数据链路层安全威胁

1.ARP欺骗攻击：ARP地址解析协议，由于ARP协议在设计中存在主动发送ARP报文的漏洞，使得主机可以发送虚假的请求报文或者响应报文，攻击者可以伪造一台服务器接收所有发往其他网络的数据，这样整个网络将无法与其他网络进行通信。
2.DHCP欺骗攻击：DHCP（Dynamic Host Configuration Protocol）的功能是对客户端动态的分配IP地址及相关参数。当一台运行的DHCP客户端程序的计算机连接到网络中时，即使是一个没有权限使用网络的非法用户也能很容易的从DHCP服务器获得一个IP地址，这样攻击者可以伪造大量的DHCP请求报文，将服务器中的可供分配的IP地址耗尽，使正常的用户无法获得IP地址。
3.生成树协议攻击：STP（Spanning Tree Protocol）用于解决网络环路问题的一种智能算法。在交换式网络中,通过在两个交换节点之间提供多条物理链路来提供线路冗余，以增加设备之间连接的可靠性。但是，当在两个交换节点(如交换机)之间存在两条以上的物理链路时将会形成环路．如果没有相应的备份策略,环路的存在将会形成广播风暴，轻则严重影响网络的性能,重则导致网绰瘫痪,生成树协议的实现基础是 BPDU (Bridge Protocol Data Units）报文，通过在不同交换机之间交换的BPDU报文，在网络中选举一台网桥ID(Bridge ID)最低的交换机作为根网桥(Root Bridge)，并将交换机上发送该BPDU报文端口ID(Port ID)的值设置为最低,交换机上端口ID值最低的端口为根端口(Root Port ) .根端口连接的链路为主链路，通过计算网络中各个交换机到达根网桥的路径开销,选择各交换节点到达根网桥的最优路径,同时阻断其他的次优路径〔即冗余链路).从而形成逻辑上无环路的树形拓扑结构。根据 STP 的工作原理,同一网络中的所有交换机之间都可以通过网桥ID的值来选择根网桥,这样攻击者可以在网络中接入一台交换机或一台计算机,然后通过构造网桥ID最低的 BPDU 报文，使这台接入的交换机或计算机成为根网桥，进而扰乱正常的网络运行,最终导致网络瘫痪。
4 MAC地址泛洪攻击
交换机根据MAC地址来转发数据帧，交换机端与所连设备 MAC地址的对应关系存储在内容寻址存储器CAM ( Content Addressable Memory )表中，CAM表中还可能包含MAC地址对应的VLAN ID等参数,当交换机从某一端口接收到一个数据帧时，交换机首先从数据帧中提取源MAC地址和目的MAC地址,然后将端口与漏MAC地址的对应关系记录在CAM表中。同时，交换机查询CAM表中是否有目的MAC地址对应的记录，如果有，则可通过对应的端口将数据帧转发出去。
MAC地址泛洪攻击也称为CAM表溢出攻击,因为任何一台交换机的CAM表大小是有限制的,当记录数填满CAM表时.凡到达交换机的具有不同源MAC地址的数据帧,其端口和 MAC地址的对应关系将不会被添加在CAM表中。基于此原理,攻击者将大量虚构的具有不同源MAC地址的数据帧发送给交换机,直至交换机的CAM表填满，之后交换机接收到的任何一个单播帧都会以广播方式处理,攻击者的计算机将会接收到这些单播帧．从而获得其他用户的信息。
5 VLAN攻击
虚拟局域网VLAN (Virtual Local Area Network)是在交换式局域网基础上出现的一项管理技术，通过在数据帧的头部添加VLAN标识字段,将局域网用户设备逻辑地划分为多个网段，以缩小广播域,提高用户通信的安全性及网络的可管理性. VLAN在局域网中一般被作为一项安全技术使用．但 VLAN本身却存在安全隐患。
( 1)VLAN Hopping 攻击，VLAN Hopping （VLAN跳跃)攻击是基于动态主干协议DTP ( Dynamic Trunk Protocol）来实现的，通过外层VLAN ID 实现对非授权VLAN ID的非法访问,以获取非授权VLAN ID中的用户数据。
( 2)VTP攻击，VTP （VLAN Trunk Protocol）以组播方式在同一个管理域中同步VLAN信息，从而实现对管理域中VLAN信息的集中管理，VTP报文只能在trunk端口上转发。使用VTP的主要目的是实现对局域网中 VLAN信息的集中管理，以减少网络管理员的工作量。但攻击者可以接入一台交换机或直接使用一台计算机,并与上联交换机之间建立一条主干通道后,通过修改自己的修订号来拥有Server的权限.进而对局域网的VLAN架构进行任意更改，以获得所需要的信息或扰乱网络的正常运行。