我们已经看到，Internet的快速发展引起了对网络安全性的主要关注。已经开发了几种方法来在网络的应用，传输或网络层中提供安全性。

许多组织在更高的OSI层(从应用程序层一直到IP层)都采用了安全措施。但是，数据链路层通常是一个无人值守的领域。这可以使网络遭受各种攻击和破坏。

在本章中，我们将讨论数据链路层的安全问题以及解决方法。我们的讨论将集中在以太网上。

数据链路层中的安全问题

以太网中的数据链路层极易受到多种攻击。最常见的攻击是-

ARP欺骗

地址解析协议(ARP)是用于将IP地址映射到本地以太网中可识别的物理机器地址的协议。当主机需要查找IP地址的物理媒体访问控制(MAC)地址时，它会广播ARP请求。拥有IP地址的另一台主机会发送ARP应答消息及其物理地址。

网络上的每个主机都维护一个表，称为“ ARP缓存”。该表包含网络上其他主机的IP地址和关联的MAC地址。

由于ARP是无状态协议，因此每次主机从另一台主机获得ARP答复时，即使它没有发送ARP请求，它也会接受该ARP条目并更新其ARP缓存。使用称为ARP中毒或ARP欺骗的伪造条目修改目标主机ARP缓存的过程。

ARP欺骗可能使攻击者伪装成合法主机，然后在网络上拦截数据帧，对其进行修改或阻止它们。该攻击通常用于发起其他攻击，例如中间人，会话劫持或拒绝服务。

MAC泛洪

以太网中的每个交换机都有一个内容可寻址内存(CAM)表，该表存储MAC地址，交换机端口号和其他信息。该表的大小固定。在MAC泛洪攻击中，攻击者使用伪造的ARP数据包向MAC泛洪交换机，直到CAM表已满。

CAM泛洪后，交换机将进入集线器模式，并开始广播没有CAM条目的流量。现在，位于同一网络上的攻击者会收到仅发往特定主机的所有帧。

偷港

以太网交换机具有学习MAC地址并将其绑定到端口的能力。当交换机从具有MAC源地址的端口接收流量时，它将绑定端口号和该MAC地址。

端口窃取攻击利用了交换机的这种功能。攻击者使用目标主机的MAC地址作为源地址，用伪造的ARP帧向交换机泛洪。交换机被认为是目标主机在端口上，而攻击者实际上已连接在该端口上。

现在，所有用于目标主机的数据帧都发送到攻击者的交换机端口，而不是目标主机。因此，攻击者现在收到实际上仅发往目标主机的所有帧。

DHCP攻击

动态主机配置协议(DHCP)不是数据链路协议，但DHCP攻击的解决方案对于阻止第2层攻击也很有用。

DHCP用于在特定时间段内为计算机动态分配IP地址。可以通过在网络中引起拒绝服务或模拟DHCP服务器来攻击DHCP服务器。在DHCP饥饿攻击中，攻击者请求所有可用的DHCP地址。这导致拒绝向网络上的合法主机提供服务。

在DHCP欺骗攻击中，攻击者可以部署恶意DHCP服务器来为客户端提供地址。在这里，攻击者可以为主机提供带有DHCP响应的恶意默认网关。现在，来自主机的数据帧被引导到胭脂网关，攻击者可以在其中攻击所有程序包并回复实际网关或将其丢弃。

其他攻击

除了上述流行的攻击之外，还有其他攻击，例如基于第2层的广播，拒绝服务(DoS)，MAC克隆。

在广播攻击中，攻击者将欺骗的ARP答复发送到网络上的主机。这些ARP答复将默认网关的MAC地址设置为广播地址。这将导致所有出站流量都得到广播，从而使攻击者可以坐在同一以太网上进行嗅探。这种类型的攻击也会影响网络容量。

在基于第2层的DoS攻击中，攻击者使用不存在的MAC地址更新网络中主机的ARP缓存。网络中每个网络接口卡的MAC地址应该是全局唯一的。但是，可以通过启用MAC克隆轻松更改它。攻击者通过DoS攻击禁用目标主机，然后使用目标主机的IP和MAC地址。

攻击者执行攻击以发起更高级别的攻击，从而危害在网络上传播的信息的安全性。他可以截取所有帧，并且能够读取帧数据。攻击者可以充当中间人并修改数据，或者只是丢弃导致DoS的帧。他可以劫持目标主机和其他计算机之间正在进行的会话，并完全传达错误的信息。

