局域網(wǎng)交換機的安全問(wèn)題

　　解決局域網(wǎng)交換機的安全問(wèn)題，交換機就不能再純粹完成轉發(fā)工作了事，如果這些功能轉移到交換機上，簡(jiǎn)化了網(wǎng)絡(luò )節點(diǎn)的增加、移動(dòng)和網(wǎng)絡(luò )變化的操作。但是什么是真正解決局域網(wǎng)交換機安全問(wèn)題的要素呢，下文給您去全面的分析研究。

　　早期的網(wǎng)絡(luò )攻擊和惡意入侵主要來(lái)自外網(wǎng)，而且是少部分學(xué)習黑客技術(shù)的人所為，因此當時(shí)哪怕只是通過(guò)一個(gè)防火墻簡(jiǎn)單的封堵一些端口，檢測一些特征數據包就能實(shí)現內網(wǎng)的安全。

　　然而，自沖擊波病毒開(kāi)始，病毒在局域網(wǎng)交換機瘋狂傳播所造成的強大殺傷力開(kāi)始讓用戶(hù)心驚膽戰，之后計算機病毒更是控制住大量的“僵尸”電腦對特定網(wǎng)站或者服務(wù)器發(fā)動(dòng)洪水攻擊。

　　進(jìn)入2006年，在網(wǎng)吧行業(yè)影響最嚴重的安全問(wèn)題變成了ARP和DDOS，這些惡意程序不僅巧妙偽裝而且無(wú)處不在，更嚴重的是一旦局域網(wǎng)交換機某臺計算機感染了病毒，就會(huì )造成大量的計算機掉線(xiàn)甚至整個(gè)網(wǎng)絡(luò )陷入癱瘓，令網(wǎng)吧業(yè)主和網(wǎng)吧玩家萬(wàn)般無(wú)奈，在公司企業(yè)內部網(wǎng)絡(luò )也幾乎存在同樣的問(wèn)題，而此時(shí)傳統的防火墻卻顯得毫無(wú)辦法。

　　局域網(wǎng)也成病毒高發(fā)地區

　　如果是在4年前，局域網(wǎng)還是非常安全的，很多公司也習慣了直接在局域網(wǎng)共享各種常用軟件和資料，但是現在為了獲得一些非正當的利益，很多病毒開(kāi)發(fā)者打起了局域網(wǎng)交換機的主意：先是由于網(wǎng)游的熱火而產(chǎn)生了ARP病毒。

　　這是一種欺騙性質(zhì)的病毒，雖然它的目的并不是破壞局域網(wǎng)，但為了達到它盜寶的目的，會(huì )嚴重影響其它局域網(wǎng)用戶(hù)的正常上網(wǎng)活動(dòng)。所謂ARP攻擊其實(shí)就是內網(wǎng)某臺主機偽裝成網(wǎng)關(guān)，欺騙內網(wǎng)其他主機將所有發(fā)往網(wǎng)關(guān)的信息發(fā)到這臺主機上。

　　但是由于此臺主機的數據處理轉發(fā)能力遠遠低于網(wǎng)關(guān)，所以就會(huì )導致大量信息堵塞，網(wǎng)速越來(lái)越慢，甚至造成網(wǎng)絡(luò )癱瘓，而且ARP病毒這樣做的目的就是為了截取用戶(hù)的信息，盜取諸如網(wǎng)絡(luò )游戲帳號、QQ密碼等用戶(hù)信息，因此它不僅會(huì )造成局域網(wǎng)堵塞，也會(huì )威脅到局域網(wǎng)交換機用戶(hù)的信息安全。

　　接著(zhù)很多針對特殊服務(wù)器或是網(wǎng)游私x的DDOS攻擊也開(kāi)始大舉利用網(wǎng)吧或企業(yè)網(wǎng)絡(luò )中的客戶(hù)機作為“僵尸”電腦，對指定的服務(wù)器IP發(fā)送大量的數據包，“僵尸”電腦越多，服務(wù)器被消耗的帶寬也越多。

