局域网数据链路层网络安全

转载 2006年06月14日 01:24:00

  通信的每一层中都有自己独特的安全问题。数据链路层(第二协议层)的通信连接就安全而言,是较为薄弱的环节。网络安全的问题应该在多个协议层针对不同的弱点进行解决。在本篇文章中,我们将集中讨论与有线局域网相关的安全问题。无线局域网和广域网(WAN)的安全问题将在其它篇章中单独进行讨论。在第二协议层的通信中,交换机是关键的部件,它们也用于第三协议层的通信。对于相同的第三协议层的许多攻击和许多独特的网络攻击,它们和路由器都会很敏感,这些攻击包括:


内容寻址存储器(CAM)表格淹没:交换机中的 CAM 表格包含了诸如在指定交换机的物理端口所提供的 MAC 地址和相关的 VLAN 参数之类的信息。一个典型的网络侵入者会向该交换机提供大量的无效 MAC 源地址,直到 CAM 表格被添满。当这种情况发生的时候,交换机会将传输进来的信息向所有的端口发送,因为这时交换机不能够从 CAM 表格中查找出特定的 MAC 地址的端口号。CAM 表格淹没只会导致交换机在本地 VLAN 范围内到处发送信息,所以侵入者只能够看到自己所连接到的本地 VLAN 中的信息。
VLAN 中继:VLAN 中继是一种网络攻击,由一终端系统发出以位于不同 VLAN 上的系统为目标地址的数据包,而该系统不可以采用常规的方法被连接。该信息被附加上不同于该终端系统所属网络 VLAN ID 的标签。或者发出攻击的系统伪装成交换机并对中继进行处理,以便于攻击者能够收发其它 VLAN 之间的通信。
操纵生成树协议:生成树协议可用于交换网络中以防止在以太网拓朴结构中产生桥接循环。通过攻击生成树协议,网络攻击者希望将自己的系统伪装成该拓朴结构中的根网桥。要达到此目的,网络攻击者需要向外广播生成树协议配置/拓朴结构改变网桥协议数据单元(BPDU),企图迫使生成树进行重新计算。网络攻击者系统发出的 BPDU 声称发出攻击的网桥优先权较低。如果获得成功,该网络攻击者能够获得各种各样的数据帧。
媒体存取控制地址(MAC)欺骗:在进行 MAC 欺骗攻击的过程中,已知某其它主机的 MAC 地址会被用来使目标交换机向攻击者转发以该主机为目的地址的数据帧。通过发送带有该主机以太网源地址的单个数据帧的办法,网络攻击者改写了 CAM 表格中的条目,使得交换机将以该主机为目的地址的数据包转发给该网络攻击者。除非该主机向外发送信息,否则它不会收到任何信息。当该主机向外发送信息的时候,CAM 表中对应的条目会被再次改写,以便它能恢复到原始的端口。
地址解析协议(ARP)攻击:ARP 协议的作用是在处于同一个子网中的主机所构成的局域网部分中将 IP 地址映射到 MAC 地址。当有人在未获得授权时就企图更改 MAC 和 IP 地址的 ARP 表格中的信息时,就发生了 ARP 攻击。通过这种方式,黑客们可以伪造 MAC 或 IP 地址,以便实施如下的两种攻击:服务拒绝和中间人攻击。
专用 VLAN:专用 VLAN 通过限制 VLAN 中能够与同 VLAN 中其它端口进行通信的端口的方式进行工作。VLAN 中的孤立端口只能和混合端口进行通信。混合端口能够和任何端口进行通信。能够绕过专用 VLAN 安全措施的攻击的实现要使用绕过专用 VLAN 访问限制的代理。
DHCP 耗竭:DHCP 耗竭的攻击通过利用伪造的 MAC 地址来广播 DHCP 请求的方式来进行。利用诸如 gobbler 之类的攻击工具就可以很容易地造成这种情况。如果所发出的请求足够多的话,网络攻击者就可以在一段时间内耗竭向 DHCP 服务器所提供的地址空间。这是一种比较简单的资源耗竭的攻击手段,就像 SYN 泛滥一样。然后网络攻击者可以在自己的系统中建立起虚假的 DHCP 服务器来对网络上客户发出的新 DHCP 请求作出反应。
  降低局域网安全风险

  在交换机上配置端口安全选项可以防止 CAM 表淹没攻击。该选择项要么可以提供特定交换机端口的 MAC 地址说明,要么可以提供一个交换机端口可以习得的 MAC 地址的数目方面的说明。当无效的 MAC 地址在该端口被检测出来之后,该交换机要么可以阻止所提供的 MAC 地址,要么可以关闭该端口。

  对 VLAN 的设置稍作几处改动就可以防止 VLAN 中继攻击。这其中最大的要点在于所有中继端口上都要使用专门的 VLAN ID。同时也要禁用所有使用不到的交换机端口并将它们安排在使用不到的 VLAN 中。通过明确的办法,关闭掉所有用户端口上的 DTP,这样就可以将所有端口设置成非中继模式。

  要防止操纵生成树协议的攻击,需要使用根目录保护和 BPDU 保护加强命令来保持网络中主网桥的位置不发生改变,同时也可以强化生成树协议的域边界。根目录保护功能可提供保持主网桥位置不变的方法。生成树协议 BPDU 保护使得网络设计者能够保持有源网络拓朴结构的可预测性。尽管 BPDU 保护也许看起来是没有必要的,因为管理员可以将网络优先权调至0,但仍然不能保证它将被选做主网桥,因为可能存在一个优先权为0但ID却更低的网桥。使用在面向用户的端口中,BPDU 保护能够发挥出最佳的用途,能够防止攻击者利用伪造交换机进行网络扩展。

