基于華為ENSP 和Vmware Workstation 軟件模擬MAC洪泛攻擊與防御的實(shí)驗(yàn)綜述報(bào)告

（安徽城市管理職業(yè)學(xué)院，安徽 合肥 230050）

0 引言

交換機(jī)MAC 泛洪攻擊是利用工具不斷大量偽造MAC 地址，利用交換機(jī)學(xué)習(xí)MAC 地址沒(méi)有安全驗(yàn)證機(jī)制這一漏洞，攻擊者利用虛假物理地址欺騙交換機(jī)，交換機(jī)的MAC 地址表被填滿(mǎn)后，交換機(jī)將以廣播的方式工作。攻擊者可在網(wǎng)絡(luò)內(nèi)任何一臺(tái)主機(jī)上抓取數(shù)據(jù)包，通過(guò)對(duì)數(shù)據(jù)包解密從而竊取重要信息，從而引發(fā)交換機(jī)的MAC 泛洪攻擊事件。交換機(jī)開(kāi)啟端口安全可以在很大程度上防范MAC 泛洪攻擊。本文利用VMware Workstation 和eNSP 工具模擬竊取信息并通過(guò)給出安全防御方法。

1 實(shí)驗(yàn)內(nèi)容

1.1 實(shí)驗(yàn)?zāi)繕?biāo)

了解交換機(jī)MAC 洪泛攻擊的原理，并能對(duì)其進(jìn)行有效的防御，掌握攻擊步驟和防御方法并能應(yīng)用到真實(shí)環(huán)境中。

1.2 實(shí)驗(yàn)場(chǎng)景及任務(wù)描述

某公司準(zhǔn)備搭建FTP 服務(wù)，用于內(nèi)部員工進(jìn)行文件上傳和下載等工作需要。出于安全方面考慮要求設(shè)置FTP 服務(wù)的用戶(hù)名和密碼。作為網(wǎng)絡(luò)安全管理員的你，提出了安全不僅是設(shè)置用戶(hù)名和密碼訪(fǎng)問(wèn)FTP 服務(wù)就可以解決的，還需要對(duì)內(nèi)部網(wǎng)絡(luò)設(shè)備安全進(jìn)行配置。

任務(wù)一：在BT5上使用攻擊工具macof 對(duì)網(wǎng)絡(luò)開(kāi)展MAC 泛洪攻擊，并利用協(xié)議分析軟件Wireshark 捕獲網(wǎng)絡(luò)中明文傳輸?shù)腇TP 服務(wù)器的登錄用戶(hù)名和密碼。

任務(wù)二：對(duì)交換機(jī)開(kāi)啟端口安全，阻止攻擊機(jī)通過(guò)其級(jí)聯(lián)端口與交換機(jī)通信，防御攻擊。

1.2.1 實(shí)驗(yàn)拓?fù)鋱D，見(jiàn)下圖1。

圖1 實(shí)驗(yàn)拓?fù)鋱D

1.2.2 IP 地址規(guī)劃表，見(jiàn)下表1。

表1 IP地址規(guī)劃表

1.2.3 實(shí)驗(yàn)工具

（1）物理機(jī)

操作系統(tǒng)：Windows7

物理機(jī)安裝工具1：VMware Workstation 12.5軟件

物理機(jī)安裝工具2：eNSP 1.2軟件

（2）客戶(hù)端

eNSP 自帶的client

（3）服務(wù)器

eNSP 自帶的Server

FTP 服務(wù)用戶(hù)名：1，密碼：1

（4）攻擊機(jī)

虛擬機(jī)操作系統(tǒng)：BT5

虛擬機(jī)安裝工具1：macof

虛擬機(jī)安裝工具1：抓包工具Wireshark

1.2.4 實(shí)驗(yàn)原理

攻擊者通過(guò)攻擊機(jī)BT5執(zhí)行macof 命令在目標(biāo)網(wǎng)絡(luò)中不斷泛洪大量不同源MAC 地址的數(shù)據(jù)包，導(dǎo)致交換機(jī)MAC 地址表溢出，攻擊者能進(jìn)一步利用嗅探工具（例如Wireshark）對(duì)網(wǎng)絡(luò)內(nèi)所有用戶(hù)的信息進(jìn)行捕獲，從而捕獲到用明文傳輸?shù)挠脩?hù)名和密碼，如FTP、Telnet 服務(wù)等。防御的方法可以通過(guò)開(kāi)啟交換機(jī)的Port Security功能能有效的防范MAC flooding 攻擊。更明細(xì)地，可以控制每個(gè)端口所能發(fā)送的源MAC 地址數(shù)量，甚至可以自動(dòng)或手動(dòng)綁定一個(gè)MAC 地址到特定端口。

