寬帶網(wǎng)接入交換機通常需要與用戶終端直接連接，一旦用戶終端感染蠕蟲病毒，病毒發(fā)作就會嚴(yán)重消耗帶寬和交換機資源，甚至造成網(wǎng)絡(luò)癱瘓，這一現(xiàn)象在Slammer和沖擊波事件中早已屢見不鮮 。寬帶接入交換機究竟面臨哪些安全風(fēng)險？怎樣才能化解這些風(fēng)險？接下來我們將逐一揭示 。
交換機的風(fēng)險
利用抓包工具，筆者經(jīng)常捕捉到大流量的異常報文，它們一方面消耗網(wǎng)絡(luò)帶寬，另一方面消耗網(wǎng)絡(luò)設(shè)備的資源，影響網(wǎng)絡(luò)的正常運行 。
單播類異常報文：單播流量大多數(shù)是發(fā)送給網(wǎng)關(guān)，網(wǎng)關(guān)設(shè)備根據(jù)路由表對這些報文做出轉(zhuǎn)發(fā)或丟棄處理 。對私有IP地址，公網(wǎng)三層交換機或路由器會自動丟棄單播流量 。假如用戶已經(jīng)獲得一個公網(wǎng)IP地址，這些單播流量就會被轉(zhuǎn)發(fā)出去，進(jìn)而影響更大范圍的網(wǎng)絡(luò) 。以沖擊波病毒為例，中毒主機只要監(jiān)測到網(wǎng)絡(luò)可用，就會啟動一個攻擊傳播線程，不斷隨機生成攻擊地址進(jìn)行攻擊 。在沖擊波發(fā)作嚴(yán)重的階段，網(wǎng)絡(luò)速度明顯變慢，一些接入層交換機和一些小型路由器甚至崩潰，核心三層交換機的CPU利用率達(dá)到100%，運營商不得不采取屏蔽ICMP報文的辦法加以應(yīng)對 。
廣播類異常報文：廣播是實現(xiàn)某些協(xié)議的必要方式 。廣播報文會發(fā)送給特定網(wǎng)段內(nèi)的所有主機，每臺主機都會對收到的報文進(jìn)行處理，做出回應(yīng)或丟棄的決定，其結(jié)果是既消耗網(wǎng)絡(luò)帶寬又影響主機性能 。利用端口隔離技術(shù)，用戶可以限制廣播報文只發(fā)往上行端口，這樣可以減小對本網(wǎng)段鏈路和主機的影響，但無法解決對匯聚層和核心層設(shè)備造成的影響 。假如在匯聚或核心設(shè)備上將多個小區(qū)劃在一個VLAN內(nèi)，廣播類流量就會通過上層設(shè)備返回到其他小區(qū)，進(jìn)而繼續(xù)占用這些小區(qū)的鏈路帶寬并影響主機性能，這種配置方法在當(dāng)前寬帶網(wǎng)絡(luò)中廣泛存在 。
【阻斷攻擊從接入交換機入手】 組播類異常報文：組播類信息本來只服務(wù)于網(wǎng)絡(luò)內(nèi)的部分用戶，其目的地址是網(wǎng)絡(luò)內(nèi)申請加入組播組的主機 。一些主機并沒有申請加入組播組，這些組播報文本不應(yīng)該轉(zhuǎn)發(fā)給這些主機，但是事實上這些主機還是收到了組播信息 。是什么原因?qū)е陆M播報文轉(zhuǎn)發(fā)給沒有申請加入的主機呢?原來，為了實現(xiàn)組播，二層交換機使用GMRP組播注冊協(xié)議或IGMP Snooping協(xié)議來維護(hù)一個動態(tài)組播表，然后把組播報文轉(zhuǎn)發(fā)給與該組播組成員相關(guān)的端口，以實現(xiàn)在VLAN 內(nèi)的二層組播，假如沒有運行IGMP Snooping，組播報文將在二層廣播，這就是導(dǎo)致組播泛濫的原因 。
隨著寬帶網(wǎng)絡(luò)的進(jìn)一步普及以及視頻應(yīng)用的逐漸增加，組播技術(shù)將會得到更廣泛地應(yīng)用，那時組播類異常流量不僅會出現(xiàn)在網(wǎng)絡(luò)的第二層，而且還會路由到整個組播樹 。加上視頻類信息流量較大，很難區(qū)分正常流量和不正常流量 。因而對組播進(jìn)行控制也就更加困難了 。
總之，局域網(wǎng)內(nèi)的應(yīng)用存在被病毒利用的可能性，假如不有效限制異常流量，就會對網(wǎng)絡(luò)帶寬以及網(wǎng)絡(luò)設(shè)備造成資源消耗 。因此，為面向用戶的二層交換機增加智能，把問題隔離在最小的范圍內(nèi)，就顯得尤為重要 。
化解風(fēng)險的對策
利用交換機的流量控制功能，我們能夠把流經(jīng)端口的異常流量限制在一定的范圍內(nèi) 。例如，Cisco交換機具有基于端口的流量控制功能，能夠?qū)崿F(xiàn)風(fēng)暴控制、端口保護(hù)和端口安全 。風(fēng)暴控制能夠緩解單播、廣播或組播包導(dǎo)致的網(wǎng)絡(luò)變慢，通過對不同種類流量設(shè)定一個閾值，交換機在端口流量達(dá)到設(shè)定值時啟動流量控制功能甚至將端口宕掉 。端口保護(hù)類似于端口隔離，設(shè)置了端口保護(hù)功能的端口之間不交換任何流量 。端口安全是對未經(jīng)許可的地址進(jìn)行端口級的訪問限制 。無獨有偶，華為交換機提供流量控制和廣播風(fēng)暴抑制比等端口控制功能 。流量控制功能用于交換機與交換機之間在發(fā)生擁塞時通知對方暫時停止發(fā)送數(shù)據(jù)包，以避免報文丟失 。廣播風(fēng)暴抑制可以限制廣播流量的大小，對超過設(shè)定值的廣播流量進(jìn)行丟棄處理 。

