`
qq370079140
  • 浏览: 15653 次
  • 性别: Icon_minigender_1
  • 来自: 厦门
社区版块
存档分类
最新评论

深入了解交换机漏洞出现原因及解决方法

阅读更多

IDC报告显示,交换机市场近年来一直保持着较高的增长势头。交换机在企业网中占有重要的地位,通常是整个网络的核心所在,这一地位使它成为黑客入侵和病毒肆虐的重点对象,为保障自身网络安全,企业有必要对局域网上的交换机漏洞进行全面了解。以下是利用交换机漏洞的五种攻击手段

VLAN跳跃攻击

虚拟局域网(VLAN)是对广播域进行分段的方法。VLAN还经常用于为网络提供额外的安全,因为一个VLAN上的计算机无法与没有明确访问权的另一个VLAN上的用户进行对话。不过VLAN本身不足以保护环境的安全,恶意黑客通过VLAN跳跃攻击,即使未经授权,也可以从一个VLAN跳到另一个VLAN。

VLAN跳跃攻击(VLAN hopping)依靠的是动态中继协议(DTP)。如果有两个相互连接的交换机,DTP就能够对两者进行协商,确定它们要不要成为802.1Q中继,洽商过程是通过检查端口的配置状态来完成的。

VLAN跳跃攻击充分利用了DTP,在VLAN跳跃攻击中,黑客可以欺骗计算机,冒充成另一个交换机发送虚假的DTP协商消息,宣布他想成为中继; 真实的交换机收到这个DTP消息后,以为它应当启用802.1Q中继功能,而一旦中继功能被启用,通过所有VLAN的信息流就会发送到黑客的计算机上。图1表明了这个过程。中继建立起来后,黑客可以继续探测信息流,也可以通过给帧添加802.1Q信息,指定想把攻击流量发送给哪个VLAN。

生成树攻击

生成树协议(STP)可以防止冗余的交换环境出现回路。要是网络有回路,就会变得拥塞不堪,从而出现广播风暴,引起MAC表不一致,最终使网络崩溃。使用STP的所有交换机都通过网桥协议数据单元(BPDU)来共享信息,BPDU每两秒就发送一次。交换机发送BPDU时,里面含有名为网桥ID的标号,这个网桥ID结合了可配置的优先数(默认值是32768)和交换机的基本MAC地址。交换机可以发送并接收这些BPDU,以确定哪个交换机拥有最低的网桥ID,拥有最低网桥ID的那个交换机漏洞成为根网桥(Root Bridge)。

根网桥好比是小镇上的社区杂货店,每个小镇都需要一家杂货店,而每个市民也需要确定到达杂货店的最佳路线。比最佳路线来得长的路线不会被使用,除非主通道出现阻塞。根网桥的工作方式很相似。其他每个交换机确定返回根网桥的最佳路线,根据成本来进行这种确定,而这种成本基于为带宽所分配的值。如果其他任何路线发现摆脱阻塞模式不会形成回路(譬如要是主路线出现问题),它们将被设成阻塞模式。恶意黑客利用STP的工作方式来发动拒绝服务(DoS)攻击。如果恶意黑客把一台计算机连接到不止一个交换机,然后发送网桥ID很低的精心设计的BPDU,就可以欺骗交换机,使它以为这是根网桥,这会导致STP重新收敛(Reconverge),从而引起回路,导致网络崩溃。

MAC 表洪水攻击

交换机的工作方式是: 帧在进入交换机时记录下MAC源地址,这个MAC地址与帧进入的那个端口相关,因此以后通往该MAC地址的信息流将只通过该端口发送出去。这可以提高带宽利用率,因为信息流用不着从所有端口发送出去,而只从需要接收的那些端口发送出去。

MAC地址存储在内容可寻址存储器(CAM)里面,CAM是一个128K大小的保留内存,专门用来存储MAC地址,以便快速查询。如果恶意黑客向CAM发送大批数据包,就会导致交换机开始向各个地方发送大批信息流,从而埋下了隐患,甚至会导致交换机在拒绝服务攻击中崩溃。

