idc報告顯示,交換機市場近年來一直保持著較高的增長勢頭,到2023年市場規模有望達到15.1億美元。交換機在企業網中占有重要的地位,通常是整個網路的核心所在,這一地位使它成為黑客入侵和病毒肆虐的重點物件,為保障自身網路安全,企業有必要對區域網上的交換機漏洞進行全面了解。以下是利用交換機漏洞的五種攻擊手段。
vlan跳躍攻擊
虛擬區域網(vlan)是對廣播域進行分段的方法。vlan還經常用於為網路提供額外的安全,因為乙個vlan上的計算機無法與沒有明確訪問權的另乙個vlan上的使用者進行對話。不過vlan本身不足以保護環境的安全,惡意黑客通過vlan跳躍攻擊,即使未經授權,也可以從乙個vlan跳到另乙個vlan。
vlan跳躍攻擊(vlan
hopping)依靠的是動態中繼協議(dtp)。如果有兩個相互連線的交換機,dtp就能夠對兩者進行協商,確定它們要不要成為802.1q中繼,洽商過程是通過檢查埠的配置狀態來完成的。
vlan跳躍攻擊充分利用了dtp,在vlan跳躍攻擊中,黑客可以欺騙計算機,冒充成另乙個交換機傳送虛假的dtp協商訊息,宣布他想成為中繼;
真實的交換機收到這個dtp訊息後,以為它應當啟用802.1q中繼功能,而一旦中繼功能被啟用,通過所有vlan的資訊流就會傳送到黑客的計算機上。圖1表明了這個過程。
中繼建立起來後,黑客可以繼續探測資訊流,也可以通過給幀新增802.1q資訊,指定想把攻擊流量傳送給哪個vlan。
生成樹攻擊
生成樹協議(stp)可以防止冗餘的交換環境出現迴路。要是網路有迴路,就會變得擁塞不堪,從而出現廣播風暴,引起mac表不一致,最終使網路崩潰。
使用stp的所有交換機都通過網橋協議資料單元(bpdu)來共享資訊,bpdu每兩秒就傳送一次。交換機傳送bpdu時,裡面含有名為網橋id的標號,這個網橋id結合了可配置的優先數(預設值是32768)和交換機的基本mac位址。交換機可以傳送並接收這些bpdu,以確定哪個交換機擁有最低的網橋id,擁有最低網橋id的那個交換機成為根網橋(root
bridge)。
根網橋好比是小鎮上的社群雜貨店,每個小鎮都需要一家雜貨店,而每個市民也需要確定到達雜貨店的最佳路線。比最佳路線來得長的路線不會被使用,除非主通道出現阻塞。
根網橋的工作方式很相似。其他每個交換機確定返回根網橋的最佳路線,根據成本來進行這種確定,而這種成本基於為頻寬所分配的值。如果其他任何路線發現擺脫阻塞模式不會形成迴路(譬如要是主路線出現問題),它們將被設成阻塞模式。
惡意黑客利用stp的工作方式來發動拒絕服務(dos)攻擊。如果惡意黑客把一台計算機連線到不止乙個交換機,然後傳送網橋id很低的精心設計的bpdu,就可以欺騙交換機,使它以為這是根網橋,這會導致stp重新收斂(reconverge),從而引起迴路,導致網路崩潰。
mac 表洪水攻擊
交換機的工作方式是:
幀在進入交換機時記錄下mac源位址,這個mac位址與幀進入的那個埠相關,因此以後通往該mac位址的資訊流將只通過該埠傳送出去。這可以提高頻寬利用率,因為資訊流用不著從所有埠傳送出去,而只從需要接收的那些埠傳送出去。
mac位址儲存在內容可定址儲存器(cam)裡面,cam是乙個128k大小的保留記憶體,專門用來儲存mac位址,以便快速查詢。如果惡意黑客向cam傳送大批資料報,就會導致交換機開始向各個地方傳送大批資訊流,從而埋下了隱患,甚至會導致交換機在拒絕服務攻擊中崩潰。
