架构师之路（十三）计算机网络（链路层安全）

前置知识（了解）：计算机基础。

作为架构师，我们所设计的系统很少为单机系统，因此有必要了解计算机和计算机之间是怎么联系的。局域网的集群和混合云的网络有啥区别。系统交互的时候网络会存在什么瓶颈。

1 CAM表溢出攻击与端口安全

当与交换机相连的设备箱交换机发送数据帧时，交换机会立刻将数据帧的源MAC地址与接收到该数据帧的端口作为一个条目保存到CAM表中。

溢出攻击：当CAM表已满时，如果交换机收到了以CAM表中没有记录的MAC地址作为目的地址的数据包，就会像集线器一样将数据帧通过所有端口进行泛洪。如果攻击者想要接收自己所在VLAN中的所有数据帧，可以设法用不同MAC地址将CAM填满即可。

防御策略：Cisco交换机提供端口安全特性，限制交换机通过一个端口接收到的源MAC地址数量。

2.操纵生成树协议（STP，SpanningTree Protocol）与BPDU防护技术。

为防止设备之间不断循环转发相同数据产生广播风暴或MAC地址翻动问题，STP通过阻塞一部分端口获得一个无环的树形拓扑。选举一个根网桥，选择各非根网桥的跟端口来发送和接收流量，选择各个网段的指定端口，非指定端口就是为了避免逻辑环路而阻塞的端口。

STP协议通过桥协议数据单元（BPDU）来判断根网桥、根端口和指定端口，若攻击者制造出一个BPDU赢得根网桥选举，那么可以获得很多重要信息。

防御策略：一般位于网络末端的设备不应参与根网桥选举，不会生成BPDU信息，这类终端设备的接入端口上适宜部署BPDU防护机制。配置了BPDU的接入端口一旦受到BPDU消息，就会进入err-
disabled状态，该端口禁用。

3. DHCP耗竭、DHCP欺骗与DHCP snooping(DHCP,动态主机配置协议)

步骤1：客户端发送DHCPDISCOVER广播消息来寻找DHCP服务器。

步骤2：DHCP服务器通过DHCPOFFER向客户端提供配置参数（IP地址、MAC地址、域名、租期等）

步骤3：客户端为使用提供给它的IP地址向DHCP服务器返回正式请求DHCPREQUEST。

步骤4：DHCP服务器向客户端发送DHCPACK，允许将IP地址分配给客户端。

DHCP耗竭：伪装客户端向服务器大量请求地址直至IP地址全部耗尽，新连接进网络的客户端无地址可用，达到拒绝服务的攻击效果。

DHCP欺骗：伪装成DHCP服务器，以实现信息劫持，例如将网关地址设为自己的地址，劫持所有发送给网关的信息，实现中间人攻击。

防御策略：DHCP窥探（DHCPsnooping）技术将交换机上端口分为信任端口和不信任端口，信任端口配置在连接DHCO服务器的端口和上行链路的端口上，其余为不信任端口。如果不信任端口接收到了本应由DHCP服务器发送的消息则予以丢弃。此外，受到DHCPDISCOVER数据包MAC地址与硬件地址字段信息不符则丢弃，达到缓解DHCP耗竭的作用。

4. ARP欺骗与动态ARP监控 网络判官

当一台设备想要向另一台设备发送IP数据包时将广播ARP请求信息，收到消息的设备将提供MAC地址，请求方将更新自己的ARP表。有时主机也可以向网络中其他主机主动发送ARP相应消息，告知自己的IP-
MAC关系，收到的所有主机都会更新自己的ARP表。

ARP欺骗：ARP也是一种缺乏认证机制的协议，攻击者可以利用这个将自己伪装成另一台主机或网关路由器，实现中间人攻击，拒绝服务攻击等。

防御策略：动态ARP监控简称DAI，是三层交换机利用DHCPsnooping特性生成的DHCP
snooping表来监控ARP消息的功能。若端口发来的ARP响应消息与DHCP不符合则丢弃数据包且端口进入err-disabled状态。

扩展阅读：

《数据链路层常见威胁与防御技术》数据链路层常见威胁与防御技术_链路内部的预防机制-
CSDN博客

《链路层攻击》http://blog.sina.com.cn/s/blog_4e49cd230102voon.html

《网络判官 攻击》（内网安全等）http://blog.sina.com.cn/s/blog_4e49cd230102voon.html
https://www.static.ixueshu.com/document/6880d4cbb106d1b5541e6e24a32dda7c318947a18e7f9386.html

《数据链路层攻击》https://wenku.baidu.com/view/121bcdef81c758f5f61f67d1.html

---

题外话

初入计算机行业的人或者大学计算机相关专业毕业生，很多因缺少实战经验，就业处处碰壁。下面我们来看两组数据：

2023届全国高校毕业生预计达到1158万人，就业形势严峻；

国家网络安全宣传周公布的数据显示，到2027年我国网络安全人员缺口将达327万。

一方面是每年应届毕业生就业形势严峻，一方面是网络安全人才百万缺口。

6月9日，麦可思研究2023年版就业蓝皮书（包括《2023年中国本科生就业报告》《2023年中国高职生就业报告》）正式发布。

2022届大学毕业生月收入较高的前10个专业

本科计算机类、高职自动化类专业月收入较高。2022届本科计算机类、高职自动化类专业月收入分别为6863元、5339元。其中，本科计算机类专业起薪与2021届基本持平，高职自动化类月收入增长明显，2022届反超铁道运输类专业（5295元）排在第一位。