1.2.5 實(shí)驗(yàn)步驟

（1）打開(kāi)eNSP 軟件，按拓?fù)鋱D添加設(shè)備并配置好IP 地址等，其中Clund1的配置參照?qǐng)D2，完成實(shí)驗(yàn)環(huán)境的準(zhǔn)備工作。

（2）在攻擊機(jī)BT5上打開(kāi)終端并調(diào)用macof 工具，同時(shí)，在終端的窗口中使用命令wireahark 打開(kāi)抓包模塊，做好MAC 泛洪后的數(shù)據(jù)抓取準(zhǔn)備工作。

（3）在BT5 上打開(kāi)協(xié)議分析軟件Wireshark，接著在Client 端訪(fǎng)問(wèn)FTP 服務(wù)器，輸入用戶(hù)名和密碼并點(diǎn)擊登錄。Wireshark 上可以截獲到客戶(hù)端發(fā)給服務(wù)器的用戶(hù)名和密碼。如下圖3：

1.2.6 解決方法

靜態(tài)MAC 地址綁定，同時(shí)限定接入交換機(jī)端口接入MAC 地址的數(shù)量。如設(shè)置交換機(jī)的該端口最多可以學(xué)習(xí)10個(gè)MAC 地址

圖2 Cloud1設(shè)置

圖3 捕獲的用戶(hù)名和密碼

[Huawei-GigabitEthernet0/0/3]port-security enable

[Huawei-GigabitEthernet0/0/3]port-security macaddress sticky

[Huawei-GigabitEthernet0/0/3]port-security protectaction protect

[Huawei-GigabitEthernet0/0/3]port-security max-macnum 10

按照該方法對(duì)交換機(jī)配置，然后再次重復(fù)2.2.5的實(shí)驗(yàn)內(nèi)容，無(wú)法截獲客戶(hù)機(jī)發(fā)給服務(wù)器的FTP 用戶(hù)名和密碼。

1.3 實(shí)驗(yàn)結(jié)果與分析

正常工作的交換機(jī)根據(jù)MAC 地址表對(duì)數(shù)據(jù)轉(zhuǎn)發(fā)，地址表的數(shù)量一般有4K 或8K，一旦MAC 地址表溢出則會(huì)把在地址表中沒(méi)有學(xué)習(xí)到的目的MAC 地址的幀向所有端口轉(zhuǎn)發(fā)，導(dǎo)致重要信息泄露等。開(kāi)啟端口安全，可以對(duì)服務(wù)器等重要MAC 地址和相應(yīng)端口進(jìn)行綁定，通過(guò)粘連動(dòng)態(tài)學(xué)習(xí)，也可以手工指定，可以定義接口學(xué)習(xí)的MAC 地址數(shù)量，最后定義違規(guī)的動(dòng)作丟棄、告警、關(guān)閉端口3種處理方式。

通過(guò)交換機(jī)的端口安全技術(shù)，可以有效防御MAC泛洪攻擊，提高交換機(jī)的性能，進(jìn)而增強(qiáng)設(shè)備的安全性。

2 結(jié)束語(yǔ)

通過(guò)VMware Workstation 與eNSP 構(gòu)建的實(shí)驗(yàn)環(huán)境，一方面解決了固定設(shè)備無(wú)法靈活組建實(shí)驗(yàn)環(huán)境的問(wèn)題，另一方面也在一定程度上解決了實(shí)驗(yàn)設(shè)備缺乏無(wú)的問(wèn)題。同時(shí)通過(guò)協(xié)議分析軟件的使用，加深了學(xué)生對(duì)交換機(jī)內(nèi)部工作原理的理解和掌握，提高了廣大學(xué)生的信息網(wǎng)絡(luò)安全意識(shí)和操作技能。