关于互联网第二层协议的安全

关于互联网第二层协议的安全

学习报告

2012211313班 梁霄 2012211479

一、引言

在网络安全领域，大家普遍把焦点放在网络层及以上层次的安全上，而忽视了由于低层协议缺乏健壮性而导致的安全隐患。直到ARP欺骗、VLAN攻击等利用低层协议设计缺陷而出现的网络攻击频繁发生时，人们才将注意力放到低层尤其是数据链路层的安全上来。在网络体系结构中，越是低层的安全问题，产生的影响也越大，而且越不容易彻底解决。

本报告涵盖了数据链路层几种主要的安全隐患及保护方案，通过学习网络安全技术大体了解了互联网第二层协议的实现，查阅书籍和网络，给出了每一种针对链路的攻击的解决方法。

二、数据链路层协议安全

（一）网络窃听及基本防范措施（以ARP欺骗为例）

网络窃听是指截获网络上通信的数据流，从而窃取所需的信息。 1、ARP协议的工作原理

源主机向网络中所有主机广播包含有ARP请求的数据包，询问与目的主机IP地址相对应的MAC地址。拥有该IP的目的主机会向请求方发送一个含有其MAC地址的ARP应答数据包。源主机将根据这个应答数据包更新自己的ARP缓存，并按得到的MAC地址发送正式的数据包给目的主机。 2、ARP欺骗的原理

为了减少局域网内的ARP通信量，ARP协议规定，即使一台主机收到的ARP响应报文并非自己请求得到，他也会将其更新到本机的ARP缓存列表中。而且ARP缓存列表的更新策略是以最新的为准，也就是说，在ARP缓存列表已存在相关记录的情况下，如果新收到的ARP应答报文中的记录与ARP缓存列表中的记录不符，ARP协议规定用最新的记录更新ARP缓存列表中的旧记录。ARP协议的这些设计原则使得ARP欺骗成为可能。

举例而言，若主机M（IP_M，MAC_M）想改变主机A（IP_A，MAC_A）与主机B（IP_B，MAC_B）之间的数据流流向，那么主机M只需要以固定时间间隔向主机A发送ARP响应报文：“我是IP_B，我的MAC地址是MAC_M”，向主机B发送ARP响应报文：“我是IP_A，我的MAC地址是MAC_M”。这样，主机A就会把本应送达主

机B的数据发给主机M，主机B亦然。为保证主机A与主机B之间的通信不被中断，主机M上需要有相应的数据转发机制。如此，主机M就可以监测主机A与主机B之间的会话内容。

3、ARP欺骗的检测及防范 （1）检测

使用ARP欺骗，在监测过程中会发送大量的ARP包，容易被检测出来；由于受监测主机的网络性能受到较大影响，该主机的用户更容易感受到异常。 （2）被动防范措施

对于计算机来说，可以通过绑定网关等重要设备的IP与MAC地址记录来防止ARP欺骗攻击，即使用静态ARP表。在交换机上防范ARP欺骗攻击的方法与在计算机上基本相同，可以将下连设备的MAC地址与交换机端口进行绑定，并通过端口安全功能对违背规则的主机进行相应的处理。

ARP欺骗是基于交换式局域网的网络窃听，可以使用第三层交换设备来进行防范。第三层交换设备是集交换和路由于一身的设备，取消了局域网对目的MAC地址和ARP协议的依赖，采用基于IP地址的交换。第三层交换设备正在广泛普及，价格相对昂贵但功能十分强大。 （3）主动防范措施

监听ARP数据包、定期探测数据包传送路径和使用SNMP协议定期轮询ARP表等方法，可以作为被动防范措施的补充，最大限度地防止信息被“中间人”获取。 （二）数据传输加密 1、 链路加密

