網路的核心所在 交換器漏洞全面瞭解

IDC報告顯示，交換器市場近年來一直保持著較高的增長勢頭，到2009年市場規模有望達到15.1億美元。 交換器在企業網中佔有重要的地位，通常是整個網路的核心所在，這一地位使它成為駭客入侵和病毒肆虐的重點物件，為保障自身網路安全，企業有必要對局域網上的交換器漏洞進行全面瞭解。 以下是利用交換器漏洞的五種攻擊手段。 VLAN跳躍攻擊虛擬區域網路(VLAN)是對廣播域進行分段的方法。 VLAN還經常用於為網路提供額外的安全，因為一個VLAN上的電腦無法與沒有明確訪問權的另一個VLAN上的使用者進行對話。 不過VLAN本身不足以保護環境的安全，惡意駭客通過VLAN跳躍攻擊，即使未經授權，也可以從一個VLAN跳到另一個VLAN。 VLAN跳躍攻擊(VLAN hopping)依靠的是動態中繼協定(DTP)。 如果有兩個相互連接的交換器，DTP就能夠對兩者進行協商，確定它們要不要成為802.1Q中繼，洽商過程是通過檢查埠的配置狀態來完成的。 VLAN跳躍攻擊充分利用了DTP，在VLAN跳躍攻擊中，駭客可以欺騙電腦，冒充成另一個交換器發送虛假的DTP協商消息，宣佈他想成為中繼; 真實的交換器收到這個DTP消息後，以為它應當啟用802.1Q中繼功能，而一旦中繼功能被啟用，通過所有VLAN的資訊流就會發送到駭客的電腦上。 圖1表明了這個過程。 中繼建立起來後，駭客可以繼續探測資訊流，也可以通過給幀添加802.1Q資訊，指定想把攻擊流量發送給哪個VLAN。 生成樹攻擊生成樹協定(STP)可以防止冗余的交換環境出現回路。 要是網路有回路，就會變得擁塞不堪，從而出現廣播風暴，引起MAC表不一致，最終使網路崩潰。 使用STP的所有交換器都通過橋接器協定資料單元(BPDU)來共用資訊，BPDU每兩秒就發送一次。 交換器發送BPDU時，裡面含有名為橋接器ID的標號，這個橋接器ID結合了可配置的優先數(預設值是32768)和交換器的基本MAC位址。 交換器可以發送並接收這些BPDU，以確定哪個交換器擁有最低的橋接器ID，擁有最低橋接器ID的那個交換器成為根橋接器(root bridge)。 根橋接器好比是小鎮上的社區雜貨店，每個小鎮都需要一家雜貨店，而每個市民也需要確定到達雜貨店的最佳路線。 比最佳路線來得長的路線不會被使用，除非主通道出現阻塞。 根橋接器的工作方式很相似。 其他每個交換器確定返回根橋接器的最佳路線，根據成本來進行這種確定，而這種成本基於為頻寬所分配的值。 如果其他任何路線發現擺脫阻塞模式不會形成回路(譬如要是主路線出現問題)，它們將被設成阻塞模式。 惡意駭客利用STP的工作方式來發動拒絕服務(DoS)攻擊。 如果惡意駭客把一台電腦連接到不止一個交換器，然後發送橋接器ID很低的精心設計的BPDU，就可以欺騙交換器，使它以為這是根橋接器,這會導致STP重新收斂(reconverge)，從而引起回路，導致網路崩潰。 MAC 表洪水攻擊交換器的工作方式是: 幀在進入交換器時記錄下MAC源位址，這個MAC位址與幀進入的那個埠相關，因此以後通往該MAC位址的資訊流將只通過該埠發送出去。 這可以提高頻寬利用率，因為資訊流用不著從所有埠發送出去，而只從需要接收的那些埠發送出去。 MAC位址存儲在內容可定址儲存體(CAM)裡面，CAM是一個128K大小的保留記憶體，專門用來存儲MAC位址，以便快速查詢。 如果惡意駭客向CAM發送大批資料包，就會導致交換器開始向各個地方發送大批資訊流，從而埋下了隱患，甚至會導致交換器在拒絕服務攻擊中崩潰。 ARP攻擊ARP(Address Resolution Protocol)欺騙是一種用於會話劫持攻擊中的常見手法。 位址解析協定(ARP)利用第2層物理MAC位址來映射第3層邏輯IP位址，如果設備知道了IP位址，但不知道被請求主機的MAC位址，它就會發送ARP請求。 ARP請求通常以廣播形式發送，以便所有主機都能收到。 惡意駭客可以發送被欺騙的ARP回復，獲取發往另一個主機的資訊流。 圖2顯示了一個ARP欺騙過程，其中ARP請求以廣播幀的形式發送，以獲取合法使用者的MAC位址。 假設駭客Jimmy也在網路上，他試圖獲取發送到這個合法使用者的資訊流，駭客Jimmy欺騙ARP回應，聲稱自己是IP位址為10.0.0.55(MAC位址為05-1C-32-00-A1-99)的主人， 合法使用者也會用相同的MAC位址進行回應。 結果就是，交換器在MAC地表中有了與該MAC表位址相關的兩個埠，發往這個MAC位址的所有幀被同時發送到了合法使用者和駭客Jimmy。 VTP攻擊VLAN中繼協定(VTP,VLAN Trunk Protocol)是一種管理協定，它可以減少交換環境中的配置數量。 就VTP而言，交換器可以是VTP伺服器、VTP用戶端或者VTP透明交換器，這裡著重討論VTP伺服器和VTP用戶端。 使用者每次對工作于VTP伺服器模式下的交換器進行配置改動時，無論是添加、修改還是移除VLAN，VTP配置版本號都會增加1，VTP用戶端看到配置版本號大於目前的版本號後，就知道與VTP伺服器進行同步。 惡意駭客可以讓VTP為己所用，移除網路上的所有VLAN(除了預設的VLAN外)，這樣他就可以進入其他每個使用者所在的同一個VLAN上。 不過，使用者可能仍在不同的網路上，所以惡意駭客就需要改動他的IP位址，才能進入他想要攻擊的主機所在的同一個網路上。 惡意駭客只要連接到交換器，並在自己的電腦和交換器之間建立一條中繼，就可以充分利用VTP。 駭客可以發送VTP消息到配置版本號高於當前的VTP伺服器，這會導致所有交換器都與惡意駭客的電腦進行同步，從而把所有非預設的VLAN從VLAN資料庫中移除出去。 【責任編輯：趙毅 TEL：（010）68476636-8001】 給力(0票)動心(0票)廢話(0票)專業(0票)標題党(0票)路過(0票) 原文：網路的核心所在 交換器漏洞全面瞭解 返回網路安全首頁