架构师之路（十三）计算机网络（链路层安全）

前置知识（了解）：计算机基础。

作为架构师，我们所设计的系统很少为单机系统，因此有必要了解计算机和计算机之间是怎么联系的。局域网的集群和混合云的网络有啥区别。系统交互的时候网络会存在什么瓶颈。

1 CAM表溢出攻击与端口安全

当与交换机相连的设备箱交换机发送数据帧时，交换机会立刻将数据帧的源MAC地址与接收到该数据帧的端口作为一个条目保存到CAM表中。

溢出攻击：当CAM表已满时，如果交换机收到了以CAM表中没有记录的MAC地址作为目的地址的数据包，就会像集线器一样将数据帧通过所有端口进行泛洪。如果攻击者想要接收自己所在VLAN中的所有数据帧，可以设法用不同MAC地址将CAM填满即可。

防御策略：Cisco交换机提供端口安全特性，限制交换机通过一个端口接收到的源MAC地址数量。

2.操纵生成树协议（STP，SpanningTree Protocol）与BPDU防护技术。       

为防止设备之间不断循环转发相同数据产生广播风暴或MAC地址翻动问题，STP通过阻塞一部分端口获得一个无环的树形拓扑。选举一个根网桥，选择各非根网桥的跟端口来发送和接收流量，选择各个网段的指定端口，非指定端口就是为了避免逻辑环路而阻塞的端口。

STP协议通过桥协议数据单元（BPDU）来判断根网桥、根端口和指定端口，若攻击者制造出一个BPDU赢得根网桥选举，那么可以获得很多重要信息。

防御策略：一般位于网络末端的设备不应参与根网桥选举，不会生成BPDU信息，这类终端设备的接入端口上适宜部署BPDU防护机制。配置了BPDU的接入端口一旦受到BPDU消息，就会进入err-disabled状态，该端口禁用。

3. DHCP耗竭、DHCP欺骗与DHCP snooping(DHCP,动态主机配置协议)

步骤1：客户端发送DHCPDISCOVER广播消息来寻找DHCP服务器。

步骤2：DHCP服务器通过DHCPOFFER向客户端提供配置参数（IP地址、MAC地址、域名、租期等）

步骤3：客户端为使用提供给它的IP地址向DHCP服务器返回正式请求DHCPREQUEST。

步骤4：DHCP服务器向客户端发送DHCPACK，允许将IP地址分配给客户端。

DHCP耗竭：伪装客户端向服务器大量请求地址直至IP地址全部耗尽，新连接进网络的客户端无地址可用，达到拒绝服务的攻击效果。

DHCP欺骗：伪装成DHCP服务器，以实现信息劫持，例如将网关地址设为自己的地址，劫持所有发送给网关的信息，实现中间人攻击。

防御策略：DHCP窥探（DHCPsnooping）技术将交换机上端口分为信任端口和不信任端口，信任端口配置在连接DHCO服务器的端口和上行链路的端口上，其余为不信任端口。如果不信任端口接收到了本应由DHCP服务器发送的消息则予以丢弃。此外，受到DHCPDISCOVER数据包MAC地址与硬件地址字段信息不符则丢弃，达到缓解DHCP耗竭的作用。

4. ARP欺骗与动态ARP监控 网络判官

当一台设备想要向另一台设备发送IP数据包时将广播ARP请求信息，收到消息的设备将提供MAC地址，请求方将更新自己的ARP表。有时主机也可以向网络中其他主机主动发送ARP相应消息，告知自己的IP-MAC关系，收到的所有主机都会更新自己的ARP表。

ARP欺骗：ARP也是一种缺乏认证机制的协议，攻击者可以利用这个将自己伪装成另一台主机或网关路由器，实现中间人攻击，拒绝服务攻击等。

防御策略：动态ARP监控简称DAI，是三层交换机利用DHCPsnooping特性生成的DHCP snooping表来监控ARP消息的功能。若端口发来的ARP响应消息与DHCP不符合则丢弃数据包且端口进入err-disabled状态。

扩展阅读：

《数据链路层常见威胁与防御技术》数据链路层常见威胁与防御技术_链路内部的预防机制-CSDN博客 《链路层攻击》http://blog.sina.com.cn/s/blog_4e49cd230102voon.html 《网络判官 攻击》（内网安全等）http://blog.sina.com.cn/s/blog_4e49cd230102voon.html https://www.static.ixueshu.com/document/6880d4cbb106d1b5541e6e24a32dda7c318947a18e7f9386.html  《数据链路层攻击》https://wenku.baidu.com/view/121bcdef81c758f5f61f67d1.html