前言：本站為你精心整理了端口安全在園區(qū)網(wǎng)絡(luò)安全中應(yīng)用范文，希望能為你的創(chuàng)作提供參考價值，我們的客服老師可以幫助你提供個性化的參考范文，歡迎咨詢。

摘要：園區(qū)網(wǎng)的安全是園區(qū)日常工作的重要保障。園區(qū)網(wǎng)的安全防護工作離不開網(wǎng)絡(luò)設(shè)備的安全配置，而端口安全作為一項重要的安全防護措施必不可少。本文闡述MAC泛洪攻擊的工作原理以及其對園區(qū)網(wǎng)正常工作造成的重大影響，提出了交換機端口安全的解決方案。通過ENSP和KALI進行攻防模擬演練，從而驗證端口安全解決方案的有效性，該方案在園區(qū)網(wǎng)的應(yīng)用中效果良好。

關(guān)鍵詞：端口安全；ENSP；MAC泛洪；KALI

近年來，許多園區(qū)網(wǎng)都出現(xiàn)MAC地址泛洪攻擊現(xiàn)象，給園區(qū)網(wǎng)的正常使用造成很大影響，導(dǎo)致大量用戶不能正常訪問網(wǎng)絡(luò)。因此，防范MAC泛洪攻擊對園區(qū)網(wǎng)安全技術(shù)人員具有十分重要的意義。

1MAC泛洪原理

交換機轉(zhuǎn)發(fā)數(shù)據(jù)幀的依據(jù)是通過自學(xué)習(xí)算法建立的MAC表。當(dāng)交換機收到數(shù)據(jù)幀的時候，查看MAC地址表，看有無與源MAC地址相匹配的項，如沒有，則登記源MAC及接收數(shù)據(jù)的接口；如有，則更新，接著根據(jù)MAC地址表中有無數(shù)據(jù)幀的目的MAC對數(shù)據(jù)幀的處理，如有，且目的地址與對應(yīng)端口與接收端口不同，則從對應(yīng)端口轉(zhuǎn)發(fā)出去，否則丟棄；如沒有，則從接收端口以外的其他所有端口轉(zhuǎn)發(fā)。MAC泛洪則是攻擊者利用交換機的工作特點，向交換機發(fā)送大量的虛假MAC地址，交換機則不斷的學(xué)習(xí)虛假MAC地址，很快MAC表就會被充滿，就沒法繼續(xù)學(xué)習(xí)地址，這樣造成正常的主機的MAC地址在經(jīng)過老化之后，就無法再添加到MAC地址表中，導(dǎo)致之后發(fā)送的單播數(shù)據(jù)幀都變成了廣播。大量的廣播降低了交換機的性能，造成交換機負(fù)載過大、網(wǎng)絡(luò)緩慢和丟包甚至癱瘓。

2端口安全技術(shù)

端口安全功能是通過數(shù)據(jù)幀的源MAC地址來限定數(shù)據(jù)幀是否可以進入交換機的端口，使能端口安全功能的端口稱為安全端口?？梢酝ㄟ^靜態(tài)設(shè)置特定的MAC地址或者動態(tài)學(xué)習(xí)限定允許最大數(shù)量的MAC地址來控制數(shù)據(jù)幀是否可以進入端口。只有源MAC地址為端口安全地址表中配置或者學(xué)習(xí)到的MAC地址個數(shù)沒有超過限定數(shù)的數(shù)據(jù)幀才可以進入交換機通信。任何通過未知MAC地址或超過最大數(shù)量MAC而進行連接的嘗試都會導(dǎo)致安全違規(guī)事件，數(shù)據(jù)幀會被丟棄。端口安全有三種違規(guī)處理方法：（1）保護：當(dāng)新計算機接入時，如果該端口的MAC條目超過最大數(shù)量，則這個新的計算機將無法接入，交換機也不發(fā)送警告信息。（2）限制：當(dāng)新計算機接入時，如果該端口的MAC條目超過最大數(shù)量，則這個新的計算機無法接入，并且交換機將發(fā)送警告信息。（3）關(guān)閉：當(dāng)新計算機接入時，如果該端口的MAC條目超過最大數(shù)量，則該端口將會被關(guān)閉，則這個新的計算機和原有的計算機都無法接入網(wǎng)絡(luò)。

