网络交换机的威胁攻击及安全防范
【字体:大中小】
打印
随着计算机在各行各业的普遍应用和互联网技术的广泛普及,计算机网络已深深影响着各个行业的发展。与计算机有关的网络技术也在快速发展,其中网络交换机因其高性价比,在互联网市场中愈发受到用户的青睐。
然而,在实际复杂的网络环境中,随着计算机性能的不断提升和互联网技术的日新月异,针对网络交换机、路由器或其他设备的攻击趋势越来越严重,影响也越来越剧烈。此外,由于局域网的广泛互连,加上TCP/IP协议本身的开放性,网络交换机的安全问题值得思考。网络交换机作为网络环境中重要的转发设备,在局域网络中占有极其重要的地位,这一地位使它成为攻击者入侵和病毒肆虐的重点对象,研究网络交换机的常见威胁攻击及安全防范极其必要。
一、网络交换机的工作原理
网络交换机是一个扩大网络的设备,能够为网络中的子网络提供更多的网络接口,从而连接更多的电脑,达到尽可能扩大网络的目的。网络交换机主要由硬件和软件两部分组成。其中,硬件按照功能可分为:(a)数据交换部分,包括主交换芯片、对外接口输出等;(b)控制管理部分,包括主CPU、调试网口、配置口等。软件部分采用平台化、模块化的设计模式,整体分为(a)平台层,主要负责和用户相关的业务逻辑处理;(b)系统抽象层,主要负责用户数据到驱动的映射;(c)驱动层,主要负责业务逻辑和硬件逻辑的交互。
网络交换机通过运用其在数据链路层的工作原理来实现数据的高速独立传播,虽然不同的电脑连接在一个相同的网络终端设备,但并不相互影响,而是分别传播发送,就像是连通一个交叉口的几条道路。网络交换机就是那个交叉口,要发送的信息数据犹如走在不同道路上的行人,虽然从同一个入口进入,但是在不同的线路上并行传播,所以相互之间并不会产生直接冲突,而是独立传输。
二、网络交换机的威胁攻击
网络交换机通常处于局域网的内部,在局域网络中占有重要的地位。一旦网络交换机被攻击者利用或者破坏,整个网络便处于危险之中。本文重点研究了针对网络交换机的6种常见威胁攻击,分别是网络病毒威胁攻击、VLAN中继威胁攻击、VTP威胁攻击、ARP威胁攻击、生成树协议威胁攻击和未经授权主机接入网络交换机端口威胁攻击,然后分别提出了对应的安全防范措施。
(一)网络病毒威胁攻击
目前,网络中病毒肆虐,一不留神,用户的计算机就有可能感染各种病毒,病毒一旦在用户所在的局域网中泛滥,就会占用巨大的网络带宽,造成网络拥堵,网络交换机很有可能由于病毒所引起的网络带宽消耗而瘫痪。在这种情况下,往往会产生大量的异常报文。
(1)单播类异常报文:这种报文通常是不停发送给网络交换机,网络交换机根据路由表中的数据存储情况对这些单播类异常报文进行丢弃或者转发处理。比如,一种冲击波病毒会不断生成随机的攻击地址并进行攻击,如果这个地址是公网地址,就会继续往下传播,由此导致一些小型的网络交换机将不堪重负而崩溃。
(2)广播类异常报文:这种报文会以广播的形式不断向特定的网段发送攻击,此时在这个网段内的所有目标主机都会不断收到异常报文,并需要对这些报文进行异常处理,同时又需要返回信息给发送方,这样就会导致网络中出现大量的网络传输,造成网络拥堵,网络交换机由于网络传输将不堪重负而瘫痪。
(3)组播类异常报文:组播的意思是只有在这个组的范围内,才能互相访问、传递数据,就像微信群一样。然而,一些不应该存在于此组播内的主机却可以发送给组播异常报文,这是由于网络病毒造成的,结果会导致组播内出现大量的异常报文,在整个组播内互相访问,在组播内部的网络交换机就有可能由于无法承受过多的网络访问而崩溃。
(二)VLAN中继威胁攻击
正常情况下,网络交换机上划分的VLAN具有隔离广播、一定程度上保护网络安全的作用。在没有路由的情况下,一个VLAN上的计算机无法与另一个VLAN上的用户进行通信。在VLAN中继威胁攻击充分利用了动态中继协议(Dynamic Trunk Protocol,DTP),攻击者利用DTP冒充网络交换机所发送的正常报文,进而攻击此台计算机所连接的交换机。因此,如果网络交换机启动了中继功能,就会导致异常报文发送到被攻击的机器上,从而在不同的VLAN中进行网络攻击。
(三)VTP威胁攻击
VLAN中继协议(VLAN Trunk Protocol,VTP)是一种管理协议,可以减少交换环境中的配置数量。就VTP而言,网络交换机可以是VTP服务器、VTP客户端或VTP交换机。用户每次对工作于VTP服务器模式下的交换机进行配置改动时,无论是添加、修改还是移除VLAN,VTP配置版本号都会增加1,VTP客户端看到配置版本号大于目前的版本号后,就会与VTP服务器进行同步。于是,攻击者发送VTP消息到配置版本号高于当前的VTP服务器,就会导致所有网络交换机都与恶意攻击者的计算机进行同步,从而把所有非默认的VLAN从VLAN数据库中移除出去,这样就可以进入其他每个用户所在的同一个VLAN上。
(四)地址解析协议威胁攻击