　　利用這個(gè)原理耗盡服務(wù)器的帶寬，就可以達到讓對方服務(wù)器掉線(xiàn)以便對服務(wù)器運營(yíng)者進(jìn)行惡意勒索的目的。這種攻擊方式雖然是針對外網(wǎng)服務(wù)器，但是它在攻擊過(guò)程中需要向路由器發(fā)送大量的數據包，會(huì )直接導致路由器僅有的100M LAN口被“堵滿(mǎn)”，因此其他局域網(wǎng)的計算機的請求無(wú)法提交到路由器進(jìn)行處理，結果就產(chǎn)生局域網(wǎng)計算機全部“掉線(xiàn)”的現象。

　　還有一種針對服務(wù)器的SYN攻擊也會(huì )令局域網(wǎng)電腦全體“掉線(xiàn)”： SYN攻擊屬于DOS攻擊的一種，它利用TCP協(xié)議三次握手的等待確認缺陷，通過(guò)發(fā)送大量的半連接請求，耗費CPU和內存資源。

　　SYN攻擊除了能影響主機外，還可以危害路由器、防火墻等網(wǎng)絡(luò )系統，事實(shí)上SYN攻擊并不管目標是什么系統，只要這些系統打開(kāi)TCP服務(wù)就可以實(shí)施。配合IP欺騙，SYN攻擊能達到很好的效果。

　　通常，感染SYN病毒的客戶(hù)端在短時(shí)間內偽造大量不存在的IP地址，向服務(wù)器不斷地發(fā)送SYN包，服務(wù)器回復確認包，并等待客戶(hù)的確認，由于源地址是不存在的，服務(wù)器需要不斷的重發(fā)直至超時(shí)，這些偽造的SYN包將長(cháng)時(shí)間占用未連接隊列，正常的SYN請求被丟棄，目標系統和路由器運行緩慢，嚴重的時(shí)候就直接引起整個(gè)局域網(wǎng)交換機的網(wǎng)絡(luò )堵塞甚至系統癱瘓。

　　面對日益嚴重的內網(wǎng)攻擊和整網(wǎng)掉線(xiàn)問(wèn)題，很多路由器和防火墻開(kāi)發(fā)商也在產(chǎn)品中加入了相關(guān)技術(shù)，例如加入IP-MAC綁定功能可以防止局域網(wǎng)的ARP欺騙，但是這些設備由于以太網(wǎng)工作原理的關(guān)系，其實(shí)還是無(wú)法全面解決內網(wǎng)安全問(wèn)題。

　　例如DDOS攻擊，雖然路由器和防火墻可以利用一些設定好的規則判斷出哪些數據包帶有DDOS攻擊的特征，但是它必須在收到這些數據包之后才能對數據包進(jìn)行分析，而這些數據包在收過(guò)來(lái)的時(shí)候其實(shí)就已經(jīng)占用了LAN口的帶寬資源。

　　由于路由器和防火墻都在局域網(wǎng)的最外端，這樣的網(wǎng)絡(luò )結構已經(jīng)決定了它們無(wú)法在攻擊數據包產(chǎn)生的時(shí)候就進(jìn)行封堵，而且這些設備大部分還是采用100Mb的帶寬與LAN交換機相連。

　　加上大部分的局域網(wǎng)交換機都是線(xiàn)速轉發(fā)的二層交換機，受感染客戶(hù)端發(fā)送的大量數據包可以很快用完這些帶寬，因此網(wǎng)絡(luò )數據傳輸的壓力都加載在路由器的LAN端口，這時(shí)候很多正常的請求都無(wú)法順利通過(guò)LAN口提交過(guò)去，因此即使路由器知道哪些是正常的請求也無(wú)濟于事。

【局域網(wǎng)交換機的安全問(wèn)題】相關(guān)文章：

無(wú)線(xiàn)局域網(wǎng)交換機實(shí)現多個(gè)AP07-23

交換機故障08-21

對稱(chēng)交換機與不對稱(chēng)交換機的區別07-21

交換機功能介紹09-01

交換機知識問(wèn)答05-15

Excel怎么在局域網(wǎng)聊天08-16

淺談無(wú)線(xiàn)交換機性能09-22

光纖通道交換機技術(shù)06-11

思科交換機產(chǎn)品介紹05-27

交換機層數詳細介紹10-17