針對(duì)以太網(wǎng)的安全攻擊及防護(hù)

文/顧煒江 劉興光

針對(duì)以太網(wǎng)的安全攻擊及防護(hù)

文/顧煒江 劉興光

隨著網(wǎng)絡(luò)技術(shù)的發(fā)展，以及越來(lái)越多的網(wǎng)絡(luò)安全事件的發(fā)生，網(wǎng)絡(luò)安全得到越來(lái)越高的重視，網(wǎng)絡(luò)管理員的安全防范意識(shí)也在逐步提高。在校園網(wǎng)的規(guī)劃、建設(shè)和管理過(guò)程中，往往采取多種安全措施，例如部署防火墻、入侵檢測(cè)系統(tǒng)，升級(jí)主機(jī)系統(tǒng)等。然而這些措施主要是針對(duì)第三層（網(wǎng)絡(luò)層）以及第三層以上進(jìn)行防護(hù)，對(duì)以太網(wǎng)本身的安全性沒(méi)有足夠重視。

然而近年來(lái)，針對(duì)以太網(wǎng)本身的一些缺陷而產(chǎn)生的安全性問(wèn)題日益增多，嚴(yán)重時(shí)甚至影響網(wǎng)絡(luò)的正常使用。對(duì)以太網(wǎng)的攻擊與常見(jiàn)的網(wǎng)絡(luò)攻擊行為有很大不同，主要表現(xiàn)在它的隱蔽性。這類攻擊往往不能被入侵檢測(cè)系統(tǒng)和防火墻發(fā)現(xiàn)，從而帶來(lái)更大的網(wǎng)絡(luò)安全隱患。本文將討論幾種較常見(jiàn)的、危害性較大的以太網(wǎng)攻擊方式，并討論相應(yīng)的解決方法。

圖1 ARP欺騙的過(guò)程

ARP欺騙及防護(hù)

1. ARP欺騙

以太網(wǎng)的通信很大程度上依賴于ARP(Address Resolution Protocol地址解析協(xié)議)。以太網(wǎng)主機(jī)進(jìn)行通信前，必須知道目標(biāo)主機(jī)的M A C地址。每臺(tái)主機(jī)都維護(hù)一個(gè)A R P Cache，用于存放IP地址和MAC地址的對(duì)應(yīng)關(guān)系。如果主機(jī)的ARP Cache中存在關(guān)于目標(biāo)主機(jī)的條目，就可以直接使用。當(dāng)ARP Cache中不存在相應(yīng)的條目時(shí)，就需要向網(wǎng)絡(luò)進(jìn)行查詢，這個(gè)工作由ARP協(xié)議完成。

ARP協(xié)議通過(guò)發(fā)送一個(gè)目的地址為FFFF.FFFF.FFFF的廣播幀，對(duì)目標(biāo)主機(jī)的MAC地址進(jìn)行查詢。以太網(wǎng)段上的所有主機(jī)都將接收到這個(gè)廣播幀，目的主機(jī)將給出ARP的應(yīng)答響應(yīng)。發(fā)送ARP請(qǐng)求的主機(jī)并不判斷應(yīng)答是否真實(shí)可信，只是簡(jiǎn)單將這個(gè)ARP應(yīng)答用于更新它的ARP Cache。

ARP欺騙是比較常見(jiàn)的攻擊行為之一。當(dāng)攻擊者試圖偽裝局域網(wǎng)中的一個(gè)主機(jī)時(shí)，可以通過(guò)偽造ARP應(yīng)答報(bào)文，去篡改局域網(wǎng)中其他主機(jī)中的ARP Cache，從而使得局域網(wǎng)中所有去往被攻擊主機(jī)的數(shù)據(jù)全部發(fā)往攻擊者。攻擊者甚至還可以偽裝成局域網(wǎng)中的路由器，截取所有去往其他子網(wǎng)的數(shù)據(jù)，給網(wǎng)絡(luò)安全帶來(lái)很大的隱患。ARP欺騙的過(guò)程如圖1所示。

ARP欺騙者(10.0.0.4)在子網(wǎng)中發(fā)布ARP廣播報(bào)文，聲稱被攻擊主機(jī)(10.0.0.3)的MAC地址為自己的MAC地址，這樣子網(wǎng)中其他主機(jī)就會(huì)用一個(gè)錯(cuò)誤的MAC地址更新自己的ARP緩存，并且將發(fā)送給被攻擊主機(jī)的數(shù)據(jù)發(fā)送給了ARP欺騙主機(jī)。

