基于仿真軟件模擬MAC泛洪攻擊與防御的實驗綜述

黃飛

摘要：在信息安全的安全網絡教學中，攻擊檢測與防御是一種重要的網絡安全特性。我們需要對此進行實驗驗證，但在實際實驗的過程中，發現信息安全實驗大多具有破壞性和不可逆性等，無法大規模在真實環境下進行。該文利用VMware Workstation和 eNSP 仿真軟件模擬MAC泛洪攻擊過程與防御措施，便于學生直觀地了解和分析 MAC泛洪攻擊過程，加深對交換機工作原理的理解，掌握MAC泛洪的具體防御措施。同時能夠有效突破實驗室設備固定、設備數量限制和網絡實驗拓撲搭建等問題，便于學生隨時隨地學習與研究。教學實驗效果得到了較好的提升。

關鍵詞：實驗綜述;MAC泛洪;仿真軟件;網絡安全

中圖分類號：TP393? ? ? ? 文獻標識碼：A

文章編號：1009-3044（2019）18-0252-02

1 引言

交換機中的MAC地址表的主要功能是記錄交換機端口級聯主機MAC地址與交換機端口對應關系，交換機根據MAC地址表，將接收的數據幀傳輸到指定的主機上。MAC泛洪攻擊的原理是攻擊者利用攻擊工具不斷發送大量偽造的MAC地址，讓交換機自動記錄學習，從而在短時間內用無效的虛擬數據將交換機的MAC地址表填滿，導致交換機只能將接收到的數據幀在非接收端口進行全部轉發，以達到黑客進行網絡監聽的目的。攻擊者在任何一臺與交換機級聯的主機上打開網絡監聽與收集軟件便可獲取數據信息，造成網絡存在較大的安全隱患。

在實際過程中，網絡管理員往往因工作繁忙、網絡安全意識淡薄等原因忽視交換機的端口安全，從而引發交換機的MAC泛洪攻擊事件。

通過交換機的端口安全技術（Port-Security）可以有效防御MAC泛洪攻擊。本文利用VMware Workstation和eNSP工具軟件進行模擬仿真MAC泛洪攻擊與防御。

VMware Workstation是一款用于安裝windows、linux等主流操作系統的仿真軟件。它不僅可以在一臺物理PC機上安裝多個虛擬操作系統，還可以讓多個虛擬操作系統進行網絡連接，使用網絡設備仿真軟件模擬出完整的網絡實驗環境。該仿真軟件具有多種網絡連接方式種類，有“橋接模式”“NAT模式”“僅主機模式”和“自定義特定虛擬網絡”等。

eNSP是一款由華為公司提供的網絡設備模擬仿真的軟件工具，它不僅可模擬仿真路由器、交換機、防火墻、WLAN等網絡產品，完美呈現真實設備場景，還支持與物理網卡的綁定，可實現較復雜的網絡拓撲模擬與實驗。在沒有真實網絡產品設備的情況下，網絡愛好者也能進行網絡實驗模擬，學習網絡技術。

2 實驗內容

2.1 實驗目標

理論知識目標要求了解交換機工作過程和原理，掌握交換機泛洪攻擊的防御方法;技能知識目標要求能夠掌握eNSP和VMware簡單模擬環境搭建，熟練掌握交換機的MAC泛洪攻擊和端口安全配置的防御操作步驟。

2.2 實驗場景及任務描述

某公司準備搭建FTP服務，用于內部員工進行文件上傳和下載等工作需要。出于安全方面考慮要求設置FTP服務的用戶名和密碼。作為網絡安全管理員的你，提出了安全不僅是設置用戶名和密碼訪問FTP服務就可以解決的，還需要對內部網絡設備安全進行配置。

任務一：使用攻擊工具macof對交換機進行MAC泛洪攻擊，利用抓包工具捕獲數據，進而獲取FTP服務的登錄用戶名和密碼;

