有一定網(wǎng)齡的朋友大概都知道�,早期的網(wǎng)絡(luò)攻擊和惡意入侵主要來自外網(wǎng),而且是少部分學(xué)習(xí)黑客技術(shù)的人所為�,因此當(dāng)時(shí)哪怕只是通過一個(gè)防火墻簡單的封堵一些端口�,檢測一些特征數(shù)據(jù)包就能實(shí)現(xiàn)內(nèi)網(wǎng)的安全�。
然而,自沖擊波病毒開始�,病毒在局域網(wǎng)交換機(jī)瘋狂傳播所造成的強(qiáng)大殺傷力開始讓用戶心驚膽戰(zhàn),之后計(jì)算機(jī)病毒更是控制住大量的"僵尸"電腦對特定網(wǎng)站或者服務(wù)器發(fā)動(dòng)洪水攻擊�,進(jìn)入2006年,在網(wǎng)吧行業(yè)影響最嚴(yán)重的安全問題變成了ARP和DDOS�,這些惡意程序不僅巧妙偽裝而且無處不在,更嚴(yán)重的是一旦局域網(wǎng)交換機(jī)某臺計(jì)算機(jī)感染了病毒�,就會造成大量的計(jì)算機(jī)掉線甚至整個(gè)網(wǎng)絡(luò)陷入癱瘓�,令網(wǎng)吧業(yè)主和網(wǎng)吧玩家萬般無奈,在公司企業(yè)內(nèi)部網(wǎng)絡(luò)也幾乎存在同樣的問題�,而此時(shí)傳統(tǒng)的防火墻卻顯得毫無辦法。
局域網(wǎng)也成病毒高發(fā)地區(qū)
如果是在4年前�,局域網(wǎng)還是非常安全的,很多公司也習(xí)慣了直接在局域網(wǎng)共享各種常用軟件和資料�,但是現(xiàn)在為了獲得一些非正當(dāng)?shù)睦妫芏嗖《鹃_發(fā)者打起了局域網(wǎng)交換機(jī)的主意:先是由于網(wǎng)游的熱火而產(chǎn)生了ARP病毒�。這是一種欺騙性質(zhì)的病毒,雖然它的目的并不是破壞局域網(wǎng)�,但為了達(dá)到它盜號盜寶的目的,會嚴(yán)重影響其它局域網(wǎng)用戶的正常上網(wǎng)活動(dòng)�。所謂ARP攻擊其實(shí)就是內(nèi)網(wǎng)某臺主機(jī)偽裝成網(wǎng)關(guān),欺騙內(nèi)網(wǎng)其他主機(jī)將所有發(fā)往網(wǎng)關(guān)的信息發(fā)到這臺主機(jī)上�。但是由于此臺主機(jī)的數(shù)據(jù)處理轉(zhuǎn)發(fā)能力遠(yuǎn)遠(yuǎn)低于網(wǎng)關(guān),所以就會導(dǎo)致大量信息堵塞�,網(wǎng)速越來越慢�,甚至造成網(wǎng)絡(luò)癱瘓�,而且ARP病毒這樣做的目的就是為了截取用戶的信息,盜取諸如網(wǎng)絡(luò)游戲帳號�、QQ密碼等用戶信息,因此它不僅會造成局域網(wǎng)堵塞�,也會威脅到局域網(wǎng)交換機(jī)用戶的信息安全。
接著很多針對特殊服務(wù)器或是網(wǎng)游私服的DDOS攻擊也開始大舉利用網(wǎng)吧或企業(yè)網(wǎng)絡(luò)中的客戶機(jī)作為"僵尸"電腦�,對指定的服務(wù)器IP發(fā)送大量的數(shù)據(jù)包,"僵尸"電腦越多�,服務(wù)器被消耗的帶寬也越多,利用這個(gè)原理耗盡服務(wù)器的帶寬�,就可以達(dá)到讓對方服務(wù)器掉線以便對服務(wù)器運(yùn)營者進(jìn)行惡意勒索的目的。這種攻擊方式雖然是針對外網(wǎng)服務(wù)器�,但是它在攻擊過程中需要向路由器發(fā)送大量的數(shù)據(jù)包,會直接導(dǎo)致路由器僅有的100M LAN口被"堵滿"�,因此其他局域網(wǎng)的計(jì)算機(jī)的請求無法提交到路由器進(jìn)行處理,結(jié)果就產(chǎn)生局域網(wǎng)計(jì)算機(jī)全部"掉線"的現(xiàn)象�。
