论文总字数：13791字

摘 要

网络的迅猛发展，也带来了隐患，一些不法分子不惜破坏网络安全，窃取他人信息以此谋利，攻击手段层出不穷。

网络攻击者通常会让网络瘫痪或者骗取密码之类的敏感信息以此危害用户的网络安全，而他们选择的目标绝大多数在网络的第二层,因为任何一个合法用户都能获得以太端口的访问权限，这使得一些别有用心的人有机可乘。更关键的是在OSI模型中，不同通信层即使在互相不了解的情况下仍能工作，所以二层的网络安全就变得尤为重要，如果二层受到攻击，网络安全岌岌可危。

本文将本文将详细介绍几种常用的二层攻击手段，以及防范措施，掌握了这些知识，二层网络的安全就能有很大的提升。

关键字:二层网络；二层攻击；二层防范；安全性。

ABSTRACT

The rapid development of the network, but also brings hidden dangers，some lawless elements at the expense of network security, stealing other people"s information for profit, attack means endless.
Network attackers often make the network paralyzed or cheat sensitive information such as passwords to endanger the user"s network security, and they choose the vast majority of the target in the second layer of the network, because any legitimate users can get Ethernet port Access, which makes some people with ulterior motives can take advantage of. More critical is in the OSI model, different communication layer even if they do not understand each other in the case can still work, so the two-tier network security becomes particularly important, if the second floor of the attack, network security precarious.
This article will be a detailed description of several commonly used two-level attack means, as well as preventive measures, mastered the knowledge, the security of the two-tier network can be greatly improved.

Key words: Layer 2 network; Layer 2 attack; Layer 2 protection; Security.

目 录

第一章 绪论 1

1.1 引言 1

1.2 网络安全的重要性分析 1

1.3 本文研究安排 3

第二章 二层攻击介绍与分析 4

2.1 二层攻击介绍 4

2.2 MAC洪泛攻击 4

2.3 vlan跳跃攻击 5

2.4 ARP攻击 6

2.5 DHCP欺骗攻击 8

2.6 生成树攻击 9

2.7 IP欺骗攻击 10

2.8 本章小节 11

第三章 安全与防范 12

3.1 MAC洪泛攻击 13

3.2 VLAN跳跃攻击 13

3.3 ARP攻击 13

3.4 DHCP欺骗攻击 13

3.5 生成树攻击 13

3.6 IP/MAC欺骗攻击 13

结 束 语 14

致 谢 15

参考资料 16

第一章 绪论

1.1 引言

当今社会，信息全球化给我们带来了便捷也带来了隐患。黑客往往会利用计算机的共享性，对企业甚至政府进行网络攻击，造成的破坏之大，影响之坏不可估量，因此，网络安全问题不得不重视，本文对于二层网络的攻击方式以及防范做了详细的探讨。

数据在网络中想要进行传输，必须进行封装与解封装这样一个过程，这归结于OSI网络模型，因为OSI网络模型是分层的，不同层之间的协议和规范都是特定的，也就是说各层之间互不影响。这就使得数据的一个完整传输，需要OSI的七层协调工作才能完成传输。但正是OSI各层之间的独立性，导致当某一层受到攻击时，其他的分层却没法知道，仍然进行着自己的工作，而处于低层的网络又只能向高层的网络提供服务，这也使得处于低层的二层数据链路层成为了黑客眼中绝佳的下手目标。

更为严峻的是网络攻击不在只是少部分人可以办到的，网站上的攻击软件随处可见，只需要傻瓜式的操作，即可对网络造成严重威胁，这也使得网络安全问题越来越广泛，越来越严峻。

1.2 网络安全的重要性分析

从电脑被发明到现在，经历了很多年，计算机也发生了天翻地覆的变化，从最简单的加减乘除，再到存储文件，和智能化，在这个信息高速发展的时代，网络安全问题日益突出，通过计算机所实施的各种犯罪行为络绎不绝，而且隐蔽性越来越高，法律有时候都无法制裁他们，这使我们的人身财产得不到保障，使国家机密得不到保障，所以网络安全的建设刻不容缓，必须拿出十二分精神去应对各种挑战。

1.2.1 网络五大安全隐患

自从网络科技发展壮大，人们可以足不出户在网络上给自己购买商品，可以相隔千里视频对话，可以下载安装很多有意思的软件，这都是网络给我们带来的便利。网络的出现无可厚非让我们的生活多姿多彩，但任何事情都有两面性，网络也给我们带了很多的隐患，账号无缘无故被盗取，电脑被病毒木马所绑架，银行卡中的钱财不翼而飞等等问题接踵而来，我将几类比较严重的隐患总结如下：

