数据链路层安全：MAC机制、CAM表与ARP底层解剖

在渗透测试的内网信息收集与横向移动阶段，数据链路层（OSI 第二层，Layer 2）往往是攻击者最先接触的战场。与基于 IP 路由的网络层不同，数据链路层负责的是同一个局域网（LAN）内节点之间的直接通信。

本文将剥开交换机与网卡的黑盒，结合日常抓包与命令输出，深入解析 MAC 地址机制、交换机 CAM 表的运转逻辑，以及 ARP 协议的底层报文结构。

1. MAC 地址与局域网通信基石

1.1 MAC 地址的物理本质

MAC（Media Access Control）地址是烧录在网络接口控制器（NIC）中的 48 位（6 字节）物理地址。前 24 位为 OUI（组织唯一标识符），由 IEEE 分配给各个硬件制造商。

💡 日常接触：如何通过 MAC 地址进行内网指纹识别？ 当我们在内网使用 arp -a 或扫描器时，经常会看到形如 00:50:56:xx:xx:xx 的 MAC 地址。经验丰富的安全人员一眼就能看出 00:50:56 是 VMware 虚拟机的专属 OUI；而 e4:ce:8f 则大概率是一台 Apple 设备。这在内网渗透的早期信息收集（踩点）中非常有用。

1.2 交换机如何工作：CAM 表机制

交换机（Switch）工作在数据链路层，其核心是大容量的 CAM（Content Addressable Memory）表。它通过读取数据帧的源 MAC 地址进行动态学习，通过读取目的 MAC 地址进行单播转发。

💻 设备视角：真实的交换机 CAM 表 登录到一台 Cisco 交换机后台，执行 show mac address-table，你看到的“黑盒”其实是这样的：

Switch# show mac address-table
          Mac Address Table
-------------------------------------------
Vlan    Mac Address       Type        Ports
----    -----------       --------    -----
   1    0050.56c0.0008    DYNAMIC     Fa0/1   # 交换机动态学习到，Fa0/1口连着这台机器
   1    a483.e7aa.bbcc    DYNAMIC     Fa0/2

2. CAM 表溢出攻击 (MAC Flooding)

理解了 CAM 表的运转逻辑，我们就能推导出针对交换机的经典攻击手段：CAM 表溢出攻击。

2.1 攻击原理与现象

交换机的 CAM 表容量是有限的。攻击者利用伪造工具（如 Linux 下的 macof），以极高的速率向交换机发送源 MAC 地址不断随机变化的数据帧。

💻 实战现象： 攻击者运行 macof -i eth0 后，如果你此时在交换机上执行 show mac address-table，会看到成千上万个毫无规律的乱码 MAC 地址瞬间塞满表项。

几秒钟内，CAM 表的空间被耗尽。当网络中其他合法主机尝试通信时，交换机在 CAM 表中找不到目的 MAC，只能触发**“未命中泛洪 (Flooding)”机制**。此时，智能交换机被“降维打击”，退化成了一台只会广播的傻瓜集线器 (Hub)。攻击者只需开启 Wireshark 混杂模式，即可嗅探到整个局域网内的所有单播流量。

2.2 防御机制：端口安全 (Port Security)

网络管理员通常在接入层交换机上配置端口安全来防御此类攻击：

Switch(config-if)# switchport port-security maximum 2  # 限制该端口最多只允许2个MAC
Switch(config-if)# switchport port-security violation restrict # 违规直接丢弃包

3. ARP 协议底层解剖

ARP 是连接网络层（IP）与链路层（MAC）的桥梁。

💻 日常接触：主机视角的 ARP 缓存表 在 Windows CMD 中输入 arp -a，这就是操作系统在后台默默维护的“IP-MAC 映射表”：
C:\> arp -a
接口: 192.168.1.100 --- 0x4
  Internet 地址         物理地址              类型
  192.168.1.1           a4-83-e7-aa-bb-cc     动态  # 动态学习到的网关MAC
  192.168.1.255         ff-ff-ff-ff-ff-ff     静态  # 广播地址

3.1 Wireshark 视角：真实的 ARP 报文

ARP 报文直接封装在以太网帧中。我们来看看 Wireshark 中抓到的一个真实 ARP Request：

Frame 1: 42 bytes on wire (336 bits), 42 bytes captured
Ethernet II, Src: Vmware_c0:00:08 (00:50:56:c0:00:08), Dst: Broadcast (ff:ff:ff:ff:ff:ff)
Address Resolution Protocol (request)
    Hardware type: Ethernet (1)
    Protocol type: IPv4 (0x0800)
    Hardware size: 6
    Protocol size: 4
    Opcode: request (1)
    Sender MAC address: Vmware_c0:00:08 (00:50:56:c0:00:08)
    Sender IP address: 192.168.1.10
    Target MAC address: 00:00:00_00:00:00 (00:00:00:00:00:00)  # 因为不知道，所以全填0
    Target IP address: 192.168.1.1

3.2 免费 ARP (Gratuitous ARP)

免费 ARP 是一种特殊的 ARP 包：源 IP 和目标 IP 都是发送者自己的 IP。

合法用途（IP 冲突检测）：当你刚给电脑配好 IP 时，系统会发一个免费 ARP。如果收到了 Reply，说明内网有别人在用这个 IP，Windows 就会弹窗提示“IP地址冲突”。
恶意用途：由于免费 ARP 会强制更新接收者的 ARP 缓存表，它也是执行 ARP 欺骗的绝佳载体。

4. 协议设计缺陷与 ARP 欺骗 (ARP Spoofing)

4.1 协议的致命弱点

无状态与无验证：ARP 协议没有身份验证。
被动更新机制：现代操作系统为了效率，即便自己没有发送过 ARP Request，只要收到 ARP Reply，就会盲目信任并覆盖本地的 ARP Cache 表。

4.2 ARP 中间人攻击实战剖析

假设网关为 192.168.1.1，受害者为 192.168.1.100。攻击者利用工具（如 arpspoof）持续发送伪造的 ARP Reply：

# 欺骗受害者：我是网关
arpspoof -i eth0 -t 192.168.1.100 192.168.1.1
# 欺骗网关：我是受害者
arpspoof -i eth0 -t 192.168.1.1 192.168.1.100

此时，受害者电脑里 arp -a 看到的网关 MAC 地址，已经悄悄变成了攻击者电脑的 MAC。所有上网流量都会先送到攻击者的网卡，形成中间人攻击 (MITM)。

4.3 终极防御：动态 ARP 检测 (DAI)

面对泛滥的 ARP 攻击，企业级防御的核心是 DAI (Dynamic ARP Inspection) 技术。 DAI 部署在接入层交换机上，它依赖于 DHCP Snooping 绑定表。交换机会抓取每一个 ARP 报文，比对其 Sender IP 和 Sender MAC 是否与 DHCP 颁发的合法记录一致，不一致则直接在交换机端口丢弃，从根源上阻断伪造。

总结：数据链路层是“弱肉强食”的丛林。深刻理解 CAM 表的刷新机制和 ARP 的无状态盲信弱点，结合 Wireshark 抓包的底层视角，是我们构建内网纵深防御的核心理论依据。