1重視網絡安全,提高數據通信網絡的管理水平
1.1加大對安全性的評估力度
有效保障數據通信網絡的穩定性和安全性,就必須充分發揮技術人力資源的作用,積極構建起健全完善的數據通信平臺,並積極對系統平臺的安全性進行科學的全面的評估。作爲一名合格具備專業化技術的人員,應按照相關制度要求和標準流程,設定科學的評估方式,對整個網絡環境進行系統的評估,並適時給予安全調整,準確分析潛在的用戶羣體以及資訊源,並對他們進行安全評估和識別,充分了解數據通信網絡的發展實際,以此爲出發點開展系統安全性的分析活動。
1.2及時排查隱存的安全威脅
定期開展網絡安全的檢查與維修活動,以及時確保數據資訊的可靠性與真實性得到有效的安全確認,避免服務器的終端設備以及資訊網中的硬件設備和軟件設備受到惡意破壞,防止系統網絡受到不法分子的嚴重攻擊,達到對數據庫內部的資訊進行保密的目的。所以這就要求專業化的技術人員需以對網絡安全性的有效評估爲前提,全面仔細存在的隱形的安全威脅,積極設定高效的網管設定等形式,不斷優化系統漏洞,拒絕一切不法分析用戶的對網絡系統的入侵和攻擊,降低安全風險的發生。
2路由器與交換機漏洞的發現和防護
作爲透過遠程連接的方式實現網絡資源的共享是大部分用戶均會使用到的,不管這樣的連接方式是利用何種方式進行連接,都難以避開負載路由器以及交換機的系統網絡,這是這樣,這些設備存在着某些漏洞極容易成爲程序員的攻擊的突破口。從路由器與交換機存在漏洞致因看,路由與交換的過程就是於網絡中對數據包進行移動。在這個轉移的過程中,它們常常被認爲是作爲某種單一化的傳遞設備而存在,那麼這就需要注意,假如某個程序員竊取到主導路由器或者是交換機的相關權限之後,則會引發損失慘重的破壞。縱觀路由與交換市場,擁有最多市場佔有率的是思科公司,並且被網絡領域人員視爲重要的行業標準,也正因爲該公司的產品普及應用程度較高,所以更加容易受到程序員攻擊的目標。比如,在某些操作系統中,設定有相應的用於思科設備完整工具,主要是方便管理員對漏洞進行定期的檢查,然而這些工具也被攻擊者注意到並利用工具相關功能查找出設備的漏洞所在,就像密碼漏洞主要利用JohntheRipper進行攻擊。所以針對這類型的漏洞防護最基本的防護方法是開展定期的審計活動,爲避免這種攻擊,充分使用平臺帶有相應的多樣化的檢查工具,並在需要時進行定期更新,並保障設備出廠的默認密碼已經得到徹底清除;而針對BGP漏洞的防護,最理想的辦法是於ISP級別層面處理和解決相關的問題,假如是網絡層面,最理想的辦法是對攜帶數據包入站的`路由給予嚴密的監視,並時刻搜尋內在發生的所有異常現象。
3交換機常見的攻擊類型
3.1MAC表洪水攻擊
交換機基本執行形勢爲:當幀經過交換機的過程會記下MAC源地址,該地址同幀經過的端口存在某種聯繫,此後向該地址發送的資訊流只會經過該端口,這樣有助於節約帶寬資源。通常情況下,MAC地址主要儲存於能夠追蹤和查詢的CAM中,以方便快捷查找。假如程序員透過往CAM傳輸大量的數據包,則會促使交換機往不同的連接方向輸送大量的數據流,最終導致該交換機處在防止服務攻擊環節時因過度負載而崩潰。
3.2ARP攻擊
這是在會話劫持攻擊環節頻發的手段之一,它是獲取物理地址的一個TCP/IP協議。某節點的IP位址的ARP請求被廣播到網絡上後,這個節點會收到確認其物理地址的應答,這樣的數據包才能被傳送出去。程序員可透過僞造IP位址和MAC地址實現ARP欺騙,能夠在網絡中產生大量的ARP通信量使網絡阻塞,ARP欺騙過程如圖1所示。
3.3VTP攻擊