保护以太网LAN

在上一节中，我们讨论了数据链路层的一些众所周知的攻击。已经开发出几种方法来减轻这些类型的攻击。一些重要的方法是-

港口保安

它是智能以太网交换机上可用的第2层安全功能。它涉及将交换机的物理端口绑定到特定的MAC地址。只需将主机连接到可用的交换机端口之一，任何人都可以访问不安全的网络。但是，端口安全性可以确保第2层访问的安全。

默认情况下，端口安全性将入口MAC地址数限制为一。但是，可以允许多个授权主机通过配置从该端口连接。可以静态配置每个接口允许的MAC地址。一种方便的替代方法是启用“粘性” MAC地址学习，其中将通过交换机端口动态学习MAC地址，直到达到端口的最大限制。

为了确保安全性，可以通过许多不同的方式来控制对端口上指定MAC地址的更改或端口上多余地址的反应。可以将端口配置为关闭或阻止超过指定限制的MAC地址。建议的最佳做法是关闭端口。端口安全性可防止MAC泛洪和克隆攻击。

DHCP监听

我们已经看到，DHCP欺骗是一种攻击，攻击者在授权的DHCP响应到达主机之前，侦听网络上主机的DHCP请求，并用伪造的DHCP响应答复它们。

DHCP监听可以防止此类攻击。 DHCP监听是一种交换功能。可以将交换机配置为确定哪些交换机端口可以响应DHCP请求。交换机端口被标识为可信或不可信端口。

仅将连接到授权DHCP服务器的端口配置为“受信任”，并允许发送所有类型的DHCP消息。交换机上的所有其他端口均不受信任，并且只能发送DHCP请求。如果在不受信任的端口上看到DHCP响应，则该端口已关闭。

防止ARP欺骗

端口安全性方法可以防止MAC泛洪和克隆攻击。但是，它不能防止ARP欺骗。端口安全性会验证帧头中的MAC源地址，但是ARP帧在数据有效载荷中包含一个额外的MAC源字段，主机使用此字段填充其ARP缓存。下面列出了一些防止ARP欺骗的方法。

• 静态ARP-建议采取的措施之一是在主机ARP表中使用静态ARP条目。静态ARP条目是ARP缓存中的永久条目。但是，这种方法是不切实际的。而且，它不允许使用某些动态主机配置协议(DHCP)，因为静态IP需要用于第2层网络中的所有主机。

• 入侵检测系统-防御方法是利用配置为检测大量ARP流量的入侵检测系统(IDS)。但是，IDS易于报告误报。

• 动态ARP检查-这种防止ARP欺骗的方法类似于DHCP侦听。它使用受信任和不受信任的端口。仅在受信任的端口上允许ARP答复进入交换机接口。如果ARP答复到达不受信任端口上的交换机，则将ARP答复数据包的内容与DHCP绑定表进行比较，以验证其准确性。如果ARP回复无效，则会丢弃ARP回复，并禁用端口。

保护生成树协议

生成树协议(STP)是第2层链路管理协议。 STP的主要目的是确保网络具有冗余路径时不存在数据流环路。通常，构建冗余路径可为网络提供可靠性。但是它们会形成致命的循环，从而导致网络中的DoS攻击。

生成树协议

为了提供所需的路径冗余并避免出现环路情况，STP定义了一个树，该树跨越网络中的所有交换机。 STP强制某些冗余数据链路进入阻塞状态，并使其他链路保持转发状态。

如果处于转发状态的链路发生故障，则STP将通过激活适当的备用路径来重新配置网络并重新定义数据路径。 STP在网络中部署的网桥和交换机上运行。所有交换机都交换信息，以选择根交换机以及网络的后续配置。桥接协议数据单元(BPDU)携带此信息。通过交换BPDU，网络中的所有交换机都选择根网桥/交换机，该根网桥/交换机成为网络中的焦点并控制被阻塞和转发的链路。

对STP的攻击

• 接管根桥。它是第2层上最具破坏性的攻击类型之一。默认情况下，LAN交换机以面值接收从相邻交换机发送的所有BPDU。顺便说一句，STP是可信任的，无状态的，并且不提供任何可靠的身份验证机制。

• 一旦进入根攻击模式，攻击交换机将每2秒钟发送一次BPDU，其优先级与当前根网桥相同，但MAC地址的数值略低，从而确保其在根网桥选举过程中获胜。攻击者交换机可以通过未正确确认引起BPDU泛洪的其他交换机或通过使交换机一次声称自己是root并快速连续收回来使交换机过度处理BPDU来发起DoS攻击。

