隨著計(jì)算機(jī)在各行各業(yè)的普遍應(yīng)用和互聯(lián)網(wǎng)技術(shù)的廣泛普及

,計(jì)算機(jī)網(wǎng)絡(luò)已深深影響著各個(gè)行業(yè)的發(fā)展
。與計(jì)算機(jī)有關(guān)的網(wǎng)絡(luò)技術(shù)也在快速發(fā)展
,其中網(wǎng)絡(luò)交換機(jī)因其高度的性價(jià)比
,在互聯(lián)網(wǎng)市場(chǎng)中愈發(fā)受到用戶的青睞
。然而
,在實(shí)際復(fù)雜的網(wǎng)絡(luò)環(huán)境中
,隨著計(jì)算機(jī)性能的不斷提升和互聯(lián)網(wǎng)技術(shù)的日新月異,針對(duì)網(wǎng)絡(luò)交換機(jī)
、路由器或其他設(shè)備的攻擊趨勢(shì)越來(lái)越嚴(yán)重
,影響也越來(lái)越劇烈。此外
,由于局域網(wǎng)的廣泛互連,加上TCP/IP協(xié)議本身的開放性
,網(wǎng)絡(luò)交換機(jī)的安全問(wèn)題值得思考。網(wǎng)絡(luò)交換機(jī)作為網(wǎng)絡(luò)環(huán)境中重要的轉(zhuǎn)發(fā)設(shè)備
,在局域網(wǎng)絡(luò)中占有極其重要的地位
,這一地位使它成為攻擊者入侵和病毒肆虐的重點(diǎn)對(duì)象
,研究網(wǎng)絡(luò)交換機(jī)的常見(jiàn)威脅攻擊及安全防范極其必要。

、網(wǎng)絡(luò)交換機(jī)的工作原理

網(wǎng)絡(luò)交換機(jī)是一個(gè)擴(kuò)大網(wǎng)絡(luò)的設(shè)備

,能夠?yàn)榫W(wǎng)絡(luò)中的子網(wǎng)絡(luò)提供更多的網(wǎng)絡(luò)接口,從而連接更多的電腦
,達(dá)到盡可能擴(kuò)大網(wǎng)絡(luò)的目的
。網(wǎng)絡(luò)交換機(jī)主要由硬件和軟件兩部分組組成
。其中,硬件按照功能可分為:(a)數(shù)據(jù)交換部分
,包括主交換芯片
、對(duì)外接口輸出等
(b)控制管理部分
,包括主CPU、調(diào)試網(wǎng)口
、配置口等
。軟件部分采用平臺(tái)化
、模塊化的設(shè)計(jì)模式,整體分為:(a)平臺(tái)層
,主要負(fù)責(zé)和用戶相關(guān)的業(yè)務(wù)邏輯處理;b)系統(tǒng)抽象層
,主要負(fù)責(zé)用戶數(shù)據(jù)到驅(qū)動(dòng)的映射:(c)驅(qū)動(dòng)層
,主要負(fù)責(zé)業(yè)務(wù)邏輯和硬件邏輯的交互
,網(wǎng)絡(luò)交換機(jī)通過(guò)運(yùn)用其在數(shù)據(jù)鏈路層的工作原理來(lái)實(shí)現(xiàn)數(shù)據(jù)的高速獨(dú)立傳播
,雖然不同的電腦連接在一個(gè)其同的網(wǎng)絡(luò)終端設(shè)備,但并不相玩影響
,而是分別傳播發(fā)送
,就像是連通一個(gè)交叉口的幾條道路。網(wǎng)絡(luò)交換機(jī)就是那個(gè)交叉口
,要發(fā)送的信息數(shù)據(jù)就是要走在這幾條分開道路的行者
,最然從同一個(gè)人口進(jìn)人
,但是在不同的線路上并行傳播,所以相互之間并不會(huì)產(chǎn)生直接沖突
,而是獨(dú)立傳輸