1. 防火墙是一种家喻户晓的防护软件，它可以保护我们的电脑，在进行对外访问时，起到保护作用，隔离一些入侵。但是防火墙也不是万能的，它可以抵制外部的侵扰，对于内部的访问，防火墙就显得相形见绌了。因为内部网络在进行双向访问时，防火墙是没办法发现的。所以，防火墙虽然好用，但是并不能让我们的电脑高枕无忧。
2. 人的操作可以决定安全工具是否能发挥该有的作用。因为人完全可以凭借个人喜好，设置安全工具是否启用，安心级别的高低。比如，防火墙的安全性级别其实是可以手动进行设置，而很多用户装了防火墙后再也没有关注过这些软件，导致这些安全软件并不能起到作用。即使可以通过静态扫描工具进行检测系统，但这些扫描工具也只是基于一种缺省的系统安全策略状态，针对具体的应用环境和专门的应用需求就很难判断设置的正确性。

(3)系统后门是防火墙很难考虑的情况。大多数情况下，这类入侵行为可以轻易的略过防火墙而不被察觉，防火墙是很难防范到此类的入侵行为。比如，每一个用户都可以在网络上查到ASP的代码，用于攻击系统。在防火墙看来，这种访问方式和正常访问没有什么区别，这是因为网络攻击者访问的时候在链接中多加了一个后缀，所以防火墙无法察觉到这类入侵行。

1. BUG问题。其实软件出现BUG是一件稀疏平常的事情，不管什么软件，开发出来或多或少都会有一些漏洞，所以程序设计者会不定期的更新补丁，来增强软件的稳定性。但是在补丁中可能会产生新BUG，这些BUG就会被不法分子利用起来，而且这些攻击计算机根本没法记录，所有至今没有什么安全软件可以控制此类攻击。

（5）黑客的攻击手段不断翻新，而防护软件的更新速度是永远跟不上黑客的攻击手段的，也就是说，我们永远无法预知黑客下面会挖出什么新的BUG来进行攻击，我们只能等黑客攻击完，分析他的攻击原理，来找到扼制他的办法。这就让我们一直被动，我们一直慢黑客一步，当我们竭尽全力找到防御方法时，可能黑客又另辟蹊径，换了另一种更为先进的攻击手段。

1.2.2 2016年网络安全热点

历史上因为网络安全防护薄弱，出现过很多重大的网络危机，我就不一一回顾，就2016年，我们来看看发生了哪些意外安全事件：

（1）2016的雅虎，因安全问题泄露15亿用户闹得沸沸扬扬。

（2）2016年10月21日，美国多个城市受一种名为MIRAI僵尸网络攻击而瘫痪。

（3）2016年5月，一个来自俄罗斯的黑客盗取了2.7亿的电子邮箱信息，并以低价在黑市售卖。

（4）2016年夏季，希拉里被黑客爆出曾使用私人信箱发邮件，邮件中涉及洗钱等政治阴谋，导致最后竞选失败。

（5）2016年6月初，一位自称“PEACE”的黑客窃取全球第二大设奖网站MYSPACE用户账号及密码高达4.27亿，这次数据泄露事件仅次于雅虎。

1.2.3 网络安全的主要威胁因素

(1)软件漏洞：至今为止，没有任何人敢保证做出来的操作系统或者软件是完美的，或多或少都有一些漏洞，所以要定时的更新补丁，这样才能提高计算机的稳定性。

(2)配置不当：如果用户没有把防火墙设置完善，那么防火墙是起不到任何保护作用的。初次安装好的防火墙如果没有将安全性调试好，其实效果真的一般，它的过滤性会很差，让一些隐蔽的木马和病毒有机会潜入。

1. 用户个人原因：在网络上，我们无法辨别一个人说的话是真是假，甚至无法确定和你聊天的是一个人，在这种情况下，我们绝对不可以把自己的账号密码告诉他们，这会对我们的财产有很大的隐患。

(4)病毒：大部分人的计算机出现问题，都是病毒惹的祸，那么病毒是怎么进入我们的计算机的呢？例如访问一些钓鱼网站，下载一些不安全的软件，随意的点开一些小窗口，这些小动作都是病毒进入我们电脑的契机。病毒一旦入侵成功，就会大肆破话计算机的正常功能，电脑很快就会瘫痪，所以，我们应该提高对病毒的防范，从源头遏制。

(5)黑客：一提到黑客，大家应该都不陌生，这群对计算机有着高超技术的人，利用一些不为人知的BUG进入他人电脑，窃取信息，危害性巨大，不夸张的说，黑客对于网络安全的危害远远超过病毒，想要与黑客抗衡，我们必须要有更为完善的防御机制，同时我们要培养一批愿意与黑势力对抗的白帽子来钳制他们。

