交換機市場近年來一直保持著較高的增長勢頭�����,到2009年市場規(guī)模有望達(dá)到15.1億美元。交換機在企業(yè)網(wǎng)中占有重要的地位��,通常是整個網(wǎng)絡(luò)的核心所在,這一地位使它成為黑客入侵和病毒肆虐的重點對象��,為保障自身網(wǎng)絡(luò)安全����,企業(yè)有必要對局域網(wǎng)上的交換機漏洞進(jìn)行全面了解���。以
VLAN跳躍攻擊
虛擬局域網(wǎng)(VLAN)是對廣播域進(jìn)行分段的方法���。VLAN還經(jīng)常用于為網(wǎng)絡(luò)提供額外的安全���,因為一個VLAN上的計算機無法與沒有明確訪問權(quán)的另一個VLAN上的用戶進(jìn)行對話。不過VLAN本身不足以保護(hù)環(huán)境的安全�����,惡意黑客通過VLAN跳躍攻擊����,即使未經(jīng)授權(quán)�����,也可以從一個VLAN跳到另一個VLAN.
VLAN跳躍攻擊(VLAN hopping)依靠的是動態(tài)中繼協(xié)議(DTP)�����。如果有兩個相互連接的交換機�����,DTP就能夠?qū)烧哌M(jìn)行協(xié)商��,確定它們要不要成為802.1Q中繼�����,洽商過程是通過檢查端口的配置狀態(tài)來完成的�����。
VLAN跳躍攻擊充分利用了DTP�����,在VLAN跳躍攻擊中���,黑客可以欺騙計算機��,冒充成另一個交換機發(fā)送虛假的DTP協(xié)商消息��,宣布他想成為中繼;真實的交換機收到這個DTP消息后�����,以為它應(yīng)當(dāng)啟用802.1Q中繼功能��,而一旦中繼功能被啟用���,通過所有VLAN的信息流就會發(fā)送到黑客的計算機上。
中繼建立起來后���,黑客可以繼續(xù)探測信息流,也可以通過給幀添加802.1Q信息�����,指定想把攻擊流量發(fā)送給哪個VLAN.
生成樹攻擊
生成樹協(xié)議(STP)可以防止冗余的交換環(huán)境出現(xiàn)回路���。要是網(wǎng)絡(luò)有回路���,就會變得擁塞不堪���,從而出現(xiàn)廣播風(fēng)暴,引起MAC表不一致����,最終使網(wǎng)絡(luò)崩潰。
使用STP的所有交換機都通過網(wǎng)橋協(xié)議數(shù)據(jù)單元(BPDU)來共享信息��,BPDU每兩秒就發(fā)送一次���。交換機發(fā)送BPDU時���,里面含有名為網(wǎng)橋ID的標(biāo)號,這個網(wǎng)橋ID結(jié)合了可配置的優(yōu)先數(shù)(默認(rèn)值是32768)和交換機的基本MAC地址�����。交換機可以發(fā)送并接收這些BPDU��,以確定哪個交換機擁有最低的網(wǎng)橋ID��,擁有最低網(wǎng)橋ID的那個交換機成為根網(wǎng)橋(root bridge)��。
根網(wǎng)橋好比是小鎮(zhèn)上的社區(qū)雜貨店,每個小鎮(zhèn)都需要一家雜貨店���,而每個市民也需要確定到達(dá)雜貨店的最佳路線��。比最佳路線來得長的路線不會被使用���,除非主通道出現(xiàn)阻塞���。
根網(wǎng)橋的工作方式很相似��。其他每個交換機確定返回根網(wǎng)橋的最佳路線��,根據(jù)成本來進(jìn)行這種確定��,而這種成本基于為帶寬所分配的值��。如果其他任何路線發(fā)現(xiàn)擺脫阻塞模式不會形成回路(譬如要是主路線出現(xiàn)問題)���,它們將被設(shè)成阻塞模式�����。
惡意黑客利用STP的工作方式來發(fā)動拒絕服務(wù)(DoS)攻擊。如果惡意黑客把一臺計算機連接到不止一個交換機���,然后發(fā)送網(wǎng)橋ID很低的精心設(shè)計的BPDU�����,就可以欺騙交換機���,使它以為這是根網(wǎng)橋,這會導(dǎo)致STP重新收斂(reconverge)�����,從而引起回路����,導(dǎo)致網(wǎng)絡(luò)崩潰。
