網(wǎng)絡(luò)攻防技術(shù)-MAC泛洪攻擊

項(xiàng)目八網(wǎng)絡(luò)設(shè)備攻擊與防范【項(xiàng)目概述】每個(gè)企業(yè)都有自己的局域網(wǎng)，在家庭里無線網(wǎng)絡(luò)也得到了普及，隨著局域網(wǎng)的廣泛使用，針對(duì)局域網(wǎng)的攻擊也經(jīng)常出現(xiàn)。這些攻擊通常來自網(wǎng)絡(luò)內(nèi)部，網(wǎng)絡(luò)管理員很容易忽視這些攻擊，并且基于網(wǎng)絡(luò)的硬件防火墻也不能阻止這些攻擊。用戶的計(jì)算機(jī)一般都是通過接入層的交換機(jī)接入到網(wǎng)絡(luò)，因此常見的局域網(wǎng)攻擊主要是針對(duì)接入層的網(wǎng)絡(luò)設(shè)備。本項(xiàng)目將介紹局域網(wǎng)中最主要的、最典型的攻擊措施和防范，包括MAC泛洪攻擊、DHCP欺騙、ARP欺騙以及這些攻擊的防范措施。在項(xiàng)目實(shí)施中以思科網(wǎng)絡(luò)設(shè)備為例，其他廠商的網(wǎng)絡(luò)設(shè)備可以查找相似的配置。【項(xiàng)目分析】網(wǎng)絡(luò)中，針對(duì)網(wǎng)絡(luò)設(shè)備的攻擊種類較多，包括MAC泛洪攻擊、DHCP欺騙、ARP欺騙、VLAN跳躍攻擊、VTP攻擊和WiFi密碼破解，攻擊者通過破壞、揭露、修改等操作，使設(shè)備無法正常運(yùn)行，相關(guān)軟件或服務(wù)失去功能，攻擊者在沒有得到授權(quán)的情況下偷取或訪問計(jì)算機(jī)中的數(shù)據(jù)或?qū)τ?jì)算機(jī)進(jìn)行破壞，造成合法用戶無法正常獲取網(wǎng)絡(luò)服務(wù)或信息安全遭到損壞。本項(xiàng)目通過以下內(nèi)容講述網(wǎng)絡(luò)設(shè)備的攻擊與防范技術(shù)：1.MAC泛洪攻擊。2.DHCP欺騙攻擊。3.ARP欺騙攻擊。

