局域網交換機的安全問題

　　解決局域網交換機的安全問題，交換機就不能再純粹完成轉發(fā)工作了事，如果這些功能轉移到交換機上，簡化了網絡節(jié)點的增加、移動和網絡變化的操作。但是什么是真正解決局域網交換機安全問題的要素呢，下文給您去全面的分析研究。

　　早期的網絡攻擊和惡意入侵主要來自外網，而且是少部分學習黑客技術的人所為，因此當時哪怕只是通過一個防火墻簡單的封堵一些端口，檢測一些特征數(shù)據(jù)包就能實現(xiàn)內網的安全。

　　然而，自沖擊波病毒開始，病毒在局域網交換機瘋狂傳播所造成的強大殺傷力開始讓用戶心驚膽戰(zhàn)，之后計算機病毒更是控制住大量的“僵尸”電腦對特定網站或者服務器發(fā)動洪水攻擊。

　　進入2006年，在網吧行業(yè)影響最嚴重的安全問題變成了ARP和DDOS，這些惡意程序不僅巧妙偽裝而且無處不在，更嚴重的是一旦局域網交換機某臺計算機感染了病毒，就會造成大量的計算機掉線甚至整個網絡陷入癱瘓，令網吧業(yè)主和網吧玩家萬般無奈，在公司企業(yè)內部網絡也幾乎存在同樣的問題，而此時傳統(tǒng)的防火墻卻顯得毫無辦法。

　　局域網也成病毒高發(fā)地區(qū)

　　如果是在4年前，局域網還是非常安全的，很多公司也習慣了直接在局域網共享各種常用軟件和資料，但是現(xiàn)在為了獲得一些非正當?shù)睦�益，很多病毒開發(fā)者打起了局域網交換機的主意：先是由于網游的熱火而產生了ARP病毒。

　　這是一種欺騙性質的病毒，雖然它的目的并不是破壞局域網，但為了達到它盜寶的目的，會嚴重影響其它局域網用戶的正常上網活動。所謂ARP攻擊其實就是內網某臺主機偽裝成網關，欺騙內網其他主機將所有發(fā)往網關的信息發(fā)到這臺主機上。

　　但是由于此臺主機的數(shù)據(jù)處理轉發(fā)能力遠遠低于網關，所以就會導致大量信息堵塞，網速越來越慢，甚至造成網絡癱瘓，而且ARP病毒這樣做的目的就是為了截取用戶的信息，盜取諸如網絡游戲帳號、QQ密碼等用戶信息，因此它不僅會造成局域網堵塞，也會威脅到局域網交換機用戶的信息安全。

　　接著很多針對特殊服務器或是網游私x的DDOS攻擊也開始大舉利用網吧或企業(yè)網絡中的客戶機作為“僵尸”電腦，對指定的服務器IP發(fā)送大量的數(shù)據(jù)包，“僵尸”電腦越多，服務器被消耗的帶寬也越多。

　　利用這個原理耗盡服務器的帶寬，就可以達到讓對方服務器掉線以便對服務器運營者進行惡意勒索的目的。這種攻擊方式雖然是針對外網服務器，但是它在攻擊過程中需要向路由器發(fā)送大量的數(shù)據(jù)包，會直接導致路由器僅有的100M LAN口被“堵滿”，因此其他局域網的計算機的請求無法提交到路由器進行處理，結果就產生局域網計算機全部“掉線”的現(xiàn)象。

　　還有一種針對服務器的SYN攻擊也會令局域網電腦全體“掉線”： SYN攻擊屬于DOS攻擊的一種，它利用TCP協(xié)議三次握手的等待確認缺陷，通過發(fā)送大量的半連接請求，耗費CPU和內存資源。

　　SYN攻擊除了能影響主機外，還可以危害路由器、防火墻等網絡系統(tǒng)，事實上SYN攻擊并不管目標是什么系統(tǒng)，只要這些系統(tǒng)打開TCP服務就可以實施。配合IP欺騙，SYN攻擊能達到很好的效果。

　　通常，感染SYN病毒的客戶端在短時間內偽造大量不存在的IP地址，向服務器不斷地發(fā)送SYN包，服務器回復確認包，并等待客戶的確認，由于源地址是不存在的，服務器需要不斷的重發(fā)直至超時，這些偽造的SYN包將長時間占用未連接隊列，正常的SYN請求被丟棄，目標系統(tǒng)和路由器運行緩慢，嚴重的時候就直接引起整個局域網交換機的網絡堵塞甚至系統(tǒng)癱瘓。

　　面對日益嚴重的內網攻擊和整網掉線問題，很多路由器和防火墻開發(fā)商也在產品中加入了相關技術，例如加入IP-MAC綁定功能可以防止局域網的ARP欺騙，但是這些設備由于以太網工作原理的關系，其實還是無法全面解決內網安全問題。

　　例如DDOS攻擊，雖然路由器和防火墻可以利用一些設定好的規(guī)則判斷出哪些數(shù)據(jù)包帶有DDOS攻擊的特征，但是它必須在收到這些數(shù)據(jù)包之后才能對數(shù)據(jù)包進行分析，而這些數(shù)據(jù)包在收過來的時候其實就已經占用了LAN口的帶寬資源。

　　由于路由器和防火墻都在局域網的最外端，這樣的網絡結構已經決定了它們無法在攻擊數(shù)據(jù)包產生的時候就進行封堵，而且這些設備大部分還是采用100Mb的帶寬與LAN交換機相連。

　　加上大部分的局域網交換機都是線速轉發(fā)的二層交換機，受感染客戶端發(fā)送的大量數(shù)據(jù)包可以很快用完這些帶寬，因此網絡數(shù)據(jù)傳輸?shù)膲毫Χ技虞d在路由器的LAN端口，這時候很多正常的請求都無法順利通過LAN口提交過去，因此即使路由器知道哪些是正常的請求也無濟于事。

【局域網交換機的安全問題】相關文章：

交換機功能介紹10-02

思科交換機的基本配置10-09

交換機DLA的應用實例07-01

淺談無線交換機性能10-22

dlink交換機配置方法07-16

思科路由交換機發(fā)展08-21

思科交換機產品介紹07-18

虛擬局域網（VLAN）路由設置09-26

教你局域網怎么搶網速08-16

怎么輕松測試局域網網速08-22