局域网数据链路层网络安全

通信的每一层中都有自己独特的安全问题。数据链路层（第二协议层）的通信连接就安全而言，是较为薄弱的环节。网络安全的问题应该在多个协议层针对不同的弱点进行解决。在本篇文章中，我们将集中讨论与有线局域网相关的安全问题。 
在第二协议层的通信中，交换机是关键的部件，它们也用于第三协议层的通信。对于相同的第三协议层的许多攻击和许多独特的网络攻击，它们和路由器都会很敏感，这些攻击包括：

内容寻址存储器（CAM）表格淹没：交换机中的 CAM 表格包含了诸如在指定交换机的物理端口所提供的 MAC 地址和相关的 VLAN 参数之类的信息。一个典型的网络侵入者会向该交换机提供大量的无效 MAC 源地址，直到 CAM 表格被添满。当这种情况发生的时候，交换机会将传输进来的信息向所有的端口发送，因为这时交换机不能够从 CAM 表格中查找出特定的 MAC 地址的端口号。CAM 表格淹没只会导致交换机在本地 VLAN 范围内到处发送信息，所以侵入者只能够看到自己所连接到的本地 VLAN 中的信息。
VLAN 中继：VLAN 中继是一种网络攻击，由一终端系统发出以位于不同 VLAN 上的系统为目标地址的数据包，而该系统不可以采用常规的方法被连接。该信息被附加上不同于该终端系统所属网络 VLAN ID 的标签。或者发出攻击的系统伪装成交换机并对中继进行处理，以便于攻击者能够收发其它 VLAN 之间的通信。
操纵生成树协议：生成树协议可用于交换网络中以防止在以太网拓朴结构中产生桥接循环。通过攻击生成树协议，网络攻击者希望将自己的系统伪装成该拓朴结构中的根网桥。要达到此目的，网络攻击者需要向外广播生成树协议配置/拓朴结构改变网桥协议数据单元（BPDU），企图迫使生成树进行重新计算。网络攻击者系统发出的 BPDU 声称发出攻击的网桥优先权较低。如果获得成功，该网络攻击者能够获得各种各样的数据帧。
媒体存取控制地址（MAC）欺骗：在进行 MAC 欺骗攻击的过程中，已知某其它主机的 MAC 地址会被用来使目标交换机向攻击者转发以该主机为目的地址的数据帧。通过发送带有该主机以太网源地址的单个数据帧的办法，网络攻击者改写了 CAM 表格中的条目，使得交换机将以该主机为目的地址的数据包转发给该网络攻击者。除非该主机向外发送信息，否则它不会收到任何信息。当该主机向外发送信息的时候，CAM 表中对应的条目会被再次改写，以便它能恢复到原始的端口。
地址解析协议（ARP）攻击：ARP 协议的作用是在处于同一个子网中的主机所构成的局域网部分中将 IP 地址映射到 MAC 地址。当有人在未获得授权时就企图更改 MAC 和 IP 地址的 ARP 表格中的信息时，就发生了 ARP 攻击。通过这种方式，黑客们可以伪造 MAC 或 IP 地址，以便实施如下的两种攻击：服务拒绝和中间人攻击。
专用 VLAN：专用 VLAN 通过限制 VLAN 中能够与同 VLAN 中其它端口进行通信的端口的方式进行工作。VLAN 中的孤立端口只能和混合端口进行通信。混合端口能够和任何端口进行通信。能够绕过专用 VLAN 安全措施的攻击的实现要使用绕过专用 VLAN 访问限制的代理。
DHCP 耗竭：DHCP 耗竭的攻击通过利用伪造的 MAC 地址来广播 DHCP 请求的方式来进行。利用诸如 gobbler 之类的攻击工具就可以很容易地造成这种情况。如果所发出的请求足够多的话，网络攻击者就可以在一段时间内耗竭向 DHCP 服务器所提供的地址空间。这是一种比较简单的资源耗竭的攻击手段，就像 SYN 泛滥一样。然后网络攻击者可以在自己的系统中建立起虚假的 DHCP 服务器来对网络上客户发出的新 DHCP 请求作出反应。
降低局域网安全风险

在交换机上配置端口安全选项可以防止 CAM 表淹没攻击。该选择项要么可以提供特定交换机端口的 MAC 地址说明，要么可以提供一个交换机端口可以习得的 MAC 地址的数目方面的说明。当无效的 MAC 地址在该端口被检测出来之后，该交换机要么可以阻止所提供的 MAC 地址，要么可以关闭该端口。

对 VLAN 的设置稍作几处改动就可以防止 VLAN 中继攻击。这其中最大的要点在于所有中继端口上都要使用专门的 VLAN ID。同时也要禁用所有使用不到的交换机端口并将它们安排在使用不到的 VLAN 中。通过明确的办法，关闭掉所有用户端口上的 DTP，这样就可以将所有端口设置成非中继模式。

要防止操纵生成树协议的攻击，需要使用根目录保护和 BPDU 保护加强命令来保持网络中主网桥的位置不发生改变，同时也可以强化生成树协议的域边界。根目录保护功能可提供保持主网桥位置不变的方法。生成树协议 BPDU 保护使得网络设计者能够保持有源网络拓朴结构的可预测性。尽管 BPDU 保护也许看起来是没有必要的，因为管理员可以将网络优先权调至0，但仍然不能保证它将被选做主网桥，因为可能存在一个优先权为0但ID却更低的网桥。使用在面向用户的端口中，BPDU 保护能够发挥出最佳的用途，能够防止攻击者利用伪造交换机进行网络扩展。

使用端口安全命令可以防止 MAC 欺骗攻击。端口安全命令能够提供指定系统 MAC 地址连接到特定端口的功能。该命令在端口的安全遭到破坏时，还能够提供指定需要采取何种措施的能力。然而，如同防止 CAM 表淹没攻击一样，在每一个端口上都要指定一个 MAC 地址是一种难办的解决方案。在界面设置菜单中选择计时的功能，并设定一个条目在 ARP 缓存中可以持续的时长，能够达到防止 ARP 欺骗的目的。

对路由器端口访问控制列表（ACL）进行设置可以防止专用 VLAN 攻击。虚拟的 ACL 还可以用于消除专用 VLAN 攻击的影响。

通过限制交换机端口的 MAC 地址的数目，防止 CAM 表淹没的技术也可以防止 DHCP 耗竭。随着 RFC 3118，DHCP 消息验证的执行，DHCP 耗竭攻击将会变得越来越困难。

另外，IEEE802.1X 还能够在数据链路层对基本的网络访问进行监测，它本身是一种在有线网络和无线网络中传送可扩展验证协议（EAP）架构的标准。在未完成验证的情况下 801.1X 就拒绝对网络的访问，进而可以防止对网络基础设备实施的，并依赖基本 IP 连接的多种攻击。802.1X 的初始编写目标是用于拔号连接和远程访问网络中的点对点协议（PPP），它现在支持在局域网的环境中使用 EAP，包括无线局域网。【相关文章】

• 网络基础知识讲座之四：理解数据链路层

• ATM教程：数据链路层

• 调整思路：用交换机解决局域网安全