La tendencia de desarrollo de la tecnología de conmutadores Ethernet En los últimos años, con el rápido desarrollo de los servicios de comunicación de datos empresariales y los servicios convergentes relacionados, los conmutadores Ethernet, como equipos clave indispensables, no solo han mejorado enormemente en cantidad, sino también en calidad, rendimiento y otros. aspectos se mejoran constantemente. Con la rápida popularidad de los conmutadores Ethernet, sus problemas de seguridad han recibido una atención cada vez mayor. Actualmente tenemos que ocuparnos de los siguientes aspectos. A continuación, ¡sigamos al editor de Feichang Technology para echar un vistazo!
(1) Ataque de tormenta de difusión
Cuando el conmutador recibe un gran flujo de datos de difusión, datos de multidifusión o datos de unidifusión cuya dirección MAC de destino se construye aleatoriamente, lo reenviará por difusión. Si el conmutador no admite el flujo de datos inundados Control , entonces el ancho de banda de la red puede llenarse con estos datos basura, de modo que otros usuarios de la red no puedan acceder a Internet normalmente. Por lo tanto, el conmutador debe admitir la limitación de velocidad en los datos inundados recibidos de cada puerto.
(2) Los datos atacan la red.
Cuando un usuario malintencionado envía una gran cantidad de datos al enrutador, los datos se envían al enrutador a través del conmutador y, al mismo tiempo, también ocupa la mayor parte del ancho de banda de la interfaz de enlace ascendente. , por lo que otros usuarios también se apresurarán a acceder a Internet. Muy lento. Por lo tanto, el conmutador debe limitar la velocidad de entrada de cada puerto; de lo contrario, un usuario malintencionado puede atacar su red y afectar a todos los demás usuarios de la red.
(3) Ataques masivos de direcciones MAC
Debido a que el switch usa la dirección MAC como un índice al reenviar datos, si se desconoce la dirección MAC de destino del datagrama, se inundará en la red. Por lo tanto, los usuarios malintencionados pueden enviar una gran cantidad de datos basura a la red. La dirección MAC de origen de estos datos sigue cambiando, porque el conmutador necesita aprender continuamente la dirección MAC y la capacidad de la tabla MAC del conmutador es limitada. la tabla MAC del conmutador Cuando esté llena, la dirección MAC original se sobrescribirá con la dirección MAC recién aprendida. De esta manera, cuando el switch recibe los datos enviados por el enrutador a un cliente normal, los reenviará en la red de manera inundada porque no puede encontrar el registro de la MAC del cliente, lo que reduce en gran medida el rendimiento de reenvío de la red. . Por lo tanto, el conmutador debe poder limitar la cantidad de direcciones MAC que cada puerto puede aprender; de lo contrario, toda la red degenerará en una red similar a un HUB.
(4) Ataques de suplantación de MAC.
Los usuarios malintencionados pueden atacar la red para paralizarlos. También pueden cambiar su dirección MAC a la dirección MAC del enrutador y luego enviarla continuamente al conmutador. De esta manera, el conmutador actualizará el MAC- X registre y piense que MAC-X está ubicado en el puerto conectado al usuario malintencionado. En este momento, cuando otros usuarios tengan datos para enviar al enrutador, el conmutador enviará estos datos al usuario malintencionado, de modo que el usuario que envía los datos normales no pueden acceder a Internet normalmente. Por lo tanto, el conmutador debe tener la función de vincular el MAC y el puerto; de lo contrario, los usuarios malintencionados pueden simplemente hacer que la red se bloquee; o el conmutador debe vincular la dirección MAC de origen de los datos permitidos para ingresar a la red en cada puerto, de modo que los los usuarios no pueden falsificar a través de MAC Para atacar la red.
(5) Ataque de suplantación de ARP.
Los usuarios malintencionados pueden realizar ataques de suplantación de ARP, es decir, independientemente de la dirección IP que reciban, enviarán inmediatamente una respuesta ARP, por lo que los datos enviados por otros usuarios también serán enviados al MAC. dirección del usuario malintencionado. Estos usuarios no pueden acceder a Internet normalmente. Por lo tanto, el conmutador debe implementar la función de enlace del puerto y la dirección IP, es decir, si la solicitud ARP recibida, la respuesta ARP y los datos del puerto son diferentes de la IP vinculada, los datos pueden descartarse; de lo contrario, la red será paralizado.
Bueno, el contenido anterior es la introducción detallada de la tecnología Feichang sobre la seguridad de los interruptores industriales, ¡espero que pueda ser útil para todos! Feichang Technology , un fabricante profesional de transceptores ópticos, transceptores de fibra óptica, conmutadores industriales y convertidores de protocolo, investiga y desarrolla marcas de forma independiente, bienvenidos a comprender y comunicarse.