使用過路由交換機的用戶可能都遇到過很多安全方面的問題,,同時也反映出目前的路由技術(shù)有待完善,。網(wǎng)絡安全不再單純依賴單一設備和單一技術(shù)來實現(xiàn)已成為業(yè)界共識,。路由交換機作為網(wǎng)絡骨干設備,,自然也肩負著構(gòu)筑網(wǎng)絡安全防線的重任。
圍繞路由交換機的安全問題進行了用戶調(diào)查,,在收到的大量讀者反饋中,,我們進行了統(tǒng)計和分析:70%的用戶曾經(jīng)遭受過Slammer、“沖擊波”等蠕蟲病毒的襲擊,,這些蠕蟲病毒攻擊的直接目標通常是PC機和服務器,,但是攻擊是通過網(wǎng)絡進行的,因此當這些蠕蟲病毒大規(guī)模爆發(fā)時,,交換機,、路由器會首先受到牽連。抽樣分析表明:近50%的用戶反映Slammer,、沖擊波等蠕蟲病毒沖擊了路由交換機,,36%的用戶的路由器受到?jīng)_擊。用戶只有通過重啟交換路由設備,、重新配置訪問控制列表才能消除蠕蟲病毒對網(wǎng)絡設備造成的影響,。
蠕蟲病毒攻擊網(wǎng)絡設備
蠕蟲病毒發(fā)作導致網(wǎng)絡吞吐效率下降、變慢,。如果網(wǎng)絡中存在瓶頸,,就會導致網(wǎng)絡停頓甚至癱瘓。這些瓶頸可能是線路帶寬,,也可能是路由器,、交換機的處理能力或者內(nèi)存資源。需要指出的是,,網(wǎng)絡中的路由器,、交換機已經(jīng)達到或接近線速,,內(nèi)網(wǎng)帶寬往往不收斂,,在這種情況下,病毒攻擊產(chǎn)生的流量對局域網(wǎng)內(nèi)部帶寬不會造成致命堵塞,,但位于網(wǎng)絡出口位置的路由器和位于網(wǎng)絡核心位置的三層交換機卻要吞吐絕大多數(shù)的流量,,因而首當其沖地受到蠕蟲病毒的攻擊。接入層交換機通常需要與用戶終端直接連接,,一旦用戶終端感染蠕蟲病毒,,病毒發(fā)作就會嚴重消耗帶寬和交換機資源,造成網(wǎng)絡癱瘓,,這一現(xiàn)象早已屢見不鮮,。
蠕蟲病毒對網(wǎng)絡設備的沖擊形式主要有兩種:一是堵塞帶寬,導致服務不可用,;二是占用CPU資源,,導致宕機,,紅色代碼、Slammer,、沖擊波等蠕蟲病毒不停地掃描IP地址,,在很短時間內(nèi)就占用大量的帶寬資源,造成網(wǎng)絡出口堵塞,。宕機共分幾種情況:一是普通三層交換機都采用流轉(zhuǎn)發(fā)模式,,也就是將第一個數(shù)據(jù)包發(fā)送到CPU處理,根據(jù)其目的地址建流,,頻繁建流會急劇消耗CPU資源,,蠕蟲病毒最重要的攻擊手段就是不停地發(fā)送數(shù)據(jù)流,這對于采用流轉(zhuǎn)發(fā)模式的網(wǎng)絡設備是致命的,;二是如果網(wǎng)絡規(guī)劃有問題,,在Slammer作用下導致大量ARP請求發(fā)生,也會耗盡CPU資源,。再比如,,Slammer病毒擁塞三層交換機之間鏈路帶寬,導致路由協(xié)議的數(shù)據(jù)包(如Hello包)丟失,,導致整個網(wǎng)絡的路由震蕩,。類似的情形還有利用路由交換機安全漏洞對交換機CPU等資源發(fā)起的DoS攻擊。在2003年第5期報紙上,,我們曾集中介紹了路由器的安全問題,,在這期報紙上我們將集中介紹交換機的安全問題。
交換機需要加強安全性
以太網(wǎng)路由交換機實際是一個為轉(zhuǎn)發(fā)數(shù)據(jù)包優(yōu)化的計算機,。而是計算機就有被攻擊的可能,,比如非法獲取路由交換機的控制權(quán),導致網(wǎng)絡癱瘓,,另一方面也會受到DoS攻擊,,比如前面提到的幾種蠕蟲病毒。它們都利用了路由交換機的一些漏洞,。一般交換機可以作生成權(quán)維護,、路由協(xié)議維護、ARP,、建路由表,,維護路由協(xié)議,對ICMP報文進行處理,,監(jiān)控交換機,,這些都有可能成為黑客攻擊交換機的手段。
蠕蟲病毒的攻擊,,使網(wǎng)絡設備廠商和用戶都開始注重路由交換機的安全性,。對于交換機安全性的理解,,近48%的用戶認為交換機的安全性是指交換機本身具有抗攻擊性和安全性,31%的用戶認為是指路由交換機攜帶了安全模塊,,21%的用戶認為兩者兼?zhèn)?。絕大數(shù)網(wǎng)絡設備廠商認為路由交換機的安全性需經(jīng)過特殊設計、提高了抗攻擊能力,,同時具有一定的安全功能,。
