當(dāng)前位置 : 首頁(yè)>軟件學(xué)院>網(wǎng)絡(luò)技術(shù)>黑客攻防>正文

預(yù)防交換機(jī)漏洞攻擊防護(hù)

http://www.yibo1263.com　2010-3-16 8:18:28 　來(lái)源:東北IT網(wǎng) 　編輯:葉子

　　交換機(jī)市場(chǎng)近年來(lái)一直保持著較高的增長(zhǎng)勢(shì)頭，到2009年市場(chǎng)規(guī)模有望達(dá)到15.1億美元。交換機(jī)在企業(yè)網(wǎng)中占有重要的地位，通常是整個(gè)網(wǎng)絡(luò)的核心所在，這一地位使它成為黑客入侵和病毒肆虐的重點(diǎn)對(duì)象，為保障自身網(wǎng)絡(luò)安全，企業(yè)有必要對(duì)局域網(wǎng)上的交換機(jī)漏洞進(jìn)行全面了解。

　　VLAN跳躍攻擊

　　虛擬局域網(wǎng)(VLAN)是對(duì)廣播域進(jìn)行分段的方法。VLAN還經(jīng)常用于為網(wǎng)絡(luò)提供額外的安全，因?yàn)橐粋€(gè)VLAN上的計(jì)算機(jī)無(wú)法與沒(méi)有明確訪問(wèn)權(quán)的另一個(gè)VLAN上的用戶(hù)進(jìn)行對(duì)話(huà)。不過(guò)VLAN本身不足以保護(hù)環(huán)境的安全，惡意黑客通過(guò)VLAN跳躍攻擊，即使未經(jīng)授權(quán)，也可以從一個(gè)VLAN跳到另一個(gè)VLAN.

　　VLAN跳躍攻擊(VLAN hopping)依靠的是動(dòng)態(tài)中繼協(xié)議(DTP)。如果有兩個(gè)相互連接的交換機(jī)，DTP就能夠?qū)烧哌M(jìn)行協(xié)商，確定它們要不要成為802.1Q中繼，洽商過(guò)程是通過(guò)檢查端口的配置狀態(tài)來(lái)完成的。

　　VLAN跳躍攻擊充分利用了DTP，在VLAN跳躍攻擊中，黑客可以欺騙計(jì)算機(jī)，冒充成另一個(gè)交換機(jī)發(fā)送虛假的DTP協(xié)商消息，宣布他想成為中繼;真實(shí)的交換機(jī)收到這個(gè)DTP消息后，以為它應(yīng)當(dāng)啟用802.1Q中繼功能，而一旦中繼功能被啟用，通過(guò)所有VLAN的信息流就會(huì)發(fā)送到黑客的計(jì)算機(jī)上。

　　中繼建立起來(lái)后，黑客可以繼續(xù)探測(cè)信息流，也可以通過(guò)給幀添加802.1Q信息，指定想把攻擊流量發(fā)送給哪個(gè)VLAN.

　　生成樹(shù)攻擊

　　生成樹(shù)協(xié)議(STP)可以防止冗余的交換環(huán)境出現(xiàn)回路。要是網(wǎng)絡(luò)有回路，就會(huì)變得擁塞不堪，從而出現(xiàn)廣播風(fēng)暴，引起MAC表不一致，最終使網(wǎng)絡(luò)崩潰。

　　使用STP的所有交換機(jī)都通過(guò)網(wǎng)橋協(xié)議數(shù)據(jù)單元(BPDU)來(lái)共享信息，BPDU每?jī)擅刖桶l(fā)送一次。交換機(jī)發(fā)送BPDU時(shí)，里面含有名為網(wǎng)橋ID的標(biāo)號(hào)，這個(gè)網(wǎng)橋ID結(jié)合了可配置的優(yōu)先數(shù)(默認(rèn)值是32768)和交換機(jī)的基本MAC地址。交換機(jī)可以發(fā)送并接收這些BPDU，以確定哪個(gè)交換機(jī)擁有最低的網(wǎng)橋ID，擁有最低網(wǎng)橋ID的那個(gè)交換機(jī)成為根網(wǎng)橋(root bridge)。

　　根網(wǎng)橋好比是小鎮(zhèn)上的社區(qū)雜貨店，每個(gè)小鎮(zhèn)都需要一家雜貨店，而每個(gè)市民也需要確定到達(dá)雜貨店的最佳路線。比最佳路線來(lái)得長(zhǎng)的路線不會(huì)被使用，除非主通道出現(xiàn)阻塞。

