基于MNSS的醫院惡意MAC地址泛洪攻擊防范方案研究及仿真

黃怡鶴 孫秋文 吳響 胡俊峰

摘要：隨著醫院信息化的飛速發展，如何保障網絡系統的安全性和防止隱私數據泄露成為當前面臨的重大挑戰。本文針對MAC地址泛洪攻擊深入研究，提出醫院惡意MAC地址防洪攻擊防范方案以提高醫院網絡的可靠性，并基于MNSS（Medical Network System Simulator）仿真軟件搭建實驗平臺進行虛擬仿真。結果證明該方案能夠有效預防MAC地址防洪攻擊，保證醫院網絡的安全性。

Abstract： With the rapid development of hospital information technology， how to protect the security of network system and prevent privacy data leakage has become a major challenge. In this paper， aiming at the deep study of flood attack of MAC address， this paper puts forward the prevention scheme of flood control attack of malicious MAC address in hospital in order to improve the reliability of hospital network， and based on MNSS （Medical Network System Simulator） simulation software to build an experimental platform for virtual simulation. The result proves that the scheme can effectively prevent MAC address from flood attack and ensure the safety of hospital network.

關鍵詞： MNSS；虛擬仿真；網絡安全；MAC地址泛洪

Key words： MNSS；virtual stimulation；network security；MAC Address Flood

中圖分類號：TN711 文獻標識碼：A 文章編號：1006-4311（2018）27-0240-03

0 引言

隨著信息化建設的逐步完善，醫院信息系統所容納的診療數據不斷增加，這對醫院信息網絡的穩定性與安全性提出了越來越高的要求。然而隨著醫院網絡體系的不斷完善，相應的攻擊手段也在不斷升級。作為網絡系統的基礎，二層數據鏈路是進行數據傳輸的基礎，而其中基于交換機工作機制衍生出多種網絡攻擊方式[1]。例如：攻擊者通過發送大量虛假mac地址迫使醫院交換機進行數據廣播從而造成數據泄露，這使得醫院網絡信息系統的安全性難以得到有效保證。一旦信息泄露，不僅醫院聲譽受損，信息濫用所造成的危害也難以估量。針對這一問題，本文對交換機的工作機制進行深入研究，提出醫院惡意MAC地址泛洪攻擊防范方案，在一定程度上保障醫院網絡的安全性。

為了驗證方案可行性，本文使用MNSS搭建仿真實驗環境，全方位模擬在醫院網絡環境中MAC地址泛洪攻擊的情景[2]。其中，MNSS是徐州醫科大學自主研發的仿真軟件，提供一種簡便的方法來設計和構建任何規模的醫院網絡拓撲。通過將其引入到醫院惡意MAC地址泛洪攻擊防范方案的仿真實驗中，模擬真實醫院網絡架構，可以一定程度上降低研究成本，保障醫院網絡的安全性。

1 相關技術研究

1.1 交換機工作機制

交換機通過對比數據幀中的目的MAC地址和MAC地址表的映射記錄來選擇通過哪種方式處理數據幀[3]。在接收到數據幀之后，交換機首先會記錄數據幀中的源MAC地址與對應的接收端口到地址表中，其次檢查地址表中是否包含目標MAC地址信息，若有則會根據地址表中記錄的對應端口將數據幀發送出去（單播），否則將數據幀從非接受接口發送出去（廣播）。如果交換機端口在一定時間內未收到來自與MAC地址相關的數據，那么這些MAC地址將被從表中刪除，即地址老化。

1.2 MAC地址的泛洪攻擊

攻擊者通過一些手段向交換機發送大量包含偽造MAC地址信息的數據幀，迫使交換機的MAC地址表容量迅速被占滿。然而正常主機的MAC地址信息可能因為老化早已不在該表中。此時，正常主機發送的數據幀就會通過交換機以廣播的形式來轉發，而攻擊者則可以通過抓包等手段，輕松獲取到重要數據。

