|
知识路径: > 网络设备安全 > 网络设备安全概况 > 交换机安全威胁 >
|
相关知识点:6个
|
|
|
|
交换机是构成网络的基础设备,主要的功能是负责网络通信数据包的交换传输。目前,工业界按照交换机的功能变化,将交换机分为第一代交换机、第二代交换机、第三代交换机、第四代交换机、第五代交换机。其中,集线器是第一代交换机,工作于OSI(开放系统互联参考模型)的物理层,主要功能是对接收到的信号进行再生整形放大,延长网络通信线路的传输距离,同时,把网络中的节点汇聚到集线器的一个中心节点上。集线器会把收到的报文向所有端口转发。第二代交换机又称为以太网交换机,工作于OSI的数据链路层,称为二层交换机。二层交换机识别数据中的MAC地址信息,并根据MAC地址选择转发端口。第三代交换机通俗地称为三层交换机,针对ARP/DHCP等广播报文对终端和交换机的影响,三层交换机实现了虚拟网络(VLAN)技术来抑制广播风暴,将不同用户划分为不同的VLAN,VLAN之间的数据包转发通过交换机内置的硬件路由查找功能完成。三层交换机工作于OSI模型的网络层。第四代交换机为满足业务的安全性、可靠性、QoS等需求,在第二、第三代交换机功能的基础上新增业务功能,如防火墙、负载均衡、IPS等。这些功能通常由多核CPU实现。第五代交换机通常支持软件定义网络(SDN),具有强大的QoS能力。目前,交换机设备的国内代表厂商主要有华为、锐捷、中兴、华三等,国外代表厂商主要有思科(Cisco)、Juniper等。交换机面临的网络安全威胁主要有如下几个方面。
|
|
|
|
MAC地址泛洪(Flooding)攻击通过伪造大量的虚假MAC地址发往交换机,由于交换机的地址表容量的有限性,当交换机的MAC地址表被填满之后,交换机将不再学习其他MAC地址,从而导致交换机泛洪转发。
|
|
|
|
攻击者可以随时发送虚假ARP包更新被攻击主机上的ARP缓存,进行地址欺骗,干扰交换机的正常运行。
|
|
|
|
攻击者利用口令认证机制的脆弱性,如弱口令、通信明文传输、口令明文存储等,通过口令猜测、网络监听、密码破解等技术手段获取交换机口令认证信息,从而非授权访问交换机设备。
|
|
|
|
攻击者利用交换机的漏洞信息,导致拒绝服务、非授权访问、信息泄露、会话劫持。
|
|
|