ARP攻击

ARP(Address Resolution Protocol)欺骗是一种用于会话劫持攻击中的常见手法。地址解析协议(ARP)利用第2层物理MAC地址来映射第3层逻辑IP地址,如果设备知道了IP地址,但不知道被请求主机的MAC地址,它就会发送ARP请求。ARP请求通常以广播形式发送,以便所有主机都能收到。

恶意黑客可以发送被欺骗的ARP回复,获取发往另一个主机的信息流。图2显示了一个ARP欺骗过程,其中ARP请求以广播帧的形式发送,以获取合法用户的MAC地址。假设黑客Jimmy也在网络上,他试图获取发送到这个合法用户的信息流,黑客Jimmy欺骗ARP响应,声称自己是IP地址为10.0.0.55(MAC地址为05-1C-32-00-A1-99)的主人,合法用户也会用相同的MAC地址进行响应。结果就是,交换机在MAC地表中有了与该MAC表地址相关的两个端口,发往这个MAC地址的所有帧被同时发送到了合法用户和黑客Jimmy。

VTP攻击

VLAN中继协议(VTP,VLAN Trunk Protocol)是一种管理协议,它可以减少交换环境中的配置数量。就VTP而言,交换机可以是VTP服务器、VTP客户端或者VTP透明交换机,这里着重讨论VTP服务器和VTP客户端。用户每次对工作于VTP服务器模式下的交换机进行配置改动时,无论是添加、修改还是移除VLAN,VTP配置版本号都会增加1,VTP客户端看到配置版本号大于目前的版本号后,就知道与VTP服务器进行同步。

恶意黑客可以让VTP为己所用,移除网络上的所有VLAN(除了默认的VLAN外),这样他就可以进入其他每个用户所在的同一个VLAN上。不过,用户可能仍在不同的网络上,所以恶意黑客就需要改动他的IP地址,才能进入他想要攻击的主机所在的同一个网络上。

恶意黑客只要连接到交换机,并在自己的计算机和交换机之间建立一条中继,就可以充分利用VTP。黑客可以发送VTP消息到配置版本号高于当前的VTP服务器,这会导致所有交换机漏洞与恶意黑客的计算机进行同步,从而把所有非默认的VLAN从VLAN数据库中移除出去。

分享到:
评论

相关推荐

    局域网交换机安全LAN Switch Security

    Cisco作为网络设备和解决方案的全球领先供应商,其在交换机安全方面有着深入的研究和广泛的产品线。该书中可能介绍了Cisco产品中嵌入的安全功能以及如何配置这些安全设置来防范针对交换机的各类攻击。 “安全技术书...

    赫斯曼交换机配置详细资料

    了解交换机的日志记录、性能监视和故障诊断方法,以便在遇到问题时能迅速定位和解决。 七、固件更新与系统升级 定期检查并更新交换机的固件,以确保设备运行最新的版本,修复已知的安全漏洞和提升性能。 总的来说...

    瑞斯康达交换机软件配置指导

    本文将深入探讨“瑞斯康达交换机软件配置指导”,并基于提供的PDF文档名“Raisecom ROS 3.020051209.pdf”进行详细讲解。 瑞斯康达ROS(Raisecom Operating System)是瑞斯康达交换机使用的操作系统,它提供了一套...

    中兴交换机操作手册(上)

    ### 中兴交换机操作手册(上):ZXR10系列智能接入交换机知识点解析 ...通过深入了解其结构原理、操作指南和管理策略,网络工程师和系统管理员能够充分发挥设备潜力,构建高效、安全的企业网络环境。

    中联交换机 AK8120-R 电话交换机

    首先,我们来深入了解一下中联交换机AK8120-R的基本架构。这款交换机通常采用模块化设计,可支持多用户同时通话,具备高容量和可扩展性。它能够处理语音、数据、视频等多种通信方式,满足现代企业多样化的通信需求。...

    HuaweiS3900SI系列交换机升级文件(Release1702P32)

    在本文中,我们将深入探讨关于"华为S3900SI系列交换机升级文件(Release1702P32)"的相关知识点,包括升级过程、注意事项以及与Release1510P02版本的差异。 首先,升级文件"Release1702P32"是针对华为S3900SI系列...

