数据链路层攻击防范技术研究

【 摘 要 】 随着社会不断地信息化、网络化，网络安全的问题变得越来越突出。文章主要针对OSI开放网络模型中的数据链路层，研究了常见的、主要的攻击方法，并给出对应的防范措施。

【 关键词 】 OSI；数据链路层；网络攻击；防范技术

Research of Preventive Technology on Data Link Layer

Zhi Li-feng

（Agriculrural Bank Of China Jilin Branch Business Department Jilin 130000）

【 Abstract 】 With the society constantly information-making and networking, network security is becoming increasingly severe. This paper makes an analysis on the common and main attacks on data link layer of the OSI network reference model, and proposes preventive measures accordingly.

【 Keywords 】 OSI; data link layer; network attacks; preventive technology

0 引言

由于计算机网络具有联结形式多样性、终端分布不均匀性和网络的开放性、互连性等特征，致使网络易受黑客、病毒、恶意软件和其他不轨的攻击，从而给企业甚至政府机构造成巨大损失。所以，网上信息的安全和保密是一个至关重要的问题。本文针对二层网络上的重要的安全隐患进行了探讨和预防。

OSI网络模型采用的分层的网络模型，如图1，它允许在不同的层次上进行不同的网络活动，而且在每一层所应用的协议及其规范都是不同的，这就使得OSI的网络模型每一层几乎都是一个相对独立的整体，数据在网络中的完整传输过程需要这七层同时协调工作才能够完成，整个数据传输过程也就是一个封装和解封装的过程。

网络模型中处于底部的分层对高层的影响:在OSI网络参考模型中，要实现一个完整的数据通信，是靠每一层相互之间的协作来完成的，并不是通过某一层独立完成的，但是各层的工作都是相互独立的，并不受其它层的影响，处于低层的网络只是向高层的提供服务，某一层出现其他问题其余的分层都不知道。也就是说当网络中的某一层被攻击了，其余的分层并不知道。在网络模型中最容易受到攻击的是处于低层的网络，也就是第二层数据链路层。网络安全尤其是低层的网络安全问题对公司所造成的损失是巨大的。 此外，并不是只有少部分的人可以对网络造成威胁。现在有很多的应用攻击软件，其操作难度很低，只要能够对计算机进行基本操作即可使用，这个问题也说明了网络安全问题所面临的形势非常严峻。

本文主要介绍了几种在数据链路层上使用的攻击及其防御技术，通过这些防范措施，可以使数据链路层的安全性得到很大的提升，下面逐一介绍存在于数据链路层上的攻击及其防范措施。

1 主要的攻击方法

1.1 VLAN的跳跃攻击

VLAN的跳跃攻击利用了 IEEE802.1Q的封装漏洞，同时在以太网帧中加入了两个TAG字段，第一个TAG字段是虚假的，第二个TAG字段才是真正的目的VLAN，其具体的工作过程如图2。

如图2所示，VLAN的跳跃攻击共分为5个步骤：1) 攻击者通过协商并获取Trunk信息；2) 攻击者向攻击目标发送双Tag帧；3) 交换机A处理第一个虚假的Tag，并将其发往下一跳交换机B；4) 接着交换机B处理真正的Tag；5) 最终攻击者将攻击包Data发送到希望的目标主机。

1.2 MAC地址攻击

交换机主动学习客户端的MAC地址，并建立和维护端口和MAC地址的对应表以此建立交换路径，这个表就是通常我们所说的CAM表。CAM表的大小是固定的，不同的交换机的CAM表大小不同。MAC/CAM攻击是指利用工具产生欺骗MAC，快速填满CAM表，交换机CAM表被填满后，流量以泛洪方式发送到所有接口，这时攻击者可以利用各种嗅探攻击获取网络信息。同时，trunk接口上的流量也会发给所有接口和邻接交换机，会造成交换机负载过大，网络缓慢和丢包甚至瘫痪。

MAC地址攻击的方式是以MAC地址的泛洪来攻击网络中的交换机，使交换机的MAC地址表来不及存储有效的MAC地址，这样交换机就会把没有存储进去的MAC地址以广播的形式通告出去，这时攻击者就可以轻松的获得这个网络中的所有MAC地址。其攻击主要基于几点：1) 二层交换机是基于MAC地址来转发数据帧的；2) 转发过程中依靠对CAM表的查询来确定正确的转发接口；3) 一旦在查询过程中无法找到相关的MAC对应条目，此数据帧将作为广播帧来处理；4) CAM表的容量有限，只能存储不多的条目，当CAM表记录的 MAC地址到达上限后，新的条目将不会被添加到CAM表中。

基于以上原理，网络会产生一个有趣而且危险的现象，假如某台PC不断发送去往某未知目的地的数据帧，而且每个包的源MAC地址都不同，当这样的数据包发送的速度足够快之后，快到在刷新时间内将交换机的CAM表迅速填满，那么CAM表会被这些伪造的MAC地址占据，而真实的MAC地址条目却无法写入CAM表，那么任何一个经过交换机的正常的单播数据帧都会以广播的形式来处理，这时整个网络的MAC地址就有很大的安全威胁。

1.3 生成树攻击

当网络中的某条链路出现中断时可以将要发送的流量进行重新定向，从其他的路径传输。其实现方法是在整个的STP域内使用BPDU包，这个BPDU包可以将STP域内的配置进行更改，最显著的是重新选举生成树的根桥，从而使域中的整个数据从其他路径转发，这样如果发生DOS攻击的话，就会使整个网络陷于瘫痪状态。图3给出了一种生成树攻击的示例。