隨著企業(yè)數(shù)據(jù)通信業(yè)務(wù)以及相關(guān)的融合業(yè)務(wù)的迅猛發(fā)展,工業(yè)以太網(wǎng)交換機作為不可或缺的要害設(shè)備不僅在數(shù)量上獲得了極大的提高,而且在質(zhì)量����、性能等方面不斷完善��。
而伴隨著以太網(wǎng)交換機的迅速普及��,它的安全問題也日益受到相關(guān)重視�����,一起來看下有哪些需要注意的:
一���、廣播風(fēng)暴攻擊
當交換機接收到大流量的廣播數(shù)據(jù)���、組播數(shù)據(jù)或者目的MAC地址為胡亂構(gòu)造的單播數(shù)據(jù)時����,將以廣播的方式進行轉(zhuǎn)發(fā)�,如果交換機不支持對洪泛數(shù)據(jù)的流量控制,那么網(wǎng)絡(luò)的帶寬可能就會被這些垃圾數(shù)據(jù)充滿,從而網(wǎng)絡(luò)中的其它用戶無法正常上網(wǎng)�����。所以�����,交換機需要支持對從每個端口收到的洪泛數(shù)據(jù)進行速率限制��。
二�、數(shù)據(jù)對網(wǎng)絡(luò)進行攻擊
當惡意用戶向路由器發(fā)送非常大流量的數(shù)據(jù),這些數(shù)據(jù)通過交換機發(fā)送給路由器的同時���、也占用了該上聯(lián)接口的大部分帶寬���,那么其它用戶上網(wǎng)也將趕到非常的緩慢。所以�,交換機需限制每個端口進行入方向的速率,不然惡意用戶就可攻擊他所在的網(wǎng)絡(luò)����、從而影響該網(wǎng)絡(luò)內(nèi)所有的其它用戶。
三��、海量MAC地址攻擊
因為交換機在轉(zhuǎn)發(fā)數(shù)據(jù)時以MAC地址作為索引,如果數(shù)據(jù)報的目的MAC地址未知時�,將在網(wǎng)絡(luò)中以洪泛的方式轉(zhuǎn)發(fā)。所以���,惡意用戶可以向網(wǎng)絡(luò)內(nèi)發(fā)送大量的垃圾數(shù)據(jù)��,這些數(shù)據(jù)的源MAC地址不停改變���,因為交換機需要不停的進行MAC地址學(xué)習(xí)、并且交換機的MAC表容量是有限的����,當交換機的MAC表被充滿時,原有的MAC地址就會被新學(xué)習(xí)到的MAC地址覆蓋��。這樣�����,當交換機接收到路由器發(fā)送給正??蛻舻臄?shù)據(jù)時���,由于找不到該客戶MAC的記錄��,從而就將以洪泛的方式在網(wǎng)絡(luò)內(nèi)轉(zhuǎn)發(fā)��,這樣就大大降低了網(wǎng)絡(luò)的轉(zhuǎn)發(fā)性能�����。因此��,交換機需要能夠限制每個端口能夠?qū)W習(xí)MAC地址的數(shù)量�����,不然整個網(wǎng)絡(luò)就將退化為一個類似于HUB構(gòu)成的網(wǎng)絡(luò)����。
四、MAC欺騙攻擊
惡意用戶為攻擊網(wǎng)絡(luò)使之癱瘓���,還可將自己的MAC地址改為路由器的MAC地址�,然后不停地發(fā)送給交換機����,這樣,交換機就會更新MAC-X的記錄�,認為MAC-X位于與該惡意用戶連接的端口上����,此時�,當其他用戶有數(shù)據(jù)發(fā)送給路由器時,交換機將把這些數(shù)據(jù)發(fā)送給該惡意用戶�,這樣發(fā)送正常數(shù)據(jù)的用戶就不能正常上網(wǎng)了。
因此�,交換機應(yīng)具備MAC與端口的綁定功能,否則惡意用戶可簡單地讓網(wǎng)絡(luò)陷入崩潰;或交換機需綁定每個端口允許進入網(wǎng)絡(luò)的數(shù)據(jù)的源MAC地址��,這樣惡意用戶就不能通過MAC欺騙來攻擊網(wǎng)絡(luò)���。
五��、ARP欺騙攻擊
惡意用戶可以進行ARP欺騙攻擊��,即不管接收到對哪個IP地址發(fā)出的ARP請求��,都立即發(fā)送ARP應(yīng)答��,這樣其它用戶發(fā)送的數(shù)據(jù)也都將發(fā)送到惡意用戶的這個MAC地址�,這些用戶自然不能正常上網(wǎng)�����。
因此����,交換機應(yīng)該實現(xiàn)端口與IP地址的綁定功能,即若收到的ARP請求���、ARP應(yīng)答����、口數(shù)據(jù)與綁定的IP不同���,即可將這些數(shù)據(jù)丟棄掉��,否則會讓網(wǎng)絡(luò)陷入癱瘓��。
六�、環(huán)路攻擊
用戶在自己家中也安裝一個交換機���,并且故意把一根網(wǎng)線的兩端都接到該交換機上構(gòu)成環(huán)路�,然后在使用網(wǎng)線把該交換機與網(wǎng)絡(luò)中的交換機連接起來�����,由于整個網(wǎng)絡(luò)中存在環(huán)路,那么網(wǎng)絡(luò)中的MAC地址學(xué)習(xí)將會錯亂��,從而交換機轉(zhuǎn)發(fā)數(shù)據(jù)時將會產(chǎn)生錯誤�����,整個網(wǎng)絡(luò)也將陷入崩潰�。
功能越強大,安全隱患就越多���,它的安全問題也日益受到相關(guān)重視���,我們要做好這些方面的保障,發(fā)展的過程中才能暢通無阻�����。
Company News