随着改革开放的深入，我国各方面信息量的需求日益增加，并急切需要扩大传输量，提高传输率。但是信息爆炸的同时，我们国家也在遭受着各种各样的挑战和威胁，想要又快又好的发展网络，必须先进化网络环境，因此，网络信息安全迫在眉睫。

以下我列举以下几点威胁因素：

①我国在计算机网络系统的软硬件上没有自己硬气的品牌，绝大多数都是引进国外的产品，这使得我们对引进的产品缺少高效的管理以及技术。

②我国国民对于网络安全的认知度还不够，让网络攻击者乘虚而入。

③关于网络信息安全的法律仍不健全，很多不法分子可以打擦边球来逃脱法律的制裁。

④由于国民对信息安全的重视度不高，信息安全人才匮乏，需要有一个培养人才的平台。

1.3 本文研究安排

（1）计算机网络安全的介绍

（2）二层攻击的手法和介绍

（3）二层攻击的防范手段

第二章 二层攻击的手法和介绍

2.1 二层攻击介绍

二层攻击的一个特点就是让被攻击的主机失去跟踪能力，这样一来，网络攻击者就没有任何后顾之忧，肆意破坏网络。

（1）MAC洪泛攻击（2）VLAN跳跃攻击（3）ARP攻击

（4）DHCP欺骗攻击（5）生成树攻击

（6）IP/MAC欺骗攻击

2.2 MAC洪泛攻击

2.2.1 MAC地址

MediaAccessControl，从英文表面意思我们就能知道中文叫介质访问控制，绝大多数人会称它物理地址，MAC地址具有唯一性，所以每个MAC地址在全球找不出第二个一样的。

为了让更多的人能理解IP地址和MAC地址本质的区别，我简单的打个比方。我们把IP地址看成一件衣服，MAC地址看成一个想买衣服的顾客，衣服可以被很多顾客，那么IP地址是能够分配给很多的厂家，大家都可以去使用这个IP地址，说明IP地址和MAC地址之间不存在什么关系。正常情况下，两台主机需要进行通信，就必须让这两台计算机有IP地址，而MAC地址无需配置，这样一来，传递信息时，IP地址就负责表示网络层地址，路由器就会根据IP地址进行操作。

2.2.2 MAC洪泛攻击原理

当一个单播包到达交换机，交换机会查询这个单播包的目的mac，但是看表里面如果没有目的mac地址的看表条目，这个包就叫做不知道目的的单播包，并且这个包会向整个目的域的vlan泛洪。

原理：首先，我们要使用MACOF这个工具，它可以伪造出很多的物理地址，交换机负责学习CAM表，攻击者就不断的发送包，来消耗看表的资源，把我们的计算机强行从看表中踢出。

2.3 VLAN跳跃攻击

2.3.1 VLAN的概念

可以对网络进行有效的分段，增加网络的灵活性和安全性：

1. 创建vlan

Conf t

Vlan 10

1. 接口加入vlan

Int f0/2

Sw mo ac

Sw ac vlan 10//将f0/2接口加入vlan 10

2.3.2 VLAN的范围

0-4096 保留的vlan。

默认的vlan，不能删除，默认所有接口属于vlan1。

2-1001 正常，用于以太网，可以进行自我修改。

1002-1005 正常使用，默认用于FDDI和令牌环，不能删除。

1006-1024 保留，系统使用。

1025-4096 扩展，用于以太网，自由修改。

2.3.3 VLAN的跳跃攻击

图2.1

在2.3.1中，我已经提到VLAN可以对网络进行有效的分段，增加网络的灵活性和安全性，其实它的作用不止如此，它还能起到安全作用。我们都知道，不同VLAN之间的计算机是没有权限互相访问的，但是网络攻击者运用VLAN跳跃攻击，在没有获得访问权限，直接访问另一个VLAN。

那么黑客到底是靠什么协议来做到即使没有访问权限也可以访问另一个VLAN的呢？答案是动态中继协议。我们只需要两个连接的交换机，DTP就可以让两个交换机协商是否让它们成为中继。

整个VLAN跳跃攻击其实就是以DTP为突破口，网络攻击者扮演假的交换机来欺骗主机，发送虚假DTP协商消息，来达到真实交换机被欺骗开启中继功能，这样网络攻击者就可以看到所有VLAN的信息。

2.4 ARP攻击

2.4.1 ARP

这种协议的功能是得到一个IP地址，就可以相应的获取其物理地址，用最简单的话来说，利用好这个协议，我们就能轻松的让IP地址和物理地址进行转换，非常的便捷。

2.4.2 ARP协议原理

图2.2

如果主机A想要发送IP包给B，那么在TCP/IP协议中规定，IP包的报头中必须写上B的IP作为目标地址,如果我们想让两者之间进行沟通，我们这样做还远远不够，我们要在这个包外面再加上一个以太包，在这个额外附加的包里，我们还要填上主机B的物理地址。

