當(dāng)前位置 : 首頁(yè)>軟件學(xué)院>網(wǎng)絡(luò)技術(shù)>網(wǎng)絡(luò)安全>正文

正確設(shè)置交換機(jī)防范黑手

http://m.yibo1263.com　2009/3/7 11:13:04 　來(lái)源:東北IT網(wǎng) 　編輯:葉子

　　寬帶網(wǎng)接入交換機(jī)通常需要與用戶(hù)終端直接連接，一旦用戶(hù)終端感染蠕蟲(chóng)病毒，病毒發(fā)作就會(huì)嚴(yán)重消耗帶寬和交換機(jī)資源，甚至造成網(wǎng)絡(luò)癱瘓，這一現(xiàn)象在Slammer和沖擊波事件中早已屢見(jiàn)不鮮。寬帶接入交換機(jī)究竟面臨哪些安全風(fēng)險(xiǎn)？怎樣才能化解這些風(fēng)險(xiǎn)？接下來(lái)我們將逐一揭示。

　　交換機(jī)的風(fēng)險(xiǎn)

　　利用抓包工具，筆者經(jīng)常捕獲到大流量的異常報(bào)文，它們一方面消耗網(wǎng)絡(luò)帶寬，另一方面消耗網(wǎng)絡(luò)設(shè)備的資源，影響網(wǎng)絡(luò)的正常運(yùn)行。

　　單播類(lèi)異常報(bào)文：?jiǎn)尾チ髁看蠖鄶?shù)是發(fā)送給網(wǎng)關(guān)，網(wǎng)關(guān)設(shè)備根據(jù)路由表對(duì)這些報(bào)文做出轉(zhuǎn)發(fā)或丟棄處理。對(duì)私有IP地址，公網(wǎng)三層交換機(jī)或路由器會(huì)自動(dòng)丟棄單播流量。如果用戶(hù)已經(jīng)獲得一個(gè)公網(wǎng)IP地址，這些單播流量就會(huì)被轉(zhuǎn)發(fā)出去，進(jìn)而影響更大范圍的網(wǎng)絡(luò)。以沖擊波病毒為例，中毒主機(jī)只要監(jiān)測(cè)到網(wǎng)絡(luò)可用，就會(huì)啟動(dòng)一個(gè)攻擊傳播線(xiàn)程，不斷隨機(jī)生成攻擊地址進(jìn)行攻擊。在沖擊波發(fā)作嚴(yán)重的階段，網(wǎng)絡(luò)速度明顯變慢，一些接入層交換機(jī)和一些小型路由器甚至崩潰，核心三層交換機(jī)的CPU利用率達(dá)到100%，運(yùn)營(yíng)商不得不采取屏蔽ICMP報(bào)文的辦法加以應(yīng)對(duì)。

　　廣播類(lèi)異常報(bào)文：廣播是實(shí)現(xiàn)某些協(xié)議的必要方式。廣播報(bào)文會(huì)發(fā)送給特定網(wǎng)段內(nèi)的所有主機(jī)，每臺(tái)主機(jī)都會(huì)對(duì)收到的報(bào)文進(jìn)行處理，做出回應(yīng)或丟棄的決定，其結(jié)果是既消耗網(wǎng)絡(luò)帶寬又影響主機(jī)性能。利用端口隔離技術(shù)，用戶(hù)可以限制廣播報(bào)文只發(fā)往上行端口，這樣可以減小對(duì)本網(wǎng)段鏈路和主機(jī)的影響，但無(wú)法解決對(duì)匯聚層和核心層設(shè)備造成的影響。如果在匯聚或核心設(shè)備上將多個(gè)小區(qū)劃在一個(gè)VLAN內(nèi)，廣播類(lèi)流量就會(huì)通過(guò)上層設(shè)備返回到其他小區(qū)，進(jìn)而繼續(xù)占用這些小區(qū)的鏈路帶寬并影響主機(jī)性能，這種配置方法在當(dāng)前寬帶網(wǎng)絡(luò)中廣泛存在。

　　組播類(lèi)異常報(bào)文：組播類(lèi)信息本來(lái)只服務(wù)于網(wǎng)絡(luò)內(nèi)的部分用戶(hù)，其目的地址是網(wǎng)絡(luò)內(nèi)申請(qǐng)加入組播組的主機(jī)。一些主機(jī)并沒(méi)有申請(qǐng)加入組播組，這些組播報(bào)文本不應(yīng)該轉(zhuǎn)發(fā)給這些主機(jī)，但是事實(shí)上這些主機(jī)還是收到了組播信息。是什么原因?qū)е陆M播報(bào)文轉(zhuǎn)發(fā)給沒(méi)有申請(qǐng)加入的主機(jī)呢?原來(lái)，為了實(shí)現(xiàn)組播，二層交換機(jī)使用GMRP組播注冊(cè)協(xié)議或IGMP Snooping協(xié)議來(lái)維護(hù)一個(gè)動(dòng)態(tài)組播表，然后把組播報(bào)文轉(zhuǎn)發(fā)給與該組播組成員相關(guān)的端口，以實(shí)現(xiàn)在VLAN 內(nèi)的二層組播，如果沒(méi)有運(yùn)行IGMP Snooping，組播報(bào)文將在二層廣播，這就是導(dǎo)致組播泛濫的原因。

