工業(yè)以太網(wǎng)交換機(jī)發(fā)展所需面臨的六大安全問題詳解
瀏覽次數(shù):發(fā)布時(shí)間:2019-09-05
現(xiàn)如今,以太網(wǎng)
交換機(jī)技術(shù)發(fā)展飛速,
以太網(wǎng)交換機(jī)作為不可或缺的要害設(shè)備不僅在數(shù)量上獲得了極大的提高,而且在質(zhì)量、性能等方面不斷完善。在各項(xiàng)工業(yè)通信工程中,我們通常會(huì)采用專用的工業(yè)以太網(wǎng)交換機(jī),定義不同的太網(wǎng)幀優(yōu)先等級,讓用戶所希望的信息能夠以最快的速度傳遞出去。
目前,國內(nèi)工業(yè)以太網(wǎng)交換機(jī)市場中,電力和軌道交通是
工業(yè)交換機(jī)的重點(diǎn)應(yīng)用領(lǐng)域,占到市場的70%。中國工業(yè)以太網(wǎng)交換機(jī)市場活躍著大約50家廠商。國內(nèi)工業(yè)以太 網(wǎng)交換機(jī)市場的快速成長,今后幾年進(jìn)入該領(lǐng)域的企業(yè)將逐步增多,市場競爭日趨激烈。
首先,速度是我們衡量網(wǎng)絡(luò)性能的一個(gè)重要標(biāo)準(zhǔn),從而也就成為以太網(wǎng)交換機(jī)等設(shè)備發(fā)展的一個(gè)重要方向。從最初的百兆到千兆再到萬兆,以太網(wǎng)不斷滿足著人們快速增長的需求,給人們帶來超乎平常的體驗(yàn)。
其次是智能化,這里所指的智能化不僅包括交換機(jī)設(shè)備智能化的治理,還包括它們對越來越多的智能業(yè)務(wù)的支持。隨著網(wǎng)絡(luò)部署新應(yīng)用和融合多業(yè)務(wù)的需求日益迫切,單一交換機(jī)需要擁有豐富的功能以提供更多的支持,與此同時(shí),復(fù)雜的網(wǎng)絡(luò)環(huán)境加劇了網(wǎng)絡(luò)治理的難度,通過智能交換設(shè)備進(jìn)行網(wǎng)絡(luò)的集中治理,不僅簡化了治理步驟,而且降低了部署和維護(hù)的成本。
而伴隨著以太網(wǎng)交換機(jī)的迅速普及,它的安全問題也日益受到相關(guān)重視,我們目前要應(yīng)對以下這些方面:
(1)廣播風(fēng)暴攻擊
假設(shè)一個(gè)極度充滿惡意的用戶可以發(fā)送大流量的廣播數(shù)據(jù)、組播數(shù)據(jù)或者目的MAC地址為胡亂構(gòu)造的單播數(shù)據(jù),交換機(jī)接收到這些數(shù)據(jù)時(shí),將以廣播的方式進(jìn)行轉(zhuǎn)發(fā),如果交換機(jī)不支持對洪泛數(shù)據(jù)的流量控制,那么網(wǎng)絡(luò)的帶寬可能就會(huì)被這些垃圾數(shù)據(jù)充滿,從而網(wǎng)絡(luò)中的其它用戶無法正常上網(wǎng)。
因此,交換機(jī)需要支持對從每個(gè)端口收到的洪泛數(shù)據(jù)進(jìn)行速率限制。
(2)數(shù)據(jù)對網(wǎng)絡(luò)進(jìn)行攻擊
該惡意用戶可以向路由器發(fā)送非常大流量的數(shù)據(jù),這些數(shù)據(jù)通過交換機(jī)發(fā)送給路由器的同時(shí)、也占用了該上聯(lián)接口的大部分帶寬,那么其它用戶上網(wǎng)也將趕到非常的緩慢。
因此,交換機(jī)需限制每個(gè)端口進(jìn)行入方向的速率,不然惡意用戶就可攻擊他所在的網(wǎng)絡(luò)、從而影響該網(wǎng)絡(luò)內(nèi)所有的其它用戶。
(3)海量MAC地址攻擊
