文/顾炜江 刘兴光

针对以太网的安全攻击及防护

文/顾炜江 刘兴光

随着网络技术的发展，以及越来越多的网络安全事件的发生，网络安全得到越来越高的重视，网络管理员的安全防范意识也在逐步提高。在校园网的规划、建设和管理过程中，往往采取多种安全措施，例如部署防火墙、入侵检测系统，升级主机系统等。然而这些措施主要是针对第三层（网络层）以及第三层以上进行防护，对以太网本身的安全性没有足够重视。

然而近年来，针对以太网本身的一些缺陷而产生的安全性问题日益增多，严重时甚至影响网络的正常使用。对以太网的攻击与常见的网络攻击行为有很大不同，主要表现在它的隐蔽性。这类攻击往往不能被入侵检测系统和防火墙发现，从而带来更大的网络安全隐患。本文将讨论几种较常见的、危害性较大的以太网攻击方式，并讨论相应的解决方法。

图1 ARP欺骗的过程

ARP欺骗及防护

1. ARP欺骗

以太网的通信很大程度上依赖于ARP(Address Resolution Protocol地址解析协议)。以太网主机进行通信前，必须知道目标主机的M A C地址。每台主机都维护一个A R P Cache，用于存放IP地址和MAC地址的对应关系。如果主机的ARP Cache中存在关于目标主机的条目，就可以直接使用。当ARP Cache中不存在相应的条目时，就需要向网络进行查询，这个工作由ARP协议完成。

ARP协议通过发送一个目的地址为FFFF.FFFF.FFFF的广播帧，对目标主机的MAC地址进行查询。以太网段上的所有主机都将接收到这个广播帧，目的主机将给出ARP的应答响应。发送ARP请求的主机并不判断应答是否真实可信，只是简单将这个ARP应答用于更新它的ARP Cache。

ARP欺骗是比较常见的攻击行为之一。当攻击者试图伪装局域网中的一个主机时，可以通过伪造ARP应答报文，去篡改局域网中其他主机中的ARP Cache，从而使得局域网中所有去往被攻击主机的数据全部发往攻击者。攻击者甚至还可以伪装成局域网中的路由器，截取所有去往其他子网的数据，给网络安全带来很大的隐患。ARP欺骗的过程如图1所示。

ARP欺骗者(10.0.0.4)在子网中发布ARP广播报文，声称被攻击主机(10.0.0.3)的MAC地址为自己的MAC地址，这样子网中其他主机就会用一个错误的MAC地址更新自己的ARP缓存，并且将发送给被攻击主机的数据发送给了ARP欺骗主机。

2. 危害及防御

从2006年开始流行的ARP病毒就是利用了ARP欺骗原理，此类病毒最初是为了窃取网游账号而设计，病毒感染者利用ARP欺骗将自己伪装为子网的网关，使得本应该发送到网关的数据转而发送到欺骗主机上，从而达到窃取账号的目的。ARP病毒除了窃取网游账号外，其更大的危害是导致整个子网的计算机使用错误的网关MAC地址，导致整个子网无法正常运行，而所表现出的现象却是网络本身的故障，给网络管理者排除故障带来很大的麻烦。

防止ARP欺骗最直接的方法就是禁止动态ARP协议，在主机中使用静态ARP表。这种方法虽然可以避免利用ARP协议进行MAC欺骗，然而这种方法却给使用者和管理者带来极大的不便、较难实施，适用于对安全性要求较高的网络。当然，针对目前利用ARP欺骗的病毒猖獗的情况下，部分第三方软件可以帮助用户抵御ARP，例如AntiARP Sniffer。

另一种较为常用方法就是在交换机上设置同一子网中的不同端口之间不能相互访问，即实施端口隔离。这样也可以防止攻击者利用MAC欺骗进行攻击，这种方法较适合接入用户相对独立的网络。

以太网的数据窃听及防护

1. 以太网数据窃听

在过去共享介质的以太网中，数据的窃听是一件非常简单的事情，这是由共享以太网的工作原理所决定。攻击者使用类似于Sniffer的嗅包器，就可以对网络中的数据进行监听，同时很容易抓取到一些敏感信息，例如用户的电子邮件口令等。在HUB已经被交换机取代的今天，网络管理员往往认为在交换以太网中实现窃听是很困难的事情，除非攻击者掌握了交换机的控制权。而事实上，针对交换网络的窃听也并非不可能，我们首先对交换机的工作原理进行分析：

以太网交换机在进行数据帧转发时，需要维护一张MAC地址和其对应端口关系的快速转发表。交换机的端口在接收到一个数据帧后，首先会查找这个快速转发表。如果在快速转发表中能够找到与数据帧中目标主机MAC地址相匹配的条目，则立刻将该数据帧转发到相应的端口上。如果快速转发表中不存在相应的条目，交换机就需要将这个数据帧转发到所有的端口，形成一个广播，随后交换机根据目标主机在快速转发表中添加与该目标主机相关的MAC地址及端口对应关系的条目。