所有消息在被传输之前进行加密，在每一个节点对接收到的消息进行解密，然后先使用下一个链路的密钥对消息进行加密，再进行传输。

采用链路加密方式，从起点到终点，要经过许多中间节点，在每个节点地均要暴露明文（节点加密方法除外），如果链路上的某一节点安全防护比较薄弱，那么按照木桶原理（木桶水量由最低的一块木板决定），虽然采取了加密措施，但整个链路的安全只相当于最薄弱的节点处的安全状况。

链路加密，每条物理链路上，不管用户多少，可使用一种密钥。在极限情况下，每个节点都与另外一个单独的节点相连，密钥的数目也只是n*(n-1)/2种。这里n是节点数而非用户数，一个节点一般有多个用户。

链路加密方式有两个缺点，一是全部报文都以明文形式通过各节点的计算机中央处理机，在这些节点上数据容易受到非法存取的危害；二是由于每条链路都要有一对加/解密设备和一个独立的密钥，维护节点的安全性费用较高，因此成本也较高。 2、 节点加密

在节点处采用一个与结点机相连的密码装置，密文在该装置中被解密并重新加密。与链路加密不同,节点加密不允许消息在网络节点以明文形式存在,它先把收到的消息进行解密,然后采用另一个不同的密钥进行加密,这一过程是在节点上的一个安全模块中进行。

同链路加密一样，节点加密也有一些固有的缺点，一是某些信息（如报头和路由信息）必须以明文形式传输；二是因为所有节点都必须有密钥，密钥分发和管理变得困难。因此数据传输加密通常采用更安全的表示层上的端到端加密。 （三）VLAN的原理及保护

解决交换机在进行局域网互连时无法限制广播的问题，把一个LAN划分成多个逻辑的LAN——VLAN，每个VLAN是一个广播域，VLAN内的主机间通信就和在一个LAN内一样，而VLAN间则不能直接互通，这样，广播报文被限制在一个VLAN内。

但是交换机的设计者们在把这种隔离功能加入到产品之中时，优先考虑的并不是安全问题。常见的VLAN攻击有标记攻击、VLAN跳跃攻击及VTP攻击。

如果将交换机端口配置成 DTP auto ，用于接收伪造 DTP分组，那么，它将成为干道端口，并有可能接收通往任何 VLAN 的流量。由此，恶意用户可以通过受控制的端口与其它 VLAN 通信。这就是标记攻击。

跳跃攻击(hopping attack) 就是一类针对VLAN的攻击，指的是恶意设备通过为攻击流量打上特定的VLAN ID(VID)标，或者协商Trunk链路试图访问或者接收与其配置不同的VLAN的流量。

VLAN中继协议（VTP）是一种管理协议，它可以减少交换环境中的配置数量。黑客只要连接到交换机，并在自己的计算机和交换机之间建立一条中继，就可以充分利用VTP。黑客可以发送VTP消息到配置版本号高于当前的VTP服务器，这会导致所有交换机都与黑客的计算机进行同步，从而把所有非默认的VLAN从VLAN数据库中移除出去。这样他就可以进入其他每个用户所在的同一个VLAN上。 VLAN攻击的防御方法：明确指定Access和Trunk端口，不使用的端口设置为Access，放入一个不承载任何数据的VLAN，并将其设置为Shutdown状态；Native VLAN不与任何数据VLAN相同；使用Trunk allowed限制流量；链路汇聚协议(DTP)设置为On或者Nonegotiate；通过私有VLAN（PVLAN）过滤相同VLAN的流量。 （四）WLAN保护方案

WLAN是以开放式的大气作为传输介质进行网络通信的，它的安全性相对有线网络来说，显得更加严峻。在WLAN网络中，基于链路层的加密技术或标准主要有：SSID、MAC、WEP、WPA和IEEE 802.11i。 1、 WLAN SSID安全技术

