数据链路层与网络安全

合集下载
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

题目:网络安全技术分析与安全方案设计

小组成员:

姓名:刘锡淼学号:540907040127

负责内容:统筹协作和运输层安全分析与解决方案

姓名:杨大为学号:540907040144

负责内容:应用层安全分析与解决方案

姓名:余飞学号:540907040145

负责内容:网络层安全分析与解决方案

姓名:周恺学号:540907040156

负责内容:物理层安全分析与解决方案

姓名:赵伟学号:540907040153

负责内容:数据链路层安全分析与解决方案

基本要求:

⏹设计网络安全技术实现方案。选择合适的安全协议、安全

技术、安全设备,设计安全组网方案。

⏹按5人左右组合成一个小组,集中讨论,提出各小组的实现

方案,总结并写出报告。

设计目的:

⏹分析网络各种安全技术和安全设备

⏹设计网络安全的方案

计算机网络安全技术内容:

⏹保密性

⏹安全协议的设计

⏹访问控制

网络安全分析类别:

⏹物理层安全分析及解决方案

⏹数据链路层安全分析及解决方案

⏹网络层安全分析及解决方案

⏹运输层安全分析及解决方案

⏹应用层安全分析及解决方案

设计内容:数据链路层与网络安全

通信的每一层中都有自己独特的安全问题。数据链路层(第二协议层)的通信连接就安全而言,是较为薄弱的环节。网络安全的问题应该在多个协议层针对不同的弱点进行解决。在本部分中,我将集中讨论与有线局域网相关的安全问题。在第二协议层的通信中,交换机是关键的部件,它们也用于第三协议层的通信。对于相同的第三协议层的许多攻击和许多独特的网络攻击,它们和路由器都会很敏感,这些攻击包括:

内容寻址存储器(CAM)表格淹没:交换机中的CAM 表格包含了诸如在指定交换机的物理端口所提供的MAC 地址和相关的VLAN 参数之类的信息。一个典型的网络侵入者会向该交换机提供大量的无效MAC 源地址,直到CAM 表格被添满。当这种情况发生的时候,交换机会将传输进来的信息向所有的端口发送,因为这时交换机不能够从CAM 表格中查找出特定的MAC 地址的端口号。CAM 表格淹没只会导致交换机在本地VLAN 范围内到处发送信息,所以侵入者只能够看到自己所连接到的本地VLAN 中的信息。

VLAN 中继:VLAN 中继是一种网络攻击,由一终端系统发出以位于不同VLAN 上的系统为目标地址的数据包,而该系统不可以采用常规的方法被连接。该信息被附加上不同于该终端系统所属网络VLAN ID 的标签。或者发出攻击的系统伪装成交换机并对中继进行处理,以便于攻击者能够收发其它VLAN 之间的通信。

操纵生成树协议:生成树协议可用于交换网络中以防止在以太网拓朴结构中产生桥接循环。通过攻击生成树协议,网络攻击者希望将自己的系统伪装成该拓朴结构中的根网桥。要达到此目的,网络攻击者需要向外广播生成树协议配置/拓朴结构改变网桥协议数据单元(BPDU),企图迫使生成树进行重新计算。网络攻击者系统发出的BPDU 声称发出攻击的网桥优先权较低。如果获得成功,该网络攻击者能够获得各种各样的数据帧。

媒体存取控制地址(MAC)欺骗:在进行MAC 欺骗攻击的过程中,已知某其它主机的MAC 地址会被用来使目标交换机向攻击者转发以该主机为目的地址的数据帧。通过发送带有该主机以太网源地址的单个数据帧的办法,网络攻击者改写了CAM 表格中的条目,使得交换机将以该主机为目的地址的数据包转发给该网络攻击者。除非该主机向外发送信息,否则它不会收到任何信息。当该主

机向外发送信息的时候,CAM 表中对应的条目会被再次改写,以便它能恢复到原始的端口。

地址解析协议(ARP)攻击:ARP 协议的作用是在处于同一个子网中的主机所构成的局域网部分中将IP 地址映射到MAC 地址。当有人在未获得授权时就

企图更改MAC 和IP 地址的ARP 表格中的信息时,就发生了ARP 攻击。通过这种方式,黑客们可以伪造MAC 或IP 地址,以便实施如下的两种攻击:

服务拒绝和中间人攻击。

专用VLAN:专用VLAN 通过限制VLAN 中能够与同VLAN 中其它端口进行通信的端口的方式进行工作。VLAN 中的孤立端口只能和混合端口进行通信。混合端口能够和任何端口进行通信。能够绕过专用VLAN 安全措施的攻击的实现要使用绕过专用VLAN 访问限制的代理。

DHCP 耗竭:DHCP 耗竭的攻击通过利用伪造的MAC 地址来广播DHCP 请

求的方式来进行。利用诸如gobbler 之类的攻击工具就可以很容易地造成这种情况。如果所发出的请求足够多的话,网络攻击者就可以在一段时间内耗竭向DHCP 服务器所提供的地址空间。这是一种比较简单的资源耗竭的攻击手段,

就像SYN 泛滥一样。然后网络攻击者可以在自己的系统中建立起虚假的

DHCP 服务器来对网络上客户发出的新DHCP 请求作出反应。

降低局域网安全风险

在交换机上配置端口安全选项可以防止CAM 表淹没攻击。该选择项要么可以提供特定交换机端口的MAC 地址说明,要么可以提供一个交换机端口可以

习得的MAC 地址的数目方面的说明。当无效的MAC 地址在该端口被检测出来之后,该交换机要么可以阻止所提供的MAC 地址,要么可以关闭该端口。

对VLAN 的设置稍作几处改动就可以防止VLAN 中继攻击。这其中最大

的要点在于所有中继端口上都要使用专门的VLAN ID。同时也要禁用所有使用不到的交换机端口并将它们安排在使用不到的VLAN 中。通过明确的办法,关闭掉所有用户端口上的DTP,这样就可以将所有端口设置成非中继模式。

要防止操纵生成树协议的攻击,需要使用根目录保护和BPDU 保护加强命

令来保持网络中主网桥的位置不发生改变,同时也可以强化生成树协议的域边界。

相关文档
最新文档