萬盛學電腦網

 萬盛學電腦網 >> 網絡應用技術 >> 應用教程 >> 交換機漏洞安全漏洞分析

交換機漏洞安全漏洞分析

下面我們給大家講解一下交換機漏洞的五種攻擊手段。

  VLAN跳躍攻擊   虛擬局域網(VLAN)是對廣播域進行分段的方法。VLAN還經常用於為網絡提供額外的安全,因為一個VLAN上的計算機無法與沒有明確訪問權的另一個 VLAN上的用戶進行對話。不過VLAN本身不足以保護環境的安全,惡意黑客通過VLAN跳躍攻擊,即使未經授權,也可以從一個VLAN跳到另一個 VLAN。

  (VLANhopping)依靠的是動態中繼協議(DTP)。如果有兩個相互連接的交換機,DTP就能夠對兩者進行協商,確定它們要不要成為802.1Q中繼,洽商過程是通過檢查端口的配置狀態來完成的。

   充分利用了DTP,在VLAN跳躍攻擊中,黑客可以欺騙計算機,冒充成另一個交換機發送虛假的DTP協商消息,宣布他想成為中繼;真實的交換機收到這個 DTP消息後,以為它應當啟用802.1Q中繼功能,而一旦中繼功能被啟用,通過所有VLAN的信息流就會發送到黑客的計算機上。

  中繼建立起來後,黑客可以繼續探測信息流,也可以通過給幀添加802.1Q信息,指定想把攻擊流量發送給哪個VLAN。

  生成樹攻擊  生成樹協議(STP)可以防止冗余的交換環境出現回路。要是網絡有回路,就會變得擁塞不堪,從而出現廣播風暴,引起MAC表不一致,最終使網絡崩潰。

   使用STP的所有交換機都通過網橋協議數據單元(BPDU)來共享信息,BPDU每兩秒就發送一次。交換機發送BPDU時,裡面含有名為網橋ID的標 號,這個網橋ID結合了可配置的優先數(默認值是32768)和交換機的基本MAC地址。交換機可以發送並接收這些BPDU,以確定哪個交換機擁有最低的 網橋ID,擁有最低網橋ID的那個交換機成為根網橋(rootbridge)。

  根網橋好比是小鎮上的社區雜貨店,每個小鎮都需要一家雜貨店,而每個市民也需要確定到達雜貨店的最佳路線。比最佳路線來得長的路線不會被使用,除非主通道出現阻塞。

  根網橋的工作方式很相似。其他每個交換機確定返回根網橋的最佳路線,根據成本來進行這種確定,而這種成本基於為帶寬所分配的值。如果其他任何路線發現擺脫阻塞模式不會形成回路(譬如要是主路線出現問題),它們將被設成阻塞模式。

   惡意黑客利用STP的工作方式來發動拒絕服務(DoS)攻擊。如果惡意黑客把一台計算機連接到不止一個交換機,然後發送網橋ID很低的精心設計的 BPDU,就可以欺騙交換機,使它以為這是根網橋,這會導致STP重新收斂(reconverge),從而引起回路,導致網絡崩潰。

  MAC表洪水攻擊  交換機的工作方式是:幀在進入交換機時記錄下MAC源地址,這個MAC地址與幀進入的那個端口相關,因此以後通往該MAC地址的信息流將只通過該端口發送出去。這可以提高帶寬利用率,因為信息流用不著從所有端口發送出去,而只從需要接收的那些端口發送出去。

copyright © 萬盛學電腦網 all rights reserved