物理层与链路层攻击：被遗忘的底层威胁

在网络安全的讨论中，人们往往将目光聚焦于应用层和传输层，对操作系统漏洞、Web应用攻击、恶意软件等上层威胁津津乐道。然而，作为网络通信基石的物理层和链路层，其所面临的安全威胁却常常被忽视。这些底层攻击，犹如潜伏在水面下的冰山，一旦发动，往往能绕过传统安全防护，对网络的可用性、完整性和机密性造成毁灭性打击。本文将深入探讨物理层与链路层的常见攻击手段，并提出相应的防御策略，旨在唤起人们对这些“被遗忘的底层威胁”的重视。

物理层安全：无形之手的窃听与破坏

物理层作为OSI模型的最低层，负责比特流的传输。其安全威胁主要集中在对传输介质的物理访问和信号干扰上。

光纤窃听：无声的截取者

光纤通信因其高速、远距离和抗电磁干扰的特性，被广泛应用于数据中心、骨干网络等关键基础设施。然而，光纤并非绝对安全。攻击者可以通过非侵入式或侵入式手段对光纤进行窃听。

非侵入式窃听通常利用光纤弯曲或剥离光纤涂层，通过耦合器提取微弱的光信号，而不中断通信。这种方法隐蔽性极高，难以被察觉。攻击者可以使用特殊设备对提取的光信号进行解码，从而获取传输的数据。

侵入式窃听则需要物理接触光纤，例如直接切割光纤并插入分光器。虽然这种方法会中断通信，但攻击者可以在短时间内完成操作，并在不被察觉的情况下恢复通信，例如在维护窗口期间进行。

防御策略：

• 物理安全防护： 严格控制光纤路径的物理访问，对光纤管道进行加密，使用带有入侵检测功能的光纤监测系统。
• 加密传输： 在数据链路层或更高层对数据进行加密，即使光信号被窃取，攻击者也无法获取明文信息。
• 光纤监控： 部署光纤线路监测系统，实时监测光纤的完整性，一旦发现异常（如光衰减变化），立即告警。

铜缆窃听与干扰：传统介质的隐患

对于传统的铜缆（如以太网线），窃听和干扰更为常见。攻击者可以通过以下方式进行攻击：

• 旁路窃听： 通过在铜缆上连接窃听设备，直接读取传输的电信号。这通常需要物理接触网线，但有些设备可以实现非接触式窃听。
• 电磁辐射窃听： 利用铜缆在传输数据时产生的电磁辐射，通过特殊设备在一定距离外截获信号。
• 信号干扰： 通过向铜缆注入强电磁干扰，导致数据传输错误或中断，实现拒绝服务攻击。

防御策略：

• 物理安全防护： 确保网线布线安全，避免暴露在公共区域，使用屏蔽网线（STP）减少电磁辐射和干扰。
• 端口安全： 在交换机上启用端口安全功能，限制每个端口允许的MAC地址数量，防止未经授权的设备接入。
• 加密传输： 同光纤一样，对铜缆传输的数据进行加密，提高数据安全性。

链路层安全：协议漏洞的利用与欺骗

链路层（Layer 2）负责局域网内的数据帧传输，其协议（如以太网、ARP、STP、VLAN）的固有缺陷和配置不当，为攻击者提供了丰富的攻击面。

MAC 欺骗：身份的冒用

MAC（Media Access Control）地址是网卡在链路层唯一的标识符。MAC欺骗是指攻击者伪造MAC地址，冒充合法设备进行网络活动。

攻击场景：

• ARP 欺骗： 攻击者伪造ARP响应，将自己的MAC地址与目标设备的IP地址绑定，从而截获流经目标设备的数据。例如，攻击者可以冒充网关，截获所有发往外部网络的数据。
• 会话劫持： 在某些认证机制中，MAC地址可能被用于身份验证。攻击者通过MAC欺骗，可以冒用合法用户的身份，劫持其网络会话。
• 绕过端口安全： 如果交换机配置了基于MAC地址的端口安全，攻击者可以通过MAC欺骗来绕过这些限制。

防御策略：

• 端口安全： 交换机端口安全功能可以绑定MAC地址和端口，只允许特定MAC地址的设备在该端口通信。
• ARP 检查： 部署动态ARP检测（DAI）或静态ARP表，防止ARP欺骗攻击。
• DHCP Snooping： 配合DHCP Snooping可以防止未经授权的DHCP服务器和中间人攻击。