任務二：配置交換機端口安全，阻止攻擊機通過其級聯端口與交換機通信，防御攻擊。

1）實驗拓撲圖，見下圖1。

2）IP地址規劃表，見下表1。

3）實驗工具

（1）物理機

操作系統：Windows7

物理機安裝工具1：VMware Workstation軟件

物理機安裝工具2：eNSP軟件

（2）客戶端

虛擬機1操作系統：Windows7

（3）服務器

虛擬機2操作系統：Windows Server 2012

虛擬機2安裝工具1：FTP服務

FTP服務用戶名：admin，密碼：admin

（4）攻擊機

虛擬機3操作系統：Kali

虛擬機3安裝工具1：macof

虛擬機3安裝工具1：抓包工具

4）實驗原理

交換機中有端口與MAC地址對應關系表，保存在交換機的RAM中且自動學習與維護，當交換機收到數據時，在建立好的MAC地址表中查尋該數據幀中的目的MAC地址，如果有記錄，則會根據MAC地址表中記錄的對應端口將數據幀轉發，如果沒有記錄，則會將該數據幀從非接受端口轉發。攻擊者利用交換機這一特點，發送大量偽造MAC地址，導致交換機接受其他主機的數據幀泛洪處理。交換機的端口安全技術中可設置端口學習MAC地址的最大數。

5）實驗步驟

（1）利用VMware Workstation安裝windows 7、kali和windows server 2012三個虛擬機操作系統，設置其網絡連接模式及IP地址，并在服務器上搭建FTP服務等相關操作。

（2）打開eNSP軟件，添加仿真交換機和Cloud，配置eNSP的Cloud中的IO與VMware Workstation的三個虛擬機網絡連接，搭建實驗拓撲圖。

（3）在攻擊機kali上打開終端并調用macof工具，為了達到盡快填滿交換機的MAC地址表，可以開啟多個窗口運行。與此同時，在終端的窗口中使用命令tcpdump -i eth0 -nn -X tcp port 21打開抓包模塊，做好MAC泛洪后的數據抓取準備工作。

（4）在客戶端虛擬機windows 7上使用“我的電腦”地址欄訪問FTP服務，并輸入用戶名和密碼。

（5）打開準備好的抓包模塊，查看抓包數據信息，通過實際的實驗操作達到既定的效果，獲得了ftp服務的登錄用戶名和密碼。

（6）配置交換機端口（與攻擊機級聯端口）安全。

（7）再次打開攻擊機kali中的macof工具并查看交換機MAC地址。

6）實驗結果與分析

正常情況下，交換機根據MAC地址表進行數據的轉發，一旦數據幀中的目的MAC地址不在MAC地址表中，則向所有端口轉發，導致數據被捕獲和密碼等信息泄露等。這樣的轉發方式不僅存在安全隱患，還大大降低交換機的性能，這就需要我們對此進行有效的防范。

通過交換機的端口安全技術，可以有效防御MAC泛洪攻擊，提高交換機的性能，進而增強設備的安全性。

3 總結

隨著當前信息化技術的飛速發展，網絡的攻擊日益增多，而通信協議本身的缺陷以及網絡部署問題，導致網絡攻擊造成的影響越來越大。特別是對網絡設備的攻擊，將會導致設備或者網絡癱瘓等嚴重后果，合理配置網絡中的設備可以有效提高網絡的安全性。

通過仿真軟件VMware Workstation與eNSP搭建模擬的實驗環境，一方面解決了實訓室設備固定無法靈活組建實驗環境，另一方面解決了由于實驗設備缺乏無法大規模開展實驗教學的問題。同時也加深了學生對交換機工作過程和原理理論知識的掌握和理解，培養和提高了學生的網絡安全意識和操作技能。

參考文獻：

[1] 魏娜，范學超.基于eNSP的模擬仿真教學在《現代交換技術》課程中的應用[J].科技創新導報，2018，15（29）：135-137+139.

[2] 趙菁.防御MAC地址泛洪攻擊的交換機安全配置方法[J].數碼設計，2017，6（05）：83-85.

[3] 俞海.場景仿真及分析在計算機網絡安全教學中的應用[J].計算機時代，2016（10）：57-59.

[4] 華為技術有限公司.eNSP版本說明書[EB/OL].2014：1.

[5] VMware. VMware Workstation使用手冊[S].2010.

【通聯編輯：代影】