交换机安全功能在防黑客攻击中的应用研究

摘要：构建安全的计算机网络，是人们追求的目标。然而计算机病毒的网络传播和黑客的攻击却不断地对网络安全带来新的挑战。人们在考虑安全防护时，往往重视网络层和应用层的安全防护，而忽略了数据链路层的防护。通过交换机安全功能和黑客的攻击方法两个角度分析研究，探讨了数据链路层设备——二层交换机的安全功能在防御或者缓解黑客攻击方面的有效对策。

关键词：黑客攻击；二层交换机；防御对策

中图分类号：TP393 文献标识码：A 文章编号：1009-3044（2013）16-3715-03

构建安全的计算机网络，是人们追求的目标。人们研究了各种安全技术和策略来提高计算机网络的安全性，然而计算机病毒的网络传播和黑客的攻击却不断地对网络安全带来新的挑战。因此，如何实现网络的安全是一个永恒的课题。二层交换机作为局域网的核心设备，研究其自身拥有的安全，充分发挥其作用，对防止或缓解黑客攻击，构建安全的计算机网络具有极其重要的价值。

1 黑客攻击

黑客攻击的过程通常变幻莫测，但还是有一定规律可循的，一般有这样几个阶段：确定攻击目的、了解目标网络结构、收集系统信息、实施攻击、巩固控制、继续深入几个过程。

黑客攻击总的目的是破坏数据的机密性、完整性和可用性。目标明确以后，黑客会利用经验或工具来分析目的网络结构、收集有用的系统信息，为攻击做准备。攻击方法主要有拒绝服务攻击、信任关系欺骗攻击、缓冲区溢出、输入验证漏洞、暴力破解密码、应用程序漏洞或者配置错误漏洞攻击以及社会工程学。为了进一步实施攻击，黑客在攻击成功后往往会通过修改日志等方法抹去踪迹，留下后门。

黑客攻击可以分为数据链路层攻击、网络层攻击和应用层攻击。人们在考虑安全防护时，往往重视网络层和应用层的安全防护，而忽略了数据链路层的防护。其实，数据链路层的防护和其他层的防护同样重要，很多的攻击就是针对数据链路层的，然而作为局域网核心的数据链路层设备——二层交换机的安全防护功能却很少得到充分的利用。下面就从交换机安全功能和黑客的攻击方法两个角度来分析交换机防御或者缓解黑客攻击的有效对策。

2 从交换机安全功能分析防御或缓解攻击的对策

现在的交换机在设计时就会考虑很多的安全功能，如MAC地址过滤、IP地址过滤、访问控制、流量控制、安全管理、系统日志、看门狗等功能，来保证交换机的安全运行。充分利用交换机的安全功能也可以有效地防御或缓解黑客的攻击。

2.1 端口隔离和私有VLAN功能

交换机端口隔离功能，可以隔离一切广播、组播和单播流量；私有VLAN功能可以阻止同一个VLAN内端口间的互相通信，私有VLAN内的端口只能和某个指定的路由器接口通信。由于端口隔离后的计算机或处于私有VLAN内的计算机之间无法直接通信，只能和指定的接口通信，所以只要做好指定接口的安全防范工作，就可以有效地防御或缓解黑客的攻击。

2.2 风暴控制功能

交换机的风暴控制功能可以监控端口的入站流量，可以单独对广播、组播和单播流量占端口带宽百分比或流量速率进行监控。

黑客进行拒绝服务（DOS）攻击的目的，是使计算机或网络无法提供正常的服务。最常见的DoS攻击有计算机网络带宽攻击和连通性攻击。带宽攻击就是以极大的通信量冲击网络，使得所有可用网络资源都被消耗殆尽，最终导致合法的用户请求无法通过。连通性攻击就是用大量的连接请求冲击计算机，使得所有可用的操作系统资源都被消耗殆尽，最终计算机无法再处理合法用户的请求。利用交换机提供的风暴抑制功能可以有效地缓解拒绝服务攻击。

2.3 端口阻塞（Port Blocking）功能

交换机的端口阻塞功能，可以防止端口转发未知的单播和组播流量。

交换机收到数据帧时，会在MAC地址表中查找目的MAC来转发数据，如果找不到对应的MAC，就将数据广播到同一个VLAN中的其他所有端口。黑客会利用交换机的数据转发特性，对网络发起泛洪攻击。利用交换机的端口阻塞功能可以有效防止或缓解泛洪攻击。

2.4 端口绑定功能

端口绑定功能可以在交换机端口上绑定MAC地址、也可以绑定IP地址或者同时绑定MAC和IP地址。

黑客在进行攻击时有时会采用MAC地址欺骗和IP地址欺骗等手段，利用交换机端口绑定功能，可以有效地防御这些攻击。

2.5 访问控制列表（ACL）功能

交换机支持的访问控制列表有4种：路由器ACL，用于三层VLAN虚拟接口；端口ACL，应用于物理接口；MAC ACL，可以通过MAC地址信息来过滤某个VLAN或二层物理接口中的非IP流量；VLAN ACL，可以对进出VLAN的所有流量进行过滤。

通过合理地配置访问控制列表，可以有效地限制非法用户的访问，达到防御、缓解黑客的攻击的目的。

2.6 DHCP Snooping功能

交换机提供的DHCP Snooping功能能够生成并维护一个可信的包含MAC地址、IP地址、租期、绑定类型和VLAN编号等内容的列表，并根据这个列表对收到的不可信消息进行过滤。

