21 .1.1 交换机安全威胁
1.MAC 地址泛洪
地址泛洪(Flooding)攻击通过伪造大量的虚假 MAC 地址发往交换机,由于交换机的地址表容量的有限性,当交换机的 MAC 地址表被填满之后,交换机将不再学习其他 MAC 地址,从而导致交换机泛洪转发。
- ARP 欺骗
攻击者可以随时发送虚假 ARP 包更新被攻击主机上的 ARP 缓存,进行地址欺骗,干扰交换机的正常运行。
3.口令威胁
攻击者利用口令认证机制的脆弱性,如弱口令、通信明文传输、口令明文存储等,通过口令猜测、网络监听、密码破解等技术手段获取交换机口令认证信息,从而非授权访问交换机设备。
4.漏洞利用
攻击者利用交换机的漏洞信息,导致拒绝服务、非授权访问、信息泄露、会话劫持。
21.1.2 路由器安全威胁
1.漏洞利用
网络设备厂商的路由器漏洞被攻击者利用,导致拒绝服务、非授权访问、信息泄露、会话劫持、安全旁路。
2.口令安全威胁
路由器的口令认证存在安全隐患,导致攻击者可以猜测口令,监听口令,破解口令文件。
3.路由协议安全威胁
路由器接收恶意路由协议包,导致路由服务混乱。
- DoS/DDoS 威胁
攻击者利用 TCP/IP 协议漏洞或路由器的漏洞,对路由器发起拒绝服务攻击。
5.依赖性威胁
攻击者破坏路由器所依赖的服务或环境,导致路由器非正常运行。
21.2 网络设备安全机制与实现技术
网络设备是网络安全的重要保护对象,其安全性涉及整个网络系统。目前,交换机、路由器通常提供身份认证、访问控制、信息加密、安全通信以及审计等安全机制,以保护网络设备的安全性。
21.3 网络设备安全增强技术方法
21.3.1 交换机安全增强技术方法
1.配置交换机访问口令和 ACL,限制安全登录
2.利用镜像技术监测网络流量
以太网交换机提供基于端口和流量的镜像功能,即可将指定的 1 个或多个端口的报文或数据包复制到监控端口,用于报文的分析和监视、网络检测和故障排除。
- MAC 地址控制技术
可以通过设置端口上最大可以通过的 MAC 地址数量、MAC 地址老化时间,来抑制 MAC 攻击。
4.安全增强
安全增强的作用在于减少交换机的网络攻击威胁面,提升抗攻击能力。方法主要包括关闭交换机不必要的网络服务、限制安全远程访问、限制控制台的访问、启动登录安全检查、安全审计等安全增强措施。
5.增强路由器 VTY 安全
路由器给用户提供虚拟终端(VTY)访问,用户可以使用 Telnet 从远程操作路由器。为了保护路由器的虚拟终端安全使用,要求用户必须提供口令认证,并且限制访问网络区域或者主机。
6.阻断恶意数据包
网络攻击者经常通过构造一些恶意数据包来攻击网络或路由器,为了阻断这些攻击,路由器利用访问控制来禁止这些恶意数据包通行。
21.4 网络设备常见漏洞与解决方法
21.4.1 网络设备常见漏洞
常见的安全漏洞主要如下:
(1)拒绝服务漏洞。拒绝服务漏洞将导致网络设备停止服务,危害网络服务可用性。
(2)跨站伪造请求 CSRF ( Cross-Site Request Forgery)。
(3)格式化字符串漏洞。
( 4 ) XSS ( Cross-Site Scripting )。
(5)旁路(Bypass something)。旁路漏洞绕过网络设备的安全机制,使得安全措施没有效果。
(6)代码执行(Code Execution )。该类漏洞使得攻击者可以控制网络设备,导致网络系统失去控制,危害性极大。
(7)溢出(Overflow)。该类漏洞利用后可以导致拒绝服务、特权或安全旁路。
(8)内存破坏(Memory Corruption )。内存破坏漏洞利用常会对路由器形成拒绝服务攻击