二、網(wǎng)絡(luò)交換機(jī)的威脅攻擊

網(wǎng)絡(luò)交換機(jī)通常處于局域網(wǎng)的內(nèi)部,在局域網(wǎng)絡(luò)中占有重要的地位

。一旦網(wǎng)絡(luò)交換機(jī)被攻擊者利用或者破壞
,整個(gè)網(wǎng)絡(luò)便處于危險(xiǎn)之中
。本文重點(diǎn)介紹針對(duì)網(wǎng)絡(luò)交換機(jī)的6種常見(jiàn)威脅攻擊:網(wǎng)絡(luò)病毒威脅攻擊
VLAN中繼威脅攻擊:VTP威脅政擊
ARP威脅攻擊、生成樹協(xié)議威脅攻擊和未經(jīng)授權(quán)主機(jī)接人網(wǎng)絡(luò)交換機(jī)端口威脅攻擊
,并提出了對(duì)應(yīng)的安全防范措施

(一)網(wǎng)絡(luò)病毒威脅攻擊

目前

,網(wǎng)絡(luò)中病毒肆虐,一不留神
,用戶的計(jì)算機(jī)就有可能感染各種病毒,病毒一旦在用戶所在的局域網(wǎng)中泛濫
,就會(huì)占用巨大的網(wǎng)絡(luò)帶寬
,造成網(wǎng)絡(luò)擁堵,網(wǎng)絡(luò)交換機(jī)很有可能由于病毒所引起的網(wǎng)絡(luò)帶寬消耗造成癱瘓
。在這種情況下
,往往會(huì)產(chǎn)生大量的異常報(bào)文
。(1)單播類異常報(bào)文:這種報(bào)文通常是不停發(fā)送給網(wǎng)絡(luò)交換機(jī),網(wǎng)絡(luò)交換機(jī)根據(jù)路由表中的數(shù)據(jù)存儲(chǔ)情況對(duì)這些單播類異常報(bào)文進(jìn)行丟棄或者轉(zhuǎn)發(fā)處理
。比如
,一種沖擊波病毒會(huì)不斷生成隨機(jī)的攻擊地址并進(jìn)行攻擊,如果這個(gè)地址是公網(wǎng)地址
,就會(huì)繼續(xù)往下傳播
,隨著受感染的情況越來(lái)越嚴(yán)重
,一些小型的網(wǎng)絡(luò)交換機(jī)將不堪重負(fù)而崩潰(2)廣播類異常報(bào)文:這種報(bào)文會(huì)以廣播的形式不斷向特定的網(wǎng)段發(fā)送攻擊.此時(shí)在這個(gè)網(wǎng)段內(nèi)的所有目標(biāo)主機(jī)都會(huì)不斷收到異常報(bào)文,并需要對(duì)這些報(bào)文進(jìn)行異常處理
,同時(shí)又需要返回信息給發(fā)送方
,這樣就會(huì)導(dǎo)致網(wǎng)絡(luò)中出現(xiàn)大量的網(wǎng)絡(luò)傳輸
,造成網(wǎng)絡(luò)擁堵,網(wǎng)絡(luò)交換機(jī)由于網(wǎng)絡(luò)傳輸將不堪重負(fù)而癱瘓(3)組播類異常報(bào)文:組播的意思是只有在這個(gè)組的范用內(nèi)
,才能互相訪問(wèn)
、傳遞數(shù)據(jù)
,就像微信群一樣。然而
,一此不應(yīng)該存在于此組播內(nèi)的主機(jī)卻可以發(fā)送給組播異常報(bào)文.這就是由于網(wǎng)絡(luò)病毒造成的,結(jié)果會(huì)導(dǎo)致組播內(nèi)出現(xiàn)大量的異常報(bào)文
,在整個(gè)組播內(nèi)互相訪問(wèn),在組播內(nèi)部的網(wǎng)絡(luò)交換機(jī)就有可能由于無(wú)法承受過(guò)多的網(wǎng)絡(luò)訪問(wèn)而崩潰