　　隨著寬帶網(wǎng)絡(luò)的進(jìn)一步普及以及視頻應(yīng)用的逐漸增加，組播技術(shù)將會(huì)得到更廣泛地應(yīng)用，那時(shí)組播類(lèi)異常流量不僅會(huì)出現(xiàn)在網(wǎng)絡(luò)的第二層，而且還會(huì)路由到整個(gè)組播樹(shù)。加上視頻類(lèi)信息流量較大，很難區(qū)分正常流量和不正常流量。因而對(duì)組播進(jìn)行控制也就更加困難了。

　　總之，局域網(wǎng)內(nèi)的應(yīng)用存在被病毒利用的可能性，如果不有效限制異常流量，就會(huì)對(duì)網(wǎng)絡(luò)帶寬以及網(wǎng)絡(luò)設(shè)備造成資源消耗。因此，為面向用戶(hù)的二層交換機(jī)增加智能，把問(wèn)題隔離在最小的范圍內(nèi)，就顯得尤為重要。

　　化解風(fēng)險(xiǎn)的對(duì)策

　　利用交換機(jī)的流量控制功能，我們能夠把流經(jīng)端口的異常流量限制在一定的范圍內(nèi)。例如，Cisco交換機(jī)具有基于端口的流量控制功能，能夠?qū)崿F(xiàn)風(fēng)暴控制、端口保護(hù)和端口安全。風(fēng)暴控制能夠緩解單播、廣播或組播包導(dǎo)致的網(wǎng)絡(luò)變慢，通過(guò)對(duì)不同種類(lèi)流量設(shè)定一個(gè)閾值，交換機(jī)在端口流量達(dá)到設(shè)定值時(shí)啟動(dòng)流量控制功能甚至將端口宕掉。端口保護(hù)類(lèi)似于端口隔離，設(shè)置了端口保護(hù)功能的端口之間不交換任何流量。端口安全是對(duì)未經(jīng)許可的地址進(jìn)行端口級(jí)的訪(fǎng)問(wèn)限制。無(wú)獨(dú)有偶，華為交換機(jī)提供流量控制和廣播風(fēng)暴抑制比等端口控制功能。流量控制功能用于交換機(jī)與交換機(jī)之間在發(fā)生擁塞時(shí)通知對(duì)方暫時(shí)停止發(fā)送數(shù)據(jù)包，以避免報(bào)文丟失。廣播風(fēng)暴抑制可以限制廣播流量的大小，對(duì)超過(guò)設(shè)定值的廣播流量進(jìn)行丟棄處理。

　　不過(guò)，交換機(jī)的流量控制功能只能對(duì)經(jīng)過(guò)端口的各類(lèi)流量進(jìn)行簡(jiǎn)單的速率限制，將廣播、組播的異常流量限制在一定的范圍內(nèi)，而無(wú)法區(qū)分哪些是正常流量，哪些是異常流量。同時(shí)，如何設(shè)定一個(gè)合適的閾值也比較困難。如果需要對(duì)報(bào)文做更進(jìn)一步的控制用戶(hù)可以采用ACL(訪(fǎng)問(wèn)控制列表 )。ACL利用IP地址、TCP/UDP端口等對(duì)進(jìn)出交換機(jī)的報(bào)文進(jìn)行過(guò)濾，根據(jù)預(yù)設(shè)條件，對(duì)報(bào)文做出允許轉(zhuǎn)發(fā)或阻塞的決定。Cisco和華為的交換機(jī)均支持IP ACL和MAC ACL，每種ACL分別支持標(biāo)準(zhǔn)格式和擴(kuò)展格式。標(biāo)準(zhǔn)格式的ACL根據(jù)源地址和上層協(xié)議類(lèi)型進(jìn)行過(guò)濾，擴(kuò)展格式的ACL根據(jù)源地址、目的地址以及上層協(xié)議類(lèi)型進(jìn)行過(guò)濾。

本新聞共2頁(yè),當(dāng)前在第1頁(yè) 1 2

【收藏】【打印】【進(jìn)入論壇】

相關(guān)文章：

·長(zhǎng)春市政府采購(gòu)中心采購(gòu)交換機(jī)

·光纖交換機(jī)供應(yīng)商

·Cisco三層交換機(jī)堆棧連接問(wèn)題

·廉價(jià)交換機(jī)走俏的原因以及使用風(fēng)險(xiǎn)

·詳談交換機(jī)的連接方式組建交換網(wǎng)絡(luò)

·程控交換機(jī)的綜合性防雷保護(hù)措施

·不能忽略交換機(jī)初始設(shè)置

·巧用交換機(jī)控制IP地址沖突故障

·透過(guò)現(xiàn)象看問(wèn)題 Cisco交換機(jī)狀態(tài)燈

·Cisco交換機(jī)生成樹(shù)協(xié)議配置

·Cisco交換機(jī)出現(xiàn)環(huán)路的處理方法

亚洲AV无码乱码在线观看不卡|最新大伊香蕉精品视频在线|亚洲不卡av一区二区|国产美女无遮挡免费