前言:想要寫出一篇引人入勝的文章?我們特意為您整理了網絡信息安全數據通信論文范文,希望能給你帶來靈感和參考,敬請閱讀。
1路由器與交換機漏洞的發現和防護
作為通過遠程連接的方式實現網絡資源的共享是大部分用戶均會使用到的,不管這樣的連接方式是利用何種方式進行連接,都難以避開負載路由器以及交換機的系統網絡,這是這樣,這些設備存在著某些漏洞極容易成為黑客的攻擊的突破口。從路由器與交換機存在漏洞致因看,路由與交換的過程就是于網絡中對數據包進行移動。在這個轉移的過程中,它們常常被認為是作為某種單一化的傳遞設備而存在,那么這就需要注意,假如某個黑客竊取到主導路由器或者是交換機的相關權限之后,則會引發損失慘重的破壞。縱觀路由與交換市場,擁有最多市場占有率的是思科公司,并且被網絡領域人員視為重要的行業標準,也正因為該公司的產品普及應用程度較高,所以更加容易受到黑客攻擊的目標。比如,在某些操作系統中,設置有相應的用于思科設備完整工具,主要是方便管理員對漏洞進行定期的檢查,然而這些工具也被攻擊者注意到并利用工具相關功能查找出設備的漏洞所在,就像密碼漏洞主要利用JohntheRipper進行攻擊。所以針對這類型的漏洞防護最基本的防護方法是開展定期的審計活動,為避免這種攻擊,充分使用平臺帶有相應的多樣化的檢查工具,并在需要時進行定期更新,并保障設備出廠的默認密碼已經得到徹底清除;而針對BGP漏洞的防護,最理想的辦法是于ISP級別層面處理和解決相關的問題,假如是網絡層面,最理想的辦法是對攜帶數據包入站的路由給予嚴密的監視,并時刻搜索內在發生的所有異常現象。
2交換機常見的攻擊類型
2.1MAC表洪水攻擊
交換機基本運行形勢為:當幀經過交換機的過程會記下MAC源地址,該地址同幀經過的端口存在某種聯系,此后向該地址發送的信息流只會經過該端口,這樣有助于節約帶寬資源。通常情況下,MAC地址主要儲存于能夠追蹤和查詢的CAM中,以方便快捷查找。假如黑客通過往CAM傳輸大量的數據包,則會促使交換機往不同的連接方向輸送大量的數據流,最終導致該交換機處在防止服務攻擊環節時因過度負載而崩潰.
2.2ARP攻擊
這是在會話劫持攻擊環節頻發的手段之一,它是獲取物理地址的一個TCP/IP協議。某節點的IP地址的ARP請求被廣播到網絡上后,這個節點會收到確認其物理地址的應答,這樣的數據包才能被傳送出去。黑客可通過偽造IP地址和MAC地址實現ARP欺騙,能夠在網絡中產生大量的ARP通信量使網絡阻塞,ARP欺騙過程如圖1所示。
2.3VTP攻擊
以VTP角度看,探究的是交換機被視為VTP客戶端或者是VTP服務器時的情況。當用戶對某個在VTP服務器模式下工作的交換機的配置實施操作時,VTP上所配置的版本號均會增多1,當用戶觀察到所配置的版本號明顯高于當前的版本號時,則可判斷和VTP服務器實現同步。當黑客想要入侵用戶的電腦時,那他就可以利用VTP為自己服務。黑客只要成功與交換機進行連接,然后再本臺計算機與其構建一條有效的中繼通道,然后就能夠利用VTP。當黑客將VTP信息發送至配置的版本號較高且高于目前的VTP服務器,那么就會致使全部的交換機同黑客那臺計算機實現同步,最終將全部除非默認的VLAN移出VLAN數據庫的范圍。
3安全防范VLAN攻擊的對策
3.1保障TRUNK接口的穩定與安全
通常情況下,交換機所有的端口大致呈現出Access狀態以及Turnk狀態這兩種,前者是指用戶接入設備時必備的端口狀態,后置是指在跨交換時一致性的VLAN-ID兩者間的通訊。對Turnk進行配置時,能夠避免開展任何的命令式操作行為,也同樣能夠實現于跨交換狀態下一致性的VLAN-ID兩者間的通訊。正是設備接口的配置處于自適應的自然狀態,為各項攻擊的發生埋下隱患,可通過如下的方式防止安全隱患的發生。首先,把交換機設備上全部的接口狀態認為設置成Access狀態,這樣設置的目的是為了防止黑客將自己設備的接口設置成Desibarle狀態后,不管以怎樣的方式進行協商其最終結果均是Accese狀態,致使黑客難以將交換機設備上的空閑接口作為攻擊突破口,并欺騙為Turnk端口以實現在局域網的攻擊。其次是把交換機設備上全部的接口狀態認為設置成Turnk狀態。不管黑客企圖通過設置什么樣的端口狀態進行攻擊,這邊的接口狀態始終為Turnk狀態,這樣有助于顯著提高設備的可控性。最后對Turnk端口中關于能夠允許進出的VLAN命令進行有效配置,對出入Turnk端口的VLAN報文給予有效控制。只有經過允許的系類VLAN報文才能出入Turnk端口,這樣就能夠有效抑制黑客企圖通過發送錯誤報文而進行攻擊,保障數據傳送的安全性。
3.2保障VTP協議的有效性與安全性
VTP(VLANTrunkProtocol,VLAN干道協議)是用來使VLAN配置信息在交換網內其它交換機上進行動態注冊的一種二層協議,它主要用于管理在同一個域的網絡范圍內VLANs的建立、刪除以及重命名。在一臺VTPServer上配置一個新的VLAN時,該VLAN的配置信息將自動傳播到本域內的其他所有交換機,這些交換機會自動地接收這些配置信息,使其VLAN的配置與VTPServer保持一致,從而減少在多臺設備上配置同一個VLAN信息的工作量,而且保持了VLAN配置的統一性。處于VTP模式下,黑客容易通過VTP實現初步入侵和攻擊,并通過獲取相應的權限,以隨意更改入侵的局域網絡內部架構,導致網絡阻塞和混亂。所以對VTP協議進行操作時,僅保存一臺設置為VTP的服務器模式,其余為VTP的客戶端模式。最后基于保障VTP域的穩定與安全的目的,應將VTP域全部的交換機設置為相同的密碼,以保證只有符合密碼相同的情況才能正常運作VTP,保障網絡的安全。
4結語
處于全球信息以及計算機等科學技術的不斷改善和向前發展的社會環境中,數據通信網絡的發展內容得到了多樣化的豐富和充實,數據通信已發展成當今社會通信的的主要方式。所以不斷是從基礎研究理論或是實際應用活動中,如何保障網絡安全應當成為今后數據網絡發展中的重大課題,研究人員應當致力于探索多樣化和創新化的方式和渠道,以全面保障數據通信網絡的安全和穩定,為廣大社會用戶創造高效放心的通信環境。
作者:關建華 單位:鐵通赤峰分公司