(二)VLAN中繼威脅攻擊

正常情況下,網(wǎng)絡(luò)交換機(jī)上劃分的VLAN具有隔離廣播

、一定程度上保護(hù)網(wǎng)絡(luò)安全的作用
。在沒(méi)有路由的情況下
,一個(gè)VLAN上的計(jì)算機(jī)無(wú)法與另一個(gè)VLAN上的用戶進(jìn)行通信。在VLAN中繼威脅攻擊充分利用了動(dòng)態(tài)中繼協(xié)議 (DynamicTrunk Protocol, DTP
, 攻擊者利用DTP冒充是由網(wǎng)絡(luò)交換機(jī)所發(fā)送的正常報(bào)文進(jìn)而攻擊此臺(tái)計(jì)算機(jī)所連接的交換機(jī)
。因此,如果網(wǎng)絡(luò)交換機(jī)啟動(dòng)了中繼功能
,就會(huì)導(dǎo)致異常報(bào)文發(fā)送到被攻擊的機(jī)器上,從而在不同的VLAN中進(jìn)行網(wǎng)絡(luò)攻擊

(三)VTP威脅攻擊

VLAN中繼協(xié)議 ( VLAN Trunk Protocol,VTP)是一種管理協(xié)議,可以減少交換環(huán)境中的配置數(shù)量

。就VTP而言
,網(wǎng)絡(luò)交換機(jī)可以是VTP服務(wù)器
VTP客戶端或VTP交換機(jī)
。用戶每次對(duì)工作于VTP服務(wù)器模式下的交換機(jī)進(jìn)行配置改動(dòng)時(shí),無(wú)論是添加
、修改還是移除VLAN
VTP配置版本號(hào)都會(huì)增加1 VTP客戶端看到配置版本號(hào)大于目前的版本號(hào)后
,就會(huì)與VTP服務(wù)器進(jìn)行同步。于是
,攻擊者發(fā)送VTP消息到配置版本號(hào)高于當(dāng)站的VTP服務(wù)器
,就會(huì)導(dǎo)致所有網(wǎng)絡(luò)交換機(jī)都與惡意攻擊者的計(jì)算機(jī)逃行同步,從而把所有非默認(rèn)的VLANVLAN數(shù)據(jù)庫(kù)中移除出去
,這樣就可以進(jìn)人其他每個(gè)用戶所在的同一個(gè)VLAN上。

(四)地址解析協(xié)議威脅攻擊

在網(wǎng)絡(luò)傳輸中

,往往不能僅僅通過(guò)IP地址進(jìn)行網(wǎng)絡(luò)傳輸,因?yàn)槟壳按笠?guī)模的網(wǎng)絡(luò)泛濫
IP地址己經(jīng)遠(yuǎn)遠(yuǎn)不能夠滿足當(dāng)前的需要
IP已經(jīng)完全沒(méi)有辦法定位到被使用的是哪一臺(tái)機(jī)器
。另外
,由于目前大規(guī)模路由器
、交換機(jī)的使用虛擬IP逐漸增多,為了進(jìn)行通信只能識(shí)別MAC地址
。地址解析協(xié)議 ( Address Resolution Protocol, ARP)就是將目標(biāo)機(jī)器的IP地址首先解析成為唯一的MAC地址,然后ARP會(huì)自動(dòng)搜素IPMAC的解析并通過(guò)廣播的形式進(jìn)行請(qǐng)求的發(fā)送
,這樣所有的主機(jī)就都可以收到報(bào)文信息
。于是,攻擊者就可利用ARP獲取發(fā)送報(bào)文的信息流
,采用欺騙方式連接上目標(biāo)主機(jī)并進(jìn)行通信
,從而導(dǎo)致目標(biāo)主機(jī)出現(xiàn)大量的異常報(bào)文
,導(dǎo)致網(wǎng)絡(luò)交換機(jī)的癱瘓