具体看专业，2022届本科月收入较高的专业是信息安全（7579元）。对比2018届，电子科学与技术、自动化等与人工智能相关的本科专业表现不俗，较五年前起薪涨幅均达到了19%。数据科学与大数据技术虽是近年新增专业但表现亮眼，已跻身2022届本科毕业生毕业半年后月收入较高专业前三。五年前唯一进入本科高薪榜前10的人文社科类专业——法语已退出前10之列。

“没有网络安全就没有国家安全”。当前，网络安全已被提升到国家战略的高度，成为影响国家安全、社会稳定至关重要的因素之一。

网络安全行业特点

1、就业薪资非常高，涨薪快 2022年猎聘网发布网络安全行业就业薪资行业最高人均33.77万！

2、人才缺口大，就业机会多

2019年9月18日《中华人民共和国中央人民政府》官方网站发表：我国网络空间安全人才 需求140万人，而全国各大学校每年培养的人员不到1.5W人。猎聘网《2021年上半年网络安全报告》预测2027年网安人才需求300W，现在从事网络安全行业的从业人员只有10W人。

行业发展空间大，岗位非常多

网络安全行业产业以来，随即新增加了几十个网络安全行业岗位︰网络安全专家、网络安全分析师、安全咨询师、网络安全工程师、安全架构师、安全运维工程师、渗透工程师、信息安全管理员、数据安全工程师、网络安全运营工程师、网络安全应急响应工程师、数据鉴定师、网络安全产品经理、网络安全服务工程师、网络安全培训师、网络安全审计员、威胁情报分析工程师、灾难恢复专业人员、实战攻防专业人员…

职业增值潜力大

网络安全专业具有很强的技术特性，尤其是掌握工作中的核心网络架构、安全技术，在职业发展上具有不可替代的竞争优势。

随着个人能力的不断提升，所从事工作的职业价值也会随着自身经验的丰富以及项目运作的成熟，升值空间一路看涨，这也是为什么受大家欢迎的主要原因。

从某种程度来讲，在网络安全领域，跟医生职业一样，越老越吃香，因为技术愈加成熟，自然工作会受到重视，升职加薪则是水到渠成之事。

黑客&网络安全如何学习

今天只要你给我的文章点赞，我私藏的网安学习资料一样免费共享给你们，来看看有哪些东西。

1.学习路线图

行业发展空间大，岗位非常多

网络安全行业产业以来，随即新增加了几十个网络安全行业岗位︰网络安全专家、网络安全分析师、安全咨询师、网络安全工程师、安全架构师、安全运维工程师、渗透工程师、信息安全管理员、数据安全工程师、网络安全运营工程师、网络安全应急响应工程师、数据鉴定师、网络安全产品经理、网络安全服务工程师、网络安全培训师、网络安全审计员、威胁情报分析工程师、灾难恢复专业人员、实战攻防专业人员…

职业增值潜力大

网络安全专业具有很强的技术特性，尤其是掌握工作中的核心网络架构、安全技术，在职业发展上具有不可替代的竞争优势。

随着个人能力的不断提升，所从事工作的职业价值也会随着自身经验的丰富以及项目运作的成熟，升值空间一路看涨，这也是为什么受大家欢迎的主要原因。

从某种程度来讲，在网络安全领域，跟医生职业一样，越老越吃香，因为技术愈加成熟，自然工作会受到重视，升职加薪则是水到渠成之事。

黑客&网络安全如何学习

今天只要你给我的文章点赞，我私藏的网安学习资料一样免费共享给你们，来看看有哪些东西。

1.学习路线图

攻击和防守要学的东西也不少，具体要学的东西我都写在了上面的路线图，如果你能学完它们，你去就业和接私活完全没有问题。

2.视频教程

网上虽然也有很多的学习资源，但基本上都残缺不全的，这是我自己录的网安视频教程，上面路线图的每一个知识点，我都有配套的视频讲解。

内容涵盖了网络安全法学习、网络安全运营等保测评、渗透测试基础、漏洞详解、计算机基础知识等，都是网络安全入门必知必会的学习内容。

3.技术文档和电子书

技术文档也是我自己整理的，包括我参加大型网安行动、CTF和挖SRC漏洞的经验和技术要点，电子书也有200多本，由于内容的敏感性，我就不一一展示了。

4.工具包、面试题和源码

“工欲善其事必先利其器”我为大家总结出了最受欢迎的几十款款黑客工具。涉及范围主要集中在 信息收集、Android黑客工具、自动化工具、网络钓鱼等，感兴趣的同学不容错过。

还有我视频里讲的案例源码和对应的工具包，需要的话也可以拿走。

这些题目都是大家在面试深信服、奇安信、腾讯或者其它大厂面试时经常遇到的，如果大家有好的题目或者好的见解欢迎分享。

参考解析：深信服官网、奇安信官网、Freebuf、csdn等

内容特点：条理清晰，含图像化表示更加易懂。

内容概要：包括 内网、操作系统、协议、渗透测试、安服、漏洞、注入、XSS、CSRF、SSRF、文件上传、文件下载、文件包含、XXE、逻辑漏洞、工具、SQLmap、NMAP、BP、MSF…

因篇幅有限，仅展示部分资料，需要点击下方链接即可前往获取

如果你对网络安全入门感兴趣，那么你需要的话可以点击这里👉网络安全重磅福利：入门&进阶全套282G学习资源包免费分享！