6. 使用WireShark分析链路层攻击
据统计,目前网络安全的问题有80%来自于"内部网络" ,很多黑客也将攻击目标从单纯的计算机转到了网络结构和网络设计上来。因为链路层是内部网络通信最为重要的协议,而交换机正是这一层的典型设备,所以我们的讲解以交换机为例。但是相比起其他网络设备来说,交换机的防护措施往往也是最差的,因此也经常成为黑客攻击的目标。
内容:
- 针对交换机的常见攻击方式:
- 使用macof发起MAC地址泛洪攻击;
- 使用统计功能分析针对交换机的攻击;
- 如何防御MAC地址泛洪攻击。
6.1针对交换机的常见攻击方式
这个网络在之前一直可以正常运行,但是在前些天很多用户突然发现网络速度变得十分缓慢,经过我们的检查没有发现线路方面的问题。但是我们发现每次重启交换机之后,网络速度就会恢复正常。而经过一段时间之后,网络速度就会再次变得缓慢。
- MAC地址欺骗攻击
- MAC地址泛洪攻击
- STP操纵攻击
- 广播风暴攻击
6.2 分析MAC地址泛洪攻击
6.2.1 统计功能
现在我们发现网络中出现了大量来历不明的数据包,可是到底出现了多少个数据包呢,这些数据包是否来自同一个源地址,或者发向同一个目的地址呢?如果手动地逐个计算的话那么显然这是一个十分繁重的重复劳动。好在Wireshark中提供了极为强大的网络统计功能,利用这些功能我们可以对网络活动有一个宏观的了解。
选择统计——捕获文件属性,可以看到数据包文件的基本信息
可以写注释,别人打开时会看到
统计——协议分级,可以看出数据包结构
可以看到这个文件中没有tcp或udp协议,一般情况下网络中以应用层数据包为主,应该有大量tcp,udp数据包,此时我们可以怀疑这些数据包是伪造的。
统计——会话功能(把数据包的源地址目的地址进行分类)
MAC地址泛洪攻击
MAC地址泛洪攻击是一种针对交换机的攻击方式,目的是监听同一局域网中用户的通信数据。交换机的工作核心:端口-MAC地址映射表。这张表中记录了交换机每个端口和与之相连的主机MAC地址之间的对应关系。通常情况下,交换机的每个端口只会连接一台主机,因而在CAM表中每个端口只会对应一个MAC地址。如果在这种-对应的情况下,交换机就无需担心MAC地址泛洪攻击的,因为一台交换机只有几十个端口,这样整个CAM表中最多也只有几十个项。但是由于现在的交换机都使用了级联技术,也就是A交换机可以连接到另一个B交换机的级联端口上。这样在B交换机的级联端口上就会对应多台主机的MAC地址,从而在CAM表中产生大量的记录。
可以发现:
- 每两个地址之间的通信的包的数量都是一个。
- 交换机不再对数据包进行转发了,而是广播,所有主机都能收到广播的数据包。
- 数据包长度都一样,可以推测是软件生成的
好了,现在我们已经确定了当前交换机遭到的是MAC泛洪攻击,攻击者发送这些数据包的目的就是用来填满交换机的CAM地址表。我们可以肯定这些数据包一定是来自于网络的内部,因为这些数据包的目的IP地址多种多样,不可能通过互联网路由到内部网络。而这些数据包的源MAC地址和目的MAC都是伪造的,显然也无法以此来找出攻击者的位置.
我们如何找到是谁发起的攻击呢,如果有交换机的控制权,在交换机中使用display mac-address,查看。不管怎么换mac地址,他的接口都不会变。
如何发起MAC地址泛洪攻击
用到kali
直接在kali使用macof即可,多开几个(3个差不多)
此时,pc1无法与pc2通信
6.4 如何防御MAC泛洪攻击
虽然攻击者可以伪造出大量的数据包来攻击交换机,但是由于攻击者的数据包只能从交换机的某一个端口进入,所以我们可以限制每一个端口对应的MAC地址数量即可。目前的交换机大都提供了这种功能,我们仍然以ENSP中的华为53700交换机为例。在上例中我们已经发现了所有的流量都来自于交换机的Etherneto/0/3端口,那么我们就可以在这个端口上进行设置,保证该端口最多可以学习8个mac地址,在交换机中进行配置