• 使用配置BPDU泛洪进行DoS。攻击交换机不会尝试接管root用户。相反，它每秒生成大量BPDU，导致交换机上的CPU使用率很高。

防止对STP的攻击

幸运的是，根源接管攻击的对策很简单明了。两项功能有助于克服根源接管攻击。

• 根防护-根防护限制了可以协商根网桥的交换机端口。如果“启用了root保护功能”的端口接收的BPDU优于当前根网桥正在发送的消息，则该端口将移动到根不一致的状态，并且不会在该端口上转发任何数据流量。最好将根防护部署到连接到交换机的端口上，而这些交换机不应接替根桥。

• BPDU保护器-BPDU保护器用于保护网络免受访问端口上收到BPDU可能引起的问题的影响。这些是不应接收的端口。 BPDU保护罩最好部署在面向用户的端口上，以防止攻击者插入恶意交换机。

保护虚拟局域网

在局域网中，有时将虚拟局域网(VLAN)配置为一种安全措施，以限制易受第2层攻击的主机数量。 VLAN创建了网络边界，广播(ARP，DHCP)流量无法跨越这些边界。

虚拟局域网

可以将采用支持VLAN功能的交换机的网络配置为在单个物理LAN基础结构上定义多个VLAN。

VLAN的常见形式是基于端口的VLAN。在此VLAN结构中，使用交换机管理软件将交换机端口分组为VLAN。因此，单个物理交换机可以充当多个虚拟交换机。

使用VLAN可提供流量隔离。它将大型广播第2层网络划分为较小的逻辑第2层网络，从而减小了ARP / DHCP欺骗等攻击范围。一个VLAN的数据帧只能在属于同一VLAN的端口之间来回移动。两个VLAN之间的帧转发是通过路由完成的。

VLAN通常跨越多个交换机，如上图所示。中继端口之间的链接承载在多个物理交换机上定义的所有VLAN的帧。因此，在交换机之间转发的VLAN帧不能是简单的IEEE 802.1以太网格式的帧。由于这些帧在同一物理链路上移动，因此它们现在需要携带VLAN ID信息。 IEEE 802.1Q协议向中继端口之间转发的普通以太网帧添加/删除其他报头字段。

当两个IP地址字段之后的字段为0x8100(> 1500)时，该帧将被标识为802.1Q帧。 2字节标签协议标识符(TPI)的值是81-00。 TCI字段由3位优先级信息，1位丢弃合格指示符(DEI)和12位VLAN ID组成。此3位优先级字段和DEI字段与VLAN不相关。优先级位用于提供服务质量。

当帧不属于任何VLAN时，将存在一个默认VLAN ID，该帧将与该VLAN关联。

VLAN攻击及防范措施

在VLAN跳跃攻击中，一个VLAN上的攻击者可以访问通常无法访问的其他VLAN上的流量。当从一个VLAN到另一个VLAN进行通信时，它将绕过第3层设备(路由器)，从而破坏了VLAN创建的目的。

VLAN跳变可以通过两种方法执行：切换欺骗和双重标记。

开关欺骗

当攻击者连接到的交换机端口处于“ trunking”模式或“ auto-negotiation”模式时，就会发生这种情况。攻击者充当交换机，并将带有用于目标远程VLAN的VLAN标记的802.1Q封装标头添加到其传出帧中。接收交换机将那些帧解释为来自其他802.1Q交换机，并将这些帧转发到目标VLAN。

防止交换机欺骗攻击的两种预防措施是将边缘端口设置为静态访问模式，并在所有端口上禁用自动协商。

双重标记

在这种攻击中，连接到交换机本机VLAN端口的攻击者在帧头中添加了两个VLAN标签。第一个标签是本地VLAN，第二个标签是目标VLAN。当第一台交换机收到攻击者的帧时，由于本地VLAN的帧在中继端口上被转发而没有标签，因此它将删除第一个标签。

• 由于第二个标签从未被第一个交换机删除，因此接收交换机将其余标签标识为VLAN目标，并将帧转发到该VLAN中的目标主机。双重标记攻击利用了本地VLAN的概念。由于VLAN 1是接入端口的默认VLAN和中继线上的默认本机VLAN，因此这是一个简单的目标。

• 预防措施之一是从默认VLAN 1中删除所有访问端口，因为攻击者的端口必须与交换机的本地VLAN的端口匹配。第二种预防措施是将所有交换机中继上的本机VLAN分配给某个未使用的VLAN，例如VLAN ID999。最后，所有交换机都配置为对中继端口上的本机VLAN帧进行显式标记。

