工業交換機存在的安全隱患
發布時間:2019.01.11 新聞來源: 瀏覽次數:
工業交換機也稱作工業以太網交換機�,即應用於工業控製領域的以太網交換機設備�����,由於采用的網絡標準�,其開放性好��、應用廣泛以及價格低廉�、使用的是透明而統一的TCP/IP協議����,以太網已經成為工業控製領域的主要通信標準。它的適應能力很強����,那麼工業交換機有什麼安全隱患呢?
(1)廣播風暴攻擊
當交換機接收到大流量的廣播數據�����、組播數據或者目的MACdizhiweihuluangouzaodedanboshujushi�,jiangyiguangbodefangshijinxingzhuanfa���,ruguojiaohuanjibuzhichiduihongfanshujudeliuliangkongzhi��,namewangluodedaikuankenengjiuhuibeizhexielajishujuchongman�����,congerwangluozhongdeqitayonghuwufazhengchangshangwang。suoyi���,jiaohuanjixuyaozhichiduicongmeigeduankoushoudaodehongfanshujujinxingsulvxianzhi。
(2)數據對網絡進行攻擊
當惡意用戶向路由器發送非常大流量的數據�����,這些數據通過交換機發送給路由器的同時��、也(ye)占(zhan)用(yong)了(le)該(gai)上(shang)聯(lian)接(jie)口(kou)的(de)大(da)部(bu)分(fen)帶(dai)寬(kuan)����,那(na)麼(me)其(qi)它(ta)用(yong)戶(hu)上(shang)網(wang)也(ye)將(jiang)趕(gan)到(dao)非(fei)常(chang)的(de)緩(huan)慢(man)。所(suo)以(yi)����,交(jiao)換(huan)機(ji)需(xu)限(xian)製(zhi)每(mei)個(ge)端(duan)口(kou)進(jin)行(xing)入(ru)方(fang)向(xiang)的(de)速(su)率(lv)����,不(bu)然(ran)惡(e)意(yi)用(yong)戶(hu)就(jiu)可(ke)攻(gong)擊(ji)他(ta)所(suo)在(zai)的(de)網(wang)絡(luo)��、從而影響該網絡內所有的其它用戶。
(3)海量MAC地址攻擊
因為交換機在轉發數據時以MAC地址作為索引����,如果數據報的目的MAC地址未知時���,將在網絡中以洪泛的方式轉發。所以�,惡意用戶可以向網絡內發送大量的垃圾數據��,這些數據的源MAC地址不停改變��,因為交換機需要不停的進行MAC地址學習����、並且交換機的MAC表容量是有限的���,當交換機的MAC表被充滿時����,原有的MAC地址就會被新學習到的MAC地址覆蓋。這樣����,當交換機接收到路由器發送給正常客戶的數據時���,由於找不到該客戶MAC的記錄���,從而就將以洪泛的方式在網絡內轉發���,這樣就大大降低了網絡的轉發性能。因此����,交換機需要能夠限製每個端口能夠學習MAC地址的數量�����,不然整個網絡就將退化為一個類似於HUB構成的網絡。
(4)MAC欺騙攻擊
惡意用戶為攻擊網絡使之癱瘓�,還可將自己的MAC地址改為路由器的MAC地址����,然後不停地發送給交換機�,這樣�����,交換機就會更新MAC-X的記錄��,認為MAC-X位(wei)於(yu)與(yu)該(gai)惡(e)意(yi)用(yong)戶(hu)連(lian)接(jie)的(de)端(duan)口(kou)上(shang)���,此(ci)時(shi)�����,當(dang)其(qi)他(ta)用(yong)戶(hu)有(you)數(shu)據(ju)發(fa)送(song)給(gei)路(lu)由(you)器(qi)時(shi)����,交(jiao)換(huan)機(ji)將(jiang)把(ba)這(zhe)些(xie)數(shu)據(ju)發(fa)送(song)給(gei)該(gai)惡(e)意(yi)用(yong)戶(hu)��,這(zhe)樣(yang)發(fa)送(song)正(zheng)常(chang)數(shu)據(ju)的(de)用(yong)戶(hu)就(jiu)不(bu)能(neng)正(zheng)常(chang)上(shang)網(wang)了(le)。
因此�,交換機應具備MAC與端口的綁定功能��,否則惡意用戶可簡單地讓網絡陷入崩潰;或交換機需綁定每個端口允許進入網絡的數據的源MAC地址�,這樣惡意用戶就不能通過MAC欺騙來攻擊網絡。
(5)ARP欺騙攻擊
惡意用戶可以進行ARP欺騙攻擊����,即不管接收到對哪個IP地址發出的ARP請求��,都立即發送ARP應答�,這樣其它用戶發送的數據也都將發送到惡意用戶的這個MAC地址�,這些用戶自然不能正常上網。
因此���,交換機應該實現端口與IP地址的綁定功能����,即若收到的ARP請求���、ARP應答�、口數據與綁定的IP不同�,即可將這些數據丟棄掉��,否則會讓網絡陷入癱瘓。
