工業(yè)交換機存在的安全隱患
發(fā)布時間:2019.01.11 新聞來源: 瀏覽次數(shù):
工業(yè)交換機也稱作工業(yè)以太網交換機���,即應用于工業(yè)控制領域的以太網交換機設備����,由于采用的網絡標準�,其開放性好、應用廣泛以及價格低廉、使用的是透明而統(tǒng)一的TCP/IP協(xié)議�,以太網已經成為工業(yè)控制領域的主要通信標準。它的適應能力很強��,那么工業(yè)交換機有什么安全隱患呢?
(1)廣播風暴攻擊
當交換機接收到大流量的廣播數(shù)據(jù)�����、組播數(shù)據(jù)或者目的MAC地址為胡亂構造的單播數(shù)據(jù)時��,將以廣播的方式進行轉發(fā)�����,如果交換機不支持對洪泛數(shù)據(jù)的流量控制����,那么網絡的帶寬可能就會被這些垃圾數(shù)據(jù)充滿�,從而網絡中的其它用戶無法正常上網。所以�����,交換機需要支持對從每個端口收到的洪泛數(shù)據(jù)進行速率限制�。
(2)數(shù)據(jù)對網絡進行攻擊
當惡意用戶向路由器發(fā)送非常大流量的數(shù)據(jù),這些數(shù)據(jù)通過交換機發(fā)送給路由器的同時、也占用了該上聯(lián)接口的大部分帶寬��,那么其它用戶上網也將趕到非常的緩慢��。所以��,交換機需限制每個端口進行入方向的速率�,不然惡意用戶就可攻擊他所在的網絡、從而影響該網絡內所有的其它用戶�。
(3)海量MAC地址攻擊
因為交換機在轉發(fā)數(shù)據(jù)時以MAC地址作為索引,如果數(shù)據(jù)報的目的MAC地址未知時�����,將在網絡中以洪泛的方式轉發(fā)���。所以����,惡意用戶可以向網絡內發(fā)送大量的垃圾數(shù)據(jù)�����,這些數(shù)據(jù)的源MAC地址不停改變����,因為交換機需要不停的進行MAC地址學習�����、并且交換機的MAC表容量是有限的���,當交換機的MAC表被充滿時,原有的MAC地址就會被新學習到的MAC地址覆蓋�。這樣�����,當交換機接收到路由器發(fā)送給正?��?蛻舻臄?shù)據(jù)時��,由于找不到該客戶MAC的記錄���,從而就將以洪泛的方式在網絡內轉發(fā),這樣就大大降低了網絡的轉發(fā)性能�����。因此,交換機需要能夠限制每個端口能夠學習MAC地址的數(shù)量��,不然整個網絡就將退化為一個類似于HUB構成的網絡�����。
(4)MAC欺騙攻擊
惡意用戶為攻擊網絡使之癱瘓�����,還可將自己的MAC地址改為路由器的MAC地址�����,然后不停地發(fā)送給交換機����,這樣,交換機就會更新MAC-X的記錄��,認為MAC-X位于與該惡意用戶連接的端口上���,此時�����,當其他用戶有數(shù)據(jù)發(fā)送給路由器時���,交換機將把這些數(shù)據(jù)發(fā)送給該惡意用戶�����,這樣發(fā)送正常數(shù)據(jù)的用戶就不能正常上網了���。
因此,交換機應具備MAC與端口的綁定功能�����,否則惡意用戶可簡單地讓網絡陷入崩潰;或交換機需綁定每個端口允許進入網絡的數(shù)據(jù)的源MAC地址����,這樣惡意用戶就不能通過MAC欺騙來攻擊網絡�。
(5)ARP欺騙攻擊
惡意用戶可以進行ARP欺騙攻擊,即不管接收到對哪個IP地址發(fā)出的ARP請求�,都立即發(fā)送ARP應答,這樣其它用戶發(fā)送的數(shù)據(jù)也都將發(fā)送到惡意用戶的這個MAC地址����,這些用戶自然不能正常上網����。
因此���,交換機應該實現(xiàn)端口與IP地址的綁定功能����,即若收到的ARP請求���、ARP應答���、口數(shù)據(jù)與綁定的IP不同,即可將這些數(shù)據(jù)丟棄掉���,否則會讓網絡陷入癱瘓����。