根据交换机的工作原理可以看出，在快速转发表已经建立的前提下，数据帧是直接从一个端口转发到另一个端口的。在快速转发表中还没有建立，或者快速转发表中不存在目标主机的信息时，交换机会将数据帧广播到所有端口上。这种行为使得这个被广播的数据帧能够被连接在这个交换机上的所有主机接收到，就好像是一个HUB一样。

交换机快速转发表的容量通常有一定的大小限制。当快速转发表被填满时，交换机接收到新的数据帧后就无法在快速转发表中找到相应的条目(即使这个条目曾经存在过)，需要再次对这个数据帧进行广播，以便能够重新在快速转发表中建立相应的条目。

一般情况下，交换机的快速转发表的容量在8000个条目左右。当攻击者试图对交换机正在转发的数据帧进行窃听时，利用连接到这个交换机上某个端口的主机发送伪造的数据帧到交换机上，迫使交换机不断更新其快速转发表中的内容，直到将表中原有的条目全部替换掉，这样交换机转发正常的数据帧时就无法在快速转发表中找到相应的条目，而不得不重新将该数据帧进行广播，以获得其对应的端口。如此，只要攻击者发送伪造数据帧的速度足够快，使得快速转发表中正常的条目无法保留，就可以窃听到用户的数据了。

根据上面的分析可以看到，在交换网络中，攻击者通过对快速转发表的攻击，将正常的转发数据变为广播数据，从而达到窃听的目的。这种对快速转发表的攻击行为相当隐蔽，并且很难被网络管理员察觉。

2. 数据窃听的防护

为了解决这个问题，可以在交换机上设置快速转发表中每个端口相关的MAC地址的最大值，这种设置对正常的网络使用没有任何影响，而攻击者则无法使用伪造数据帧冲击快速转发表的方法来对网络进行窃听。

在交换机的缺省配置情况下，快速转发表中每个端口对应的MAC地址数量是不作限制的，因此才会造成上面描述的利用大量伪造报文对快速转发表进行攻击的情况。可以通过修改交换机的配置，设定每个端口允许的最大MAC地址数，根据每个端口上所连接的主机数量，决定所允许的最大MAC地址数上限。当端口上出现超过设定上限值的MAC地址数量时，就可以对该端口采取相应的措施，关闭该端口并向网络管理员给出警告信息，从而对整个快速转发表进行保护。在最理想的完全交换到桌面的网络中，每个交换机端口只连接一台计算机，就可以设置交换机的每个端口允许的MAC地址数为1，这样就可以防止对以太网交换机快速转发表的攻击。

图2

图3

对生成树的攻击及防护

1. 对生成树的攻击

在交换网络中，出于对网络冗余度的需要而设置环路，或者由于管理员的失误造成网络中产生环路是很常见的现象。网络中的环路会影响到网络的正常运行。因此，以太网采用生成树技术来避免网络中出现环路。生成树技术可以找到网络中产生环路的端口，并将其暂时置于阻塞状态，从而达到避免环路的目的。

在一个交换网络中，交换机使用一个选举算法，在所有的交换机中选出一个作为生成树的根节点。每个交换机拥有一个Bridge ID，这个Bridge ID由交换机的MAC地址和一个优先级组成，其中优先级可以被管理员设定。交换机之间使用BPDU(Bridging Protocol Data Unit，桥接协议数据单元)相互交换Bridge ID进行选举，最终选择Bridge ID最小的交换机将成为生成树的根节点。交换机在运行时继续监听相邻设备发送的BPDU，当网络中有交换机具有更小的Bridge ID出现时，就会重新对根节点进行选举，并重新计算出生成树。

攻击者利用生成树协议可以改变网络的拓扑结构，进而达到攻击网络的目的。如图2所示，交换机A连接了两个网段，这两个网段之间的所有数据都是通过交换机A进行转发的。

图3中，攻击者将一个交换机B加入到网络中，并且同时连接了两个网段。攻击者为了改变生成树的状态，将交换机B的Bridge ID设置为一个较低的值，经过生成树算法的重新选举，交换机B成为根节点，而交换机A连接到其中一个网段的端口则被置为阻塞状态。这样，两个网段之间的所有数据将通过交换机B进行转发。由于交换机B是受攻击者控制的设备，因此两个网段之间的所有数据都有可能被窃听，甚至受到更进一步的攻击。

2. 攻击造成的危害及防御

对生成树的攻击造成的后果是正常的端口被阻塞，数据帧在第二层的交换路径发生了变化，很难被用户察觉，甚至网络管理员也很容易忽视，具有很强的隐蔽性。对于这种攻击方法，最好的防范就是避免未经许可的交换机加入到网络中，参与根节点的选举和生成树的计算。在除了交换机互联的端口之外的所有端口上，关闭对BPDU的发送和监听，这样即使这些端口上有攻击者加入了一个非法的交换机，其发送的BPDU也不可能被合法的交换机接收到，更不可能影响网络的生成树。

（作者单位为南京林业大学信息网络中心）