項(xiàng)目主要內(nèi)容：

任務(wù)一MAC泛洪攻擊任務(wù)二DHCP欺騙攻擊任務(wù)三ARP欺騙攻擊任務(wù)一MAC泛洪攻擊任務(wù)描述MAC泛洪攻擊會(huì)導(dǎo)致所有新進(jìn)入交換機(jī)的數(shù)據(jù)包會(huì)不經(jīng)過交換機(jī)處理直接廣播到所有的端口。然后攻擊者利用嗅探工具對(duì)網(wǎng)絡(luò)內(nèi)所有用戶的信息進(jìn)行捕獲，從而得到機(jī)密信息或者各種業(yè)務(wù)敏感信息。請(qǐng)模擬MAC泛洪攻擊過程，并針對(duì)性的布置防范措施。任務(wù)分析1.交換機(jī)工作原理。交換機(jī)維護(hù)著一個(gè)表，稱為MAC表。對(duì)于每個(gè)收到的幀，交換機(jī)都會(huì)將幀頭中的目的MAC地址與MAC表中的地址列表進(jìn)行比對(duì)。如果找到匹配項(xiàng)，表中與MAC地址配對(duì)的端口號(hào)將用作幀的發(fā)送端口。交換機(jī)初始化時(shí)MAC地址表如圖8-1所示。圖8-1交換機(jī)初始化時(shí)MAC地址表為空以太網(wǎng)交換機(jī)采用五種基本操作來實(shí)現(xiàn)其功能：獲取、過期/刷新、泛洪、選擇性轉(zhuǎn)發(fā)、過濾。當(dāng)每個(gè)幀進(jìn)入交換機(jī)時(shí)，交換機(jī)將會(huì)檢查源MAC地址，交換機(jī)將確定MAC地址表中是否已經(jīng)包含該MAC地址的條目。如果未包含，交換機(jī)將使用源MAC地址在MAC地址表中新建一個(gè)條目，將該地址與幀到達(dá)的端口進(jìn)行配對(duì)，這個(gè)過程稱為獲取。如圖8-2所示，0A主機(jī)發(fā)送幀到0C主機(jī)，交換機(jī)就獲取了一條MAC條目，即0A主機(jī)與Fa1端口相連，并將該條目寫入到MAC地址表中。圖8-2交換機(jī)獲取MAC地址條目通過自動(dòng)獲取方式獲取的MAC地址表?xiàng)l目具有時(shí)間戳，當(dāng)某個(gè)條目在MAC地址表中創(chuàng)建后，就會(huì)使用其時(shí)間戳作為起始值開始遞減計(jì)數(shù)。交換機(jī)下一次從相同端口接收同一計(jì)算機(jī)的幀時(shí)，將會(huì)刷新表中已有條目，時(shí)間戳重新遞減計(jì)數(shù)。當(dāng)值計(jì)數(shù)到0后，該MAC條目將被刪除，這個(gè)動(dòng)作稱為刷新。如果目的主機(jī)0C的MAC地址不在MAC地址表中，交換機(jī)就不知道往哪個(gè)端口發(fā)送幀，此時(shí)它會(huì)將幀發(fā)送到除接收端口以外的所有其他端口，即將幀從Fa3、Fa6、Fa8端口都轉(zhuǎn)發(fā)出去，這個(gè)過程稱為泛洪。選擇性轉(zhuǎn)發(fā)是檢查幀的目的MAC地址后將幀從適當(dāng)?shù)亩丝谵D(zhuǎn)發(fā)出去的過程，這是交換機(jī)的核心功能。當(dāng)計(jì)算機(jī)發(fā)送幀到交換機(jī)時(shí)，交換機(jī)會(huì)將幀的目的MAC地址與MAC地址表中的條目比對(duì)，然后將幀轉(zhuǎn)發(fā)到相應(yīng)的端口，該操作稱為選擇性轉(zhuǎn)發(fā)。如圖8-3所示，0C主機(jī)發(fā)送幀到0A主機(jī)時(shí)，MAC地址表中已經(jīng)有0A主機(jī)及其MAC地址條目，就會(huì)按照MAC地址表中記錄的端口Fa1進(jìn)行轉(zhuǎn)發(fā)，而對(duì)Fa3、Fa6、Fa8端口不發(fā)送幀。圖8-3交換機(jī)的選擇性轉(zhuǎn)發(fā)在某些情況下，幀不會(huì)被轉(zhuǎn)發(fā)，此過程稱為過濾。交換機(jī)收到數(shù)據(jù)幀后，執(zhí)行CRC校驗(yàn)，檢查通過后才轉(zhuǎn)發(fā)幀，對(duì)于沒有通過CRC檢查的幀將進(jìn)行丟棄。交換機(jī)通過對(duì)幀進(jìn)行過濾，用來阻擋發(fā)往來自選定MAC地址或特定接口的幀。2.MAC泛洪攻擊原理。正常情況下，交換機(jī)是通過逐步學(xué)習(xí)每個(gè)端口上連接的設(shè)備的MAC地址建立MAC地址表的，且MAC地址表?xiàng)l目具有數(shù)量限制，一般為4096或8192條。在MAC泛洪攻擊時(shí)，攻擊者使用網(wǎng)絡(luò)攻擊工具產(chǎn)生大量的幀，且這些幀的源MAC地址是虛構(gòu)的，不同的幀頭部中的源MAC地址不斷變化，在很短的時(shí)間內(nèi)填滿交換機(jī)的MAC地址表，直到交換機(jī)無法接受新的條目。當(dāng)MAC地址表中充滿無效的源MAC地址時(shí)，交換機(jī)開始將收到的所有幀都轉(zhuǎn)發(fā)到每一個(gè)端口（接收端口除外）。如圖8-4所示，交換機(jī)被泛洪攻擊后，無法獲取新的MAC地址條目，0A主機(jī)發(fā)送到0C主機(jī)的幀，由于不知道0C主機(jī)在哪個(gè)端口上，就會(huì)將幀從Fa3、Fa6、Fa8端口都發(fā)送出去，和MAC地址表為空時(shí)一樣。圖8-4交換機(jī)被MAC泛洪攻擊后轉(zhuǎn)發(fā)幀如果攻擊工具持續(xù)刷新交換機(jī)的MAC地址表?xiàng)l目，這些虛構(gòu)的條目就不會(huì)因?yàn)檫^期而被刪除，則交換機(jī)無法學(xué)習(xí)剛開機(jī)的計(jì)算機(jī)的MAC地址，或者M(jìn)AC條目因過期而被刪除的計(jì)算機(jī)的MAC地址，最終交換機(jī)的功能就像集線器一樣，攻擊者非常容易進(jìn)行網(wǎng)絡(luò)竊聽。任務(wù)實(shí)施1.部署GNS3的MAC攻擊環(huán)境。步驟1如圖8-5所示，為MAC泛洪攻擊實(shí)驗(yàn)拓?fù)?，如果有條件的話，可以使用真實(shí)交換機(jī)進(jìn)行實(shí)驗(yàn)。本書使用GNS3模擬思科交換機(jī)。網(wǎng)絡(luò)攻擊工具采用kali2020攻擊平臺(tái)的macof攻擊工具，kali2020在VMware中運(yùn)行。圖8-5MAC泛洪攻擊實(shí)驗(yàn)拓?fù)洳襟E2如項(xiàng)目一任務(wù)三所示部署GNS3環(huán)境，在GNS3中，部署云機(jī)連接物理主機(jī)，然后使用“本地連接”網(wǎng)卡連接三層交換機(jī)，如圖8-6所示。圖8-6GNS3模擬交換機(jī)步驟3雙擊三層交換機(jī)，進(jìn)入配置界面，查看交換機(jī)的MAC地址表，在初始狀態(tài)下交換機(jī)的MAC地址表為空，如圖8-7所示。圖8-7交換機(jī)的初始MAC地址表小貼士：GNS3默認(rèn)的console口配置終端為putty，如果計(jì)算機(jī)上安裝有SecureCRT等遠(yuǎn)程連接軟件，可以在“Preferences”—“General”—“Consoleapplications”—“Consolesettings”中配置為SecureCRT的安裝路徑即可。2.kali2020環(huán)境部署。步驟1在VMware中，將kali2020的網(wǎng)卡連接方式設(shè)置為“VMnet8”，然后在VMware工具欄中，打開“編輯”—“虛擬網(wǎng)絡(luò)編輯器”，使用DHCP服務(wù)為虛擬機(jī)分配IP地址，網(wǎng)絡(luò)地址范圍與物理主機(jī)的VMnet8網(wǎng)卡的IP地址在同一網(wǎng)段，這樣在kali2020獲得IP地址后，可以保持與物理主機(jī)連通，如圖8-8所示。圖8-8使用DHCP服務(wù)為虛擬機(jī)分配IP地址步驟2在kali2020中，打開網(wǎng)卡配置文件/etc/network/interfaces，將kali虛擬機(jī)的IP獲取方式設(shè)置為dhcp自動(dòng)獲取，如圖8-9所示。然后使用命令servicenetworkingrestart將網(wǎng)卡重啟。圖8-9設(shè)置kali虛擬機(jī)的IP獲取方式為dhcp步驟3在kali左上角第一個(gè)圖標(biāo)中，找到“AllApplications”—“FirefoxESR”，打開火狐瀏覽器，可以訪問，證明kali虛擬機(jī)連接外網(wǎng)成功，如圖8-10所示。圖8-10kali虛擬機(jī)連通外網(wǎng)步驟4由于kaliLinux的更新源是在國外的，在kali中下載軟件或者進(jìn)行更新非常慢，因此可以將更新源改為國內(nèi)的更新源，如阿里云、中科大、清華大學(xué)等，以提高下載速度。在kali中打開/etc/apt/sources.list文件，修改更新源如圖8-11所示。圖8-11修改kali更新源步驟5修改更新源后，在終端中使用命令apt-getupdate和apt-getupgrade分別更新軟件包的索引文件和更新軟件包，其中更新索引文件速度比較快，更新軟件包速度比較慢，約2個(gè)小時(shí)左右，部分過程分別如圖8-12和圖8-13所示。圖8-12更新軟件包的索引文件圖8-13更新軟件包步驟6由于kali2020中的macof命令行攻擊工具是Dsniff套裝工具集的成員，所以在kali2020中如果沒有macof命令，需要在終端中使用命令sudoaptinstalldsniff安裝dsniff，如圖8-14所示。圖8-14安裝dsniff3.MAC泛洪攻擊過程。

