基于仿真軟件模擬MAC泛洪攻擊與防御的實驗綜述

黃飛

摘要：在信息安全的安全網絡教學中，攻擊檢測與防御是一種重要的網絡安全特性。我們需要對此進行實驗驗證，但在實際實驗的過程中，發(fā)現(xiàn)信息安全實驗大多具有破壞性和不可逆性等，無法大規(guī)模在真實環(huán)境下進行。該文利用VMware Workstation和 eNSP 仿真軟件模擬MAC泛洪攻擊過程與防御措施，便于學生直觀地了解和分析 MAC泛洪攻擊過程，加深對交換機工作原理的理解，掌握MAC泛洪的具體防御措施。同時能夠有效突破實驗室設備固定、設備數(shù)量限制和網絡實驗拓撲搭建等問題，便于學生隨時隨地學習與研究。教學實驗效果得到了較好的提升。

關鍵詞：實驗綜述;MAC泛洪;仿真軟件;網絡安全

中圖分類號：TP393? ? ? ? 文獻標識碼：A

文章編號：1009-3044（2019）18-0252-02

1 引言

交換機中的MAC地址表的主要功能是記錄交換機端口級聯(lián)主機MAC地址與交換機端口對應關系，交換機根據MAC地址表，將接收的數(shù)據幀傳輸?shù)街付ǖ闹鳈C上。MAC泛洪攻擊的原理是攻擊者利用攻擊工具不斷發(fā)送大量偽造的MAC地址，讓交換機自動記錄學習，從而在短時間內用無效的虛擬數(shù)據將交換機的MAC地址表填滿，導致交換機只能將接收到的數(shù)據幀在非接收端口進行全部轉發(fā)，以達到黑客進行網絡監(jiān)聽的目的。攻擊者在任何一臺與交換機級聯(lián)的主機上打開網絡監(jiān)聽與收集軟件便可獲取數(shù)據信息，造成網絡存在較大的安全隱患。

在實際過程中，網絡管理員往往因工作繁忙、網絡安全意識淡薄等原因忽視交換機的端口安全，從而引發(fā)交換機的MAC泛洪攻擊事件。

通過交換機的端口安全技術（Port-Security）可以有效防御MAC泛洪攻擊。本文利用VMware Workstation和eNSP工具軟件進行模擬仿真MAC泛洪攻擊與防御。

VMware Workstation是一款用于安裝windows、linux等主流操作系統(tǒng)的仿真軟件。它不僅可以在一臺物理PC機上安裝多個虛擬操作系統(tǒng)，還可以讓多個虛擬操作系統(tǒng)進行網絡連接，使用網絡設備仿真軟件模擬出完整的網絡實驗環(huán)境。該仿真軟件具有多種網絡連接方式種類，有“橋接模式”“NAT模式”“僅主機模式”和“自定義特定虛擬網絡”等。

eNSP是一款由華為公司提供的網絡設備模擬仿真的軟件工具，它不僅可模擬仿真路由器、交換機、防火墻、WLAN等網絡產品，完美呈現(xiàn)真實設備場景，還支持與物理網卡的綁定，可實現(xiàn)較復雜的網絡拓撲模擬與實驗。在沒有真實網絡產品設備的情況下，網絡愛好者也能進行網絡實驗模擬，學習網絡技術。

2 實驗內容

2.1 實驗目標

理論知識目標要求了解交換機工作過程和原理，掌握交換機泛洪攻擊的防御方法;技能知識目標要求能夠掌握eNSP和VMware簡單模擬環(huán)境搭建，熟練掌握交換機的MAC泛洪攻擊和端口安全配置的防御操作步驟。

2.2 實驗場景及任務描述

某公司準備搭建FTP服務，用于內部員工進行文件上傳和下載等工作需要。出于安全方面考慮要求設置FTP服務的用戶名和密碼。作為網絡安全管理員的你，提出了安全不僅是設置用戶名和密碼訪問FTP服務就可以解決的，還需要對內部網絡設備安全進行配置。

任務一：使用攻擊工具macof對交換機進行MAC泛洪攻擊，利用抓包工具捕獲數(shù)據，進而獲取FTP服務的登錄用戶名和密碼;

