解決局域網交換機的安全問題,交換機就不能再純粹完成轉發工作了事,如果這些功能轉移到交換機上,簡化了網絡節點的增加、移動和網絡變化的操作。但是什麼是真正解決局域網交換機安全問題的要素呢,下文給您去全面的分析研究。
早期的網絡攻擊和惡意入侵主要來自外網,而且是少部分學習黑客技術的人所爲,因此當時哪怕只是透過一個防火牆簡單的封堵一些端口,檢測一些特徵數據包就能實現內網的安全。
然而,自衝擊波病毒開始,病毒在局域網交換機瘋狂傳播所造成的強大殺傷力開始讓用戶心驚膽戰,之後計算機病毒更是控制住大量的“殭屍”電腦對特定網站或者服務器發動洪水攻擊。
進入2006年,在網吧行業影響最嚴重的安全問題變成了ARP和DDOS,這些惡意程序不僅巧妙僞裝而且無處不在,更嚴重的是一旦局域網交換機某臺計算機感染了病毒,就會造成大量的計算機掉線甚至整個網絡陷入癱瘓,令網吧業主和網吧玩家萬般無奈,在公司企業內部網絡也幾乎存在同樣的問題,而此時傳統的防火牆卻顯得毫無辦法。
局域網也成病毒高發地區
如果是在4年前,局域網還是非常安全的,很多公司也習慣了直接在局域網共享各種常用軟件和資料,但是現在爲了獲得一些非正當的利益,很多病毒開發者打起了局域網交換機的主意:先是由於網遊的'熱火而產生了ARP病毒。
這是一種欺騙性質的病毒,雖然它的目的並不是破壞局域網,但爲了達到它盜寶的目的,會嚴重影響其它局域網用戶的正常上網活動。所謂ARP攻擊其實就是內網某臺主機僞裝成網關,欺騙內網其他主機將所有發往網關的資訊發到這臺主機上。
但是由於此臺主機的數據處理轉發能力遠遠低於網關,所以就會導致大量資訊堵塞,網速越來越慢,甚至造成網絡癱瘓,而且ARP病毒這樣做的目的就是爲了截取用戶的資訊,盜取諸如網絡遊戲帳號、QQ密碼等用戶資訊,因此它不僅會造成局域網堵塞,也會威脅到局域網交換機用戶的資訊安全。
接着很多針對特殊服務器或是網遊私x的DDOS攻擊也開始大舉利用網吧或企業網絡中的客戶機作爲“殭屍”電腦,對指定的服務器IP發送大量的數據包,“殭屍”電腦越多,服務器被消耗的帶寬也越多。
利用這個原理耗盡服務器的帶寬,就可以達到讓對方服務器掉線以便對服務器運營者進行惡意勒索的目的。這種攻擊方式雖然是針對外網服務器,但是它在攻擊過程中需要向路由器發送大量的數據包,會直接導致路由器僅有的100M LAN口被“堵滿”,因此其他局域網的計算機的請求無法提交到路由器進行處理,結果就產生局域網計算機全部“掉線”的現象。
還有一種針對服務器的SYN攻擊也會令局域網電腦全體“掉線”: SYN攻擊屬於DOS攻擊的一種,它利用TCP協議三次握手的等待確認缺陷,透過發送大量的半連接請求,耗費CPU和內存資源。
SYN攻擊除了能影響主機外,還可以危害路由器、防火牆等網絡系統,事實上SYN攻擊並不管目標是什麼系統,只要這些系統開啟TCP服務就可以實施。配合IP欺騙,SYN攻擊能達到很好的效果。
通常,感染SYN病毒的客戶端在短時間內僞造大量不存在的IP位址,向服務器不斷地發送SYN包,服務器回覆確認包,並等待客戶的確認,由於源地址是不存在的,服務器需要不斷的重發直至超時,這些僞造的SYN包將長時間佔用未連接隊列,正常的SYN請求被丟棄,目標系統和路由器執行緩慢,嚴重的時候就直接引起整個局域網交換機的網絡堵塞甚至系統癱瘓。
面對日益嚴重的內網攻擊和整網掉線問題,很多路由器和防火牆開發商也在產品中加入了相關技術,例如加入IP-MAC綁定功能可以防止局域網的ARP欺騙,但是這些設備由於以太網工作原理的關係,其實還是無法全面解決內網安全問題。
例如DDOS攻擊,雖然路由器和防火牆可以利用一些設定好的規則判斷出哪些數據包帶有DDOS攻擊的特徵,但是它必須在收到這些數據包之後才能對數據包進行分析,而這些數據包在收過來的時候其實就已經佔用了LAN口的帶寬資源。
由於路由器和防火牆都在局域網的最外端,這樣的網絡結構已經決定了它們無法在攻擊數據包產生的時候就進行封堵,而且這些設備大部分還是採用100Mb的帶寬與LAN交換機相連。
加上大部分的局域網交換機都是線速轉發的二層交換機,受感染客戶端發送的大量數據包可以很快用完這些帶寬,因此網絡數據傳輸的壓力都加載在路由器的LAN端口,這時候很多正常的請求都無法順利透過LAN口提交過去,因此即使路由器知道哪些是正常的請求也無濟於事。