(五)生成樹協(xié)議威脅攻擊

生成樹協(xié)議( Spanning Tree Protocol, STP )可以通過(guò)阻塞冗余線路

,消除交換環(huán)境中出現(xiàn)的回路
。網(wǎng)絡(luò)中如果有回路
,網(wǎng)絡(luò)廣播就會(huì)在網(wǎng)絡(luò)中反復(fù)發(fā)送,進(jìn)而形成廣播風(fēng)暴導(dǎo)致整個(gè)網(wǎng)絡(luò)崩潰
。使用STP的所有網(wǎng)絡(luò)交換機(jī)都可通過(guò)網(wǎng)橋協(xié)議數(shù)據(jù)單元 (Bridge Protocol Data Unit,BPDU)來(lái)共享信息
。網(wǎng)絡(luò)交換機(jī)發(fā)送并接收這些BPDU
,以確定哪個(gè)網(wǎng)絡(luò)交換機(jī)擁有最低的網(wǎng)橋ID
,這個(gè)擁有最低網(wǎng)橋ID的網(wǎng)絡(luò)交換機(jī)就成為根網(wǎng)橋。其他每個(gè)網(wǎng)絡(luò)交換機(jī)確定返回根網(wǎng)橋的最佳路線(端口速度
、可靠性最高的路徑),其他路徑的端口設(shè)為阻塞模式
STP威脅攻擊就是惡意攻擊者首先連接到一個(gè)網(wǎng)絡(luò)交換機(jī),然后設(shè)計(jì)一組BPDU并發(fā)送給最低網(wǎng)橋1D
,就可欺騙網(wǎng)絡(luò)交換機(jī)
,導(dǎo)致STP重新收斂。由于STP協(xié)議收斂速度較慢
,在一定時(shí)問(wèn)內(nèi)會(huì)產(chǎn)生回路
,從而導(dǎo)致網(wǎng)絡(luò)崩潰

(六)未經(jīng)授權(quán)主機(jī)接入網(wǎng)絡(luò)交換機(jī)端口威助攻擊

在政府機(jī)關(guān)、科研機(jī)構(gòu)

、企事業(yè)單位的內(nèi)部網(wǎng)絡(luò)中往往會(huì)傳輸涉密或敏感資料數(shù)據(jù)
,這此數(shù)據(jù)是不允許被泄露的
。因此
,一旦有未經(jīng)過(guò)授權(quán)的計(jì)算機(jī)接入到了網(wǎng)絡(luò)交換機(jī)端口中,就會(huì)進(jìn)入到局城網(wǎng)內(nèi)部
,使政府機(jī)關(guān)、科研機(jī)構(gòu)和企事業(yè)單位的內(nèi)部網(wǎng)絡(luò)存在安全隱患

三、網(wǎng)絡(luò)交換機(jī)的安全防范

作為整個(gè)網(wǎng)絡(luò)的核心

,網(wǎng)絡(luò)交換機(jī)我出要的作用是轉(zhuǎn)發(fā)數(shù)據(jù)
,在病毒侵?jǐn)_和攻擊者威脅攻擊下,網(wǎng)絡(luò)交換機(jī)要能夠繼續(xù)保持其高效的數(shù)據(jù)轉(zhuǎn)發(fā)速率
,不受攻擊干擾
,這是網(wǎng)絡(luò)交換機(jī)所具備的最基本的安全功能。對(duì)網(wǎng)絡(luò)交換機(jī)進(jìn)行安全配置或安全升級(jí)
,可實(shí)現(xiàn)局域網(wǎng)絡(luò)交換機(jī)的安全防護(hù),加強(qiáng)內(nèi)部局域網(wǎng)絡(luò)的安全防范

(一)網(wǎng)絡(luò)病毒攻擊的安全防范

網(wǎng)絡(luò)病毒通常會(huì)造成大量的流量

,如果能夠發(fā)現(xiàn)通過(guò)網(wǎng)絡(luò)交換機(jī)的流量出現(xiàn)異常就可以很容易發(fā)現(xiàn)網(wǎng)絡(luò)中存在病毒。出于安全防范的考慮
,通常應(yīng)對(duì)網(wǎng)絡(luò)交換機(jī)的每個(gè)端口進(jìn)行流量限制
,這樣就算一旦感染了病毒
,也不用擔(dān)心網(wǎng)絡(luò)會(huì)在短時(shí)間內(nèi)癱瘓。針對(duì)單播類異常報(bào)文
,運(yùn)營(yíng)商往往采用網(wǎng)間控制報(bào)文協(xié)議來(lái)進(jìn)行防范
;針對(duì)廣播和組播類異常報(bào)文,通常會(huì)對(duì)網(wǎng)絡(luò)交換機(jī)的端口進(jìn)行隔離
,從而限制報(bào)文的單項(xiàng)發(fā)送
,減少對(duì)主機(jī)和網(wǎng)絡(luò)的影響
。隨著網(wǎng)絡(luò)的傳播
,大家應(yīng)該形成對(duì)網(wǎng)絡(luò)病毒的初步認(rèn)識(shí)
,盡可能不從網(wǎng)上下載或者點(diǎn)擊不熟悉的頁(yè)面,避免造成病毒感染
,從而導(dǎo)致網(wǎng)絡(luò)交換機(jī)的異常