任務二：配置交換機端口安全，阻止攻擊機通過其級聯(lián)端口與交換機通信，防御攻擊。

1）實驗拓撲圖，見下圖1。

2）IP地址規(guī)劃表，見下表1。

3）實驗工具

（1）物理機

操作系統(tǒng)：Windows7

物理機安裝工具1：VMware Workstation軟件

物理機安裝工具2：eNSP軟件

（2）客戶端

虛擬機1操作系統(tǒng)：Windows7

（3）服務器

虛擬機2操作系統(tǒng)：Windows Server 2012

虛擬機2安裝工具1：FTP服務

FTP服務用戶名：admin，密碼：admin

（4）攻擊機

虛擬機3操作系統(tǒng)：Kali

虛擬機3安裝工具1：macof

虛擬機3安裝工具1：抓包工具

4）實驗原理

交換機中有端口與MAC地址對應關系表，保存在交換機的RAM中且自動學習與維護，當交換機收到數(shù)據時，在建立好的MAC地址表中查尋該數(shù)據幀中的目的MAC地址，如果有記錄，則會根據MAC地址表中記錄的對應端口將數(shù)據幀轉發(fā)，如果沒有記錄，則會將該數(shù)據幀從非接受端口轉發(fā)。攻擊者利用交換機這一特點，發(fā)送大量偽造MAC地址，導致交換機接受其他主機的數(shù)據幀泛洪處理。交換機的端口安全技術中可設置端口學習MAC地址的最大數(shù)。

5）實驗步驟

（1）利用VMware Workstation安裝windows 7、kali和windows server 2012三個虛擬機操作系統(tǒng)，設置其網絡連接模式及IP地址，并在服務器上搭建FTP服務等相關操作。

（2）打開eNSP軟件，添加仿真交換機和Cloud，配置eNSP的Cloud中的IO與VMware Workstation的三個虛擬機網絡連接，搭建實驗拓撲圖。

（3）在攻擊機kali上打開終端并調用macof工具，為了達到盡快填滿交換機的MAC地址表，可以開啟多個窗口運行。與此同時，在終端的窗口中使用命令tcpdump -i eth0 -nn -X tcp port 21打開抓包模塊，做好MAC泛洪后的數(shù)據抓取準備工作。

（4）在客戶端虛擬機windows 7上使用“我的電腦”地址欄訪問FTP服務，并輸入用戶名和密碼。

（5）打開準備好的抓包模塊，查看抓包數(shù)據信息，通過實際的實驗操作達到既定的效果，獲得了ftp服務的登錄用戶名和密碼。

（6）配置交換機端口（與攻擊機級聯(lián)端口）安全。

（7）再次打開攻擊機kali中的macof工具并查看交換機MAC地址。

6）實驗結果與分析

正常情況下，交換機根據MAC地址表進行數(shù)據的轉發(fā)，一旦數(shù)據幀中的目的MAC地址不在MAC地址表中，則向所有端口轉發(fā)，導致數(shù)據被捕獲和密碼等信息泄露等。這樣的轉發(fā)方式不僅存在安全隱患，還大大降低交換機的性能，這就需要我們對此進行有效的防范。

通過交換機的端口安全技術，可以有效防御MAC泛洪攻擊，提高交換機的性能，進而增強設備的安全性。

3 總結

隨著當前信息化技術的飛速發(fā)展，網絡的攻擊日益增多，而通信協(xié)議本身的缺陷以及網絡部署問題，導致網絡攻擊造成的影響越來越大。特別是對網絡設備的攻擊，將會導致設備或者網絡癱瘓等嚴重后果，合理配置網絡中的設備可以有效提高網絡的安全性。

通過仿真軟件VMware Workstation與eNSP搭建模擬的實驗環(huán)境，一方面解決了實訓室設備固定無法靈活組建實驗環(huán)境，另一方面解決了由于實驗設備缺乏無法大規(guī)模開展實驗教學的問題。同時也加深了學生對交換機工作過程和原理理論知識的掌握和理解，培養(yǎng)和提高了學生的網絡安全意識和操作技能。

參考文獻：

[1] 魏娜，范學超.基于eNSP的模擬仿真教學在《現(xiàn)代交換技術》課程中的應用[J].科技創(chuàng)新導報，2018，15（29）：135-137+139.

[2] 趙菁.防御MAC地址泛洪攻擊的交換機安全配置方法[J].數(shù)碼設計，2017，6（05）：83-85.

[3] 俞海.場景仿真及分析在計算機網絡安全教學中的應用[J].計算機時代，2016（10）：57-59.

[4] 華為技術有限公司.eNSP版本說明書[EB/OL].2014：1.

[5] VMware. VMware Workstation使用手冊[S].2010.

【通聯(lián)編輯：代影】