2. 危害及防御

從2006年開始流行的ARP病毒就是利用了ARP欺騙原理，此類病毒最初是為了竊取網(wǎng)游賬號(hào)而設(shè)計(jì)，病毒感染者利用ARP欺騙將自己偽裝為子網(wǎng)的網(wǎng)關(guān)，使得本應(yīng)該發(fā)送到網(wǎng)關(guān)的數(shù)據(jù)轉(zhuǎn)而發(fā)送到欺騙主機(jī)上，從而達(dá)到竊取賬號(hào)的目的。ARP病毒除了竊取網(wǎng)游賬號(hào)外，其更大的危害是導(dǎo)致整個(gè)子網(wǎng)的計(jì)算機(jī)使用錯(cuò)誤的網(wǎng)關(guān)MAC地址，導(dǎo)致整個(gè)子網(wǎng)無(wú)法正常運(yùn)行，而所表現(xiàn)出的現(xiàn)象卻是網(wǎng)絡(luò)本身的故障，給網(wǎng)絡(luò)管理者排除故障帶來(lái)很大的麻煩。

防止ARP欺騙最直接的方法就是禁止動(dòng)態(tài)ARP協(xié)議，在主機(jī)中使用靜態(tài)ARP表。這種方法雖然可以避免利用ARP協(xié)議進(jìn)行MAC欺騙，然而這種方法卻給使用者和管理者帶來(lái)極大的不便、較難實(shí)施，適用于對(duì)安全性要求較高的網(wǎng)絡(luò)。當(dāng)然，針對(duì)目前利用ARP欺騙的病毒猖獗的情況下，部分第三方軟件可以幫助用戶抵御ARP，例如AntiARP Sniffer。

另一種較為常用方法就是在交換機(jī)上設(shè)置同一子網(wǎng)中的不同端口之間不能相互訪問(wèn)，即實(shí)施端口隔離。這樣也可以防止攻擊者利用MAC欺騙進(jìn)行攻擊，這種方法較適合接入用戶相對(duì)獨(dú)立的網(wǎng)絡(luò)。

以太網(wǎng)的數(shù)據(jù)竊聽及防護(hù)

1. 以太網(wǎng)數(shù)據(jù)竊聽

在過(guò)去共享介質(zhì)的以太網(wǎng)中，數(shù)據(jù)的竊聽是一件非常簡(jiǎn)單的事情，這是由共享以太網(wǎng)的工作原理所決定。攻擊者使用類似于Sniffer的嗅包器，就可以對(duì)網(wǎng)絡(luò)中的數(shù)據(jù)進(jìn)行監(jiān)聽，同時(shí)很容易抓取到一些敏感信息，例如用戶的電子郵件口令等。在HUB已經(jīng)被交換機(jī)取代的今天，網(wǎng)絡(luò)管理員往往認(rèn)為在交換以太網(wǎng)中實(shí)現(xiàn)竊聽是很困難的事情，除非攻擊者掌握了交換機(jī)的控制權(quán)。而事實(shí)上，針對(duì)交換網(wǎng)絡(luò)的竊聽也并非不可能，我們首先對(duì)交換機(jī)的工作原理進(jìn)行分析：

以太網(wǎng)交換機(jī)在進(jìn)行數(shù)據(jù)幀轉(zhuǎn)發(fā)時(shí)，需要維護(hù)一張MAC地址和其對(duì)應(yīng)端口關(guān)系的快速轉(zhuǎn)發(fā)表。交換機(jī)的端口在接收到一個(gè)數(shù)據(jù)幀后，首先會(huì)查找這個(gè)快速轉(zhuǎn)發(fā)表。如果在快速轉(zhuǎn)發(fā)表中能夠找到與數(shù)據(jù)幀中目標(biāo)主機(jī)MAC地址相匹配的條目，則立刻將該數(shù)據(jù)幀轉(zhuǎn)發(fā)到相應(yīng)的端口上。如果快速轉(zhuǎn)發(fā)表中不存在相應(yīng)的條目，交換機(jī)就需要將這個(gè)數(shù)據(jù)幀轉(zhuǎn)發(fā)到所有的端口，形成一個(gè)廣播，隨后交換機(jī)根據(jù)目標(biāo)主機(jī)在快速轉(zhuǎn)發(fā)表中添加與該目標(biāo)主機(jī)相關(guān)的MAC地址及端口對(duì)應(yīng)關(guān)系的條目。

根據(jù)交換機(jī)的工作原理可以看出，在快速轉(zhuǎn)發(fā)表已經(jīng)建立的前提下，數(shù)據(jù)幀是直接從一個(gè)端口轉(zhuǎn)發(fā)到另一個(gè)端口的。在快速轉(zhuǎn)發(fā)表中還沒(méi)有建立，或者快速轉(zhuǎn)發(fā)表中不存在目標(biāo)主機(jī)的信息時(shí)，交換機(jī)會(huì)將數(shù)據(jù)幀廣播到所有端口上。這種行為使得這個(gè)被廣播的數(shù)據(jù)幀能夠被連接在這個(gè)交換機(jī)上的所有主機(jī)接收到，就好像是一個(gè)HUB一樣。

