必要防备_可操纵交换机漏洞的五种攻击手段[网络技术]

IDC报告显示,交换机市场近些年来一向保持着较高的增长势头.交换机在企业网中占据重要的地位,普通是整个网络的核心所在,这一地位使它成为黑客入侵和病毒暴虐的重点对象,为保障自身网络安全,企业有必要对局域网上的交换机漏洞举行全面理解.以下是操纵交换机漏洞的五种攻击手段.

　　VLAN腾跃攻击

　　虚拟局域网(VLAN)是对广播域举行分段的办法.VLAN还常常用于为网络供应额外的安全,因为一个VLAN上的计算机无法与没有明确拜候权的另一个VLAN上的用户举行对话.不过VLAN本身不足以保护环境的安全,恶意黑客通过VLAN腾跃攻击,即便未经受权,也可以从一个VLAN跳到另一个VLAN.

　　VLAN腾跃攻击(VLAN hopping)依靠的是动态中继协议(DTP).假若有两个彼此衔接的交换机,DTP就可以够对二者举行协商,肯定它们要不要成为802.1Q中继,恰谈历程是通过查抄端口的配置状况来完成的.

　　VLAN腾跃攻击充分操纵了DTP,在VLAN腾跃攻击中,黑客可以拐骗计算机,假充成另一个交换机发送虚假的DTP协商消息,公布他想成为中继; 真实的交换机收到这个DTP消息后,认为它该当启用802.1Q中继功效,而一旦中继功效被启用,通过全部VLAN的信息流就会发送到黑客的计算机上.图1表明了这个历程.

　　中继成立起来后,黑客可以持续探测信息流,也可以通过给帧增添802.1Q信息,指定想把攻击流量发送给哪个VLAN.

　　生成树攻击

　　生成树协议(STP)可以避免冗余的交换环境呈现回路.如果网络有回路,就会变得堵塞不堪,从而呈现广播风暴,惹起MAC表不一致,终究使网络崩溃.

　　利用STP的全部交换机都通过网桥协议数据单元(BPDU)来同享信息,BPDU每两秒就发送一次.交换机发送BPDU时,里面含闻名为网桥ID的标号,这个网桥ID结合了可配置的优先数(默许值是32768)和交换机的基本MAC地址.交换机可以发送并接纳这些BPDU,以肯定哪个交换机拥有最低的网桥ID,拥有最低网桥ID的那个交换机成为根网桥(root bridge).

　　根网桥好比是小镇上的社区杂货店,每个小镇都需求一家杂货店,而每个市民也需求肯定到达杂货店的最佳线路.比最佳线路来得长的线路不会被利用,除非主通道呈现阻塞.

　　根网桥的工作方法很类似.其他每个交换机肯定返回根网桥的最佳线路,按照成本来举行这种肯定,而这种本钱基于为带宽所分配的值.假如其他任何线路发现摆脱阻塞情势不会形成回路(比方如果主线路呈现问题),它们将被设成阻塞情势.

　　恶意黑客操纵STP的工作方法来策动回绝服务(dos)攻击.假如恶意黑客把一台计算机衔接到不止一个交换机,然后发送网桥ID很低的尽心计划的BPDU,便可以拐骗交换机,使它认为这是根网桥,这会招致STP重新收敛(reconverge),从而惹起回路,招致网络崩溃.

　　MAC 表大水攻击

　　交换机的工作方法是: 帧在进入交换机时记录下MAC源地址,这个MAC地址与帧进入的那个端口相关,因此今后通往该MAC地址的信息流将只通过该端口发送出去.这可以提高带宽操纵率,因为信息流用不着从全部端口发送出去,而只从需求接纳的那些端口发送出去.

　　MAC地址存储在内容可寻址存储器(CAM)里面,CAM是一个128K大小的保存内存,专门用来存储MAC地址,以便快速查询.假如恶意黑客向CAM发送大批数据包,就会招致交换机开始向各个地方发送大批信息流,从而埋下了隐患,乃至会招致交换机在回绝服务攻击

[1] [2]  下一页