摘要：园区网的安全是园区日常工作的重要保障。园区网的安全防护工作离不开网络设备的安全配置，而端口安全作为一项重要的安全防护措施必不可少。本文阐述MAC泛洪攻击的工作原理以及其对园区网正常工作造成的重大影响，提出了交换机端口安全的解决方案。通过ENSP和KALI进行攻防模拟演练，从而验证端口安全解决方案的有效性，该方案在园区网的应用中效果良好。

关键词：端口安全；ENSP；MAC泛洪；KALI

近年来，许多园区网都出现MAC地址泛洪攻击现象，给园区网的正常使用造成很大影响，导致大量用户不能正常访问网络。因此，防范MAC泛洪攻击对园区网安全技术人员具有十分重要的意义。

1MAC泛洪原理

交换机转发数据帧的依据是通过自学习算法建立的MAC表。当交换机收到数据帧的时候，查看MAC地址表，看有无与源MAC地址相匹配的项，如没有，则登记源MAC及接收数据的接口；如有，则更新，接着根据MAC地址表中有无数据帧的目的MAC对数据帧的处理，如有，且目的地址与对应端口与接收端口不同，则从对应端口转发出去，否则丢弃；如没有，则从接收端口以外的其他所有端口转发。MAC泛洪则是攻击者利用交换机的工作特点，向交换机发送大量的虚假MAC地址，交换机则不断的学习虚假MAC地址，很快MAC表就会被充满，就没法继续学习地址，这样造成正常的主机的MAC地址在经过老化之后，就无法再添加到MAC地址表中，导致之后发送的单播数据帧都变成了广播。大量的广播降低了交换机的性能，造成交换机负载过大、网络缓慢和丢包甚至瘫痪。

2端口安全技术

端口安全功能是通过数据帧的源MAC地址来限定数据帧是否可以进入交换机的端口，使能端口安全功能的端口称为安全端口。可以通过静态设置特定的MAC地址或者动态学习限定允许最大数量的MAC地址来控制数据帧是否可以进入端口。只有源MAC地址为端口安全地址表中配置或者学习到的MAC地址个数没有超过限定数的数据帧才可以进入交换机通信。任何通过未知MAC地址或超过最大数量MAC而进行连接的尝试都会导致安全违规事件，数据帧会被丢弃。端口安全有三种违规处理方法：（1）保护：当新计算机接入时，如果该端口的MAC条目超过最大数量，则这个新的计算机将无法接入，交换机也不发送警告信息。（2）限制：当新计算机接入时，如果该端口的MAC条目超过最大数量，则这个新的计算机无法接入，并且交换机将发送警告信息。（3）关闭：当新计算机接入时，如果该端口的MAC条目超过最大数量，则该端口将会被关闭，则这个新的计算机和原有的计算机都无法接入网络。

3园区网的应用场景

假设某一园区网通过路由器与Internet通信，园区网各种设备通过交换机连接，园区拓扑如图1所示，其中Cloud表示攻击者所处的位置。在ENSP环境下，园区网中的主机通信是正常的，即所有主机都能相互访问并能访问网关，访问效果测试如图2所示。此时查看交换机的MAC地址表，表中仅有通信过的几条MAC地址记录，如图3所示。

3.1Cloud的设置

为了让KALI与ENSP中设备进行通信，需要对ENSP中的Cloud进行配置。首先在Cloud增加两个端口，一个是UDP端口，一个是真机的环回端口，真机环回端口需要提前配置好。然后对两个端口进行双向通道映射配置，并增加到映射表中，Cloud设置效果如图4所示。

3.2KALI的配置

KALI是一款专门为满足专业渗透测试和安全审核的要求而设计用于渗透测试的Linux操作系统。攻击者利用KALI向园区网发起MAC泛洪攻击，要实现这一功能需要将KALI通过虚拟机桥接真机环回网卡，环回网卡桥接ENSP中的云，从而与ENSP进行通信。为实现测试，KALI需要配置与园区主机同一网段的IP地址，图5为KALI进行IP地址的配置后，与网关进行通信测试效果。

3.3MAC泛洪模拟

在KALI中进行MAC泛洪渗透测试，需要在KALA中运行MACOF命令，MACOF是Dsniff套装工具集的成员，它可使用随机MAC地址泛洪交换机。当在KALI运行MACOF命令时，它会向交换机发出大量的虚拟MAC地址，导致交换机的MAC地址表急剧增加致填满，运行MACOF的效果如图6所示，可以看出，KALI产生大量的虚假MAC地址。再次查看交换机中的MAC地址表，可以看到MAC地址表中记录了大量从连接Cloud端口学习的地址记录，如图7所示。此时，园区网已不能正常通信。

4端口安全设计

为了防范MAC泛洪攻击，需要在交换机可疑端口设置可连接的最大MAC地址数。对超出的限定最大数量的连接尝试都会造成违规现象，交换机会丢弃该数据帧。因此，在本园区网中需要对交换机的G0/0/2进行端口安全的配置，配置信息为启用端口安全功能，允许最大数量是5，当出现违规现象时采取了限制处理类型，配置命令如图8所示。通过命令配置，当攻击者再通过KALI对园区网进行MAC泛洪攻击时，交换机会丢失数据帧并发出警告，从而保障园区网的安全。

5结论

本文在分析MAC泛洪攻击原理基础上，论述园区网可能存在安全危险，进而提出端口安全的解决方案。为验证该方案的有效性，本文采用ENSP和KALI进行园区网的仿真攻防演练，攻防演练结果显示，该方案防范效果显著，使园区网的安全性得到提升，园区网的正常使用得到保障。

参考文献

[1]仇虹,施俊宇等.浅析局域网内ARP攻击与防护[J].计算机与网络,2021,47(01).

[2]黄飞.基于仿真软件模拟MAC泛洪攻击与防御实验综述[J].电脑知识与技术,2019,15(18).

[3]周川,应海超.基于MAC认证的局域网ARP攻击、防范与追踪[J].中国新通信,2019,21(03).

作者:庞国莉 王小英 单位:防灾科技学院