局域網交換機能夠避免病毒高發區嗎?
要解決局域網交換機的安全問題,交換機就不能再純粹完成轉發工作了事,如果這些功能轉移到交換機上,簡化了網絡節點的增加、移動和網絡變化的操作。
有一定網齡的朋友大概都知道,早期的網絡攻擊和惡意入侵主要來自外網,而且是少部分學習黑客技術的人所為,因此當時哪怕只是通過一個防火墻簡單的封堵一些端口,檢測一些特征數據包就能實現內網的安全。
然而,自沖擊波病毒開始,病毒在局域網交換機瘋狂傳播所造成的強大殺傷力開始讓用戶心驚膽戰,之后計算機病毒更是控制住大量的“僵尸”電腦對特定網站或者服務器發動洪水攻擊。
進入2006年,在網吧行業影響最嚴重的安全問題變成了ARP和DDOS,這些惡意程序不僅巧妙偽裝而且無處不在,更嚴重的是一旦局域網交換機某臺計算機感染了病毒,就會造成大量的計算機掉線甚至整個網絡陷入癱瘓,令網吧業主和網吧玩家萬般無奈,在公司企業內部網絡也幾乎存在同樣的問題,而此時傳統的防火墻卻顯得毫無辦法。
局域網也成病毒高發地區
如果是在4年前,局域網還是非常安全的,很多公司也習慣了直接在局域網共享各種常用軟件和資料,但是現在為了獲得一些非正當的利益,很多病毒開發者打起了局域網交換機的主意:先是由于網游的熱火而產生了ARP病毒。
這是一種欺騙性質的病毒,雖然它的目的并不是破壞局域網,但為了達到它盜號盜寶的目的,會嚴重影響其它局域網用戶的正常上網活動。所謂ARP攻擊其實就是內網某臺主機偽裝成網關,欺騙內網其他主機將所有發往網關的信息發到這臺主機上。
但是由于此臺主機的數據處理轉發能力遠遠低于網關,所以就會導致大量信息堵塞,網速越來越慢,甚至造成網絡癱瘓,而且ARP病毒這樣做的目的就是為了截取用戶的信息,盜取諸如網絡游戲帳號、QQ密碼等用戶信息,因此它不僅會造成局域網堵塞,也會威脅到局域網交換機用戶的信息安全。
接著很多針對特殊服務器或是網游私服的DDOS攻擊也開始大舉利用網吧或企業網絡中的客戶機作為“僵尸”電腦,對指定的服務器IP發送大量的數據包,“僵尸”電腦越多,服務器被消耗的帶寬也越多。
利用這個原理耗盡服務器的帶寬,就可以達到讓對方服務器掉線以便對服務器運營者進行惡意勒索的目的。這種攻擊方式雖然是針對外網服務器,但是它在攻擊過程中需要向路由器發送大量的數據包,會直接導致路由器僅有的100M LAN口被“堵滿”,因此其他局域網的計算機的請求無法提交到路由器進行處理,結果就產生局域網計算機全部“掉線”的現象。
還有一種針對服務器的SYN攻擊也會令局域網電腦全體“掉線”: SYN攻擊屬于DOS攻擊的一種,它利用TCP協議三次握手的等待確認缺陷,通過發送大量的半連接請求,耗費CPU和內存資源。
SYN攻擊除了能影響主機外,還可以危害路由器、防火墻等網絡系統,事實上SYN攻擊并不管目標是什么系統,只要這些系統打開TCP服務就可以實施。配合IP欺騙,SYN攻擊能達到很好的效果。
通常,感染SYN病毒的客戶端在短時間內偽造大量不存在的IP地址,向服務器不斷地發送SYN包,服務器回復確認包,并等待客戶的確認,由于源地址是不存在的,服務器需要不斷的重發直至超時,這些偽造的SYN包將長時間占用未連接隊列,正常的SYN請求被丟棄,目標系統和路由器運行緩慢,嚴重的時候就直接引起整個局域網交換機的網絡堵塞甚至系統癱瘓。
面對日益嚴重的內網攻擊和整網掉線問題,很多路由器和防火墻開發商也在產品中加入了相關技術,例如加入IP-MAC綁定功能可以防止局域網的ARP欺騙,但是這些設備由于以太網工作原理的關系,其實還是無法全面解決內網安全問題。
例如DDOS攻擊,雖然路由器和防火墻可以利用一些設定好的規則判斷出哪些數據包帶有DDOS攻擊的特征,但是它必須在收到這些數據包之后才能對數據包進行分析,而這些數據包在收過來的時候其實就已經占用了LAN口的帶寬資源。
由于路由器和防火墻都在局域網的最外端,這樣的網絡結構已經決定了它們無法在攻擊數據包產生的時候就進行封堵,而且這些設備大部分還是采用100Mb的帶寬與LAN交換機相連。
加上大部分的局域網交換機都是線速轉發的二層交換機,受感染客戶端發送的大量數據包可以很快用完這些帶寬,因此網絡數據傳輸的壓力都加載在路由器的LAN端口,這時候很多正常的請求都無法順利通過LAN口提交過去,因此即使路由器知道哪些是正常的請求也無濟于事。
【編輯推薦】
