交换机的5种攻击类型
IDC报告显示,交换机市场近年来一直保持着较高的增长势头,到2009年市场规模有望达到15.1亿美元。交换机在企业网中占有重要的地位,通常是整个网络的核心所在,这一地位使它成为黑客**和病毒肆虐的重点对象,为保障自身网络安全,企业有必要对局域网上的交换机漏洞进行全面了解。以下是利用交换机漏洞的五种攻击手段。
VLAN跳跃攻击
虚拟局域网(VLAN)是对广播域进行分段的方法。VLAN还经常用于为网络提供额外的安全,因为一个VL AN上的计算机无法与没有明确访问权的另一个VLAN上的用户进行对话。不过VLAN本身不足以保护环境的安全,恶意黑客通过VLAN跳跃攻击,即使未经授权,也可以从一个VLAN跳到另一个VLAN。VLAN跳跃攻击(VLAN hopping)依靠的是动态中继协议(DTP)。如果有两个相互连接的交换机,DTP就能够对两者进行协商,确定它们要不要成为802.1Q中继,洽商过程是通过检查端口的配置状态来完成的。VLAN跳跃攻击充分利用了DTP,在VLAN跳跃攻击中,黑客可以欺骗计算机,冒充成另一个交换机发送虚假的DTP协商消息,宣布他想成为中继; 真实的交换机收到这个DTP消息后,以为它应当启用802.1Q 中继功能,而一旦中继功能被启用,通过所有VLAN的信息流就会发送到黑客的计算机上。图1表明了这个过程。
中继建立起来后,黑客可以继续探测信息流,也可以通过给帧添加802.1Q信息,指定想把攻击流量发送给
哪个VLAN。
生成树攻击
生成树协议(STP)可以防止冗余的交换环境出现回路。要是网络有回路,就会变得拥塞不堪,从而出现广播风暴,引起MAC表不一致,最终使网络崩溃。
使用STP的所有交换机都通过网桥协议数据单元(BPDU)来共享信息,BPDU每两秒就发送一次。交换机发送BPDU时,里面含有名为网桥ID的标号,这个网桥ID结合了可配置的优先数(默认值是32768)和交换机的基本MAC地址。交换机可以发送并接收这些BPDU,以确定哪个交换机拥有最低的网桥ID,拥有最低网桥ID的那个交换机成为根网桥(root bridge)。
根网桥好比是小镇上的社区杂货店,每个小镇都需要一家杂货店,而每个市民也需要确定到达杂货店的最佳路线。比最佳路线来得长的路线不会被使用,除非主通道出现阻塞。
根网桥的工作方式很相似。其他每个交换机确定返回根网桥的最佳路线,根据成本来进行这种确定,而这种成本基于为带宽所分配的值。如果其他任何路线发现摆脱阻塞模式不会形成回路(譬如要是主路线出现问题),它们将被设成阻塞模式。
恶意黑客利用STP的工作方式来发动拒绝服务(DoS)攻击。如果恶意黑客把一台计算机连接到不止一个
受到arp攻击交换机,然后发送网桥ID很低的精心设计的BPDU,就可以欺骗交换机,使它以为这是根网桥,这会导致ST P重新收敛(reconverge),从而引起回路,导致网络崩溃。
MAC 表洪水攻击
交换机的工作方式是: 帧在进入交换机时记录下MAC源地址,这个MAC地址与帧进入的那个端口相关,因此以后通往该MAC地址的信息流将只通过该端口发送出去。这可以提高带宽利用率,因为信息流用不着从所有端口发送出去,而只从需要接收的那些端口发送出去。
MAC地址存储在内容可寻址存储器(CAM)里面,CAM是一个128K大小的保留内存,专门用来存储MAC 地址,以便快速查询。如果恶意黑客向CAM发送大批数据包,就会导致交换机开始向各个地方发送大批信息流,从而埋下了隐患,甚至会导致交换机在拒绝服务攻击中崩溃。
ARP攻击
ARP(Address Resolution Protocol)欺骗是一种用于会话劫持攻击中的常见手法。地址解析协议(ARP)利用第2层物理MAC地址来映射第3层逻辑IP地址,如果设备知道了IP地址,但不知道被请求主机的MAC 地址,它就会发送ARP请求。ARP请求通常以广播形式发送,以便所有主机都能收到。
恶意黑客可以发送被欺骗的ARP回复,获取发往另一个主机的信息流。图2显示了一个ARP欺骗过程,