交換機(jī)快速轉(zhuǎn)發(fā)表的容量通常有一定的大小限制。當(dāng)快速轉(zhuǎn)發(fā)表被填滿時(shí)，交換機(jī)接收到新的數(shù)據(jù)幀后就無(wú)法在快速轉(zhuǎn)發(fā)表中找到相應(yīng)的條目(即使這個(gè)條目曾經(jīng)存在過(guò))，需要再次對(duì)這個(gè)數(shù)據(jù)幀進(jìn)行廣播，以便能夠重新在快速轉(zhuǎn)發(fā)表中建立相應(yīng)的條目。

一般情況下，交換機(jī)的快速轉(zhuǎn)發(fā)表的容量在8000個(gè)條目左右。當(dāng)攻擊者試圖對(duì)交換機(jī)正在轉(zhuǎn)發(fā)的數(shù)據(jù)幀進(jìn)行竊聽時(shí)，利用連接到這個(gè)交換機(jī)上某個(gè)端口的主機(jī)發(fā)送偽造的數(shù)據(jù)幀到交換機(jī)上，迫使交換機(jī)不斷更新其快速轉(zhuǎn)發(fā)表中的內(nèi)容，直到將表中原有的條目全部替換掉，這樣交換機(jī)轉(zhuǎn)發(fā)正常的數(shù)據(jù)幀時(shí)就無(wú)法在快速轉(zhuǎn)發(fā)表中找到相應(yīng)的條目，而不得不重新將該數(shù)據(jù)幀進(jìn)行廣播，以獲得其對(duì)應(yīng)的端口。如此，只要攻擊者發(fā)送偽造數(shù)據(jù)幀的速度足夠快，使得快速轉(zhuǎn)發(fā)表中正常的條目無(wú)法保留，就可以竊聽到用戶的數(shù)據(jù)了。

根據(jù)上面的分析可以看到，在交換網(wǎng)絡(luò)中，攻擊者通過(guò)對(duì)快速轉(zhuǎn)發(fā)表的攻擊，將正常的轉(zhuǎn)發(fā)數(shù)據(jù)變?yōu)閺V播數(shù)據(jù)，從而達(dá)到竊聽的目的。這種對(duì)快速轉(zhuǎn)發(fā)表的攻擊行為相當(dāng)隱蔽，并且很難被網(wǎng)絡(luò)管理員察覺(jué)。

2. 數(shù)據(jù)竊聽的防護(hù)

為了解決這個(gè)問(wèn)題，可以在交換機(jī)上設(shè)置快速轉(zhuǎn)發(fā)表中每個(gè)端口相關(guān)的MAC地址的最大值，這種設(shè)置對(duì)正常的網(wǎng)絡(luò)使用沒(méi)有任何影響，而攻擊者則無(wú)法使用偽造數(shù)據(jù)幀沖擊快速轉(zhuǎn)發(fā)表的方法來(lái)對(duì)網(wǎng)絡(luò)進(jìn)行竊聽。

在交換機(jī)的缺省配置情況下，快速轉(zhuǎn)發(fā)表中每個(gè)端口對(duì)應(yīng)的MAC地址數(shù)量是不作限制的，因此才會(huì)造成上面描述的利用大量偽造報(bào)文對(duì)快速轉(zhuǎn)發(fā)表進(jìn)行攻擊的情況。可以通過(guò)修改交換機(jī)的配置，設(shè)定每個(gè)端口允許的最大MAC地址數(shù)，根據(jù)每個(gè)端口上所連接的主機(jī)數(shù)量，決定所允許的最大MAC地址數(shù)上限。當(dāng)端口上出現(xiàn)超過(guò)設(shè)定上限值的MAC地址數(shù)量時(shí)，就可以對(duì)該端口采取相應(yīng)的措施，關(guān)閉該端口并向網(wǎng)絡(luò)管理員給出警告信息，從而對(duì)整個(gè)快速轉(zhuǎn)發(fā)表進(jìn)行保護(hù)。在最理想的完全交換到桌面的網(wǎng)絡(luò)中，每個(gè)交換機(jī)端口只連接一臺(tái)計(jì)算機(jī)，就可以設(shè)置交換機(jī)的每個(gè)端口允許的MAC地址數(shù)為1，這樣就可以防止對(duì)以太網(wǎng)交換機(jī)快速轉(zhuǎn)發(fā)表的攻擊。

