课程设计任务书题目：网络安全技术分析与安全方案设计小组成员：姓名：刘锡淼学号：540907040127负责内容：统筹协作和运输层安全分析与解决方案姓名：杨大为学号：540907040144负责内容：应用层安全分析与解决方案姓名：余飞学号：540907040145负责内容：网络层安全分析与解决方案姓名：周恺学号：540907040156负责内容：物理层安全分析与解决方案姓名：赵伟学号：540907040153负责内容：数据链路层安全分析与解决方案基本要求：⏹设计网络安全技术实现方案。

选择合适的安全协议、安全技术、安全设备，设计安全组网方案。

⏹按5人左右组合成一个小组，集中讨论，提出各小组的实现方案，总结并写出报告。

设计目的：⏹分析网络各种安全技术和安全设备⏹设计网络安全的方案计算机网络安全技术内容:⏹保密性⏹安全协议的设计⏹访问控制网络安全分析类别:⏹物理层安全分析及解决方案⏹数据链路层安全分析及解决方案⏹网络层安全分析及解决方案⏹运输层安全分析及解决方案⏹应用层安全分析及解决方案设计内容：数据链路层与网络安全通信的每一层中都有自己独特的安全问题。

数据链路层（第二协议层）的通信连接就安全而言，是较为薄弱的环节。

网络安全的问题应该在多个协议层针对不同的弱点进行解决。

在本部分中，我将集中讨论与有线局域网相关的安全问题。

在第二协议层的通信中，交换机是关键的部件，它们也用于第三协议层的通信。

对于相同的第三协议层的许多攻击和许多独特的网络攻击，它们和路由器都会很敏感，这些攻击包括：内容寻址存储器（CAM）表格淹没：交换机中的CAM 表格包含了诸如在指定交换机的物理端口所提供的MAC 地址和相关的VLAN 参数之类的信息。

