工業交換機六大安全問題
工業交換機即一種高效的局域網絡,它是現代工業自動化生產體係中的重要組成部份,不管是傳感器數據傳輸、還是生產設備控製等等,這些都需以太網來構成基本的控製網絡。這也是為什麼工業交換機在自動化生產中的應用越來越廣泛的重要原因之一。
不斷豐富的寬帶應用所需的帶寬支持;大型金融機構的數據集中;企業核心業務、ERP、CRM等複雜的應用擴展。今天,千兆為骨幹、百兆為接入的主流結構,將逐漸向萬兆為骨幹、千兆為接入的結構過渡。
而伴隨著工業交換機的迅速普及,它的安全問題也日益受到相關重視,我們目前要應對以下這些方麵:
一、工業交換機六大安全問題
(1)廣播風暴攻擊
用戶可傳送高流量的廣播數據信息、組播數據信息或是目的MAC地址為胡亂構造的單播數據信息,交換機接受到這些信息時,將以廣播的形式進行發送,如果交換機不兼容對泛洪數據庫的流量控製,那樣網絡的帶寬可能就會被這些無效數據填滿,進而網絡中的其他用戶不能正常上網。
(2)數據信息對網絡進行攻擊
惡意用戶可向路由器傳送特別大流量的信息,這些信息通過工業交換機發送給路由器同時、也占用了該上聯接口的大部分帶寬,那樣其他客戶上網也將感到非常的遲緩。
因此,交換機需限定每個端口進行入的方向速度,不然惡意用戶就能攻擊他所在的網絡、進而影響該網絡內每一個其他客戶。
(3)海量MAC地址攻擊
因為工業交換機在發送數據信息時以MAC地址做為索引,如果數據報的目的MAC地址不明時,將在網絡中以泛洪的形式發送。工業交換機需要不停的進行MAC地址學習、並且交換機的MAC表容量是有限的,當交換機的MAC表被填滿時,原有MAC地址就會被新學習到的MAC地址複蓋,這樣,當接受到路由器發送給正常客戶的信息時,由於找不到該客戶MAC的記錄,進而就將以泛洪的形式在網絡內發送,這個就降低了網絡的發送性能。
(4)MAC欺騙攻擊
惡意用戶為攻擊網絡使其崩潰,還可以把自己的MAC地址改為路由器MAC地址(稱為MAC-X),然後不停(並不需要很大的流量,每秒鍾1個就足夠了)地發送給交換機,這樣,交換機就會更新MAC-X的記錄,認為MAC-X位於與該惡意客戶連接的端口上,此時,當其他用戶有數據信息發送給路由器時,交換機將把這些信息發送給該惡意客戶,這樣傳送正常數據庫的客戶就不能正常上網了(同理,該網絡內每一個客戶都不能上網)。交換機應具備MAC與端口的綁定功能(即路由器MAC地址最好在交換機上靜態配置),不然惡意用戶可簡單地讓網絡陷入崩潰;或交換機需綁定每個端口允許進入網絡的數據庫的源MAC地址,這樣惡意客戶就不能通過MAC欺騙來攻擊網絡。
(5)ARP欺騙攻擊
不管接收到對哪個IP地址發出的ARP請求,立即發送ARP應答,若收到的ARP請求、ARP應答、口數據與綁定的IP不同,即可將這些數據丟棄掉,否則會讓網絡陷入癱瘓。
(6)環線攻擊
用戶在自己家中也裝個網絡交換機,並且故意把一根網線的兩端都接到該網絡交換機上構成環線,然後使用網線把該網絡交換機與網絡中的交換機連接起來,由於全部網絡中存在環線,那麼網絡中的MAC地址學習將會紊亂,從而網絡交換機轉發數據時將也會產生錯誤,全部網絡也將陷入癱瘓。
以上就是關於“工業交換機六大安全問題”的全部內容了,感謝閱讀,希望能對大家有所幫助。