SSID（服务设置标识符）是一个类似于有线网络中的工作组名称，最多可以有32个字符，配备无线网卡、无线访问点（AP）及无线路由器时都必须配置它，而且

无线网卡上配置的SSID一定要与AP或无线路由器配置的SSID相同。如果配置的SSID与AP或无线路由器的SSID不同，那么AP或无线路由器将拒绝他通过本服务区/工作组上网。因此可以认为SSID是一个简单的口令，从而提供口令认证机制，实现一定的安全。 2、 WLAN MAC地址过滤

MAC地址过滤功能在有线网络中也经常使用。它可以允许或者禁止部分主机与局域网的连接。WLAN的MAC地址过滤功能也可以对接入客户机针对MAC地址进行过滤，可以灵活地允许或者禁止某部分MAC地址的主机接入对应的WLAN网络。 3、 WLAN WEP加密

在WEP加密原理中，对于发送到任何方向的数据包，传输程序都将数据包的内容与数据包的检查和组合在一起。然后，WEP 标准要求传输程序创建一个特定于数据包的初始化向量，再与密钥组合在一起，用于对数据包进行加密。接收方的伪随机数产生器生成自己的匹配数据包密钥序列，并用它对数据包进行解密。WEP加密和解密的过程均是在两节点的链路中进行的，加/解密功能集成在WLAN设备中，如WLAN AP、WALN无线路由器、WLAN网卡等。

WEP采用对称加密机制和RC4加密算法，数据的加密和解密采用相同的密钥和加密算法。RC4加密算法是RC算法族中的一种，包括初始化算法（也就是前面说到的\初始化向量\）和伪随机子密码生成算法（也就是前面说到的\伪随机数产生器\）两大部分。所以在WEP加密架构中，每个包包含一个IV和基础密钥两部分。

WEP支持64位和128位两种加密级别。对于64位加密级别，共享密钥为10个十六进制字符（0～9和A～F）或5个ASCII字符；对于128位加密级别，共享密钥为26个十六进制字符或13个ASCII 字符。 4、 WLAN WPA加密/解密原理

Wi-Fi联盟给出的WPA定义为：WPA = 802.1x + EAP + TKIP + MIC。其中，802.1x是指IEEE的802.1x身份认证标准；EAP是一种扩展身份认证协议；TKIP（临时密钥完整性协议）是一种密钥管理协议；MIC（消息完整性编码）是用来对消息进行完整性检查的，防止攻击者拦截、篡改甚至重发数据封包。由此可见，WPA已不再是单一的链路加密，还包括了身份认证和完整性检查两个重要方面。、

WPA2是对WPA在安全方面的改进版本，可以认为WPA2 = IEEE 802.11i = IEEE 802.1x/EAP + AES-CCMP。在WPA2中，采用了加密性能更好、安全性更高的加密技术AES-CCMP（高级加密标准－计数器模式密码区块链接消息身份验证代码协议）。WPA中的TKIP虽然针对WEP的弱点作了重大的改进，但保留了RC4算法和基本架构，也就是说，TKIP亦存在着RC4本身所隐含的弱点。CCMP采用的是AES（高级加密标准）加密模块，既可以实现数据的机密性，又可以实现数据的完整性。这是在IEEE 802.11i 标准中指定的用于无线传输隐私保护的一个新方法。

三、结论

在互联网分层中，局域网仅涉及到物理层和数据链路层，以上各层的功能都要由一个个局域网完成。数据链路层承上启下，起着重要的连接作用。根据木桶原理，互联网的安全性与其最薄弱层次的安全性相当，因此必须同等重视互联网中每一层次的安全性，才能保证整个网络的安全运行。

四、参考文献

[1] 杜里格瑞斯. 网络安全：现状与展望[M]. 科学出版社, 2010. [2] 兰巨龙. 信息网络安全与防护技术[M]. 人民邮电出版社, 2014.

[3] 思科系统（中国）网络技术有公司. 下一代网络安全[M]. 北京邮电大学出版社, 2006. 80~88.

[4] 梅挺. 计算机网络安全[M]. 科学出版社, 2011.