交换机安全功能在防黑客攻击中应用研究.docVIP

交换机安全功能在防黑客攻击中应用研究 　　摘要：构建安全的计算机网络，是人们追求的目标。然而计算机病毒的网络传播和黑客的攻击却不断地对网络安全带来新的挑战。人们在考虑安全防护时，往往重视网络层和应用层的安全防护，而忽略了数据链路层的防护。通过交换机安全功能和黑客的攻击方法两个角度分析研究，探讨了数据链路层设备——二层交换机的安全功能在防御或者缓解黑客攻击方面的有效对策。 　　关键词：黑客攻击；二层交换机；防御对策 　　中图分类号：TP393 文献标识码：A 文章编号：1009-3044（2013）16-3715-03 　　构建安全的计算机网络，是人们追求的目标。人们研究了各种安全技术和策略来提高计算机网络的安全性，然而计算机病毒的网络传播和黑客的攻击却不断地对网络安全带来新的挑战。因此，如何实现网络的安全是一个永恒的课题。二层交换机作为局域网的核心设备，研究其自身拥有的安全性功能，充分发挥其作用，对防止或缓解黑客攻击，构建安全的计算机网络具有极其重要的价值。 　　1 黑客攻击 　　黑客攻击的过程通常变幻莫测，但还是有一定规律可循的，一般有这样几个阶段：确定攻击目的、了解目标网络结构、收集系统信息、实施攻击、巩固控制、继续深入几个过程。 　　黑客攻击总的目的是破坏数据的机密性、完整性和可用性。目标明确以后，黑客会利用经验或工具来分析目的网络结构、收集有用的系统信息，为攻击做准备。攻击方法主要有拒绝服务攻击、信任关系欺骗攻击、缓冲区溢出、输入验证漏洞、暴力破解密码、应用程序漏洞或者配置错误漏洞攻击以及社会工程学。为了进一步实施攻击，黑客在攻击成功后往往会通过修改日志等方法抹去踪迹，留下后门。 　　黑客攻击可以分为数据链路层攻击、网络层攻击和应用层攻击。人们在考虑安全防护时，往往重视网络层和应用层的安全防护，而忽略了数据链路层的防护。其实，数据链路层的防护和其他层的防护同样重要，很多的攻击就是针对数据链路层的，然而作为局域网核心的数据链路层设备——二层交换机的安全防护功能却很少得到充分的利用。下面就从交换机安全功能和黑客的攻击方法两个角度来分析交换机防御或者缓解黑客攻击的有效对策。 　　2 从交换机安全功能分析防御或缓解攻击的对策 　　现在的交换机在设计时就会考虑很多的安全功能，如MAC地址过滤、IP地址过滤、访问控制、流量控制、安全管理、系统日志、看门狗等功能，来保证交换机的安全运行。充分利用交换机的安全功能也可以有效地防御或缓解黑客的攻击。 　　2.1 端口隔离和私有VLAN功能 　　交换机端口隔离功能，可以隔离一切广播、组播和单播流量；私有VLAN功能可以阻止同一个VLAN内端口间的互相通信，私有VLAN内的端口只能和某个指定的路由器接口通信。由于端口隔离后的计算机或处于私有VLAN内的计算机之间无法直接通信，只能和指定的接口通信，所以只要做好指定接口的安全防范工作，就可以有效地防御或缓解黑客的攻击。 　　2.2 风暴控制功能 　　交换机的风暴控制功能可以监控端口的入站流量，可以单独对广播、组播和单播流量占端口带宽百分比或流量速率进行监控。 　　黑客进行拒绝服务（DOS）攻击的目的，是使计算机或网络无法提供正常的服务。最常见的DoS攻击有计算机网络带宽攻击和连通性攻击。带宽攻击就是以极大的通信量冲击网络，使得所有可用网络资源都被消耗殆尽，最终导致合法的用户请求无法通过。连通性攻击就是用大量的连接请求冲击计算机，使得所有可用的操作系统资源都被消耗殆尽，最终计算机无法再处理合法用户的请求。利用交换机提供的风暴抑制功能可以有效地缓解拒绝服务攻击。 　　2.3 端口阻塞（Port Blocking）功能 　　交换机的端口阻塞功能，可以防止端口转发未知的单播和组播流量。 　　交换机收到数据帧时，会在MAC地址表中查找目的MAC来转发数据，如果找不到对应的MAC，就将数据广播到同一个VLAN中的其他所有端口。黑客会利用交换机的数据转发特性，对网络发起泛洪攻击。利用交换机的端口阻塞功能可以有效防止或缓解泛洪攻击。 　　2.4 端口绑定功能 　　端口绑定功能可以在交换机端口上绑定MAC地址、也可以绑定IP地址或者同时绑定MAC和IP地址。 　　黑客在进行攻击时有时会采用MAC地址欺骗和IP地址欺骗等手段，利用交换机端口绑定功能，可以有效地防御这些攻击。 　　2.5 访问控制列表（ACL）功能 　　交换机支持的访问控制列表有4种：路由器ACL，用于三层VLAN虚拟接口；端口ACL，应用于物理接口；MAC ACL，可以通过MAC地址信息来过滤某个VLAN或二层物理接口中的非IP流量；VLAN ACL，可以对进出VLAN的所有流量进行过滤。 　　通过合理地配置访问控制列表，可以有效地限制非法用户的访