MAC 表洪水攻擊
交換機的工作方式是: 幀在進(jìn)入交換機時記錄下MAC源地址����,這個MAC地址與幀進(jìn)入的那個端口相關(guān),因此以后通往該MAC地址的信息流將只通過該端口發(fā)送出去�����。這可以提高帶寬利用率,因為信息流用不著從所有端口發(fā)送出去����,而只從需要接收的那些端口發(fā)送出去。
MAC地址存儲在內(nèi)容可尋址存儲器(CAM)里面����,CAM是一個128K大小的保留內(nèi)存,專門用來存儲MAC地址�����,以便快速查詢����。如果惡意黑客向CAM發(fā)送大批數(shù)據(jù)包,就會導(dǎo)致交換機開始向各個地方發(fā)送大批信息流����,從而埋下了隱患,甚至?xí)䦟?dǎo)致交換機在拒絕服務(wù)攻擊中崩潰�����。
ARP攻擊
ARP(Address ResolutionProtocol)欺騙是一種用于會話劫持攻擊中的常見手法����。地址解析協(xié)議(ARP)利用第2層物理MAC地址來映射第3層邏輯IP地址,如果設(shè)備知道了IP地址����,但不知道被請求主機的MAC地址,它就會發(fā)送ARP請求��。ARP請求通常以廣播形式發(fā)送���,以便所有主機都能收到���。
惡意黑客可以發(fā)送被欺騙的ARP回復(fù),獲取發(fā)往另一個主機的信息流�����。一個ARP欺騙過程���,其中ARP請求以廣播幀的形式發(fā)送����,以獲取合法用戶的MAC地址。假設(shè)黑客Jimmy也在網(wǎng)絡(luò)上���,他試圖獲取發(fā)送到這個合法用戶的信息流���,黑客Jimmy欺騙ARP響應(yīng),聲稱自己是IP地址為10.0.0.55(MAC地址為05-1C-32-00-A1-99)的主人��,合法用戶也會用相同的MAC地址進(jìn)行響應(yīng)�����。結(jié)果就是���,交換機在MAC地表中有了與該MAC表地址相關(guān)的兩個端口����,發(fā)往這個MAC地址的所有幀被同時發(fā)送到了合法用戶和黑客Jimmy.
VTP攻擊
VLAN中繼協(xié)議(VTP�����,VLAN TrunkProtocol)是一種管理協(xié)議�����,它可以減少交換環(huán)境中的配置數(shù)量。就VTP而言����,交換機可以是VTP服務(wù)器�����、VTP客戶端或者VTP透明交換機���,這里著重討論VTP服務(wù)器和VTP客戶端����。用戶每次對工作于VTP服務(wù)器模式下的交換機進(jìn)行配置改動時����,無論是添加、修改還是移除VLAN���,VTP配置版本號都會增加1��,VTP客戶端看到配置版本號大于目前的版本號后��,就知道與VTP服務(wù)器進(jìn)行同步�����。
惡意黑客可以讓VTP為己所用����,移除網(wǎng)絡(luò)上的所有VLAN(除了默認(rèn)的VLAN外),這樣他就可以進(jìn)入其他每個用戶所在的同一個VLAN上���。不過�����,用戶可能仍在不同的網(wǎng)絡(luò)上��,所以惡意黑客就需要改動他的IP地址�����,才能進(jìn)入他想要攻擊的主機所在的同一個網(wǎng)絡(luò)上�����。 服務(wù)器安全產(chǎn)品
惡意黑客只要連接到交換機���,并在自己的計算機和交換機之間建立一條中繼���,就可以充分利用VTP.黑客可以發(fā)送VTP消息到配置版本號高于當(dāng)前的VTP服務(wù)器,這會導(dǎo)致所有交換機都與惡意黑客的計算機進(jìn)行同步�����,從而把所有非默認(rèn)的VLAN從VLAN數(shù)據(jù)庫中移除出去���。
關(guān)鍵詞標(biāo)簽:交換機漏洞,攻擊防護(hù)
網(wǎng)絡(luò)安全管理軟件-PCHunter使用教程
虛擬主機中ASPX一些安全設(shè)置
“和諧”內(nèi)網(wǎng)保護(hù)神——ProVisa內(nèi)網(wǎng)安全管理
Discuz!配置文件中的安全設(shè)置