  使用端口安全命令可以防止 MAC 欺骗攻击。端口安全命令能够提供指定系统 MAC 地址连接到特定端口的功能。该命令在端口的安全遭到破坏时,还能够提供指定需要采取何种措施的能力。然而,如同防止 CAM 表淹没攻击一样,在每一个端口上都要指定一个 MAC 地址是一种难办的解决方案。在界面设置菜单中选择计时的功能,并设定一个条目在 ARP 缓存中可以持续的时长,能够达到防止 ARP 欺骗的目的。

  对路由器端口访问控制列表(ACL)进行设置可以防止专用 VLAN 攻击。虚拟的 ACL 还可以用于消除专用 VLAN 攻击的影响。

  通过限制交换机端口的 MAC 地址的数目,防止 CAM 表淹没的技术也可以防止 DHCP 耗竭。随着 RFC 3118,DHCP 消息验证的执行,DHCP 耗竭攻击将会变得越来越困难。

  另外,IEEE802.1X 还能够在数据链路层对基本的网络访问进行监测,它本身是一种在有线网络和无线网络中传送可扩展验证协议(EAP)架构的标准。在未完成验证的情况下 801.1X 就拒绝对网络的访问,进而可以防止对网络基础设备实施的,并依赖基本 IP 连接的多种攻击。802.1X 的初始编写目标是用于拔号连接和远程访问网络中的点对点协议(PPP),它现在支持在局域网的环境中使用 EAP,包括无线局域网。


使用广播信道的数据链路层

使用广播信道的数据链路层1. 局域网的数据链路层1.1 局域网最主要的特点 局域网最主要的特点:就是网络为一个单位所拥有,且地理范围和站点数目均有限。 注:在局域网刚刚出现时,局域网比广域网具有较高的...
  • cainv89
  • cainv89
  • 2016年02月05日 15:11
  • 1462

数据链路层帧格式

一  以太网帧发展历程: 1980 DEC,Intel,Xerox制订了Ethernet I的标准; 1982 DEC,Intel,Xerox又制订了Ehternet II的标准; ...
  • ylo523
  • ylo523
  • 2015年02月12日 09:18
  • 645

网络通信中的数据链路层常见协议汇总

作为网络通信工程的学习和从业人员,众所周知,目前国际上通用的网络互连模型是开放系统互连参考模型(OSI/RM)。在这个模型中,网络结构被分为7层,分别是物理层、数据链路层、网络层、传输层、会话层、表示...
  • u011543541
  • u011543541
  • 2016年08月18日 10:51
  • 2082

TCP/IP协议——数据链路层

 同段的链路层可以采用不同的数据链路层协议,数据链路层使用的信道类型(1)点对点信道(2)广播信道 一、点对点信道的数据链路层 链路和数据链路: (链路:物理链路)从一个结点到...
  • barry_yan
  • barry_yan
  • 2014年03月12日 19:10
  • 6918

OSI七层模型详解(物理层、数据链路层、网络层、传输层.....应用层协议与硬件)

OSI 七层模型通过七个层次化的结构模型使不同的系统不同的网络之间实现可靠的通讯,因此其最主要的功能就是帮助不同类型的主机实现数据传输 。 完成中继功能的节点通常称为中继系统。在OSI七层模型中...
  • xw20084898
  • xw20084898
  • 2014年09月21日 00:07
  • 80861

数据链路层、局域网、广域网

数据链路层    数据链路层是OSI参考模型中的第二层,介于物理层和网络层之间,它在物理层提供服务的基础上向网络层提供服务。数据链路层的作用是加强物理层传输原始位流的功能,并将物理层提供的可能出错的...
  • quentain
  • quentain
  • 2015年12月14日 22:00
  • 749

计算机网络:数据链路层:有线和无线网络

有线网络介绍结点和链路应用层、传输层和网络层的通信是端到端的,而数据链路层的通信是结点到结点的。在网络中,将端主机和路由器视为节点,将它们之间的网络视为链路。 两类链路有点对点链路和广播链路,在点对...
  • jinzhao1993
  • jinzhao1993
  • 2016年12月04日 21:14
  • 886

802.11无线局域网

无线技术的特点: 行业迅猛发展 互联网的重要入口 边界模糊 安全实施缺失而且困难 对技术不了解而造成配置不当 企业网络私自接入AP破坏网络边界 ╋━━━━...
  • qq_33936481
  • qq_33936481
  • 2017年01月15日 15:46
  • 507

OSI参考模型——数据链路层详解

一、数据链路层的功能1. 为什么要设置数据链路层 物理层的线路有传输介质与通信设备组成,比特流在传输介质上传输时一定会存在误差,而设置数据链路层目的就是为了在存在差错的物理层的基础上,采用差错检测,差...
  • jeffleo
  • jeffleo
  • 2016年12月29日 22:13
  • 1970

数据链路层中MAC子层和LLC子层的功能分析

1.何为数据链路层的(DATA LINK LAYER)的MAC子层和LLC子层?    MAC子层的主要功能包括数据帧的封装/卸装,帧的寻址和识别,帧的接收与发送,链路的管理,帧的差 错控...
  • qq_28270231
  • qq_28270231
  • 2015年05月25日 17:45
  • 2746
内容举报
返回顶部
收藏助手
不良信息举报
您举报文章:局域网数据链路层网络安全
举报原因:
原因补充:

(最多只允许输入30个字)