步驟1在kali2020終端中輸入macof命令，攻擊工具開始不停制造數(shù)據(jù)幀，如圖8-15所示。圖8-15在kali2020上進(jìn)行泛洪攻擊步驟2查看GNS3中交換機(jī)的MAC地址表，可見MAC地址表中已經(jīng)出現(xiàn)大量的MAC條目，并被填滿，導(dǎo)致無法繼續(xù)學(xué)習(xí)正常機(jī)器的MAC地址，MAC泛洪攻擊成功，如圖8-16所示。圖8-16在交換機(jī)上檢查攻擊效果4.MAC泛洪攻擊防范。MAC泛洪攻擊不僅會(huì)大大降低交換機(jī)的性能，使得交換機(jī)像集線器一樣工作，也很容易進(jìn)一步實(shí)現(xiàn)網(wǎng)絡(luò)竊聽，給網(wǎng)絡(luò)帶來安全問題。因此有必要對(duì)MAC泛洪攻擊進(jìn)行防范。MAC泛洪攻擊的防范通常是在交換機(jī)上實(shí)現(xiàn)的，加強(qiáng)交換機(jī)的端口安全性功能，如限制所允許的MAC地址的數(shù)量、配置安全MAC地址、設(shè)置安全違規(guī)規(guī)則等。

步驟1對(duì)于連接設(shè)備的交換機(jī)接口，啟用端口安全性功能，如圖8-17所示。圖8-17啟用端口安全性功能步驟2設(shè)置交換機(jī)接口只能獲取一條MAC記錄，限制該接口允許的MAC地址，如圖8-18所示。圖8-18限制交換機(jī)接口允許的MAC地址步驟3管理員可以配置發(fā)生安全違規(guī)后交換機(jī)將采取的動(dòng)作：關(guān)閉接口（shutdown）、限制接口（restrict）、保護(hù)接口（