网络空间安全--局域网安全防御

数据链路层面临的威胁

网络的5层模型中，数据链路层有着非常重要的作用。而在这一层上面也有非常多的安全威胁。如MAC地址扩散、arp攻击与欺骗、dhcp服务器欺骗和地址耗尽以及ip地址欺骗。

1.MAC地址扩散

mac地址是用于交换机进行消息转换时使用的地址，而交换机的工作原理是根据交换机中缓存的MAC地址表来以单播或者广播的形式进行消息的传递
交换机在mac地址表中没有该mac地址与ip地址的记录的情况下，会进行广播从而寻找该ip地址对应的mac地址，而mac地址扩散正是利用了这一特性，在交换机进行广播的时候，会不断地发送应答包，而交换机中地缓存是有一定大小的，从而会导致mac地址表溢出，所以攻击者就能获得正常的数据通信了。
在使用MAC地址扩散攻击方法的时候，有一个明显的现象，即交换机的cpu利用率极高，可以使用"show processes cpu"的命令去查看设备的cpu利用率

2.ARP攻击与欺骗

ARP攻击

ARP攻击的方式有如下两种：

1.攻击主机制造虚假的arp应答，发送给该局域网中除被攻击主机外的所有主机。虚假的arp应答包中包含被攻击主机的IP地址和错误的MAC地址
2.攻击主机制造虚假的arp应答，发送给被攻击主机。虚假的arp应答包中包含该局域网中所有的主机以及虚假的MAC地址

通过以上措施，即可使被攻击主机不能和该局域网中的其他主机进行正常的沟通。
若想要使被攻击主机无法访问互联网，则需要对网关或者是被攻击主机发送虚假的ARP应答。当网关接受虚假的arp应答更新arp条目后，则被攻击主机不能正常访问互联网

ARP欺骗

通常情况下，ARP欺骗不会导致网络不能访问，而是通过冒充网关或者其它主机，从而让攻击主机担任网络中的分组转发功能。通过转发流量可以对流量进行控制和查看，从而得到机密信息。

arp欺骗发送arp应答给局域网中的主机，其中包括网关的ip地址和攻击主机的mac地址，并且也发送arp应答给网关，其中包含局域网中所有的ip地址和攻击主机的mac地址。

3.dhcp服务器欺骗和地址耗尽

DHCP服务器欺骗即客户端将自己配置为DHCP服务器分派虚假的IP地址以及其信息，或者直接相应DHCP请求
DHCP地址耗尽即客户端不断冒充新客户发送DHCP请求，请求服务器为自己分配IP地址，很快就能耗尽DHCP配置的IP地址池，使正常接入的用户无法获得IP地址

4.ip地址欺骗

ip地址欺骗即客户端利用自己配置的ip地址冒充其他客户端或网络管理员，对其他用户、设备、服务器等进行非法操作

端口安全

Cisco交换机提供了一种基于MAC地址控制端口访问权限的安全特性。端口安全特性能够基于MAC地址进行流量限制，可以设定端口允许接入的主机数量，也可以手动在端口设置MAC地址。只有被绑定MAC地址的流量才能进行转发

端口安全实际上是一种网络接入的验证，只有符合设置规则的客户端才能接入局域网，可以避免未授权的客户端接入网络。使用端口安全可以实现以下功能：
1.基于MAC地址限制、允许客户端流量
2.避免MAC地址扩散攻击
3.避免MAC地址欺骗攻击

DHCP监听

DHCP监听是一种保护DHCP服务器的安全机制，可以通过过滤来自网络中的主机或者其他设备的非信任DHCP报文，以保证客户端能够从正确的DHCP服务器获得IP地址，DHCP监听可以避免DHCP欺骗和DHCP地址耗尽的现象，除此之外，DHCP还可以限制客户端发送DHCP请求的速率，从而减缓DHCP资源耗尽攻击

DHCP监听实现原理：
通过对监听端口设置，从而实现DHCP监听：

对于非信任端口：连接终端设备的端口。该端口的客户端只能发送DHCP请求报文，并丢弃来自该端口的其他所有DHCP报文

对于信任端口：连接合法的DHCP服务器的端口或者汇聚端口

使用DHCP监听会建立一个DHCP绑定表，一旦一个链接在非信任端口的客户端获得一个合法的IP地址后，交换机就会在DHCP绑定表中添加一个条目。DHCP绑定表是进一步部署IP源防护和动态ARP检测的基础

IDS和IPS

IDS–入侵检测系统

IDS是intrusion detection system的缩写，它的作用是检测入侵行为，但是不进行任何的处理。

IDS的工作原理

IDS通常使用一个或多个监听端口，在网络上被动地、悄无声息地收集它所关心的报文。对于收集的报文，入侵检测系统通过分析其信号来进行判断，对于被认为是攻击的报文，采取一系列的警报措施

1.收集信息

入侵检测的第一步是收集信息，包括网络流量的内容、用户连接活动的状态和行为

2.分析信号

对于收集到的信息，通过技术手段进行分析，常用的技术手段有模式匹配、统计分析和完整性分析。其中前两种常常用于实时的入侵检测，而完整性分析常用于事后分析。

模式匹配
模式匹配就是将收集到的信息与已知的网络入侵和系统误用模式数据库进行比较，从而发现违背安全策略的行为。
优点：只需收集相关的数据集合，可减少系统负担，检测准确率和效率都非常高。
缺点：需要不断地升级以对付新出现的黑客的攻击手法，不能检测到从未出现过的黑客攻击手法

统计分析
统计分析就是通过给信息对象创建一个统计描述，统计正常使用时的一些正常属性，通过对统计属性的平均值和正常属性的平均值进行比较，若值在正常偏差之外，就认为是入侵攻击
优点：可以检测到未知的入侵和更为复杂的入侵
缺点：误报、漏报率较高，且不适用于用户正常行为的突然改变

完整性分析
完整性分析主要关注某个文件或对象是否更改，包括文件和目录的内容及属性。该方法在发现被特洛伊病毒感染的程序十分有效
优点：只要攻击导致了文件或者是其他对象的改变，就能发现该入侵攻击
缺点：该方法以批处理方式实现，不适用用于实时响应

3.实时记录、报警

IDS的根本任务是要对入侵行为做出适当的反应，如记录日志、实时报警等

IPS–入侵防护系统

IPS是intrusion prevent system的缩写，一般用于检测到入侵攻击行为，并对其进行阻断等处理

IPS工作原理

1.获取数据包

对于任何模式下的IPS，都要获得其数据包，只有获得数据包之后，才能对其进行分析并判断

2.对数据包进行分类

对数据包进行分类的目的是为下一步分析数据包提供合适的过滤器。分类的依据可以是数据包中的报头信息、源IP、目的IP、端口号等

3.匹配过滤器

IPS设备利用过滤器对数据流中的全部内容进行检查，每种过滤器负责分析对应的数据包。每个过滤器都包含一系列的规则，只有满足这些规则的数据包才会被确认为不包含恶意攻击内容。且所有的过滤器都是并行使用的

4.判断数据包是否命中

符合匹配要求的数据包被标为命中。并行过滤处理可以确保数据包能够不间断地通过系统，大大地提高效率

5.数据包的放行或丢弃

若过滤器判断该数据包无攻击的行为，则进行放行，若有攻击的行为，则根据攻击的威胁级别立即采取防御措施。如：

1.向管理中心报警
2.丢弃被标为命中的数据包
3.切断此次应用会话
4.切断此次TCP连接