《電子技術(shù)應(yīng)用》
您所在的位置:首頁(yè) > 通信與網(wǎng)絡(luò) > 設(shè)計(jì)應(yīng)用 > 如何看待目前的路由交換機(jī)安全性
如何看待目前的路由交換機(jī)安全性
摘要: 用過(guò)路由交換機(jī)的用戶(hù)可能都遇到過(guò)很多安全方面的問(wèn)題,,同時(shí)也反映出目前的路由技術(shù)有待完善。網(wǎng)絡(luò)安全不再單純依賴(lài)單一設(shè)備和單一技術(shù)來(lái)實(shí)現(xiàn)已成為業(yè)界共識(shí),。路由交換機(jī)作為網(wǎng)絡(luò)骨干設(shè)備,,自然也肩負(fù)著構(gòu)筑網(wǎng)絡(luò)安全防線(xiàn)的重任,。本文講述如何看待目前的路由交換機(jī)安全性。
關(guān)鍵詞: NGN|4G 路由 交換機(jī) 安全性
Abstract:
Key words :

使用過(guò)路由交換機(jī)的用戶(hù)可能都遇到過(guò)很多安全方面的問(wèn)題,,同時(shí)也反映出目前的路由技術(shù)有待完善,。網(wǎng)絡(luò)安全不再單純依賴(lài)單一設(shè)備和單一技術(shù)來(lái)實(shí)現(xiàn)已成為業(yè)界共識(shí)。路由交換機(jī)作為網(wǎng)絡(luò)骨干設(shè)備,自然也肩負(fù)著構(gòu)筑網(wǎng)絡(luò)安全防線(xiàn)的重任,。

圍繞路由交換機(jī)的安全問(wèn)題進(jìn)行了用戶(hù)調(diào)查,,在收到的大量讀者反饋中,我們進(jìn)行了統(tǒng)計(jì)和分析:70%的用戶(hù)曾經(jīng)遭受過(guò)Slammer,、“沖擊波”等蠕蟲(chóng)病毒的襲擊,,這些蠕蟲(chóng)病毒攻擊的直接目標(biāo)通常是PC機(jī)和服務(wù)器,但是攻擊是通過(guò)網(wǎng)絡(luò)進(jìn)行的,,因此當(dāng)這些蠕蟲(chóng)病毒大規(guī)模爆發(fā)時(shí),,交換機(jī)、路由器會(huì)首先受到牽連,。抽樣分析表明:近50%的用戶(hù)反映Slammer,、沖擊波等蠕蟲(chóng)病毒沖擊了路由交換機(jī),36%的用戶(hù)的路由器受到?jīng)_擊,。用戶(hù)只有通過(guò)重啟交換路由設(shè)備,、重新配置訪(fǎng)問(wèn)控制列表才能消除蠕蟲(chóng)病毒對(duì)網(wǎng)絡(luò)設(shè)備造成的影響。

蠕蟲(chóng)病毒攻擊網(wǎng)絡(luò)設(shè)備

蠕蟲(chóng)病毒發(fā)作導(dǎo)致網(wǎng)絡(luò)吞吐效率下降,、變慢,。如果網(wǎng)絡(luò)中存在瓶頸,就會(huì)導(dǎo)致網(wǎng)絡(luò)停頓甚至癱瘓,。這些瓶頸可能是線(xiàn)路帶寬,,也可能是路由器、交換機(jī)的處理能力或者內(nèi)存資源,。需要指出的是,,網(wǎng)絡(luò)中的路由器、交換機(jī)已經(jīng)達(dá)到或接近線(xiàn)速,,內(nèi)網(wǎng)帶寬往往不收斂,,在這種情況下,病毒攻擊產(chǎn)生的流量對(duì)局域網(wǎng)內(nèi)部帶寬不會(huì)造成致命堵塞,,但位于網(wǎng)絡(luò)出口位置的路由器和位于網(wǎng)絡(luò)核心位置的三層交換機(jī)卻要吞吐絕大多數(shù)的流量,,因而首當(dāng)其沖地受到蠕蟲(chóng)病毒的攻擊。接入層交換機(jī)通常需要與用戶(hù)終端直接連接,,一旦用戶(hù)終端感染蠕蟲(chóng)病毒,,病毒發(fā)作就會(huì)嚴(yán)重消耗帶寬和交換機(jī)資源,造成網(wǎng)絡(luò)癱瘓,,這一現(xiàn)象早已屢見(jiàn)不鮮,。

