前言：本站為你精心整理了端口安全在園區(qū)網(wǎng)絡(luò)安全中應(yīng)用范文，希望能為你的創(chuàng)作提供參考價(jià)值，我們的客服老師可以幫助你提供個(gè)性化的參考范文，歡迎咨詢(xún)。

摘要：園區(qū)網(wǎng)的安全是園區(qū)日常工作的重要保障。園區(qū)網(wǎng)的安全防護(hù)工作離不開(kāi)網(wǎng)絡(luò)設(shè)備的安全配置，而端口安全作為一項(xiàng)重要的安全防護(hù)措施必不可少。本文闡述MAC泛洪攻擊的工作原理以及其對(duì)園區(qū)網(wǎng)正常工作造成的重大影響，提出了交換機(jī)端口安全的解決方案。通過(guò)ENSP和KALI進(jìn)行攻防模擬演練，從而驗(yàn)證端口安全解決方案的有效性，該方案在園區(qū)網(wǎng)的應(yīng)用中效果良好。

關(guān)鍵詞：端口安全；ENSP；MAC泛洪；KALI

近年來(lái)，許多園區(qū)網(wǎng)都出現(xiàn)MAC地址泛洪攻擊現(xiàn)象，給園區(qū)網(wǎng)的正常使用造成很大影響，導(dǎo)致大量用戶(hù)不能正常訪(fǎng)問(wèn)網(wǎng)絡(luò)。因此，防范MAC泛洪攻擊對(duì)園區(qū)網(wǎng)安全技術(shù)人員具有十分重要的意義。

1MAC泛洪原理

交換機(jī)轉(zhuǎn)發(fā)數(shù)據(jù)幀的依據(jù)是通過(guò)自學(xué)習(xí)算法建立的MAC表。當(dāng)交換機(jī)收到數(shù)據(jù)幀的時(shí)候，查看MAC地址表，看有無(wú)與源MAC地址相匹配的項(xiàng)，如沒(méi)有，則登記源MAC及接收數(shù)據(jù)的接口；如有，則更新，接著根據(jù)MAC地址表中有無(wú)數(shù)據(jù)幀的目的MAC對(duì)數(shù)據(jù)幀的處理，如有，且目的地址與對(duì)應(yīng)端口與接收端口不同，則從對(duì)應(yīng)端口轉(zhuǎn)發(fā)出去，否則丟棄；如沒(méi)有，則從接收端口以外的其他所有端口轉(zhuǎn)發(fā)。MAC泛洪則是攻擊者利用交換機(jī)的工作特點(diǎn)，向交換機(jī)發(fā)送大量的虛假M(fèi)AC地址，交換機(jī)則不斷的學(xué)習(xí)虛假M(fèi)AC地址，很快MAC表就會(huì)被充滿(mǎn)，就沒(méi)法繼續(xù)學(xué)習(xí)地址，這樣造成正常的主機(jī)的MAC地址在經(jīng)過(guò)老化之后，就無(wú)法再添加到MAC地址表中，導(dǎo)致之后發(fā)送的單播數(shù)據(jù)幀都變成了廣播。大量的廣播降低了交換機(jī)的性能，造成交換機(jī)負(fù)載過(guò)大、網(wǎng)絡(luò)緩慢和丟包甚至癱瘓。

2端口安全技術(shù)

端口安全功能是通過(guò)數(shù)據(jù)幀的源MAC地址來(lái)限定數(shù)據(jù)幀是否可以進(jìn)入交換機(jī)的端口，使能端口安全功能的端口稱(chēng)為安全端口?？梢酝ㄟ^(guò)靜態(tài)設(shè)置特定的MAC地址或者動(dòng)態(tài)學(xué)習(xí)限定允許最大數(shù)量的MAC地址來(lái)控制數(shù)據(jù)幀是否可以進(jìn)入端口。只有源MAC地址為端口安全地址表中配置或者學(xué)習(xí)到的MAC地址個(gè)數(shù)沒(méi)有超過(guò)限定數(shù)的數(shù)據(jù)幀才可以進(jìn)入交換機(jī)通信。任何通過(guò)未知MAC地址或超過(guò)最大數(shù)量MAC而進(jìn)行連接的嘗試都會(huì)導(dǎo)致安全違規(guī)事件，數(shù)據(jù)幀會(huì)被丟棄。端口安全有三種違規(guī)處理方法：（1）保護(hù)：當(dāng)新計(jì)算機(jī)接入時(shí)，如果該端口的MAC條目超過(guò)最大數(shù)量，則這個(gè)新的計(jì)算機(jī)將無(wú)法接入，交換機(jī)也不發(fā)送警告信息。（2）限制：當(dāng)新計(jì)算機(jī)接入時(shí)，如果該端口的MAC條目超過(guò)最大數(shù)量，則這個(gè)新的計(jì)算機(jī)無(wú)法接入，并且交換機(jī)將發(fā)送警告信息。（3）關(guān)閉：當(dāng)新計(jì)算機(jī)接入時(shí)，如果該端口的MAC條目超過(guò)最大數(shù)量，則該端口將會(huì)被關(guān)閉，則這個(gè)新的計(jì)算機(jī)和原有的計(jì)算機(jī)都無(wú)法接入網(wǎng)絡(luò)。