　　根網(wǎng)橋的工作方式很相似。其他每個(gè)交換機(jī)確定返回根網(wǎng)橋的最佳路線，根據(jù)成本來(lái)進(jìn)行這種確定，而這種成本基于為帶寬所分配的值。如果其他任何路線發(fā)現(xiàn)擺脫阻塞模式不會(huì)形成回路(譬如要是主路線出現(xiàn)問(wèn)題)，它們將被設(shè)成阻塞模式。

　　惡意黑客利用STP的工作方式來(lái)發(fā)動(dòng)拒絕服務(wù)(DoS)攻擊。如果惡意黑客把一臺(tái)計(jì)算機(jī)連接到不止一個(gè)交換機(jī)，然后發(fā)送網(wǎng)橋ID很低的精心設(shè)計(jì)的BPDU，就可以欺騙交換機(jī)，使它以為這是根網(wǎng)橋，這會(huì)導(dǎo)致STP重新收斂(reconverge)，從而引起回路，導(dǎo)致網(wǎng)絡(luò)崩潰。

　　MAC表洪水攻擊

　　交換機(jī)的工作方式是：幀在進(jìn)入交換機(jī)時(shí)記錄下MAC源地址，這個(gè)MAC地址與幀進(jìn)入的那個(gè)端口相關(guān)，因此以后通往該MAC地址的信息流將只通過(guò)該端口發(fā)送出去。這可以提高帶寬利用率，因?yàn)樾畔⒘饔貌恢鴱乃卸丝诎l(fā)送出去，而只從需要接收的那些端口發(fā)送出去。

　　MAC地址存儲(chǔ)在內(nèi)容可尋址存儲(chǔ)器(CAM)里面，CAM是一個(gè)128K大小的保留內(nèi)存，專(zhuān)門(mén)用來(lái)存儲(chǔ)MAC地址，以便快速查詢(xún)。如果惡意黑客向CAM發(fā)送大批數(shù)據(jù)包，就會(huì)導(dǎo)致交換機(jī)開(kāi)始向各個(gè)地方發(fā)送大批信息流，從而埋下了隱患，甚至?xí)䦟?dǎo)致交換機(jī)在拒絕服務(wù)攻擊中崩潰。

ARP攻擊

　　ARP(Address ResolutionProtocol)欺騙是一種用于會(huì)話(huà)劫持攻擊中的常見(jiàn)手法。地址解析協(xié)議(ARP)利用第2層物理MAC地址來(lái)映射第3層邏輯IP地址，如果設(shè)備知道了IP地址，但不知道被請(qǐng)求主機(jī)的MAC地址，它就會(huì)發(fā)送ARP請(qǐng)求。ARP請(qǐng)求通常以廣播形式發(fā)送，以便所有主機(jī)都能收到。

　　惡意黑客可以發(fā)送被欺騙的ARP回復(fù)，獲取發(fā)往另一個(gè)主機(jī)的信息流。一個(gè)ARP欺騙過(guò)程，其中ARP請(qǐng)求以廣播幀的形式發(fā)送，以獲取合法用戶(hù)的MAC地址。假設(shè)黑客Jimmy也在網(wǎng)絡(luò)上，他試圖獲取發(fā)送到這個(gè)合法用戶(hù)的信息流，黑客Jimmy欺騙ARP響應(yīng)，聲稱(chēng)自己是IP地址為10.0.0.55(MAC地址為05-1C-32-00-A1-99)的主人，合法用戶(hù)也會(huì)用相同的MAC地址進(jìn)行響應(yīng)。結(jié)果就是，交換機(jī)在MAC地表中有了與該MAC表地址相關(guān)的兩個(gè)端口，發(fā)往這個(gè)MAC地址的所有幀被同時(shí)發(fā)送到了合法用戶(hù)和黑客Jimmy.

本新聞共2頁(yè),當(dāng)前在第1頁(yè) 1 2

【收藏】【打印】【進(jìn)入論壇】

相關(guān)文章：

·磊科NS108交換機(jī)特價(jià)45元!耐用不掉線

·Cisco三層交換機(jī)堆棧連接問(wèn)題

·長(zhǎng)春市政府采購(gòu)中心采購(gòu)交換機(jī)

·廉價(jià)交換機(jī)走俏的原因以及使用風(fēng)險(xiǎn)

·詳談交換機(jī)的連接方式組建交換網(wǎng)絡(luò)

·程控交換機(jī)的綜合性防雷保護(hù)措施

·巧用交換機(jī)控制IP地址沖突故障的技巧

·不能忽略交換機(jī)初始設(shè)置

·巧用交換機(jī)控制IP地址沖突故障

·透過(guò)現(xiàn)象看問(wèn)題 Cisco交換機(jī)狀態(tài)燈

·Cisco交換機(jī)生成樹(shù)協(xié)議配置

亚洲AV无码乱码在线观看不卡|最新大伊香蕉精品视频在线|亚洲不卡av一区二区|国产美女无遮挡免费