火墙及其它 2003/2/23 14:48:51
深入浅出谈防火墙 2003/2/21 22:19:40
企业级防火墙的七问七答 2003/2/21 22:17:29
某大型局域网安全解决方案 2003/2/21 22:13:18
Netfilter/Iptables的防火墙功能介绍 1 2003/1/12 16:18:20
新一代的netfilter网络底层开发结构 2003/1/12 15:59:08
理解防火墙及防火墙实例系列: 第二部分 unix 下的防火墙软件 ipfilter 2003/1/12 15:47:31
理解防火墙及防火墙实例系列: 第一部分 防火墙基本类型、概念以及各类防火墙的主要优缺点 2003/1/12 15:45:24
木马是如何编写的(一)(1) 2002/11/10 17:45:16


感性空间
设计&运维
网络技术
休闲娱乐
NetFilter
linux&Unix
网络安全
程序空间
软件考试
RFC&ISO
规划&规范
虚拟&存储
Apple技巧
云计算&大数据



文章搜索



站内搜索