工业交换机六大安全问题
工业交换机即一种高效的局域网络,它是现代工业自动化生产体系中的重要组成部份,不管是传感器数据传输、还是生产设备控制等等,这些都需以太网来构成基本的控制网络。这也是为什么工业交换机在自动化生产中的应用越来越广泛的重要原因之一。
不断丰富的宽带应用所需的带宽支持;大型金融机构的数据集中;企业核心业务、ERP、CRM等复杂的应用扩展。今天,千兆为骨干、百兆为接入的主流结构,将逐渐向万兆为骨干、千兆为接入的结构过渡。
而伴随着工业交换机的迅速普及,它的安全问题也日益受到相关重视,我们目前要应对以下这些方面:
一、工业交换机六大安全问题
(1)广播风暴攻击
用户可传送高流量的广播数据信息、组播数据信息或是目的MAC地址为胡乱构造的单播数据信息,交换机接受到这些信息时,将以广播的形式进行发送,如果交换机不兼容对泛洪数据库的流量控制,那样网络的带宽可能就会被这些无效数据填满,进而网络中的其他用户不能正常上网。
(2)数据信息对网络进行攻击
恶意用户可向路由器传送特别大流量的信息,这些信息通过工业交换机发送给路由器同时、也占用了该上联接口的大部分带宽,那样其他客户上网也将感到非常的迟缓。
因此,交换机需限定每个端口进行入的方向速度,不然恶意用户就能攻击他所在的网络、进而影响该网络内每一个其他客户。
(3)海量MAC地址攻击
因为工业交换机在发送数据信息时以MAC地址做为索引,如果数据报的目的MAC地址不明时,将在网络中以泛洪的形式发送。工业交换机需要不停的进行MAC地址学习、并且交换机的MAC表容量是有限的,当交换机的MAC表被填满时,原有MAC地址就会被新学习到的MAC地址复盖,这样,当接受到路由器发送给正常客户的信息时,由于找不到该客户MAC的记录,进而就将以泛洪的形式在网络内发送,这个就降低了网络的发送性能。
(4)MAC欺骗攻击
恶意用户为攻击网络使其崩溃,还可以把自己的MAC地址改为路由器MAC地址(称为MAC-X),然后不停(并不需要很大的流量,每秒钟1个就足够了)地发送给交换机,这样,交换机就会更新MAC-X的记录,认为MAC-X位于与该恶意客户连接的端口上,此时,当其他用户有数据信息发送给路由器时,交换机将把这些信息发送给该恶意客户,这样传送正常数据库的客户就不能正常上网了(同理,该网络内每一个客户都不能上网)。交换机应具备MAC与端口的绑定功能(即路由器MAC地址最好在交换机上静态配置),不然恶意用户可简单地让网络陷入崩溃;或交换机需绑定每个端口允许进入网络的数据库的源MAC地址,这样恶意客户就不能通过MAC欺骗来攻击网络。
(5)ARP欺骗攻击
不管接收到对哪个IP地址发出的ARP请求,立即发送ARP应答,若收到的ARP请求、ARP应答、口数据与绑定的IP不同,即可将这些数据丢弃掉,否则会让网络陷入瘫痪。
(6)环线攻击
用户在自己家中也装个网络交换机,并且故意把一根网线的两端都接到该网络交换机上构成环线,然后使用网线把该网络交换机与网络中的交换机连接起来,由于全部网络中存在环线,那么网络中的MAC地址学习将会紊乱,从而网络交换机转发数据时将也会产生错误,全部网络也将陷入瘫痪。
以上就是关于“工业交换机六大安全问题”的全部内容了,感谢阅读,希望能对大家有所帮助。