端口安全在園區網絡安全中應用

前言：本站為你精心整理了端口安全在園區網絡安全中應用范文，希望能為你的創作提供參考價值，我們的客服老師可以幫助你提供個性化的參考范文，歡迎咨詢。

摘要：園區網的安全是園區日常工作的重要保障。園區網的安全防護工作離不開網絡設備的安全配置，而端口安全作為一項重要的安全防護措施必不可少。本文闡述MAC泛洪攻擊的工作原理以及其對園區網正常工作造成的重大影響，提出了交換機端口安全的解決方案。通過ENSP和KALI進行攻防模擬演練，從而驗證端口安全解決方案的有效性，該方案在園區網的應用中效果良好。

關鍵詞：端口安全；ENSP；MAC泛洪；KALI

近年來，許多園區網都出現MAC地址泛洪攻擊現象，給園區網的正常使用造成很大影響，導致大量用戶不能正常訪問網絡。因此，防范MAC泛洪攻擊對園區網安全技術人員具有十分重要的意義。

1MAC泛洪原理

交換機轉發數據幀的依據是通過自學習算法建立的MAC表。當交換機收到數據幀的時候，查看MAC地址表，看有無與源MAC地址相匹配的項，如沒有，則登記源MAC及接收數據的接口；如有，則更新，接著根據MAC地址表中有無數據幀的目的MAC對數據幀的處理，如有，且目的地址與對應端口與接收端口不同，則從對應端口轉發出去，否則丟棄；如沒有，則從接收端口以外的其他所有端口轉發。MAC泛洪則是攻擊者利用交換機的工作特點，向交換機發送大量的虛假MAC地址，交換機則不斷的學習虛假MAC地址，很快MAC表就會被充滿，就沒法繼續學習地址，這樣造成正常的主機的MAC地址在經過老化之后，就無法再添加到MAC地址表中，導致之后發送的單播數據幀都變成了廣播。大量的廣播降低了交換機的性能，造成交換機負載過大、網絡緩慢和丟包甚至癱瘓。

2端口安全技術

端口安全功能是通過數據幀的源MAC地址來限定數據幀是否可以進入交換機的端口，使能端口安全功能的端口稱為安全端口。可以通過靜態設置特定的MAC地址或者動態學習限定允許最大數量的MAC地址來控制數據幀是否可以進入端口。只有源MAC地址為端口安全地址表中配置或者學習到的MAC地址個數沒有超過限定數的數據幀才可以進入交換機通信。任何通過未知MAC地址或超過最大數量MAC而進行連接的嘗試都會導致安全違規事件，數據幀會被丟棄。端口安全有三種違規處理方法：（1）保護：當新計算機接入時，如果該端口的MAC條目超過最大數量，則這個新的計算機將無法接入，交換機也不發送警告信息。（2）限制：當新計算機接入時，如果該端口的MAC條目超過最大數量，則這個新的計算機無法接入，并且交換機將發送警告信息。（3）關閉：當新計算機接入時，如果該端口的MAC條目超過最大數量，則該端口將會被關閉，則這個新的計算機和原有的計算機都無法接入網絡。

3園區網的應用場景

假設某一園區網通過路由器與Internet通信，園區網各種設備通過交換機連接，園區拓撲如圖1所示，其中Cloud表示攻擊者所處的位置。在ENSP環境下，園區網中的主機通信是正常的，即所有主機都能相互訪問并能訪問網關，訪問效果測試如圖2所示。此時查看交換機的MAC地址表，表中僅有通信過的幾條MAC地址記錄，如圖3所示。

3.1Cloud的設置

為了讓KALI與ENSP中設備進行通信，需要對ENSP中的Cloud進行配置。首先在Cloud增加兩個端口，一個是UDP端口，一個是真機的環回端口，真機環回端口需要提前配置好。然后對兩個端口進行雙向通道映射配置，并增加到映射表中，Cloud設置效果如圖4所示。

3.2KALI的配置

KALI是一款專門為滿足專業滲透測試和安全審核的要求而設計用于滲透測試的Linux操作系統。攻擊者利用KALI向園區網發起MAC泛洪攻擊，要實現這一功能需要將KALI通過虛擬機橋接真機環回網卡，環回網卡橋接ENSP中的云，從而與ENSP進行通信。為實現測試，KALI需要配置與園區主機同一網段的IP地址，圖5為KALI進行IP地址的配置后，與網關進行通信測試效果。

3.3MAC泛洪模擬

在KALI中進行MAC泛洪滲透測試，需要在KALA中運行MACOF命令，MACOF是Dsniff套裝工具集的成員，它可使用隨機MAC地址泛洪交換機。當在KALI運行MACOF命令時，它會向交換機發出大量的虛擬MAC地址，導致交換機的MAC地址表急劇增加致填滿，運行MACOF的效果如圖6所示，可以看出，KALI產生大量的虛假MAC地址。再次查看交換機中的MAC地址表，可以看到MAC地址表中記錄了大量從連接Cloud端口學習的地址記錄，如圖7所示。此時，園區網已不能正常通信。

4端口安全設計

為了防范MAC泛洪攻擊，需要在交換機可疑端口設置可連接的最大MAC地址數。對超出的限定最大數量的連接嘗試都會造成違規現象，交換機會丟棄該數據幀。因此，在本園區網中需要對交換機的G0/0/2進行端口安全的配置，配置信息為啟用端口安全功能，允許最大數量是5，當出現違規現象時采取了限制處理類型，配置命令如圖8所示。通過命令配置，當攻擊者再通過KALI對園區網進行MAC泛洪攻擊時，交換機會丟失數據幀并發出警告，從而保障園區網的安全。

5結論

本文在分析MAC泛洪攻擊原理基礎上，論述園區網可能存在安全危險，進而提出端口安全的解決方案。為驗證該方案的有效性，本文采用ENSP和KALI進行園區網的仿真攻防演練，攻防演練結果顯示，該方案防范效果顯著，使園區網的安全性得到提升，園區網的正常使用得到保障。

參考文獻

[1]仇虹,施俊宇等.淺析局域網內ARP攻擊與防護[J].計算機與網絡,2021,47(01).

[2]黃飛.基于仿真軟件模擬MAC泛洪攻擊與防御實驗綜述[J].電腦知識與技術,2019,15(18).

[3]周川,應海超.基于MAC認證的局域網ARP攻擊、防范與追蹤[J].中國新通信,2019,21(03).

作者:龐國莉 王小英 單位:防災科技學院