3園區(qū)網(wǎng)的應(yīng)用場(chǎng)景

假設(shè)某一園區(qū)網(wǎng)通過(guò)路由器與Internet通信，園區(qū)網(wǎng)各種設(shè)備通過(guò)交換機(jī)連接，園區(qū)拓?fù)淙鐖D1所示，其中Cloud表示攻擊者所處的位置。在ENSP環(huán)境下，園區(qū)網(wǎng)中的主機(jī)通信是正常的，即所有主機(jī)都能相互訪(fǎng)問(wèn)并能訪(fǎng)問(wèn)網(wǎng)關(guān)，訪(fǎng)問(wèn)效果測(cè)試如圖2所示。此時(shí)查看交換機(jī)的MAC地址表，表中僅有通信過(guò)的幾條MAC地址記錄，如圖3所示。

3.1Cloud的設(shè)置

為了讓KALI與ENSP中設(shè)備進(jìn)行通信，需要對(duì)ENSP中的Cloud進(jìn)行配置。首先在Cloud增加兩個(gè)端口，一個(gè)是UDP端口，一個(gè)是真機(jī)的環(huán)回端口，真機(jī)環(huán)回端口需要提前配置好。然后對(duì)兩個(gè)端口進(jìn)行雙向通道映射配置，并增加到映射表中，Cloud設(shè)置效果如圖4所示。

3.2KALI的配置

KALI是一款專(zhuān)門(mén)為滿(mǎn)足專(zhuān)業(yè)滲透測(cè)試和安全審核的要求而設(shè)計(jì)用于滲透測(cè)試的Linux操作系統(tǒng)。攻擊者利用KALI向園區(qū)網(wǎng)發(fā)起MAC泛洪攻擊，要實(shí)現(xiàn)這一功能需要將KALI通過(guò)虛擬機(jī)橋接真機(jī)環(huán)回網(wǎng)卡，環(huán)回網(wǎng)卡橋接ENSP中的云，從而與ENSP進(jìn)行通信。為實(shí)現(xiàn)測(cè)試，KALI需要配置與園區(qū)主機(jī)同一網(wǎng)段的IP地址，圖5為KALI進(jìn)行IP地址的配置后，與網(wǎng)關(guān)進(jìn)行通信測(cè)試效果。

3.3MAC泛洪模擬

在KALI中進(jìn)行MAC泛洪滲透測(cè)試，需要在KALA中運(yùn)行MACOF命令，MACOF是Dsniff套裝工具集的成員，它可使用隨機(jī)MAC地址泛洪交換機(jī)。當(dāng)在KALI運(yùn)行MACOF命令時(shí)，它會(huì)向交換機(jī)發(fā)出大量的虛擬MAC地址，導(dǎo)致交換機(jī)的MAC地址表急劇增加致填滿(mǎn)，運(yùn)行MACOF的效果如圖6所示，可以看出，KALI產(chǎn)生大量的虛假M(fèi)AC地址。再次查看交換機(jī)中的MAC地址表，可以看到MAC地址表中記錄了大量從連接Cloud端口學(xué)習(xí)的地址記錄，如圖7所示。此時(shí)，園區(qū)網(wǎng)已不能正常通信。

4端口安全設(shè)計(jì)

為了防范MAC泛洪攻擊，需要在交換機(jī)可疑端口設(shè)置可連接的最大MAC地址數(shù)。對(duì)超出的限定最大數(shù)量的連接嘗試都會(huì)造成違規(guī)現(xiàn)象，交換機(jī)會(huì)丟棄該數(shù)據(jù)幀。因此，在本園區(qū)網(wǎng)中需要對(duì)交換機(jī)的G0/0/2進(jìn)行端口安全的配置，配置信息為啟用端口安全功能，允許最大數(shù)量是5，當(dāng)出現(xiàn)違規(guī)現(xiàn)象時(shí)采取了限制處理類(lèi)型，配置命令如圖8所示。通過(guò)命令配置，當(dāng)攻擊者再通過(guò)KALI對(duì)園區(qū)網(wǎng)進(jìn)行MAC泛洪攻擊時(shí)，交換機(jī)會(huì)丟失數(shù)據(jù)幀并發(fā)出警告，從而保障園區(qū)網(wǎng)的安全。

5結(jié)論

本文在分析MAC泛洪攻擊原理基礎(chǔ)上，論述園區(qū)網(wǎng)可能存在安全危險(xiǎn)，進(jìn)而提出端口安全的解決方案。為驗(yàn)證該方案的有效性，本文采用ENSP和KALI進(jìn)行園區(qū)網(wǎng)的仿真攻防演練，攻防演練結(jié)果顯示，該方案防范效果顯著，使園區(qū)網(wǎng)的安全性得到提升，園區(qū)網(wǎng)的正常使用得到保障。

參考文獻(xiàn)

[1]仇虹,施俊宇等.淺析局域網(wǎng)內(nèi)ARP攻擊與防護(hù)[J].計(jì)算機(jī)與網(wǎng)絡(luò),2021,47(01).

[2]黃飛.基于仿真軟件模擬MAC泛洪攻擊與防御實(shí)驗(yàn)綜述[J].電腦知識(shí)與技術(shù),2019,15(18).

[3]周川,應(yīng)海超.基于MAC認(rèn)證的局域網(wǎng)ARP攻擊、防范與追蹤[J].中國(guó)新通信,2019,21(03).

作者:龐國(guó)莉 王小英 單位:防災(zāi)科技學(xué)院