    华为S5300-EI系列交换机软件版本,v200r005c00spc500+v200r005sph050

    热修复包通常用于快速解决紧急的安全漏洞或性能问题,而不影响整个系统的正常运行。 3. 文件结构与使用 - s5300ei-v200r005c00spc500.cc:这个文件可能是交换机的固件或系统映像,用于升级或恢复设备至指定版本的...

    网络互连_网桥.路由器.交换机和互连协议

    我认为,要深入了解某件东西必须把它与其它东西作比较。第1版是“最小化”的,因为我常只举两个例子:两种网桥,网桥与路由器,面向连接的与无连接的网络层协议,两个无连接的协议(CLNP和IP)。在本版中我增加了更...

    华为5300交换机运行维护手册

    ### 华为5300交换机运行维护...综上所述,《华为5300交换机运行维护手册》不仅提供了设备日常运行维护的全面指南,还深入介绍了设备的高级配置和故障排查技术,是IT专业人员进行华为5300交换机管理和维护的必备参考书。

    Catalyst 3550交换机

    通过阅读这份手册,用户可以深入了解Catalyst 3550的配置、管理和维护,从而更好地利用该设备构建高效可靠的网络环境。 总之,Cisco Catalyst 3550交换机以其强大的性能、多功能性和易管理性在企业网络中扮演着重要...

    foundry交换机配置

    本篇文章将深入探讨Foundry交换机的配置知识,主要依据提供的文件"Foundry设备操作手册.doc"和"Foundry安全配置.PDF"来展开。 首先,配置Foundry交换机的基础步骤通常包括以下几个方面: 1. **物理连接**:确保...

    各种网络服务器的简单搭建

    本教程将针对“各种网络服务器的简单搭建”这一主题,深入浅出地讲解相关知识,帮助你快速掌握网络服务器的基本操作。 首先,我们要了解什么是网络服务器。网络服务器是运行在互联网上,为用户提供各种服务的计算机...

    浅谈计算机网络通信技术的故障分析与处理.pdf

    本文将深入探讨计算机网络通信技术中常见的故障原因及处理策略。 首先,我们要了解硬件故障对网络通信的影响。电源问题是硬件故障的主要原因之一。供电不稳定或线路老化可能导致计算机无法正常运行,甚至引发网络...

    网络运行情况分析方法论

    在现代信息化社会,网络运行情况的稳定性和效率对企业的日常运营至关重要。作为网络管理人员,掌握有效的网络运行情况分析方法论是提升...只有深入了解网络运行机制,才能及时发现并解决问题,保障网络的高效稳定运行。

    cisco2600 IOS 故障解决方案

    解决方法通常是通过TFTP服务器重新加载正确的IOS映像,或者检查NVRAM中的配置是否正确。 2. **配置错误**:配置文件中的语法错误可能导致路由器无法执行命令。此时,需要仔细检查配置文件,修正语法错误,并用...

    CISCO routing_competitive_refguide

    - **Product Overviews and Vulnerabilities**:概述产品特性及潜在漏洞。 - **Weaknesses**:揭示竞争对手的弱点。 - **Sales Tactics**:分析销售策略。 - **Why Work With Cisco**:阐述为何选择与Cisco合作的...

    H3C配置详情

    这些问题可能涉及软件缺陷、硬件兼容性问题或者安全漏洞等,提供了相应的解决方案或避免方法,帮助用户在遇到问题时能够快速找到原因和解决方法。 解决问题列表给出了针对R2101版本和E2101版本的解决问题方案。这些...

    2019年计算机个人实习总结.doc

    在安徽朗讯科技有限公司的实习期间,我所在的系统集成部让我深入了解了计算机行业的实际运作,特别是系统集成开发与维护的工作。 系统集成是将不同的硬件、软件、网络设备结合,形成一个高效、稳定、易于管理的整体...

    计算机网络运行的问题及解决措施.pdf

    物理故障指的是网络硬件部分,如网卡、网线、集线器、交换机或路由器等设备因物理损坏或其他原因导致无法正常工作。逻辑故障则涉及到软件部分,比如网络协议或网络设备配置不当所导致的问题。要解决这些问题,必须从...

Global site tag (gtag.js) - Google Analytics