飛崧淺析工業(yè)以太網(wǎng)交換機安全問題之欺騙攻擊
發(fā)布時間:2017.05.23 新聞來源: 瀏覽次數(shù):
隨著工業(yè)智能化,工業(yè)以太網(wǎng)交換機迅速普及�,而它的安全問題也日益受到相關(guān)重視,下面由蘇州工業(yè)交換機廠家飛崧為你講解其安全問題中的欺騙攻擊�。
MAC欺騙攻擊
惡意用戶為攻擊網(wǎng)絡(luò)使之癱瘓,還可將自己的MAC地址改為路由器的MAC地址(稱為MAC-X)�,然后不停(并不需要很大的流量,每秒鐘1個就足夠了)地發(fā)送給交換機���,這樣�����,交換機就會更新MAC-X的記錄��,認(rèn)為MAC-X位于與該惡意用戶連接的端口上����,此時,當(dāng)其他用戶有數(shù)據(jù)發(fā)送給路由器時����,交換機將把這些數(shù)據(jù)發(fā)送給該惡意用戶,這樣發(fā)送正常數(shù)據(jù)的用戶就不能正常上網(wǎng)了(同理��,該網(wǎng)絡(luò)內(nèi)所有的用戶都不能上網(wǎng))����。
因此����,交換機應(yīng)具備MAC與端口的綁定功能(即路由器的MAC地址最好在交換機上靜態(tài)配置),否則惡意用戶可簡單地讓網(wǎng)絡(luò)陷入崩潰;或交換機需綁定每個端口允許進入網(wǎng)絡(luò)的數(shù)據(jù)的源MAC地址�����,這樣惡意用戶就不能通過MAC欺騙來攻擊網(wǎng)絡(luò)��。
ARP欺騙攻擊
惡意用戶可以進行ARP欺騙攻擊,即不管接收到對哪個IP地址發(fā)出的ARP請求��,都立即發(fā)送ARP應(yīng)答�,這樣其它用戶發(fā)送的數(shù)據(jù)也都將發(fā)送到惡意用戶的這個MAC地址,這些用戶自然不能正常上網(wǎng)�����。
因此��,工業(yè)以太網(wǎng)交換機應(yīng)該實現(xiàn)端口與IP地址的綁定功能��,即若收到的ARP請求����、ARP應(yīng)答、口數(shù)據(jù)與綁定的IP不同��,即可將這些數(shù)據(jù)丟棄掉��,否則會讓網(wǎng)絡(luò)陷入癱瘓����。