在网络传输中,往往不能仅仅通过IP地址进行网络传输,因为目前大规模的网络泛滥,IP地址已经远远不能够满足当前的需要,IP已经完全没有办法定位到被使用的机器。另外,由于目前大规模路由器、交换机的使用,虚拟IP逐渐增多,为了保持通信只能识别MAC地址。地址解析协议(Address Resolution Protocol,ARP)就是将目标机器的IP地址首先解析成唯一的MAC地址,然后ARP会自动搜索IP到MAC的解析并通过广播的形式进行请求的发送,这样所有的主机就都可以收到报文信息。于是,攻击者就可利用ARP获取发送报文的信息流,采用欺骗方式连接上目标主机并进行通信,从而导致目标主机出现大量的异常报文,导致网络交换机的瘫痪。
(五)生成树协议威胁攻击
生成树协议(Spanning Tree Protocol,STP)可以通过阻塞冗余线路消除交换环境中出现的回路。网络中如果有回路,网络广播就会在网络中反复发送,进而形成广播风暴,导致整个网络崩溃。使用STP的所有网络交换机都可通过网桥协议数据单元(Bridge Protocol Data Unit,BPDU)来共享信息。网络交换机发送并接收这些BPDU,以确定哪个网络交换机拥有最低的网桥ID,这个拥有最低网桥ID的网络交换机就成为根网桥。其他每个网络交换机确定返回根网桥的最佳路线(端口速度、可靠性最高的路径),其他路径的端口设为阻塞模式。STP威胁攻击就是恶意攻击者首先连接到一个网络交换机,然后设计一组BPDU并发送给最低网桥ID,就可欺骗网络交换机,导致STP重新收敛。由于STP协议收敛速度较慢,在一定时间内会产生回路,从而导致网络崩溃。
(六)未经授权主机接入网络交换机端口威胁攻击
在政府机关、科研机构、企事业单位的内部网络中往往会传输涉密或敏感资料数据,因此,一旦有未经过授权的计算机接入到了网络交换机端口中,就会进入到局域网内部,使政府机关、科研机构和企事业单位的内部网络存在安全隐患。
三、网络交换机的安全防范
作为整个网络的核心,网络交换机最重要的作用是转发数据,在病毒侵扰和攻击者威胁攻击下,网络交换机要能够继续保持其高效的数据转发速率,不受攻击干扰,就要对网络交换机进行安全配置或安全升级,以实现局域网络交换机的安全防护,加强内部局域网络的安全防范。
(一)网络病毒攻击的安全防范
网络病毒通常会耗费大量的流量,如果能够发现通过网络交换机的流量出现异常,就可以很容易发现网络中存在病毒。出于安全防范的考虑,通常应对网络交换机的每个端口进行流量限制,这样就算感染了病毒,也不用担心网络会在短时间内瘫痪。针对单播类异常报文,运营商往往采用网间控制报文协议来进行防范;针对广播和组播类异常报文,通常会对网络交换机的端口进行隔离,从而限制报文的单项发送,减少对主机和网络的影响。随着网络的传播,大家应该形成对网络病毒的初步认识,尽可能不下载不熟悉软件或点击不熟悉的页面,避免由病毒感染导致网络交换机异常。
(二)VLAN中继攻击的安全防范
对网络交换机进行安全设置可防止VLAN中继攻击:一是网络交换机的所有中继端口都需要使用VLAN ID,通过明确的设置,对没有安排端口的DTP进行全面禁止;二是将交换机的IP/MAC设置为非授权访问模式。
(三)VTP协议攻击的安全防范
为保证VTP域的安全,VTP域可以设置密码,VTP域中所有网络交换机必须要设置成同样的密码。在VTP域中的网络交换机配置了同样的密码后,VTP才能正常工作。而无法或错误识别密码的网络交换机将无法获知VLAN消息。
(四)地址解析协议攻击的安全防范
针对ARP攻击的安全防范,需要将MAC地址和IP地址进行绑定,同时,限制同一个IP地址所在的MAC地址可以同时发送报文的数量,防止众多具有攻击性的报文被发送。通过限制MAC数量、绑定IP和MAC地址,可过滤掉很多不符合条件的异常报文。
(五)生成树协议攻击的安全防范
针对STP攻击的安全防范,需要使用根目录保护和BPDU保护加强命令来保持网络中主网桥的位置不发生改变,同时也可强化STP的域边界。为解决STP收敛速度慢的问题,可在网络交换机上配置使用快速STP,避免在网络重新收敛过程中产生网络回路。
(六)未经授权主机接入网络交换机端口攻击的安全防范
在政府机关、科研机构和企事业单位等局域网内部,每一个员工都应该分配一个固定的IP,这样就算有员工接入网络交换机中,也会由于没有合适的IP而无法连接到网络中。此外,网络管理员应该统计本单位的计算机MAC地址,从而对网络交换机进行设置,只有单位内部的MAC地址才可访问网络,以有效防范未经授权主机接入网络交换机,进而避免对内部网络造成严重的安全威胁。同时,网络管理员可根据本单位内部的涉密程度,对未经授权的机器接入网络交换机中的行为进行处理。比如,一旦发现有未经授权的机器接入网络交换机中,网络交换机可马上关闭这个网络所有接口,或者是限制这个未经过授权的设备所接入的接口。这些防范措施要根据单位的涉密程度进行设置,比如,单位内部的上网机器就可设置为仅仅限制哪个接口不能够使用;但如果是机密文件部署网络,就要立刻切断所有的网络连接,情况危急时,应立刻销毁此机器的所有存储设备,防止更多的机密文件被泄露。
四、结语
在网络攻击日益频繁的今天,网络交换机作为网络环境中核心的转发设备,存在巨大的安全隐患。如果不全方位加强网络交换机的安全防范,它很可能成为攻击者危害政府机关、科研机构和企事业单位内部网络的工具。
(原载于《保密科学技术》杂志2017年1月刊)
