工業(yè)交換機(jī)存在的安全隱患
發(fā)布時間:2019.01.11 新聞來源: 瀏覽次數(shù):
工業(yè)交換機(jī)也稱作工業(yè)以太網(wǎng)交換機(jī)�����,即應(yīng)用于工業(yè)控制領(lǐng)域的以太網(wǎng)交換機(jī)設(shè)備�,由于采用的網(wǎng)絡(luò)標(biāo)準(zhǔn),其開放性好�����、應(yīng)用廣泛以及價格低廉���、使用的是透明而統(tǒng)一的TCP/IP協(xié)議���,以太網(wǎng)已經(jīng)成為工業(yè)控制領(lǐng)域的主要通信標(biāo)準(zhǔn)�。它的適應(yīng)能力很強(qiáng)���,那么工業(yè)交換機(jī)有什么安全隱患呢?
(1)廣播風(fēng)暴攻擊
當(dāng)交換機(jī)接收到大流量的廣播數(shù)據(jù)����、組播數(shù)據(jù)或者目的MAC地址為胡亂構(gòu)造的單播數(shù)據(jù)時�,將以廣播的方式進(jìn)行轉(zhuǎn)發(fā),如果交換機(jī)不支持對洪泛數(shù)據(jù)的流量控制����,那么網(wǎng)絡(luò)的帶寬可能就會被這些垃圾數(shù)據(jù)充滿,從而網(wǎng)絡(luò)中的其它用戶無法正常上網(wǎng)��。所以��,交換機(jī)需要支持對從每個端口收到的洪泛數(shù)據(jù)進(jìn)行速率限制�。
(2)數(shù)據(jù)對網(wǎng)絡(luò)進(jìn)行攻擊
當(dāng)惡意用戶向路由器發(fā)送非常大流量的數(shù)據(jù),這些數(shù)據(jù)通過交換機(jī)發(fā)送給路由器的同時�、也占用了該上聯(lián)接口的大部分帶寬,那么其它用戶上網(wǎng)也將趕到非常的緩慢�����。所以,交換機(jī)需限制每個端口進(jìn)行入方向的速率����,不然惡意用戶就可攻擊他所在的網(wǎng)絡(luò)、從而影響該網(wǎng)絡(luò)內(nèi)所有的其它用戶��。
(3)海量MAC地址攻擊
因為交換機(jī)在轉(zhuǎn)發(fā)數(shù)據(jù)時以MAC地址作為索引���,如果數(shù)據(jù)報的目的MAC地址未知時�,將在網(wǎng)絡(luò)中以洪泛的方式轉(zhuǎn)發(fā)����。所以��,惡意用戶可以向網(wǎng)絡(luò)內(nèi)發(fā)送大量的垃圾數(shù)據(jù)��,這些數(shù)據(jù)的源MAC地址不停改變����,因為交換機(jī)需要不停的進(jìn)行MAC地址學(xué)習(xí)、并且交換機(jī)的MAC表容量是有限的�����,當(dāng)交換機(jī)的MAC表被充滿時,原有的MAC地址就會被新學(xué)習(xí)到的MAC地址覆蓋�����。這樣���,當(dāng)交換機(jī)接收到路由器發(fā)送給正??蛻舻臄?shù)據(jù)時����,由于找不到該客戶MAC的記錄,從而就將以洪泛的方式在網(wǎng)絡(luò)內(nèi)轉(zhuǎn)發(fā)��,這樣就大大降低了網(wǎng)絡(luò)的轉(zhuǎn)發(fā)性能�����。因此��,交換機(jī)需要能夠限制每個端口能夠?qū)W習(xí)MAC地址的數(shù)量���,不然整個網(wǎng)絡(luò)就將退化為一個類似于HUB構(gòu)成的網(wǎng)絡(luò)�。
(4)MAC欺騙攻擊
惡意用戶為攻擊網(wǎng)絡(luò)使之癱瘓���,還可將自己的MAC地址改為路由器的MAC地址��,然后不停地發(fā)送給交換機(jī)��,這樣����,交換機(jī)就會更新MAC-X的記錄,認(rèn)為MAC-X位于與該惡意用戶連接的端口上��,此時����,當(dāng)其他用戶有數(shù)據(jù)發(fā)送給路由器時,交換機(jī)將把這些數(shù)據(jù)發(fā)送給該惡意用戶���,這樣發(fā)送正常數(shù)據(jù)的用戶就不能正常上網(wǎng)了。
因此��,交換機(jī)應(yīng)具備MAC與端口的綁定功能����,否則惡意用戶可簡單地讓網(wǎng)絡(luò)陷入崩潰;或交換機(jī)需綁定每個端口允許進(jìn)入網(wǎng)絡(luò)的數(shù)據(jù)的源MAC地址,這樣惡意用戶就不能通過MAC欺騙來攻擊網(wǎng)絡(luò)�。
(5)ARP欺騙攻擊
惡意用戶可以進(jìn)行ARP欺騙攻擊�����,即不管接收到對哪個IP地址發(fā)出的ARP請求���,都立即發(fā)送ARP應(yīng)答,這樣其它用戶發(fā)送的數(shù)據(jù)也都將發(fā)送到惡意用戶的這個MAC地址�,這些用戶自然不能正常上網(wǎng)。
因此����,交換機(jī)應(yīng)該實(shí)現(xiàn)端口與IP地址的綁定功能,即若收到的ARP請求���、ARP應(yīng)答��、口數(shù)據(jù)與綁定的IP不同����,即可將這些數(shù)據(jù)丟棄掉�����,否則會讓網(wǎng)絡(luò)陷入癱瘓��。