圖2

圖3

對(duì)生成樹的攻擊及防護(hù)

1. 對(duì)生成樹的攻擊

在交換網(wǎng)絡(luò)中，出于對(duì)網(wǎng)絡(luò)冗余度的需要而設(shè)置環(huán)路，或者由于管理員的失誤造成網(wǎng)絡(luò)中產(chǎn)生環(huán)路是很常見(jiàn)的現(xiàn)象。網(wǎng)絡(luò)中的環(huán)路會(huì)影響到網(wǎng)絡(luò)的正常運(yùn)行。因此，以太網(wǎng)采用生成樹技術(shù)來(lái)避免網(wǎng)絡(luò)中出現(xiàn)環(huán)路。生成樹技術(shù)可以找到網(wǎng)絡(luò)中產(chǎn)生環(huán)路的端口，并將其暫時(shí)置于阻塞狀態(tài)，從而達(dá)到避免環(huán)路的目的。

在一個(gè)交換網(wǎng)絡(luò)中，交換機(jī)使用一個(gè)選舉算法，在所有的交換機(jī)中選出一個(gè)作為生成樹的根節(jié)點(diǎn)。每個(gè)交換機(jī)擁有一個(gè)Bridge ID，這個(gè)Bridge ID由交換機(jī)的MAC地址和一個(gè)優(yōu)先級(jí)組成，其中優(yōu)先級(jí)可以被管理員設(shè)定。交換機(jī)之間使用BPDU(Bridging Protocol Data Unit，橋接協(xié)議數(shù)據(jù)單元)相互交換Bridge ID進(jìn)行選舉，最終選擇Bridge ID最小的交換機(jī)將成為生成樹的根節(jié)點(diǎn)。交換機(jī)在運(yùn)行時(shí)繼續(xù)監(jiān)聽相鄰設(shè)備發(fā)送的BPDU，當(dāng)網(wǎng)絡(luò)中有交換機(jī)具有更小的Bridge ID出現(xiàn)時(shí)，就會(huì)重新對(duì)根節(jié)點(diǎn)進(jìn)行選舉，并重新計(jì)算出生成樹。

攻擊者利用生成樹協(xié)議可以改變網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)，進(jìn)而達(dá)到攻擊網(wǎng)絡(luò)的目的。如圖2所示，交換機(jī)A連接了兩個(gè)網(wǎng)段，這兩個(gè)網(wǎng)段之間的所有數(shù)據(jù)都是通過(guò)交換機(jī)A進(jìn)行轉(zhuǎn)發(fā)的。

圖3中，攻擊者將一個(gè)交換機(jī)B加入到網(wǎng)絡(luò)中，并且同時(shí)連接了兩個(gè)網(wǎng)段。攻擊者為了改變生成樹的狀態(tài)，將交換機(jī)B的Bridge ID設(shè)置為一個(gè)較低的值，經(jīng)過(guò)生成樹算法的重新選舉，交換機(jī)B成為根節(jié)點(diǎn)，而交換機(jī)A連接到其中一個(gè)網(wǎng)段的端口則被置為阻塞狀態(tài)。這樣，兩個(gè)網(wǎng)段之間的所有數(shù)據(jù)將通過(guò)交換機(jī)B進(jìn)行轉(zhuǎn)發(fā)。由于交換機(jī)B是受攻擊者控制的設(shè)備，因此兩個(gè)網(wǎng)段之間的所有數(shù)據(jù)都有可能被竊聽，甚至受到更進(jìn)一步的攻擊。

2. 攻擊造成的危害及防御

對(duì)生成樹的攻擊造成的后果是正常的端口被阻塞，數(shù)據(jù)幀在第二層的交換路徑發(fā)生了變化，很難被用戶察覺(jué)，甚至網(wǎng)絡(luò)管理員也很容易忽視，具有很強(qiáng)的隱蔽性。對(duì)于這種攻擊方法，最好的防范就是避免未經(jīng)許可的交換機(jī)加入到網(wǎng)絡(luò)中，參與根節(jié)點(diǎn)的選舉和生成樹的計(jì)算。在除了交換機(jī)互聯(lián)的端口之外的所有端口上，關(guān)閉對(duì)BPDU的發(fā)送和監(jiān)聽，這樣即使這些端口上有攻擊者加入了一個(gè)非法的交換機(jī)，其發(fā)送的BPDU也不可能被合法的交換機(jī)接收到，更不可能影響網(wǎng)絡(luò)的生成樹。

（作者單位為南京林業(yè)大學(xué)信息網(wǎng)絡(luò)中心）