其中ARP请求以广播帧的形式发送,以获取合法用户的MAC地址。假设黑客Jimmy也在网络上,他试图获取发送到这个合法用户的信息流,黑客Jimmy欺骗ARP响应,声称自己是IP地址为,合法用户也会用相同的MAC地址进行响应。结果就是,交换机在MAC地表中有了与该MAC表地址相关的两个端口,发往这个MAC地址的所有帧被同时发送到了合法用户和黑客Jimmy。
VTP攻击
VLAN中继协议(VTP,VLAN Trunk Protocol)是一种管理协议,它可以减少交换环境中的配置数量。就VT P而言,交换机可以是VTP服务器、VTP客户端或者VTP透明交换机,这里着重讨论VTP服务器和VT P客户端。用户每次对工作于VTP服务器模式下的交换机进行配置改动时,无论是添加、修改还是移除V
LAN,VTP配置版本号都会增加1,VTP客户端看到配置版本号大于目前的版本号后,就知道与VTP服务器进行同步。
恶意黑客可以让VTP为己所用,移除网络上的所有VLAN(除了默认的VLAN外),这样他就可以进入其他
每个用户所在的同一个VLAN上。不过,用户可能仍在不同的网络上,所以恶意黑客就需要改动他的IP地址,才能进入他想要攻击的主机所在的同一个网络上。
恶意黑客只要连接到交换机,并在自己的计算机和交换机之间建立一条中继,就可以充分利用VTP。黑客可以发送VTP消息到配置版本号高于当前的VTP服务器,这会导致所有交换机都与恶意黑客的计算机进行同步,从而把所有非默认的VLAN从VLAN数据库中移除出去
回复引用
举报顶端
cctv510
级别: 国盟会员
UID: 22
精华: 4
发帖: 129
国盟币: 312 国盟币
威望: 275 点
免费捐赠卡: 3 个
贡献值: 0 点
在线时间: 0(时)
注册时间: 2008-06-25
最后登录: 2009-10-13
1 发表于: 2008-09-03
只看该作者┊小中大
网络攻击对二层交换机产生严重影响及防护的有:
MAC 攻击:
利用交换机端口安全功能,MAC动态地址锁/端口静态绑定MAC,
来限定交换机某个端口上可以学习的源MAC数量,当该端口学习的M
AC数量超过限定数量时,交换机将产生违例动作。
DHCP攻击:
利用交换机端口安全功能,MAC动态地址锁和端口静态绑定MA
C,来限定交换机某个端口上可以访问网络的MAC地址,从而进行控
制,那些通过变化MAC地址来恶意请求不同IP地址和消耗IP资源的
DHCP攻击,当交换机一个端口的MAC地址的数目已经达到允许的最
大个数后,如果该端口收到一个源地址不属于端口上的MAC安全地址
的包时,交换机则采取措施;控制客户端发出的DHCP请求报文被广
播出去;检查和控制DHCP响应报文是否是合法DHCP Server发出的
报文。
ARP攻击:
利用交换机端口ARP检查安全功能:打开ARP报文检查ARP报文中的源IP和源MAC是否和绑定的一致,可有效防止安全端口上欺骗ARP,防止非法信息点冒充网络关键设备的IP(如服务器),造成网络通讯混乱。
IP/MAC欺骗攻击:
交换机端口安全:端口静态绑定,交换机整机绑定IP和MAC 地址,DHCP动态绑定,802.1x,检查IP报文中源IP和源MAC是否和交换机中管理员设定的是否一致,不一致,报文丢弃,并发送告警信息
STP攻击:
使用交换机具备的BPDU Guard功能,可以禁止网络中直接接用户的端口或接入层交换机的下连端口收到BPDU报文。从而防范用户发送非法BPDU报文。另外在接入层交换机,在没有冗余链路的情况下,尽量不用开启STP协议。
网络设备管理安全:
一般的网络管理协议:SNMP,Telnet,Web等都是明文登录和传输信息的。因此,尽量使用SSH等秘文传输方式登录交换机,因为它们都与交换机之间都是加密传输。管理VLAN与用户VLAN分开。交换机上不用的端口划在一个VLAN中,并将这些口Shutdown,需要用时,再开启。限制可以管理交换机的IP。
版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。
发表评论