组织防御:交换机漏洞攻击网络安全知识

对于局域网来说,做好交换机的安全防护工作实为重要,本文就为大家介绍各种针对交换机的攻击方法,然后根据这些方法有的放矢的组织防御,确保局域网的安全.

交换机市场近年来一直保持着较高的增长势头，到2009年市场规模有望达到15.1亿美元。交换机在企业网中占有重要的地位，通常是整个网络的核心所在，这一地位使它成为黑客入侵和病毒肆虐的重点对象，为保障自身网络安全，企业有必要对局域网上的交换机漏洞进行全面了解。

    ARP攻击

    最近一两年非常流行的一种攻击方法,极易造成大面积的网络瘫痪和堵塞.

　　ARP(Address Resolution Protocol)欺骗是一种用于会话劫持攻击中的常见手法。地址解析协议(ARP)利用第2层物理MAC地址来映射第3层逻辑IP地址，如果设备知道了 IP地址，但不知道被请求主机的MAC地址，它就会发送ARP请求。ARP请求通常以广播形式发送，以便所有主机都能收到。

　　恶意黑客可以发送被欺骗的ARP回复，获取发往另一个主机的信息流。一个ARP欺骗过程，其中ARP请求以广播帧的形式发送，以获取合法用户的MAC地址。假设黑客Jimmy也在网络上，他试图获取发送到这个合法用户的信息流，黑客Jimmy欺骗ARP响应，声称自己是IP地址为 10.0.0.55(MAC地址为05-1C-32-00-A1-99)的主人，合法用户也会用相同的MAC地址进行响应。结果就是，交换机在MAC地表中有了与该MAC表地址相关的两个端口，发往这个MAC地址的所有帧被同时发送到了合法用户和黑客Jimmy.

　　VLAN跳跃攻击

　　虚拟局域网(VLAN)是对广播域进行分段的方法。VLAN还经常用于为网络提供额外的安全，因为一个VLAN上的计算机无法与没有明确访问权的另一个VLAN上的用户进行对话。不过VLAN本身不足以保护环境的安全，恶意黑客通过VLAN跳跃攻击，即使未经授权，也可以从一个VLAN跳到另一个VLAN.

　　VLAN跳跃攻击(VLAN hopping)依靠的是动态中继协议(DTP)。如果有两个相互连接的交换机，DTP就能够对两者进行协商，确定它们要不要成为802.1Q中继，洽商过程是通过检查端口的配置状态来完成的。

　　VLAN跳跃攻击充分利用了DTP，在VLAN跳跃攻击中，黑客可以欺骗计算机，冒充成另一个交换机发送虚假的DTP协商消息，宣布他想成为中继; 真实的交换机收到这个DTP消息后，以为它应当启用802.1Q中继功能，而一旦中继功能被启用，通过所有VLAN的信息流就会发送到黑客的计算机上。

　　中继建立起来后，黑客可以继续探测信息流，也可以通过给帧添加802.1Q信息，指定想把攻击流量发送给哪个VLAN.

　　生成树攻击

　　生成树协议(STP)可以防止冗余的交换环境出现回路。要是网络有回路，就会变得拥塞不堪，从而出现广播风暴，引起MAC表不一致，最终使网络崩溃。

　　使用STP的所有交换机都通过网桥协议数据单元(BPDU)来共享信息，BPDU每两秒就发送一次。交换机发送BPDU时，里面含有名为网桥 ID的标号，这个网桥ID结合了可配置的优先数(默认值是32768)和交换机的基本MAC地址。交换机可以发送并接收这些BPDU，以确定哪个交换机拥有最低的网桥ID，拥有最低网桥ID的那个交换机成为根网桥(root bridge)。

　　根网桥好比是小镇上的社区杂货店，每个小镇都需要一家杂货店，而每个市民也需要确定到达杂货店的最佳路线。比最佳路线来得长的路线不会被使用，除非主通道出现阻塞。 

转截请注明:文章来自 pc捍卫者 http://www.pchwz.com 本站发布此文为传递更多信息之目的,不表明pc捍卫者赞同其观点