(二)VLAN中繼攻擊的安全防范

對(duì)網(wǎng)絡(luò)交換機(jī)進(jìn)行安全設(shè)置可防止VLAN中繼攻擊:一是網(wǎng)絡(luò)交換機(jī)的所有中繼端口都需要使用VLAN ID

,通過(guò)明確的設(shè)置,對(duì)沒(méi)有安排端口的DTP選行全面禁止
;二是將交換機(jī)的IP/AC設(shè)登為非授權(quán)權(quán)訪問(wèn)棪式。

(三)VTP協(xié)議攻擊的安全防范

為保證VTP域的安全

VTP域可以設(shè)置密碼,VTP域中所有網(wǎng)絡(luò)交換機(jī)必須要設(shè)置成同樣的密碼
。在VTP域中的網(wǎng)絡(luò)交換機(jī)配置了同樣的密碼后
VTP才能正常工作。而無(wú)法或錯(cuò)誤識(shí)別密碼的網(wǎng)絡(luò)交換機(jī)將無(wú)法獲知VLAN消息

(四)地址解析協(xié)議攻擊的安全防范

針對(duì)ARP攻擊的安全防范

,需要將MAC地址和IP地址進(jìn)行鄉(xiāng)定,同時(shí)限制同一個(gè)IP地址所在的MAC地址可以同時(shí)發(fā)送報(bào)文的數(shù)量,防止眾多具有攻擊性的報(bào)文被發(fā)送
。通過(guò)限制MAC數(shù)量、綁定IPMAC地址
,可過(guò)濾掉很多不符合條件的異常報(bào)文

(五)未經(jīng)授權(quán)主機(jī)接入網(wǎng)絡(luò)交換機(jī)端口攻擊的安全防范

在政府機(jī)關(guān)

、科研機(jī)構(gòu)和企事業(yè)單位等局域網(wǎng)內(nèi)部
,每一個(gè)員工都應(yīng)該分配一個(gè)固定的IP,這樣就算有員工接人到網(wǎng)絡(luò)交換機(jī)中
,由于沒(méi)有合適的IP
,就無(wú)法連按到網(wǎng)絡(luò)中
。此外,網(wǎng)絡(luò)管理員應(yīng)該統(tǒng)計(jì)本單位的計(jì)算機(jī)MAC地址
,從而對(duì)網(wǎng)絡(luò)交換機(jī)進(jìn)行設(shè)置
,只有單位內(nèi)部的MAC地址才可進(jìn)行網(wǎng)絡(luò)的訪問(wèn),以有效防范末經(jīng)授權(quán)主機(jī)接人網(wǎng)絡(luò)交換機(jī)
,逃而避免對(duì)內(nèi)部網(wǎng)絡(luò)造成嚴(yán)重的安全威脅
。同時(shí),網(wǎng)絡(luò)管理員可根據(jù)本單位內(nèi)部的涉密程度
,對(duì)未經(jīng)過(guò)授權(quán)的機(jī)器接入到網(wǎng)絡(luò)交換機(jī)中的行為進(jìn)行處理。比如
,一旦發(fā)現(xiàn)有未經(jīng)授權(quán)的機(jī)器接人到網(wǎng)絡(luò)交換機(jī)中,網(wǎng)絡(luò)交換機(jī)可馬上關(guān)閉這個(gè)網(wǎng)絡(luò)所有接口
,或者是限制這個(gè)未經(jīng)過(guò)授權(quán)的設(shè)備所接人的接口

在網(wǎng)絡(luò)攻擊日益頻繁的今天。網(wǎng)絡(luò)交換機(jī)作為網(wǎng)絡(luò)環(huán)境中核心的轉(zhuǎn)發(fā)設(shè)備

,存在巨大的安全隱患
。如果不全方位加強(qiáng)網(wǎng)絡(luò)交換機(jī)的安全防范
,它很可能成為攻擊者危害政府機(jī)關(guān)
、科研機(jī)構(gòu)和企事業(yè)單位的內(nèi)部網(wǎng)絡(luò)的工具。