飛崧淺析工業(yè)以太網(wǎng)交換機(jī)安全問(wèn)題之欺騙攻擊
發(fā)布時(shí)間:2017.05.23 新聞來(lái)源: 瀏覽次數(shù):
隨著工業(yè)智能化����,工業(yè)以太網(wǎng)交換機(jī)迅速普及��,而它的安全問(wèn)題也日益受到相關(guān)重視����,下面由蘇州工業(yè)交換機(jī)廠家飛崧為你講解其安全問(wèn)題中的欺騙攻擊��。
MAC欺騙攻擊
惡意用戶(hù)為攻擊網(wǎng)絡(luò)使之癱瘓�,還可將自己的MAC地址改為路由器的MAC地址(稱(chēng)為MAC-X)�����,然后不停(并不需要很大的流量�,每秒鐘1個(gè)就足夠了)地發(fā)送給交換機(jī),這樣�,交換機(jī)就會(huì)更新MAC-X的記錄,認(rèn)為MAC-X位于與該惡意用戶(hù)連接的端口上���,此時(shí)��,當(dāng)其他用戶(hù)有數(shù)據(jù)發(fā)送給路由器時(shí)���,交換機(jī)將把這些數(shù)據(jù)發(fā)送給該惡意用戶(hù),這樣發(fā)送正常數(shù)據(jù)的用戶(hù)就不能正常上網(wǎng)了(同理�,該網(wǎng)絡(luò)內(nèi)所有的用戶(hù)都不能上網(wǎng))。
因此�,交換機(jī)應(yīng)具備MAC與端口的綁定功能(即路由器的MAC地址最好在交換機(jī)上靜態(tài)配置),否則惡意用戶(hù)可簡(jiǎn)單地讓網(wǎng)絡(luò)陷入崩潰;或交換機(jī)需綁定每個(gè)端口允許進(jìn)入網(wǎng)絡(luò)的數(shù)據(jù)的源MAC地址�,這樣惡意用戶(hù)就不能通過(guò)MAC欺騙來(lái)攻擊網(wǎng)絡(luò)��。
ARP欺騙攻擊
惡意用戶(hù)可以進(jìn)行ARP欺騙攻擊�����,即不管接收到對(duì)哪個(gè)IP地址發(fā)出的ARP請(qǐng)求����,都立即發(fā)送ARP應(yīng)答����,這樣其它用戶(hù)發(fā)送的數(shù)據(jù)也都將發(fā)送到惡意用戶(hù)的這個(gè)MAC地址,這些用戶(hù)自然不能正常上網(wǎng)��。
因此�����,工業(yè)以太網(wǎng)交換機(jī)應(yīng)該實(shí)現(xiàn)端口與IP地址的綁定功能���,即若收到的ARP請(qǐng)求、ARP應(yīng)答��、口數(shù)據(jù)與綁定的IP不同�,即可將這些數(shù)據(jù)丟棄掉�,否則會(huì)讓網(wǎng)絡(luò)陷入癱瘓�����。
