文章总结： 本文讲本地网络评估中的物理接入策略：接入后应立即阻断出站流量并禁用DHCP以规避NAC检测。随后利用Wireshark被动监听ARP、MAC及二层协议识别网络拓扑。文章提供了Linux与Windows的配置命令，强调被动监听及环境恢复步骤。 综合评分： 90 文章分类： 内网渗透,红队,渗透测试

本地网络中的网络接入控制（NAC）与 802.1X 实战解析（一）

原创

寰宇秘阁 寰宇秘阁

寰宇密阁

2026年1月27日 10:01 安徽

在企业网络安全建设中，网络接入控制（NAC） 与 802.1X 往往被看作是“理所当然存在”的基础设施。但在安全评估或攻防演练中，这部分内容恰恰是理解本地网络安全状况的关键切入口。

本文将以本地网络安全评估为背景，介绍在完成授权后，设备成功接入网络端口后的第一步应该做什么，以及为什么“先监听、后行动”在 NAC / 802.1X 场景下至关重要。

一、从物理接入说起：本地网络并非绝对安全

在前面的章节中，我们已经提到过通过 USB 设备 等物理介质实施攻击的场景。这类攻击不依赖漏洞扫描或远程利用，而是直接针对企业的物理安全和人员安全意识。

因此，很多公司会通过以下方式进行防御验证：

• 社会工程学评估（Social Engineering Assessment）
• 模拟攻击者尝试获取物理网络接入的演练

在真实环境中，这通常意味着两种情况之一：

• 一台已经连接到网络的终端被成功控制
• 一台全新的设备被直接接入企业网络接口

在 MITRE ATT&CK 框架中，这类行为对应 T1200（Hardware Additions）。需要强调的是： 所有操作都必须以签署的 PTA（授权测试协议）为前提。

二、接入网口后的第一件事：不要发送任何数据包

完成组织层面的授权后，评估正式开始。常见的第一步是：

使用网线将测试用笔记本或测试设备接入已有的网络插口

但此时有一个非常重要的原则：

在不了解网络之前，不要让设备“开口说话”

为什么要阻断所有外发流量？

• DHCP 请求、本地广播极易被 NAC 或交换机检测到
• 可能触发 802.1X 认证流程或端口隔离
• 暴露“未知设备”的存在，直接终止评估空间

因此，在任何 IP 地址分配、任何主动通信发生之前，应先阻断所有出站流量，并禁用 DHCP。

三、实战配置：阻断外发流量

1. Kali Linux 下的处理方式

在 Kali Linux 中，一条 iptables 规则即可完成最基本的控制：

iptables -A OUTPUT -o eth0 -j DROP

该命令的含义是：

• 所有通过 eth0 接口向外发送的数据包，全部丢弃

如果 Kali 是运行在虚拟机中，还需要确保宿主机本身不会向网络发送任何数据包，否则仍然可能暴露测试行为。

2. Windows 系统下的处理方式

在 Windows 中，可以通过 PowerShell 配置防火墙来阻断出站连接：

Set-NetFirewallProfile -Profile Domain,Public,Private `
-Enabled True `
-DefaultInboundAction Allow `
-DefaultOutboundAction Block `
-NotifyOnListen True `
-LogFileName %SystemRoot%\System32\LogFiles\Firewall\pfirewall.log

该配置实现的效果包括：

• 启用所有防火墙策略配置文件
• 默认允许入站连接
• 默认阻断所有出站连接
• 启用监听通知并开启日志记录

四、通过被动监听“认识”网络

完成流量阻断之后，下一步不是扫描、不是探测，而是：

启动 Wireshark，做一个安静的旁观者

Wireshark 的图形界面非常适合用于早期分析网络环境。即便只是被动监听 5～15 分钟，通常也能收集到大量有价值的信息。

重点观察内容包括：

• ARP 请求频繁出现的 IP 地址

• 往往是默认网关

• 也可能是关键服务器或核心网络设备

• MAC 地址

• 记录已知设备的 MAC

• 为后续可能存在的访问控制绕过提供信息基础

• NetBIOS 广播

• 常常会泄露主机名、服务器名称

• 有助于初步判断域环境或业务系统

• VLAN Tag、STP 等二层协议

• 表明交换机配置情况

• 可能暗示网络设备未完全加固

这些信息完全来自被动监听，不需要发送任何请求，却能帮助你快速建立对网络拓扑和关键资产的基本认知。

五、NAC 与 802.1X 的现实意义

在完成这一阶段的分析后，你会直观体会到 NAC 和 802.1X 的价值所在：

• 是否允许未知设备获取 IP 地址
• 广播和链路层流量是否被限制
• 网络是否根据设备身份进行隔离

评估的重点并不是“能否攻击成功”，而是：

现有网络接入控制策略是否有效，是否存在配置缺陷或盲区

六、测试结束后的必要步骤：恢复现场

在完成分析后，一定不要忘记清理环境：

1. 将测试设备从网络中物理断开
2. 恢复系统防火墙与网络配置

防火墙规则恢复示例

• Windows：

netsh advfirewall reset

• Linux：

iptables -F

（除非当前发行版使用了自带的防火墙服务）

遗留的防火墙规则不仅会影响后续测试，有时还可能对正常网络使用造成干扰。

结语

在本地网络安全评估中，信息并不总是通过“攻击”获得的。 在 NAC 和 802.1X 保护下的环境里：

安静地监听，往往比主动探测更安全，也更有效。

理解这一点，不仅有助于安全测试人员优化评估流程，也能帮助网络管理员从防御角度重新审视现有的接入控制策略。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：寰宇密阁 寰宇秘阁 寰宇秘阁《本地网络中的网络接入控制（NAC）与 802.1X 实战解析（一）》