关于互联网第二层协议的安全学习报告2012211313班梁霄2012211479一、引言在网络安全领域,大家普遍把焦点放在网络层及以上层次的安全上,而忽视了由于低层协议缺乏健壮性而导致的安全隐患。直到ARP欺骗、VLAN攻击等利用低层协议设计缺陷而出现的网络攻击频繁发生时,人们才将注意力放到低层尤其是数据链路层的安全上来。在网络体系结构中,越是低层的安全问题,产生的影响也越大,而且越不容易彻底解决。本报告涵盖了数据链路层几种主要的安全隐患及保护方案,通过学习网络安全技术大体了解了互联网第二层协议的实现,查阅书籍和网络,给出了每一种针对链路的攻击的解决方法。二、数据链路层协议安全(一)网络窃听及基本防范措施(以ARP欺骗为例)网络窃听是指截获网络上通信的数据流,从而窃取所需的信息。1、ARP协议的工作原理源主机向网络中所有主机广播包含有ARP请求的数据包,询问与目的主机IP地址相对应的MAC地址。拥有该IP的目的主机会向请求方发送一个含有其MAC地址的ARP应答数据包。源主机将根据这个应答数据包更新自己的ARP缓存,并按得到的MAC地址发送正式的数据包给目的主机。2、ARP欺骗的原理为了减少局域网内的ARP通信量,ARP协议规定,即使一台主机收到的ARP响应报文并非自己请求得到,他也会将其更新到本机的ARP缓存列表中。而且ARP缓存列表的更新策略是以最新的为准,也就是说,在ARP缓存列表已存在相关记录的情况下,如果新收到的ARP应答报文中的记录与ARP缓存列表中的记录不符,ARP协议规定用最新的记录更新ARP缓存列表中的旧记录。ARP协议的这些设计原则使得ARP欺骗成为可能。举例而言,若主机M(IP_M,MAC_M)想改变主机A(IP_A,MAC_A)与主机B(IP_B,MAC_B)之间的数据流流向,那么主机M只需要以固定时间间隔向主机A发送ARP响应报文:“我是IP_B,我的MAC地址是MAC_M”,向主机B发送ARP响应报文:“我是IP_A,我的MAC地址是MAC_M”。这样,主机A就会把本应送达主机B的数据发给主机M,主机B亦然。为保证主机A与主机B之间的通信不被中断,主机M上需要有相应的数据转发机制。如此,主机M就可以监测主机A与主机B之间的会话内容。3、ARP欺骗的检测及防范(1)检测使用ARP欺骗,在监测过程中会发送大量的ARP包,容易被检测出来;由于受监测主机的网络性能受到较大影响,该主机的用户更容易感受到异常。(2)被动防范措施对于计算机来说,可以通过绑定网关等重要设备的IP与MAC地址记录来防止ARP欺骗攻击,即使用静态ARP表。在交换机上防范ARP欺骗攻击的方法与在计算机上基本相同,可以将下连设备的MAC地址与交换机端口进行绑定,并通过端口安全功能对违背规则的主机进行相应的处理。ARP欺骗是基于交换式局域网的网络窃听,可以使用第三层交换设备来进行防范。第三层交换设备是集交换和路由于一身的设备,取消了局域网对目的MAC地址和ARP协议的依赖,采用基于IP地址的交换。第三层交换设备正在广泛普及,价格相对昂贵但功能十分强大。(3)主动防范措施监听ARP数据包、定期探测数据包传送路径和使用SNMP协议定期轮询ARP表等方法,可以作为被动防范措施的补充,最大限度地防止信息被“中间人”获取。(二)数据传输加密1、链路加密所有消息在被传输之前进行加密,在每一个节点对接收到的消息进行解密,然后先使用下一个链路的密钥对消息进行加密,再进行传输。采用链路加密方式,从起点到终点,要经过许多中间节点,在每个节点地均要暴露明文(节点加密方法除外),如果链路上的某一节点安全防护比较薄弱,那么按照木桶原理(木桶水量由最低的一块木板决定),虽然采取了加密措施,但整个链路的安全只相当于最薄弱的节点处的安全状况。链路加密,每条物理链路上,不管用户多少,可使用一种密钥。在极限情况下,每个节点都与另外一个单独的节点相连,密钥的数目也只是n*(n-1)/2种。这里n是节点数而非用户数,一个节点一般有多个用户。链路加密方式有两个缺点,一是全部报文都以明文形式通过各节点的计算机中央处理机,在这些节点上数据容易受到非法存取的危害;二是由于每条链路都要有一对加/解密设备和一个独立的密钥,维护节点的安全性费用较高,因此成本也较高2...