因?yàn)榻粨Q機(jī)在轉(zhuǎn)發(fā)數(shù)據(jù)時(shí)以MAC地址作為索引,如果數(shù)據(jù)報(bào)的目的MAC地址未知時(shí),將在網(wǎng)絡(luò)中以洪泛的方式轉(zhuǎn)發(fā)。所以,惡意用戶可以向網(wǎng)絡(luò)內(nèi)發(fā)送大量的垃圾數(shù)據(jù),這些數(shù)據(jù)的源MAC地址不停改變,因?yàn)榻粨Q機(jī)需要不停的進(jìn)行MAC地址學(xué)習(xí)、并且交換機(jī)的MAC表容量是有限的,當(dāng)交換機(jī)的MAC表被充滿時(shí),原有的MAC地址就會(huì)被新學(xué)習(xí)到的MAC地址覆蓋。這樣,當(dāng)交換機(jī)接收到路由器發(fā)送給正常客戶的數(shù)據(jù)時(shí),由于找不到該客戶MAC的記錄,從而就將以洪泛的方式在網(wǎng)絡(luò)內(nèi)轉(zhuǎn)發(fā),這樣就大大降低了網(wǎng)絡(luò)的轉(zhuǎn)發(fā)性能。
因此,交換機(jī)需要能夠限制每個(gè)端口能夠?qū)W習(xí)MAC地址的數(shù)量,不然整個(gè)網(wǎng)絡(luò)就將退化為一個(gè)類似于HUB構(gòu)成的網(wǎng)絡(luò)。
(4)MAC欺騙攻擊
惡意用戶為攻擊網(wǎng)絡(luò)使之癱瘓,還可將自己的MAC地址改為路由器的MAC地址(稱為MAC-X),然后不停(并不需要很大的流量,每秒鐘1個(gè)就足夠了)地發(fā)送給交換機(jī),這樣,交換機(jī)就會(huì)更新MAC-X的記錄,認(rèn)為MAC-X位于與該惡意用戶連接的端口上,此時(shí),當(dāng)其他用戶有數(shù)據(jù)發(fā)送給路由器時(shí),交換機(jī)將把這些數(shù)據(jù)發(fā)送給該惡意用戶,這樣發(fā)送正常數(shù)據(jù)的用戶就不能正常上網(wǎng)了(同理,該網(wǎng)絡(luò)內(nèi)所有的用戶都不能上網(wǎng))。
因此,交換機(jī)應(yīng)具備MAC與端口的綁定功能(即路由器的MAC地址最好在交換機(jī)上靜態(tài)配置),否則惡意用戶可簡單地讓網(wǎng)絡(luò)陷入崩潰;或交換機(jī)需綁定每個(gè)端口允許進(jìn)入網(wǎng)絡(luò)的數(shù)據(jù)的源MAC地址,這樣惡意用戶就不能通過MAC欺騙來攻擊網(wǎng)絡(luò)。
(5)ARP欺騙攻擊
惡意用戶可以進(jìn)行ARP欺騙攻擊,即不管接收到對哪個(gè)IP地址發(fā)出的ARP請求,都立即發(fā)送ARP應(yīng)答,這樣其它用戶發(fā)送的數(shù)據(jù)也都將發(fā)送到惡意用戶的這個(gè)MAC地址,這些用戶自然不能正常上網(wǎng)。
因此,交換機(jī)應(yīng)該實(shí)現(xiàn)端口與IP地址的綁定功能,即若收到的ARP請求、ARP應(yīng)答、口數(shù)據(jù)與綁定的IP不同,即可將這些數(shù)據(jù)丟棄掉,否則會(huì)讓網(wǎng)絡(luò)陷入癱瘓。
(6)環(huán)路攻擊
用戶在自己家中也安裝一個(gè)交換機(jī),并且故意把一根網(wǎng)線的兩端都接到該交換機(jī)上構(gòu)成環(huán)路,然后在使用網(wǎng)線把該交換機(jī)與網(wǎng)絡(luò)中的交換機(jī)連接起來,由于整個(gè)網(wǎng)絡(luò)中存在環(huán)路,那么網(wǎng)絡(luò)中的MAC地址學(xué)習(xí)將會(huì)錯(cuò)亂,從而交換機(jī)轉(zhuǎn)發(fā)數(shù)據(jù)時(shí)將會(huì)產(chǎn)生錯(cuò)誤,整個(gè)網(wǎng)絡(luò)也將陷入崩潰。
因此,交換機(jī)需具備環(huán)路檢測功能,當(dāng)發(fā)現(xiàn)某個(gè)端口存在環(huán)路時(shí),需將該端口關(guān)閉掉。
好了,以上就是關(guān)于
工業(yè)交換機(jī)安全問題的相關(guān)詳解,希望能對你有所幫助!
飛暢科技,專業(yè)做工業(yè)交換機(jī)的廠家,自主品牌,歡迎前來了解、交流。
咨詢熱線:0571-8700-7140,400-0505-571。