1.3 MAC地址泛洪攻擊防御措施

①禁用MAC地址學習功能：MAC地址表中地址信息的來源除了自學習這一動態方式外，還有靜態手工配置的方式。由于靜態地址表項不具備老化時間，在保存配置的條件下，即使設備重啟也能保留[4]。利用這一特性，可以通過關閉交換機MAC地址學習的能力，手動添加MAC地址映射。該措施能夠最大限度地保障網絡安全，但在大型網絡中，此方法所耗費的成本是巨大的。

②開啟Port Security功能：Port Security是交換機上的端口安全特性[5]。該特性可以設置交換機端口允許通過的MAC地址數目，一旦有超過最大數目的MAC地址嘗試通過該端口，交換機會使用以下三種方式應答：

1）protect：將來自違規MAC地址的數據幀丟棄，端口依然開啟，不記錄違規的數據幀；

2）restrict：將違規的數據幀丟棄，端口依然開啟，但記錄違規的數據幀；

3）shutdown：默認模式，關閉端口[6]。

2 實驗仿真設計

2.1 網絡拓撲仿真設計

在MNSS模擬器的工作區域中搭建醫院網絡的簡易拓撲圖。如圖1所示：核心網絡的CoreA、CoreB為三層交換機；服務器區域的FTPserver通過二層交換機SW1接入核心層。其中，Client模擬某科室內的正常主機，Attacker模擬MAC防洪攻擊者。

2.2 關鍵設備的相關配置

交換機的相關配置如表1所示。

2.3 醫院惡意MAC地址攻擊步驟

①將終端操作系統模塊中的Windows系統鏡像實例化作為FTPserver（本實使用Windows 10 Education系統鏡像），并在此系統上搭建FTP服務器。同時，添加一個用戶賬號：user，并設置密碼：cisco123。

②將終端操作系統模塊中的Linux系統鏡像實例化作為Attacker（本實使用Kali Linux系統鏡像），使用“macof”命令進行模擬攻擊，發送大量偽造的MAC地址的數據幀。

③將終端操作系統模塊中的Linux系統鏡像實例化作為Client（本實使用CentOS7 Minimal系統鏡像），登陸FTP服務器，同時在Attacker上抓取由于MAC地址泛洪而接收到的數據包。圖2為Attacker的抓取情況，可以發現其中包含有登陸FTP服務器的賬號和密碼。

2.4 醫院惡意

2.5 AC地址攻擊防范

①開啟交換機上的端口安全。

SW1（config-if）#switchport port-security maximum 10 ！ 設置端口可供通過的最大MAC地址數目

SW2（config-if）#switchport port-security mac-address sticky ！ 將接口上動態學習到的MAC地址變為“粘滯”狀態

SW2（config-if）#switchport port-security violation restrict ！ 當端口上學習到的MAC地址信息超過最大數目后發出警告

②設置完成后，重復上述攻擊實驗，發現Client能夠正常訪問FTP服務器而Attacker已經無法成功獲取來自Client的數據。

3 結語

信息時代的到來使得醫院信息化的步伐越來越快，但信息安全卻成為制約國內醫院信息化的瓶頸。例如：FTP服務器的簡單便捷的優點使其成為醫院數據共享的主要工具。然而，部分不法分子利用MAC地址泛洪攻擊的方式竊取診療數據。本文提出醫院惡意MAC地址防洪攻擊防范方案，通過在交換機上開啟交換機端口安全功能的方式，有效地防止醫院數據泄露，保障醫院網絡系統的安全，并利用MNSS驗證其可行性。

參考文獻：

[1]蘆彩林，李龍軍.基于WinPcap的MAC地址泛洪攻擊技術研究[J].電腦開發與應用，2012（11）：18-19，23.

[2]王競，吳響，黃怡鶴，等.醫學院校物聯網工程專業虛擬仿真實驗教學體系建設與實踐[J].高教學刊，2017（21）：35-37.

[3]劉向東，李志潔，王存睿，姜楠.以太網交換機原理實驗設計[J].實驗室研究與探索，2011，1：48-50，57.

[4]馬偉強.交換機MAC地址表的產生與管理[J].計算機與網絡，2012，9：67-69.

[5]彭永余.淺談交換機端口的安全配置方法[J].無線互聯科技，2016（23）：131-132.

[6]趙菁.防御MAC地址泛洪攻擊的交換機安全配置方法[J].數碼設計，2017，3：83-85.