基于華為ENSP 和Vmware Workstation 軟件模擬MAC洪泛攻擊與防御的實驗綜述報告

（安徽城市管理職業學院，安徽 合肥 230050）

0 引言

交換機MAC 泛洪攻擊是利用工具不斷大量偽造MAC 地址，利用交換機學習MAC 地址沒有安全驗證機制這一漏洞，攻擊者利用虛假物理地址欺騙交換機，交換機的MAC 地址表被填滿后，交換機將以廣播的方式工作。攻擊者可在網絡內任何一臺主機上抓取數據包，通過對數據包解密從而竊取重要信息，從而引發交換機的MAC 泛洪攻擊事件。交換機開啟端口安全可以在很大程度上防范MAC 泛洪攻擊。本文利用VMware Workstation 和eNSP 工具模擬竊取信息并通過給出安全防御方法。

1 實驗內容

1.1 實驗目標

了解交換機MAC 洪泛攻擊的原理，并能對其進行有效的防御，掌握攻擊步驟和防御方法并能應用到真實環境中。

1.2 實驗場景及任務描述

某公司準備搭建FTP 服務，用于內部員工進行文件上傳和下載等工作需要。出于安全方面考慮要求設置FTP 服務的用戶名和密碼。作為網絡安全管理員的你，提出了安全不僅是設置用戶名和密碼訪問FTP 服務就可以解決的，還需要對內部網絡設備安全進行配置。

任務一：在BT5上使用攻擊工具macof 對網絡開展MAC 泛洪攻擊，并利用協議分析軟件Wireshark 捕獲網絡中明文傳輸的FTP 服務器的登錄用戶名和密碼。

任務二：對交換機開啟端口安全，阻止攻擊機通過其級聯端口與交換機通信，防御攻擊。

1.2.1 實驗拓撲圖，見下圖1。

圖1 實驗拓撲圖

1.2.2 IP 地址規劃表，見下表1。

表1 IP地址規劃表

1.2.3 實驗工具

（1）物理機

操作系統：Windows7

物理機安裝工具1：VMware Workstation 12.5軟件

物理機安裝工具2：eNSP 1.2軟件

（2）客戶端

eNSP 自帶的client

（3）服務器

eNSP 自帶的Server

FTP 服務用戶名：1，密碼：1

（4）攻擊機

虛擬機操作系統：BT5

虛擬機安裝工具1：macof

虛擬機安裝工具1：抓包工具Wireshark

1.2.4 實驗原理

攻擊者通過攻擊機BT5執行macof 命令在目標網絡中不斷泛洪大量不同源MAC 地址的數據包，導致交換機MAC 地址表溢出，攻擊者能進一步利用嗅探工具（例如Wireshark）對網絡內所有用戶的信息進行捕獲，從而捕獲到用明文傳輸的用戶名和密碼，如FTP、Telnet 服務等。防御的方法可以通過開啟交換機的Port Security功能能有效的防范MAC flooding 攻擊。更明細地，可以控制每個端口所能發送的源MAC 地址數量，甚至可以自動或手動綁定一個MAC 地址到特定端口。

1.2.5 實驗步驟

（1）打開eNSP 軟件，按拓撲圖添加設備并配置好IP 地址等，其中Clund1的配置參照圖2，完成實驗環境的準備工作。

（2）在攻擊機BT5上打開終端并調用macof 工具，同時，在終端的窗口中使用命令wireahark 打開抓包模塊，做好MAC 泛洪后的數據抓取準備工作。

（3）在BT5 上打開協議分析軟件Wireshark，接著在Client 端訪問FTP 服務器，輸入用戶名和密碼并點擊登錄。Wireshark 上可以截獲到客戶端發給服務器的用戶名和密碼。如下圖3：

1.2.6 解決方法

靜態MAC 地址綁定，同時限定接入交換機端口接入MAC 地址的數量。如設置交換機的該端口最多可以學習10個MAC 地址

圖2 Cloud1設置

圖3 捕獲的用戶名和密碼

[Huawei-GigabitEthernet0/0/3]port-security enable

[Huawei-GigabitEthernet0/0/3]port-security macaddress sticky

[Huawei-GigabitEthernet0/0/3]port-security protectaction protect

[Huawei-GigabitEthernet0/0/3]port-security max-macnum 10

按照該方法對交換機配置，然后再次重復2.2.5的實驗內容，無法截獲客戶機發給服務器的FTP 用戶名和密碼。

1.3 實驗結果與分析

正常工作的交換機根據MAC 地址表對數據轉發，地址表的數量一般有4K 或8K，一旦MAC 地址表溢出則會把在地址表中沒有學習到的目的MAC 地址的幀向所有端口轉發，導致重要信息泄露等。開啟端口安全，可以對服務器等重要MAC 地址和相應端口進行綁定，通過粘連動態學習，也可以手工指定，可以定義接口學習的MAC 地址數量，最后定義違規的動作丟棄、告警、關閉端口3種處理方式。

通過交換機的端口安全技術，可以有效防御MAC泛洪攻擊，提高交換機的性能，進而增強設備的安全性。

2 結束語

通過VMware Workstation 與eNSP 構建的實驗環境，一方面解決了固定設備無法靈活組建實驗環境的問題，另一方面也在一定程度上解決了實驗設備缺乏無的問題。同時通過協議分析軟件的使用，加深了學生對交換機內部工作原理的理解和掌握，提高了廣大學生的信息網絡安全意識和操作技能。