蠕蟲(chóng)病毒對(duì)網(wǎng)絡(luò)設(shè)備的沖擊形式主要有兩種:一是堵塞帶寬,導(dǎo)致服務(wù)不可用,;二是占用CPU資源,,導(dǎo)致宕機(jī),紅色代碼、Slammer,、沖擊波等蠕蟲(chóng)病毒不停地掃描IP地址,,在很短時(shí)間內(nèi)就占用大量的帶寬資源,造成網(wǎng)絡(luò)出口堵塞,。宕機(jī)共分幾種情況:一是普通三層交換機(jī)都采用流轉(zhuǎn)發(fā)模式,,也就是將第一個(gè)數(shù)據(jù)包發(fā)送到CPU處理,,根據(jù)其目的地址建流,,頻繁建流會(huì)急劇消耗CPU資源,蠕蟲(chóng)病毒最重要的攻擊手段就是不停地發(fā)送數(shù)據(jù)流,,這對(duì)于采用流轉(zhuǎn)發(fā)模式的網(wǎng)絡(luò)設(shè)備是致命的,;二是如果網(wǎng)絡(luò)規(guī)劃有問(wèn)題,在Slammer作用下導(dǎo)致大量ARP請(qǐng)求發(fā)生,,也會(huì)耗盡CPU資源,。再比如,Slammer病毒擁塞三層交換機(jī)之間鏈路帶寬,,導(dǎo)致路由協(xié)議的數(shù)據(jù)包(如Hello包)丟失,,導(dǎo)致整個(gè)網(wǎng)絡(luò)的路由震蕩。類(lèi)似的情形還有利用路由交換機(jī)安全漏洞對(duì)交換機(jī)CPU等資源發(fā)起的DoS攻擊,。在2003年第5期報(bào)紙上,,我們?cè)薪榻B了路由器的安全問(wèn)題,在這期報(bào)紙上我們將集中介紹交換機(jī)的安全問(wèn)題,。

交換機(jī)需要加強(qiáng)安全性

以太網(wǎng)路由交換機(jī)實(shí)際是一個(gè)為轉(zhuǎn)發(fā)數(shù)據(jù)包優(yōu)化的計(jì)算機(jī),。而是計(jì)算機(jī)就有被攻擊的可能,比如非法獲取路由交換機(jī)的控制權(quán),,導(dǎo)致網(wǎng)絡(luò)癱瘓,,另一方面也會(huì)受到DoS攻擊,比如前面提到的幾種蠕蟲(chóng)病毒,。它們都利用了路由交換機(jī)的一些漏洞,。一般交換機(jī)可以作生成權(quán)維護(hù)、路由協(xié)議維護(hù),、ARP,、建路由表,維護(hù)路由協(xié)議,,對(duì)ICMP報(bào)文進(jìn)行處理,,監(jiān)控交換機(jī),這些都有可能成為黑客攻擊交換機(jī)的手段,。

蠕蟲(chóng)病毒的攻擊,,使網(wǎng)絡(luò)設(shè)備廠商和用戶(hù)都開(kāi)始注重路由交換機(jī)的安全性。對(duì)于交換機(jī)安全性的理解,近48%的用戶(hù)認(rèn)為交換機(jī)的安全性是指交換機(jī)本身具有抗攻擊性和安全性,,31%的用戶(hù)認(rèn)為是指路由交換機(jī)攜帶了安全模塊,,21%的用戶(hù)認(rèn)為兩者兼?zhèn)洹=^大數(shù)網(wǎng)絡(luò)設(shè)備廠商認(rèn)為路由交換機(jī)的安全性需經(jīng)過(guò)特殊設(shè)計(jì),、提高了抗攻擊能力,,同時(shí)具有一定的安全功能。
 

此內(nèi)容為AET網(wǎng)站原創(chuàng),,未經(jīng)授權(quán)禁止轉(zhuǎn)載,。