還有一種針對服務(wù)器的SYN攻擊也會令局域網(wǎng)電腦全體"掉線": SYN攻擊屬于DOS攻擊的一種,它利用TCP協(xié)議三次握手的等待確認(rèn)缺陷�,通過發(fā)送大量的半連接請求,耗費(fèi)CPU和內(nèi)存資源�。SYN攻擊除了能影響主機(jī)外,還可以危害路由器�、防火墻等網(wǎng)絡(luò)系統(tǒng),事實(shí)上SYN攻擊并不管目標(biāo)是什么系統(tǒng)�,只要這些系統(tǒng)打開TCP服務(wù)就可以實(shí)施�。配合IP欺騙�,SYN攻擊能達(dá)到很好的效果,通常�,感染SYN病毒的客戶端在短時(shí)間內(nèi)偽造大量不存在的IP地址,向服務(wù)器不斷地發(fā)送SYN包�,服務(wù)器回復(fù)確認(rèn)包,并等待客戶的確認(rèn)�,由于源地址是不存在的,服務(wù)器需要不斷的重發(fā)直至超時(shí)�,這些偽造的SYN包將長時(shí)間占用未連接隊(duì)列,正常的SYN請求被丟棄�,目標(biāo)系統(tǒng)和路由器運(yùn)行緩慢�,嚴(yán)重的時(shí)候就直接引起整個(gè)局域網(wǎng)交換機(jī)的網(wǎng)絡(luò)堵塞甚至系統(tǒng)癱瘓。
防火墻路由器無法解決內(nèi)網(wǎng)安全問題
面對日益嚴(yán)重的內(nèi)網(wǎng)攻擊和整網(wǎng)掉線問題�,很多路由器和防火墻開發(fā)商也在產(chǎn)品中加入了相關(guān)技術(shù),例如加入IP-MAC綁定功能可以防止局域網(wǎng)的ARP欺騙�,但是這些設(shè)備由于以太網(wǎng)工作原理的關(guān)系,其實(shí)還是無法全面解決內(nèi)網(wǎng)安全問題�。
例如DDOS攻擊,雖然路由器和防火墻可以利用一些設(shè)定好的規(guī)則判斷出哪些數(shù)據(jù)包帶有DDOS攻擊的特征�,但是它必須在收到這些數(shù)據(jù)包之后才能對數(shù)據(jù)包進(jìn)行分析,而這些數(shù)據(jù)包在收過來的時(shí)候其實(shí)就已經(jīng)占用了LAN口的帶寬資源�,由于路由器和防火墻都在局域網(wǎng)的最外端,這樣的網(wǎng)絡(luò)結(jié)構(gòu)已經(jīng)決定了它們無法在攻擊數(shù)據(jù)包產(chǎn)生的時(shí)候就進(jìn)行封堵�,而且這些設(shè)備大部分還是采用100Mb的帶寬與LAN交換機(jī)相連�,加上大部分的局域網(wǎng)交換機(jī)都是線速轉(zhuǎn)發(fā)的二層交換機(jī)�,受感染客戶端發(fā)送的大量數(shù)據(jù)包可以很快用完這些帶寬,因此網(wǎng)絡(luò)數(shù)據(jù)傳輸?shù)膲毫Χ技虞d在路由器的LAN端口�,這時(shí)候很多正常的請求都無法順利通過LAN口提交過去,因此即使路由器知道哪些是正常的請求也無濟(jì)于事�。
用交換機(jī)來解決局域網(wǎng)攻擊問題
既然路由器和防火墻無法全面解決局網(wǎng)安全問題,那么自然會有人想到用交換機(jī)來解決這個(gè)問題�。在大部分網(wǎng)管人員和技術(shù)員看來,交換機(jī)就是純粹用來拓展上網(wǎng)計(jì)算機(jī)數(shù)量�,提供更多的LAN口,似乎它就只是一個(gè)只管線速轉(zhuǎn)發(fā)而從來不對數(shù)據(jù)包進(jìn)行分析的設(shè)備�,這也是二層交換機(jī)給人比較深刻的印象。
確實(shí)�,要解決局域網(wǎng)交換機(jī)的安全問題,交換機(jī)就不能再純粹完成轉(zhuǎn)發(fā)工作了事�,還需要判斷數(shù)封堵一些常見病毒所使用的端口,以及進(jìn)行端口速率限制�。有些讀者會覺得,路由器上面不是也具備這些功能嗎�?沒錯(cuò),但如前面所說�,路由器的這些功能發(fā)揮作用已經(jīng)是在路由器的LAN口接收到數(shù)據(jù)包之后,而如果這些功能轉(zhuǎn)移到交換機(jī)上�,就可以防止這些病毒端口發(fā)送的數(shù)據(jù)包到達(dá)路由器,從而減輕路由器的負(fù)擔(dān),保證局域網(wǎng)其他用戶的正常上網(wǎng)�。
關(guān)鍵詞標(biāo)簽:局域網(wǎng),交換機(jī),網(wǎng)絡(luò)安
火絨安全軟件開啟懸浮窗的方法-怎么限制和設(shè)置軟件網(wǎng)速
火絨安全軟件怎么攔截廣告-火絨設(shè)置廣告攔截的方法
網(wǎng)絡(luò)安全管理軟件-PCHunter使用教程