STP 攻击：网络的瘫痪者

生成树协议（STP）用于防止局域网中出现环路，确保网络的稳定运行。然而，STP的缺陷也可能被攻击者利用，导致网络中断或流量劫持。

攻击原理：

攻击者可以伪造STP的BPDU（Bridge Protocol Data Unit）报文，声称自己是根桥（Root Bridge），从而改变网络的拓扑结构。一旦攻击成功，所有流量都将流经攻击者的设备，攻击者可以窃听、篡改或丢弃数据，甚至制造网络环路，导致网络瘫痪。

防御策略：

• BPDU Guard： 在用户接入端口启用BPDU Guard，当这些端口接收到BPDU报文时，立即将其禁用，防止攻击者伪造根桥。
• Root Guard： 在核心交换机和聚合交换机上启用Root Guard，防止未经授权的设备成为根桥。
• 端口安全： 结合端口安全限制接入设备的数量和类型，增加攻击难度。

VLAN Hopping：跨越边界的渗透

VLAN（Virtual Local Area Network）用于将一个物理局域网划分为多个逻辑广播域，提高网络的隔离性和安全性。然而，VLAN Hopping（VLAN跳跃）攻击可以绕过VLAN隔离，使攻击者从一个VLAN访问另一个VLAN的资源。

攻击类型：

• 交换机欺骗（Switch Spoofing）： 攻击者伪装成交换机，向合法交换机发送DTP（Dynamic Trunking Protocol）报文，协商建立Trunk链路。一旦Trunk链路建立，攻击者就可以访问所有VLAN的数据。
• 双重标记（Double Tagging）： 攻击者构造一个带有两个VLAN标签的数据帧。外层标签是合法VLAN的标签，内层标签是目标VLAN的标签。当数据帧经过交换机时，交换机只识别并剥离外层标签，然后将内层标签的数据帧转发到目标VLAN。

防御策略：

• 禁用DTP： 在所有不需要Trunk的端口上禁用DTP，防止攻击者协商建立Trunk链路。
• 手动配置Trunk： 明确指定Trunk端口和允许通过的VLAN，避免自动协商。
• Native VLAN 不匹配： 确保Trunk端口的Native VLAN与用户接入端口的Native VLAN不匹配，可以有效防止双重标记攻击。
• 端口安全： 限制每个端口允许的MAC地址数量，防止未经授权的设备接入。

端口安全：物理接入的守护者

端口安全是交换机上的一项重要功能，旨在限制每个端口允许的MAC地址数量，从而防止未经授权的设备接入网络。

工作原理：

端口安全可以通过以下方式实现：

• 静态MAC地址： 手动配置端口允许的MAC地址，只允许这些指定的设备接入。
• 动态MAC地址： 交换机自动学习端口上第一个接入设备的MAC地址，并将其绑定到该端口。后续如果有其他MAC地址的设备尝试接入，则会被阻止。
• 最大MAC地址数量： 限制每个端口可以学习的MAC地址数量。当达到最大数量时，新的MAC地址将被拒绝。

安全措施：

当端口安全检测到违规行为时，可以采取以下措施：

• Shutdown： 禁用违规端口，直到管理员手动恢复。
• Restrict： 丢弃违规数据包，并生成告警。
• Protect： 丢弃违规数据包，但不生成告警。

防御策略：

• 启用端口安全： 在所有用户接入端口上启用端口安全，并根据实际需求配置适当的安全措施。
• 限制MAC地址数量： 建议将每个端口允许的MAC地址数量设置为1，以最大程度地限制未经授权的设备接入。
• 配合其他安全功能： 端口安全应与DHCP Snooping、ARP检查等功能结合使用，形成多层次的防御体系。

总结与展望

物理层与链路层攻击虽然不如上层攻击那般光鲜亮丽，但其潜在的危害却不容小觑。这些底层威胁往往能绕过传统的防火墙、入侵检测系统等安全设备，直接威胁到网络的可用性、完整性和机密性。

为了构建一个真正安全的网络环境，我们必须将物理层与链路层安全提升到与上层安全同等重要的地位。这需要：

• 加强物理安全管理： 严格控制对网络设备的物理访问，确保光纤、铜缆等传输介质的安全。
• 实施全面的链路层安全策略： 结合端口安全、ARP检查、DHCP Snooping、BPDU Guard、Root Guard等多种技术，构建多层次的防御体系。
• 定期安全审计和漏洞扫描： 定期检查网络设备的配置，发现并修复潜在的安全漏洞。
• 提高员工安全意识： 对网络管理员和普通用户进行安全培训，使其了解底层攻击的危害和防范措施。

随着物联网、5G等新技术的快速发展，网络边界日益模糊，底层安全的重要性将进一步凸显。只有全面加强物理层与链路层安全防护，我们才能有效地抵御这些“被遗忘的底层威胁”，为数字世界的稳定运行保驾护航。