一个典型的网络侵入者会向该交换机提供大量的无效MAC 源地址，直到CAM 表格被添满。

当这种情况发生的时候，交换机会将传输进来的信息向所有的端口发送，因为这时交换机不能够从CAM 表格中查找出特定的MAC 地址的端口号。

CAM 表格淹没只会导致交换机在本地VLAN 范围内到处发送信息，所以侵入者只能够看到自己所连接到的本地VLAN 中的信息。

VLAN 中继：VLAN 中继是一种网络攻击，由一终端系统发出以位于不同VLAN 上的系统为目标地址的数据包，而该系统不可以采用常规的方法被连接。

该信息被附加上不同于该终端系统所属网络VLAN ID 的标签。

或者发出攻击的系统伪装成交换机并对中继进行处理，以便于攻击者能够收发其它VLAN 之间的通信。

操纵生成树协议：生成树协议可用于交换网络中以防止在以太网拓朴结构中产生桥接循环。

通过攻击生成树协议，网络攻击者希望将自己的系统伪装成该拓朴结构中的根网桥。

要达到此目的，网络攻击者需要向外广播生成树协议配置/拓朴结构改变网桥协议数据单元（BPDU），企图迫使生成树进行重新计算。

网络攻击者系统发出的BPDU 声称发出攻击的网桥优先权较低。

如果获得成功，该网络攻击者能够获得各种各样的数据帧。

媒体存取控制地址（MAC）欺骗：在进行MAC 欺骗攻击的过程中，已知某其它主机的MAC 地址会被用来使目标交换机向攻击者转发以该主机为目的地址的数据帧。

通过发送带有该主机以太网源地址的单个数据帧的办法，网络攻击者改写了CAM 表格中的条目，使得交换机将以该主机为目的地址的数据包转发给该网络攻击者。

除非该主机向外发送信息，否则它不会收到任何信息。

当该主机向外发送信息的时候，CAM 表中对应的条目会被再次改写，以便它能恢复到原始的端口。

地址解析协议（ARP）攻击：ARP 协议的作用是在处于同一个子网中的主机所构成的局域网部分中将IP 地址映射到MAC 地址。

当有人在未获得授权时就企图更改MAC 和IP 地址的ARP 表格中的信息时，就发生了ARP 攻击。

通过这种方式，黑客们可以伪造MAC 或IP 地址，以便实施如下的两种攻击：服务拒绝和中间人攻击。

专用VLAN：专用VLAN 通过限制VLAN 中能够与同VLAN 中其它端口进行通信的端口的方式进行工作。

VLAN 中的孤立端口只能和混合端口进行通信。

混合端口能够和任何端口进行通信。

能够绕过专用VLAN 安全措施的攻击的实现要使用绕过专用VLAN 访问限制的代理。

DHCP 耗竭：DHCP 耗竭的攻击通过利用伪造的MAC 地址来广播DHCP 请求的方式来进行。

利用诸如gobbler 之类的攻击工具就可以很容易地造成这种情况。

如果所发出的请求足够多的话，网络攻击者就可以在一段时间内耗竭向DHCP 服务器所提供的地址空间。

这是一种比较简单的资源耗竭的攻击手段，就像SYN 泛滥一样。

然后网络攻击者可以在自己的系统中建立起虚假的DHCP 服务器来对网络上客户发出的新DHCP 请求作出反应。

降低局域网安全风险在交换机上配置端口安全选项可以防止CAM 表淹没攻击。

该选择项要么可以提供特定交换机端口的MAC 地址说明，要么可以提供一个交换机端口可以习得的MAC 地址的数目方面的说明。

当无效的MAC 地址在该端口被检测出来之后，该交换机要么可以阻止所提供的MAC 地址，要么可以关闭该端口。

对VLAN 的设置稍作几处改动就可以防止VLAN 中继攻击。

这其中最大的要点在于所有中继端口上都要使用专门的VLAN ID。

同时也要禁用所有使用不到的交换机端口并将它们安排在使用不到的VLAN 中。

通过明确的办法，关闭掉所有用户端口上的DTP，这样就可以将所有端口设置成非中继模式。

要防止操纵生成树协议的攻击，需要使用根目录保护和BPDU 保护加强命令来保持网络中主网桥的位置不发生改变，同时也可以强化生成树协议的域边界。

根目录保护功能可提供保持主网桥位置不变的方法。

生成树协议BPDU 保护使得网络设计者能够保持有源网络拓朴结构的可预测性。

尽管BPDU 保护也许看起来是没有必要的，因为管理员可以将网络优先权调至0，但仍然不能保证它将被选做主网桥，因为可能存在一个优先权为0但ID却更低的网桥。

使用在面向用户的端口中，BPDU 保护能够发挥出最佳的用途，能够防止攻击者利用伪造交换机进行网络扩展。

使用端口安全命令可以防止MAC 欺骗攻击。

端口安全命令能够提供指定系统MAC 地址连接到特定端口的功能。

该命令在端口的安全遭到破坏时，还能够提供指定需要采取何种措施的能力。

然而，如同防止CAM 表淹没攻击一样，在每一个端口上都要指定一个MAC 地址是一种难办的解决方案。

在界面设置菜单中选择计时的功能，并设定一个条目在ARP 缓存中可以持续的时长，能够达到防止ARP 欺骗的目的。

对路由器端口访问控制列表（ACL）进行设置可以防止专用VLAN 攻击。

虚拟的ACL 还可以用于消除专用VLAN 攻击的影响。

通过限制交换机端口的MAC 地址的数目，防止CAM 表淹没的技术也可以防止DHCP 耗竭。

随着RFC 3118，DHCP 消息验证的执行，DHCP 耗竭攻击将会变得越来越困难。

另外，IEEE802.1X 还能够在数据链路层对基本的网络访问进行监测，它本身是一种在有线网络和无线网络中传送可扩展验证协议（EAP）架构的标准。

在未完成验证的情况下801.1X 就拒绝对网络的访问，进而可以防止对网络基础设备实施的，并依赖基本IP 连接的多种攻击。

802.1X 的初始编写目标是用于拔号连接和远程访问网络中的点对点协议（PPP），它现在支持在局域网的环境中使用EAP，包括无线局域网。

针对ARP欺骗攻击的防范方法ARP缓存表中的记录既可以是动态的，也可以是静态的。

如果ARP缓存表中的记录是动态的，则可以通过老化机制减少ARP缓存表的长度并加快查询速度；静态ARP缓存表中的记录是永久性的，用户可以使用TCP/IP工具来创建和修改，如Windows操作系统自带的ARP工具。

对于计算机来说，可以通过绑定网关等重要设备的IP与MAC地址记录来防止ARP欺骗攻击。

在交换机上防范ARP 欺骗攻击的方法与在计算机上基本相同，可以将下连设备的MAC地址与交换机端口进行绑定，并通过端口安全功能（Port Security feature）对违背规则的主机（攻击者）进行相应的处理。

通过Cisco交换机可以在DHCP Snooping绑定表的基础上，使用DAI（Dynamic ARP Inspection）技术来检测ARP请求，拦截非法的ARP报文，具体配置如下：Switch(config)#ip arp inspection vlan 20-30,100-110,315(定义ARP检测的VLAN 范围,该范围根据DHCP snooping binding表做判断）Switch(config-if)#ip arp inspection limit rate 30 (限制端口每秒转发ARP报文的数量为30）针对DHCP欺骗攻击的防范方法对于DHCP欺骗攻击的防洪可以采用两种方法。

(1)采用DHCP Snooping过滤来自网络中非法DHCP服务器或其他设备的非信任DHCP响应报文。

在交换机上，当某一端口设置为非信任端口时，可以限制客户端特定的IP地址、MAC地址或VLAN ID等报文通过。

为此，可以使用DHCP Snooping特性中的可信任端口来防止用户私置DHCP服务器或DHCP代理[4]。

一旦将交换机的某一端口设置为指向正确DHCP服务器的接入端口,则交换机会自动丢失从其他端口上接收到的DHCP响应报文。

例如，在Cisco交换机上通过以下命令将指定端口设置为信任端口：Switch(config-if)# ip dhcp snooping trust（定义该端口为DHCP信任端口）Switch(config)#ip dhcp snooping （启用DHCP snooping功能）Switch(config)#ip dhcp snooping vlan 20-30,100-110,315 （定义DHCP snooping 作用的VLAN）(2)通过DHCP服务器(如基于Windows 2003/2008操作系统的DHCP服务器)绑定IP与MAC地址，实现对指定计算机IP地址的安全分配。

针对生成树协议攻击的防范方法对于STP攻击可以采取STP环路保护机制来防范。

为了防止客户端交换机偶然成为根网桥，在Cisco交换机中可以使用Root Guard特性来避免这种现象的发生[5]。

如图2所示，如果STP偶然选择出客户端交换机(交换机D)成为根网桥，即交换机C与交换机D相连接的端口成为根端口(Root Port),则Root Guard特性自动将交换机C与交换机D相连接的端口设置为root-inconsistent状态（根阻塞状态），以防止客户端交换机D成为根网桥。

一旦在交换机中配置了Root Guard 特性，其将对所有的VLAN都有效。