流量劫持是如何产生的？（一）

集线器（Hub）这种设备如今早已销声匿迹了，即使在十年前也少有人用。作为早期的网络设备，它唯一的功能就是广播数据包：把一个接口的收到的数据包群发到所有接口上。且不吐槽那小得惊人的带宽，光是这转发规则就是多么的不合理。任何人能收到整个网络环境的数据，隐私安全可想而知。

　　嗅探器成了那个时代的顶尖利器。只要配置好过滤器，不多久就能捕捉到各种明文数据，用户却没有任何防御对策。

防范措施：还在用的赶紧扔了吧。

这种设备目前唯一可用之处就是旁路嗅探。利用广播的特性，可以非常方便分析其他设备的通信，例如抓取机顶盒的数据包而不影响正常通信。

交换机的出现逐渐淘汰了集线器。交换机会绑定 MAC 地址和接口，数据包最终只发往一个终端。因此只要事先配置好 MAC 对应的接口，理论上非常安全了。

　　不过，很少有人会那么做，大多为了偷懒，直接使用了设备默认的模式 —— 自动学习。设备根据某个接口发出的包，自动关联该包的源地址到此接口。

然而这种学习并不智能，甚至太过死板，任何一个道听途说都会当作真理。用户发送一个自定义源 MAC 地址的包是非常容易的，因此交换机成了非常容易被忽悠的对象。只要伪造一个源地址，就能将这个地址关联到自己的接口上，以此获得受害者的流量。

　　不过，受害者接着再发出一个包，绑定关系又恢复原先正常的。因此只要比谁发的频繁，谁就能竞争到这个 MAC 地址的接收权。如果伪造的是网关地址，交换机就误以为网关电缆插到你接口上，网络环境里的出站流量瞬间都到了你这里。

当然，除非你有其他出站渠道，可以将窃取的数据代理出去；否则就别想再转发给被你打垮的真网关了，被劫持的用户也就没法上外网。所以这招危害性不是很大，但破坏性很强，可以瞬间集体断网。

防范措施：机器固定的网络尽量绑定 MAC 和接口吧。貌似大多数网吧都绑定了 MAC 和接口，极大增强了链路层的安全性。同时，独立的子网段尽可能划分 VLAN，避免过大的广播环境。

大学里见过千人以上还不划分 VLAN 的，用一根短路网线就可以毁掉整个网络。

之前说了集线器和交换机的转发区别。如果交换机发现一个暂时还未学习到的 MAC 地址，将会把数据包送往何处呢？为了不丢包，只能是广播到所有接口。

　　如果能让交换机的学习功能失效，那就退化成一个集线器了。由于交换机的硬件配置有限，显然不可能无限多的记录地址对应条目。我们不停伪造不重复的源地址，交换机里的记录表很快就会填满，甚至覆盖原有的学习记录，用户的数据包无法正常转发，只能广播到所有接口上了。

防范措施：还是 MAC 和接口绑定。一旦绑定，该接口只允许固定的源地址，伪造的自然就失效了。当然，好一点的交换机都有些策略，不会让一个接口关联过多的 MAC 地址。

必须得选一个 VLAN 内的、并且实际存在的地址做为目标 MAC，以免产生大量的数据风暴。