保护无线局域网

无线局域网是在有限地理区域内的无线节点的网络，例如办公楼或学校校园。节点能够进行无线电通信。

无线网络

无线局域网通常实现为现有有线局域网的扩展，以通过设备移动性提供网络访问。实施最广泛的无线局域网技术基于IEEE 802.11标准及其修订版。

无线局域网的两个主要组成部分是-

• 接入点(AP) -这些是无线网络的基站。它们发送和接收无线电频率以与无线客户端进行通信。

• 无线客户端-这些是配备有无线网络接口卡(WNIC)的计算设备。笔记本电脑，IP电话，PDA是无线客户端的典型示例。

许多组织已经实现了无线局域网。这些网络正在惊人地增长。因此，了解无线局域网中的威胁并学习通用的预防措施以确保网络安全至关重要。

无线局域网中的攻击

在无线局域网上进行的典型攻击是-

• 窃听-攻击者被动监视无线网络中的数据，包括身份验证凭据。

• 伪装-攻击者冒充授权用户并获得无线网络的访问权限和特权。

• 流量分析-攻击者监视通过无线网络的传输，以识别通信模式和参与者。

• 拒绝服务-攻击者阻止或限制无线局域网或网络设备的正常使用或管理。

• 消息修改/重播-攻击者通过删除，添加，更改或重新排序来更改或回复通过无线网络发送的合法消息。

无线局域网中的安全措施

安全措施提供了抵御攻击和管理网络风险的手段。这些是网络管理，操作和技术措施。我们在下面描述为确保通过无线局域网传输的数据的机密性，可用性和完整性而采取的技术措施。

在无线局域网中，应将所有AP配置为通过加密和客户端身份验证提供安全性。在无线局域网中用于提供安全性的方案类型如下：

有线等效保密(WEP)

它是802.11标准中内置的加密算法，用于保护无线网络。 WEP加密使用具有40位/ 104位密钥和24位初始化向量的RC4(Rivest Cipher 4)流密码。它还可以提供端点身份验证。

但是，它是最弱的加密安全机制，因为已经在WEP加密中发现了许多缺陷。 WEP也没有身份验证协议。因此，不强烈建议使用WEP。

802.11i协议

在该协议中，可能有许多更强大的加密形式。它已被开发用来替代弱WEP方案。它提供了密钥分发机制。每个站支持一个密钥，并且不对所有站点使用相同的密钥。它使用与访问点分开的身份验证服务器。

IEEE802.11i要求使用带有CBC-MAC协议(CCMP)的名为计数器模式的协议。 CCMP提供所传输数据的机密性和完整性以及发送者的真实性。它基于高级加密标准(AES)块密码。

IEEE802.11i协议具有四个操作阶段。

• STA和AP通信并发现相互的安全功能，例如支持的算法。

• STA和AS相互认证，并共同生成主密钥(MK)。 AP充当“通过”。

• STA导出成对主密钥(PMK)。 AS导出相同的PMK并发送给AP。

• STA，AP使用PMK导出临时密钥(TK)，以用于消息加密和数据完整性。

其他标准

• Wi-Fi保护访问(WPA)-该协议实现了IEEE 802.11i标准的大部分。它存在于IEEE 802.11i之前，并使用RC4算法进行加密。它具有两种操作模式。在“企业”模式下，WPA使用身份验证协议802.1x与身份验证服务器进行通信，因此预主密钥(PMK)特定于客户端。在“个人”模式下，它不使用802.1x，PMK被替换为预共享密钥，用于小型办公室家庭办公室(SOHO)无线LAN环境。

  WPA还包括声音消息完整性检查，以代替WEP标准使用的循环冗余校验(CRC)。

• WPA2 -WPA2取代了WPA。 WPA2实现了IEEE 802.11i方案的所有强制性元素。特别是，它包括对CCMP的强制支持，CCMP是一种具有强大安全性的基于AES的加密模式。因此，就攻击而言，WPA2 / IEEE802.11i提供了适当的解决方案来防御WEP弱点，中间人攻击，伪造的伪造数据包和重播攻击。但是，DoS攻击无法正确解决，并且根本没有可靠的协议来阻止此类攻击，因为此类攻击的目标是物理层，就像干扰频带一样。

概要

在本章中，我们假设运行IP的交换式以太网网络考虑了攻击和缓解技术。如果您的网络未使用以太网作为第2层协议，则其中某些攻击可能不适用，但这种网络很容易遭受不同类型的攻击。

安全仅与最薄弱的环节一样强大。在网络方面，第二层可能是一个非常薄弱的环节。本章中提到的第2层安全措施对于保护网络免受多种类型的攻击大有帮助。