二层攻击介绍以及防范方法.pdf

以上所提到的攻击和欺骗行为主要来自网络的第二层。 在网络实际环境中，其来源可概括为两个途径:人为实施，病毒或 蠕虫。 m 人为实施通常是指使用一些黑客的工具对网络进行扫描和嗅探，获 取管理帐户和相关密码，在网络上中安插木马，从而进行进一步窃 o 取机密文件。攻击和欺骗过程往往比较隐蔽和安静，但对于信息安 全要求高的企业危害是极大的。木马、蠕虫病毒的攻击不仅仅是攻 击和欺骗，同时还会带来网络流量加大、设备CPU利用率过高、二 c 层生成树环路、网络瘫痪等现象。 0. 网络第二层的攻击是网络安全攻击者最容易实施，也是最不容 1 易被发现的安全威胁，它的目标是让网络失效或者通过获取诸如密 0 码这样的敏感信息而危及网络用户的安全。因为任何一个合法用户 都能获取一个以太网端口的访问权限，这些用户都有可能成为黑 h 客，同时由于设计OSI模型的时候，允许不同通信层在相互不了解 情况下也能进行工作，所以第二层的安全就变得至关重要。如果这 h 一层受到黑客的攻击，网络安全将受到严重威胁，而且其他层之间 . 的通信还会继续进行，同时任何用户都不会感觉到攻击已经危及应 用层的信息安全。 s 所以，仅仅基于认证(如IEEE 802.1x)和访问控制列表(ACL， b Access Control Lists) 的安全措施是无法防止本文中提到的来自 网络第二层的安全攻击。一个经过认证的用户仍然可以有恶意，并 b 可以很容易地执行本文提到的所有攻击。目前这类攻击和欺骗工具 已经非常成熟和易用。 这些攻击都来自于网络的第二层，主要包括以下几种: MAC地址泛洪攻击 DHCP服务器欺骗攻击 更多资源请关注鸿鹄论坛： ARP欺骗 IP/MAC地址欺骗 m Cisco Catalyst 智能交换系列的创新特性针对这类攻击提供 了全面的解决方案，将发生在网络第二层的攻击阻止在通往内部网 的第一入口处，主要基于下面的几个关键的技术。 o Port Security c . DHCP Snooping 0 1 Dynamic ARP Inspection (DAI) 0 IP Source Guard h 下面主要针对目前这些非常典型的二层攻击和欺骗说明如何 在思科交换机上组合运用和部署上述技术，从而防止在交换环境中 h 的“ 中间人”攻击、MAC/CAM攻击、DHCP攻击、地址欺骗等，更 . 具意义的是通过上面技术的部署可以简化地址管理，直接跟踪用户 IP和对应的交换机端口，防止IP地址冲突。同时对于大多数具有