利用这个功能可以有效防止假冒DHCP服务器、地址欺骗类攻击。

2.7 IP源地址防护功能

IP源地址防护是利用DHCP Snooping列表或手工绑定的IP源地址，对不信任的二层接口进行IP流量过滤，只要入站数据包的源IP地址不是绑定的地址就会被过滤掉。

利用这个功能可以防止IP地址欺骗攻击。

2.8 端口镜像功能

端口镜像功能是将一个或多个端口的数据转发到某一个端口来实现对网络的监听的功能。这个功能本身不能防御或缓解黑客攻击，但这个功能在对付黑客方面却很有用，可以用于入侵检测系统和网络分析仪。

3 从黑客的攻击方式来分析交换机的防御对策

3.1 ARP扫描攻击与防御对策

黑客在进行攻击时会采用各种工具来探测网络结构，收集网络信息。为了探测网段内的所有活动主机，攻击源将会产生大量的ARP 报文在网段内广播，这些广播报文极大的消耗网络的带宽资源；黑客甚至直接通过伪造大量ARP报文而在网络内实施大流量攻击，使网络带宽消耗殆尽而瘫痪。

ARP 扫描通常是其他更加严重的攻击方式的前奏，充分利用交换机提供的防ARP扫描功能，可以有效防御或缓解ARP扫描攻击和后续的攻击。防ARP扫描的一般思路是如果发现网段内存在具有ARP扫描特征的主机或端口，就切断攻击源头，保障网络的安全。

具体防御方法是在交换机上设置信任和不信任端口，不对信任端口进行检查，对不信任端口可以基于端口或基于IP地址两种方式来设置ARP扫描防御，根据单位时间内从某个端口或者某个IP接收到的ARP报文的数量是否超过了预先设定的阈值来判断。

3.2 ARP欺骗攻击与防御对策

ARP是将IP地址解析为MAC地址的协议，主机的ARP缓存中存有IP地址与MAC地址的对应关系。ARP协议的设计存在严重的安全漏洞，任何网络设备都可以发送ARP报文通告IP地址和MAC地址的映射关系。这就为ARP欺骗提供了可乘之机，黑客通过发送ARP request报文或者ARP reply报文通告错误的IP地址和MAC地址映射关系，毒化主机的ARP缓存，达到攻击的目的。

ARP欺骗攻击可以用交换机的动态ARP监控（DAI）功能来防御。在使用DHCP的环境中，利用DHCP snooping绑定表对进入交换机的数据包的IP-MAC地址绑定关系进行监控，阻断非法数据包；在非DHCP环境中，通过定义ARP 访问控制列表（ACL）绑定MAC地址和IP地址，使用人工绑定的条目对进入交换机的数据包进行监控。

利用交换机的接口上配置抑制计时器功能，为ARP条目指定ARP缓存中的生存时间，也可以缓解ARP欺骗攻击。

有些厂家的交换机提供了ARP防御（ARP Guard）功能，可以通过在接口上配置ARP防御的IP地址，来防御ARP欺骗。如果交换机收到源IP地址是受到保护IP地址的ARP报文，就直接丢弃，不进行转发，从而保护主机不受欺骗。这种防御功能一般用于保护网关不被攻击。

3.3 MAC地址欺骗攻击与防范对策

MAC地址欺骗攻击是黑客将MAC地址伪装成网络中的其他信任主机的MAC地址，利用这种方式强制交换机在向信任主机转发数据帧的时候，将数据帧转发给攻击者。与ARP欺骗不同，不是毒化ARP缓存，而是造成交换机MAC地址表混乱。它可能导致信任主机拒绝服务，也可能导致交换机性能严重下降。

MAC地址欺骗攻击可以通过在交换机上配置端口安全特性来防御，在交换机端口上打开交换机端口安全功能，对合法的主机MAC地址进行绑定，当交换机从该接口收到数据帧时，会对MAC地址进行合法性检查。

3.4 MAC地址泛洪攻击与防范对策

MAC地址泛洪攻击针对交换机的CAM，造成存储器溢出。CAM是一个包含MAC地址表和相关VLAN参数的存储空间，由于这个存储空间有限，黑客可以采用MAC地址泛洪来攻击，导致CAM溢出。溢出产生后，交换机就变成了一个大的广播域。

MAC地址泛洪可以通过在交换机上配置端口安全特性来缓解。交换机提供了端口安全，开启端口安全后，可以限制通过端口的MAC地址数量，可以静态绑定安全MAC地址，对MAC地址进行合法性检查，自动对非法MAC采取相应的策略，包括丢弃数据帧、报警、关闭端口等。

4 结束语

黑客攻击的方法很多，防御或缓解的方法也很多，这里主要分析了二层交换机自身的安全功能，有针对性地分析了各项安全功能在防黑客方面的具体应用。充分利用交换机的安全功能，可以有效地预防或缓解黑客的攻击。

参考文献：

[1] 武新华，孙世宁，杨平.矛与盾——黑客就这几招[M].北京：机械工业出版社，2010：126-146.

[2] 程庆梅，徐雪鹏.信息安全教学系统实训教程[M].北京：机械工业出版社，2012：146-193.

[3] Yusuf Bhaiji.网络安全技术与解决方案[M].2版.北京：人民邮电出版社，2010：184-199.

[4] 冯昊，黄治虎.交换机/路由器的配置与管理[M].2版.北京：清华大学出版社，2009：251-261.

[5] 莫洪林.浅析交换机端口隔离在校园网防范ARP攻击中的应用[J].信息安全与技术，2011（6）：49-53.