交换网络的安全问题[转自ITAA网络实验室]
2007-07-03 13:38
375 查看
网络安全问题,已经越来越引起大家的重 视。但是大部分人对安全问题还只是停留在主机安全之上。其实仔细从OSI 7层模型(图1)上我们可以很容易地发现,要让你的网络出现问题除了在物理层动手脚(比如剪线),那就是在2层上去动作了。2层 设备遭到了攻击,不管你的装了多强的病毒防火墙软件,都是无法防范。
图1
那么针对2层设备(交换机)的攻击有哪些形式了?又如何去防范?
首当其冲的攻击方式就是MAC地址泛洪攻击
1,2层交换机是基于MAC地址去转发数据帧的。
2,转发过程中依靠对CAM表的查询来确定正确的转发接口。
3,一旦在查询过程中无法找到相关目的MAC对应的条目,此数据帧将作为广播帧来处理。
4,CAM表的容量有限,只能储存不多的条目,当CAM表记录的MAC地址达到上限后,新的条目将不会添加到CAM表中。
基于以上原理,我们会发现一个非常有趣的现象。某台PC不断发送去往未知目的地的数据帧,且每个包的源MAC地址都不同,当这样 的数据包发送的速度足够快之后,快到在刷新时间内将交换机的CAM表迅速填满。CAM表被这些伪造的MAC地址占据,真实的MA C地址条目却无法进入CAM表。那么任何一个经过交换机的正常单播数据帧都会以广播帧的形式来处理。如下图所示
至于防御的方法有以下一些解决方案
1,Port Security,
2,802.1x,
3,Dynamic VLANs
图1
那么针对2层设备(交换机)的攻击有哪些形式了?又如何去防范?
首当其冲的攻击方式就是MAC地址泛洪攻击
1,2层交换机是基于MAC地址去转发数据帧的。
2,转发过程中依靠对CAM表的查询来确定正确的转发接口。
3,一旦在查询过程中无法找到相关目的MAC对应的条目,此数据帧将作为广播帧来处理。
4,CAM表的容量有限,只能储存不多的条目,当CAM表记录的MAC地址达到上限后,新的条目将不会添加到CAM表中。
基于以上原理,我们会发现一个非常有趣的现象。某台PC不断发送去往未知目的地的数据帧,且每个包的源MAC地址都不同,当这样 的数据包发送的速度足够快之后,快到在刷新时间内将交换机的CAM表迅速填满。CAM表被这些伪造的MAC地址占据,真实的MA C地址条目却无法进入CAM表。那么任何一个经过交换机的正常单播数据帧都会以广播帧的形式来处理。如下图所示
至于防御的方法有以下一些解决方案
1,Port Security,
2,802.1x,
3,Dynamic VLANs
相关文章推荐
- 交换网络的安全问题[转自ITAA网络实验室]
- 宽带用户需注意的网络安全问题
- Linux内核导论——网络:TCP效率模型和安全问题
- 交换网络安全防范系列二之DHCP攻击的防范
- 短暂性解决http网络请求安全的问题(iOS的坑)
- 使用DHCP监听、IPSG和DAI实现Cisco多层交换网络的安全
- 网络工程及信息安全专业仿真实验室(课题目标解说)(返回课程)
- 详解TCP/IP协议栈面临的五大网络安全问题
- 前端网络安全问题
- 我的服务器有硬件防火墙,而且只开了80端口,是不会有网络安全问题的
- iOS 网络访问安全问题解决方法App Transport Security policy requires the use of a secure connection
- 网络信息安全攻防实验室 脚本关第七关
- 网络安全数据加密问题
- Apache服务器运维笔记(6)----目录 文件 网络容器的安全问题
- 交换网络问题
- 网络安全攻防实验室通关教程-注入关
- 网络安全攻防实验室通关教程-基础篇
- 交换网络安全防范系列三之ARP欺骗攻击防范