技術資訊
工業(yè)交換機存在的優(yōu)勢和安全隱患��?
時間:2018-08-03
來源:本站
工業(yè)交換機應用于工業(yè)控制領域的以太網(wǎng)交換機設備���,因而它的適應能力很強�,那么工業(yè)交換機自身有什么優(yōu)勢和它存在什么樣的安全隱患呢�?
交換機.png)
一、工業(yè)交換機的優(yōu)勢�����;
1. 超強抗干擾性
工業(yè)交換機具有很強的抗干擾功用�����,比如在防雷���、防水��、防腐蝕�、防靜電等方面都有較高的防護等級�����,但是商業(yè)交換機則不具有這些功能�����。
2. 采用工業(yè)級元器件
工業(yè)交換機對產(chǎn)品的元件要求很高���,經(jīng)得起惡劣環(huán)境的考驗����,因此能比較好地適應工業(yè)環(huán)境�����。
3. 使用壽命長
工業(yè)交換機從外殼到元器件都采用工業(yè)級方案,因此產(chǎn)品的可靠性更高�����,使用失效更長,一般能超過10年,普通商用交換機的使用壽命大致為3-5年���。
4. 寬溫工作
工業(yè)交換機一般采用金屬外殼,散熱更好,防護性更強�,基本能滿足-45~+75℃的溫度范圍內(nèi)可以正常工作�,能夠適應復雜的溫度和濕度,但是商用交換機的工作范圍相對而言較為狹窄��。
5. 快速冗余
工業(yè)交換機一般具有快速環(huán)網(wǎng)�、冗余的功能,冗余時間小于20ms����。雖然商用產(chǎn)品也可以組成冗余網(wǎng)絡,但治愈時間達10-30s以上�,時間太久,工業(yè)環(huán)境不適用���。
二����、工業(yè)交換機存在的安全隱患?
(1)廣播風暴攻擊
當交換機接收到大流量的廣播數(shù)據(jù)����、組播數(shù)據(jù)或者目的MAC地址為胡亂構(gòu)造的單播數(shù)據(jù)時���,將以廣播的方式進行轉(zhuǎn)發(fā)����,如果交換機不支持對洪泛數(shù)據(jù)的流量控制�����,那么網(wǎng)絡的帶寬可能就會被這些垃圾數(shù)據(jù)充滿����,從而網(wǎng)絡中的其它用戶無法正常上網(wǎng)。所以�,交換機需要支持對從每個端口收到的洪泛數(shù)據(jù)進行速率限制。
(2)數(shù)據(jù)對網(wǎng)絡進行攻擊
當惡意用戶向路由器發(fā)送非常大流量的數(shù)據(jù)�,這些數(shù)據(jù)通過交換機發(fā)送給路由器的同時、也占用了該上聯(lián)接口的大部分帶寬���,那么其它用戶上網(wǎng)也將趕到非常的緩慢����。所以,交換機需限制每個端口進行入方向的速率��,不然惡意用戶就可攻擊他所在的網(wǎng)絡��、從而影響該網(wǎng)絡內(nèi)所有的其它用戶��。
(3)海量MAC地址攻擊
因為交換機在轉(zhuǎn)發(fā)數(shù)據(jù)時以MAC地址作為索引�,如果數(shù)據(jù)報的目的MAC地址未知時,將在網(wǎng)絡中以洪泛的方式轉(zhuǎn)發(fā)���。所以����,惡意用戶可以向網(wǎng)絡內(nèi)發(fā)送大量的垃圾數(shù)據(jù)����,這些數(shù)據(jù)的源MAC地址不停改變,因為交換機需要不停的進行MAC地址學習����、并且交換機的MAC表容量是有限的���,當交換機的MAC表被充滿時,原有的MAC地址就會被新學習到的MAC地址覆蓋���。這樣�,當交換機接收到路由器發(fā)送給正?���?蛻舻臄?shù)據(jù)時����,由于找不到該客戶MAC的記錄,從而就將以洪泛的方式在網(wǎng)絡內(nèi)轉(zhuǎn)發(fā)�����,這樣就大大降低了網(wǎng)絡的轉(zhuǎn)發(fā)性能���。因此�,交換機需要能夠限制每個端口能夠?qū)W習MAC地址的數(shù)量����,不然整個網(wǎng)絡就將退化為一個類似于HUB構(gòu)成的網(wǎng)絡���。
(4)MAC欺騙攻擊
惡意用戶為攻擊網(wǎng)絡使之癱瘓,還可將自己的MAC地址改為路由器的MAC地址��,然后不停地發(fā)送給交換機����,這樣,交換機就會更新MAC-X的記錄��,認為MAC-X位于與該惡意用戶連接的端口上���,此時���,當其他用戶有數(shù)據(jù)發(fā)送給路由器時,交換機將把這些數(shù)據(jù)發(fā)送給該惡意用戶���,這樣發(fā)送正常數(shù)據(jù)的用戶就不能正常上網(wǎng)了����。
因此����,交換機應具備MAC與端口的綁定功能��,否則惡意用戶可簡單地讓網(wǎng)絡陷入崩潰;或交換機需綁定每個端口允許進入網(wǎng)絡的數(shù)據(jù)的源MAC地址����,這樣惡意用戶就不能通過MAC欺騙來攻擊網(wǎng)絡����。
(5)ARP欺騙攻擊
惡意用戶可以進行ARP欺騙攻擊,即不管接收到對哪個IP地址發(fā)出的ARP請求��,都立即發(fā)送ARP應答����,這樣其它用戶發(fā)送的數(shù)據(jù)也都將發(fā)送到惡意用戶的這個MAC地址���,這些用戶自然不能正常上網(wǎng)��。
因此�����,交換機應該實現(xiàn)端口與IP地址的綁定功能����,即若收到的ARP請求、ARP應答�、口數(shù)據(jù)與綁定的IP不同,即可將這些數(shù)據(jù)丟棄掉��,否則會讓網(wǎng)絡陷入癱瘓��。
特普安博會欄目1.jpg)