推薦閱讀

• 

  三水蘆苞特色旅游景點推薦
• 

  加濕器里能加牛奶嗎
• 

  全國中小學(xué)安全日是幾月幾號 小學(xué)安全教育日是哪天
• 

  創(chuàng)維電視怎么投屏
• 

  眼睛刺痛是怎么回事 眼睛刺痛的6大原因及對策
• 

  金菊花種植方法
• 

  乳膠枕頭防螨蟲嗎,乳膠枕頭防螨蟲的原因
• 

  誰是我的新郎是哪年的歌 誰是我的新郎歌曲歌詞
• 

  NBA中的FMVP是什么意思
• 

  滿族的由來 滿族是怎么演變而來的
• 

  米醋泡腳治腳出汗 夏季手腳出汗怎么辦 調(diào)脾胃白醋泡腳
• 

  什么動物生性怕光，什么動物最怕光
• 

  冰箱除臭最快的方法
• 

  你做2件事來挽回伴侶 出軌了怎么才能挽回
• 

  貓能吃蛋嗎
• 

  杭州美術(shù)培訓(xùn)班，杭州市有哪些美術(shù)培訓(xùn)班或畫室

• 微信別人發(fā)消息為什么沒有顯示
• 我對諾基亞2865的看法
• 從三味書屋到百草園的主要內(nèi)容 從三味書屋到百草園的主旨
• MOTO L7使用一年有感
• 蘋果x后臺怎么關(guān)
• 18樓是什么意思
• 圣誕老人的故事 圣誕老人是什么故事
• 芒果從里面爛是什么原因 芒果里面爛了外面好的還能吃嗎
• 芒果從大頭還是從小頭剝好剝 芒果怎么剝皮好吃
• 軟交換構(gòu)建行業(yè)IP語音通信網(wǎng)