3園區(qū)網(wǎng)的應(yīng)用場景

假設(shè)某一園區(qū)網(wǎng)通過路由器與Internet通信，園區(qū)網(wǎng)各種設(shè)備通過交換機連接，園區(qū)拓?fù)淙鐖D1所示，其中Cloud表示攻擊者所處的位置。在ENSP環(huán)境下，園區(qū)網(wǎng)中的主機通信是正常的，即所有主機都能相互訪問并能訪問網(wǎng)關(guān)，訪問效果測試如圖2所示。此時查看交換機的MAC地址表，表中僅有通信過的幾條MAC地址記錄，如圖3所示。

3.1Cloud的設(shè)置

為了讓KALI與ENSP中設(shè)備進行通信，需要對ENSP中的Cloud進行配置。首先在Cloud增加兩個端口，一個是UDP端口，一個是真機的環(huán)回端口，真機環(huán)回端口需要提前配置好。然后對兩個端口進行雙向通道映射配置，并增加到映射表中，Cloud設(shè)置效果如圖4所示。

3.2KALI的配置

KALI是一款專門為滿足專業(yè)滲透測試和安全審核的要求而設(shè)計用于滲透測試的Linux操作系統(tǒng)。攻擊者利用KALI向園區(qū)網(wǎng)發(fā)起MAC泛洪攻擊，要實現(xiàn)這一功能需要將KALI通過虛擬機橋接真機環(huán)回網(wǎng)卡，環(huán)回網(wǎng)卡橋接ENSP中的云，從而與ENSP進行通信。為實現(xiàn)測試，KALI需要配置與園區(qū)主機同一網(wǎng)段的IP地址，圖5為KALI進行IP地址的配置后，與網(wǎng)關(guān)進行通信測試效果。

3.3MAC泛洪模擬

在KALI中進行MAC泛洪滲透測試，需要在KALA中運行MACOF命令，MACOF是Dsniff套裝工具集的成員，它可使用隨機MAC地址泛洪交換機。當(dāng)在KALI運行MACOF命令時，它會向交換機發(fā)出大量的虛擬MAC地址，導(dǎo)致交換機的MAC地址表急劇增加致填滿，運行MACOF的效果如圖6所示，可以看出，KALI產(chǎn)生大量的虛假MAC地址。再次查看交換機中的MAC地址表，可以看到MAC地址表中記錄了大量從連接Cloud端口學(xué)習(xí)的地址記錄，如圖7所示。此時，園區(qū)網(wǎng)已不能正常通信。

4端口安全設(shè)計

為了防范MAC泛洪攻擊，需要在交換機可疑端口設(shè)置可連接的最大MAC地址數(shù)。對超出的限定最大數(shù)量的連接嘗試都會造成違規(guī)現(xiàn)象，交換機會丟棄該數(shù)據(jù)幀。因此，在本園區(qū)網(wǎng)中需要對交換機的G0/0/2進行端口安全的配置，配置信息為啟用端口安全功能，允許最大數(shù)量是5，當(dāng)出現(xiàn)違規(guī)現(xiàn)象時采取了限制處理類型，配置命令如圖8所示。通過命令配置，當(dāng)攻擊者再通過KALI對園區(qū)網(wǎng)進行MAC泛洪攻擊時，交換機會丟失數(shù)據(jù)幀并發(fā)出警告，從而保障園區(qū)網(wǎng)的安全。

5結(jié)論

本文在分析MAC泛洪攻擊原理基礎(chǔ)上，論述園區(qū)網(wǎng)可能存在安全危險，進而提出端口安全的解決方案。為驗證該方案的有效性，本文采用ENSP和KALI進行園區(qū)網(wǎng)的仿真攻防演練，攻防演練結(jié)果顯示，該方案防范效果顯著，使園區(qū)網(wǎng)的安全性得到提升，園區(qū)網(wǎng)的正常使用得到保障。

參考文獻

[1]仇虹,施俊宇等.淺析局域網(wǎng)內(nèi)ARP攻擊與防護[J].計算機與網(wǎng)絡(luò),2021,47(01).

[2]黃飛.基于仿真軟件模擬MAC泛洪攻擊與防御實驗綜述[J].電腦知識與技術(shù),2019,15(18).

[3]周川,應(yīng)海超.基于MAC認(rèn)證的局域網(wǎng)ARP攻擊、防范與追蹤[J].中國新通信,2019,21(03).

作者:龐國莉 王小英 單位:防災(zāi)科技學(xué)院