那么，主机A是通过什么协议来知道B的MAC地址的呢？答案就是ARP协议。首先，我们的主机事先肯定并不知道主机B的物理地址，那么我们就要先进行广播来找出主机B的物理地址，这就需要用到ARP协议，因为我们在广播包里面填上了主机B的网络地址，在同一个网络环境中的主机都可以收到这个广播包，但是只有主机B会进行答复，应答包里就会填上主机B的MAC地址，再回复给主机A。这样一来，我们的主机A就可以很容易的得到主机B的物理地址了。

那么，ARP协议是不是只有在发送了请求包后才会收到应答包呢？答案是否，网络攻击者正是抓住了这个协议的漏洞，发动ARP攻击。举个简单的例子，电脑一旦接受ARP应答包后，将应答包中的IP地址和MAC地址一并存入ARP缓存中。也就是说，在局域网中，主机A向主机B发送一个假的ARP应答包，这个应答包是用来冒充主机C的，那么应答包中的IP地址和主机C是一样的，而MAC地址是攻击者伪造出来的，那么当主机B接受到主机A的这个应答包后，就会让ARP缓存进行更新，这样一来，主机B会认主机C的IP地址没有变更，但是MAC地址缺不对应。我们知道，在局域网中，数据流通依靠的不是IP地址，而是根据物理地址进行传说，那么，那个假的物理地址在主机B上被更改成了一个完全不存在的物理地址，网络就没办法传输了，主机B肯定PING不通主机C，这就是最基本的ARP攻击原理。

2.4.3 ARP攻击的顽固性

ARP攻击一直是老生常谈的问题了，我们的专家也早就对这个问题做出了很多很多的预防措施，但是真正的问题来了，那么多的防范措施真的把ARP攻击拒之门外了吗？据了解，防范措施并没有根除这个问题，主要原因是这些防范措施能力有限，没有办法在根本上解决问题，其次是因为网络的管理约束很大，不具有可操作性，也不方便去实施，再者，这些防范措施会对网络的传输能力造成损害，网速会变得很慢，带宽也会被浪费。

那么，ARP攻击是否真的无法根除呢？在第三章我们会更深入的讨论。

2.4.4 ARP攻击后的现象

计算机如果感染了ARP欺骗木马，会有很明显的症状：用户在使用局用的时候，突然断网，但是过了一段时间，又可以正常上网了，在这我分享一个自己的一个经历给大家：大家都在学校宿舍用过网，自带的网口给大学生带来了很大的便捷，但是总是有一些同学使一些小手段，学校的网突然莫名其妙卡了起来，有些时候甚至会断网，一断还断好几天的网，360总是不停的弹出窗口，有不明IP在进行ARP攻击，那是我第一次接触到ARP攻击，很是好奇，于是在网上查阅了一下，了解了它的攻击原理，先清除了自己的ARP缓存，然后将MAC地址绑定，

网才恢复过来。后来得知，原来有一些学生为了让自己的网速达到一个很好的水平，就私自下载了一些类似于P2P终结者，网络剪刀手的黑客软件，才造成了学校网的瘫痪，最后自己都没有办法上网，损人不利己，可见，现在的网络攻击已经不局限于网络高手了，网络上随便一个网站就可以下到黑客软件，傻瓜式的操作更是让网络攻击猖獗。想要避免这些攻击影响我们的生活，我们只有通过自己学习，自己进步，来对抗这些不法行为。

2.5 DHCP欺骗攻击

2.5.1 DHCP简介

DHCP协议的出现是为了分配网络地址，只需要一条信息就可以获得整个计算机的配置文件。比起 BOOTP，DHCP可以更动态的分配资源，DHCP还兼顾了BOOTP CLIENT的需求。

2.5.2 DHCP欺骗攻击

图2.3

DHCP是提供IP地址分配的服务。当局域网中的计算机设置为自动获取IP，就会在启动后发送广播包请求IP地址。主机将从DHCP那获得一个IP地址。在分配的时候，会提供DNS服务器地址。

黑客为了消耗服务器的资源，不断的制造假的IP请求包。这样一来，真的主机想要获得IP地址的时候，服务器已经没有资源进行分配了。这个时候，黑客就会把自己伪装成一个DHCP服务器，来给主机分配IP地址，并且伪造一个DNS服务器地址，把用户都引向一个假的网站。

2.6 生成树攻击

为了避免单链路故障，交换机之间相连需要多条链路，形成冗余链路，这样很容易出现：

1.广播风暴：二层设备充满了广播数据帧，会严重占用带宽，导致用户无法上网。

2.重复帧 ：冗余链路会导致收到重复的数据帧，导致速度变慢。

剩余内容已隐藏，请支付后下载全文，论文总字数：13791字