arp攻擊
arp(address resolution
protocol)欺騙是一種用於會話劫持攻擊中的常見手法。位址解析協議(arp)利用第2層物理mac位址來對映第3層邏輯ip位址,如果裝置知道了ip位址,但不知道被請求主機的mac位址,它就會傳送arp請求。arp請求通常以廣播形式傳送,以便所有主機都能收到。
惡意黑客可以傳送被欺騙的arp回覆,獲取發往另乙個主機的資訊流。圖2顯示了乙個arp欺騙過程,其中arp請求以廣播幀的形式傳送,以獲取合法使用者的mac位址。假設黑客jimmy也在網路上,他試圖獲取傳送到這個合法使用者的資訊流,黑客jimmy欺騙arp響應,聲稱自己是ip位址為10.0.0.55(mac位址為05-1c-32-00-a1-99)的主人,合法使用者也會用相同的mac位址進行響應。結果就是,交換機在mac地表中有了與該mac表位址相關的兩個埠,發往這個mac位址的所有幀被同時傳送到了合法使用者和黑客jimmy。
vtp攻擊
vlan中繼協議(vtp,vlan trunk
protocol)是一種管理協議,它可以減少交換環境中的配置數量。就vtp而言,交換機可以是vtp伺服器、vtp客戶端或者vtp透明交換機,這裡著重討論vtp伺服器和vtp客戶端。使用者每次對工作於vtp伺服器模式下的交換機進行配置改動時,無論是新增、修改還是移除vlan,vtp配置版本號都會增加1,vtp客戶端看到配置版本號大於目前的版本號後,就知道與vtp伺服器進行同步。
惡意黑客可以讓vtp為己所用,移除網路上的所有vlan(除了預設的vlan外),這樣他就可以進入其他每個使用者所在的同乙個vlan上。不過,使用者可能仍在不同的網路上,所以惡意黑客就需要改動他的ip位址,才能進入他想要攻擊的主機所在的同乙個網路上。
惡意黑客只要連線到交換機,並在自己的計算機和交換機之間建立一條中繼,就可以充分利用vtp。黑客可以傳送vtp訊息到配置版本號高於當前的vtp伺服器,這會導致所有交換機都與惡意黑客的計算機進行同步,從而把所有非預設的vlan從vlan資料庫中移除出去。
0
交換機的DDoS攻擊怎麼解決
為網咖業主對病毒可謂談之色變,有過網咖或機房管理經驗朋友肯定知道,機器中的病毒是很讓人頭疼的事情,尤其是內網伺服器ddos攻擊和交換機的ddos攻擊,直接影響網咖網路的安全問題,分享解決這個問題的方法。1,在pc上安裝過濾軟體 它與arp防禦軟體類似,通過監控網絡卡中所有的報文,並將其與軟體自身設定...
關於syn泛洪攻擊的交換機埠安全
syn攻擊利用的是 tcp的 三次握手 機制,攻擊端利用 偽造的ip 位址 向被攻擊端發出請求,而被攻擊端發出的響應 報文將永遠傳送不到目的地,那麼被攻擊端在等待關閉這個連線的過程中消耗了資源,如果有成千上萬的這種連線,主機資源將被耗盡,從而達到攻擊的目的。網上很多人都在說路由器的tcp攔截,然而在...
如何利用交換機裡的虛擬化路由功能
不僅僅是伺服器和電腦平台,如今區域網廠商們也在竭力宣傳虛擬化功能。虛擬化技術應用於伺服器或者儲存系統,可以讓使用者放置幾十個甚至幾百個伺服器作業系統例項,或者劃分及控制不同磁碟上的儲存容量。支持者聲稱,這項技術降低了運營成本 減少了複雜性。www.2cto.com 現在網路廠商們聲稱,虛擬化技術也可...