以VTP角度看,探究的是交換機被視爲VTP客戶端或者是VTP服務器時的情況。當用戶對某個在VTP服務器模式下工作的交換機的配置實施操作時,VTP上所配置的版本號均會增多1,當用戶觀察到所配置的版本號明顯高於當前的版本號時,則可判斷和VTP服務器實現同步。當程序員想要入侵用戶的電腦時,那他就可以利用VTP爲自己服務。程序員只要成功與交換機進行連接,然後再本臺計算機與其構建一條有效的中繼通道,然後就能夠利用VTP。當程序員將VTP資訊發送至配置的版本號較高且高於目前的VTP服務器,那麼就會致使全部的交換機同程序員那臺計算機實現同步,最終將全部除非默認的VLAN移出VLAN數據庫的範圍。
4安全防範VLAN攻擊的對策
4.1保障TRUNK接口的穩定與安全
通常情況下,交換機所有的端口大致呈現出Access狀態以及Turnk狀態這兩種,前者是指用戶接入設備時必備的端口狀態,後置是指在跨交換時一致性的VLAN-ID兩者間的通訊。對Turnk進行配置時,能夠避免開展任何的命令式操作行爲,也同樣能夠實現於跨交換狀態下一致性的VLAN-ID兩者間的通訊。正是設備接口的配置處於自適應的自然狀態,爲各項攻擊的發生埋下隱患,可透過如下的方式防止安全隱患的發生。首先,把交換機設備上全部的接口狀態認爲設定成Access狀態,這樣設定的目的是爲了防止程序員將自己設備的接口設定成Desibarle狀態後,不管以怎樣的方式進行協商其最終結果均是Accese狀態,致使程序員難以將交換機設備上的空閒接口作爲攻擊突破口,並欺騙爲Turnk端口以實現在局域網的攻擊。其次是把交換機設備上全部的接口狀態認爲設定成Turnk狀態。不管程序員企圖透過設定什麼樣的端口狀態進行攻擊,這邊的接口狀態始終爲Turnk狀態,這樣有助於顯著提高設備的可控性[3]。最後對Turnk端口中關於能夠允許進出的VLAN命令進行有效配置,對出入Turnk端口的VLAN報文給予有效控制。只有經過允許的系類VLAN報文才能出入Turnk端口,這樣就能夠有效抑制程序員企圖透過發送錯誤報文而進行攻擊,保障數據傳送的安全性。
4.2保障VTP協議的有效性與安全性
VTP(VLANTrunkProtocol,VLAN幹道協議)是用來使VLAN配置資訊在交換網內其它交換機上進行動態註冊的一種二層協議,它主要用於管理在同一個域的網絡範圍內VLANs的建立、刪除以及重命名。在一臺VTPServer上配置一個新的VLAN時,該VLAN的配置資訊將自動傳播到本域內的其他所有交換機,這些交換機會自動地接收這些配置資訊,使其VLAN的配置與VTPServer保持一致,從而減少在多臺設備上配置同一個VLAN資訊的工作量,而且保持了VLAN配置的統一性。處於VTP模式下,程序員容易透過VTP實現初步入侵和攻擊,並透過獲取相應的權限,以隨意更改入侵的局域網絡內部架構,導致網絡阻塞和混亂。所以對VTP協議進行操作時,僅儲存一臺設定爲VTP的服務器模式,其餘爲VTP的客戶端模式。最後基於保障VTP域的穩定與安全的目的,應將VTP域全部的交換機設定爲相同的密碼,以保證只有符合密碼相同的情況才能正常運作VTP,保障網絡的安全。
5結語
處於全球資訊以及計算機等科學技術的不斷改善和向前發展的社會環境中,數據通信網絡的發展內容得到了多樣化的豐富和充實,數據通信已發展成當今社會通信的主要方式。所以不斷是從基礎研究理論或是實際應用活動中,如何保障網絡安全應當成爲今後數據網絡發展中的重大課題,研究人員應當致力於探索多樣化和創新化的方式和渠道,以全面保障數據通信網絡的安全和穩定,爲廣大社會用戶創造高效放心的通信環境。