技術(shù)資訊
工業(yè)交換機(jī)存在的優(yōu)勢和安全隱患?
時(shí)間:2018-08-03
來源:本站
工業(yè)交換機(jī)應(yīng)用于工業(yè)控制領(lǐng)域的以太網(wǎng)交換機(jī)設(shè)備�,因而它的適應(yīng)能力很強(qiáng),那么工業(yè)交換機(jī)自身有什么優(yōu)勢和它存在什么樣的安全隱患呢����?
交換機(jī).png)
一、工業(yè)交換機(jī)的優(yōu)勢�;
1. 超強(qiáng)抗干擾性
工業(yè)交換機(jī)具有很強(qiáng)的抗干擾功用,比如在防雷��、防水��、防腐蝕���、防靜電等方面都有較高的防護(hù)等級(jí)�����,但是商業(yè)交換機(jī)則不具有這些功能��。
2. 采用工業(yè)級(jí)元器件
工業(yè)交換機(jī)對產(chǎn)品的元件要求很高��,經(jīng)得起惡劣環(huán)境的考驗(yàn)��,因此能比較好地適應(yīng)工業(yè)環(huán)境�。
3. 使用壽命長
工業(yè)交換機(jī)從外殼到元器件都采用工業(yè)級(jí)方案�����,因此產(chǎn)品的可靠性更高�����,使用失效更長����,一般能超過10年,普通商用交換機(jī)的使用壽命大致為3-5年�����。
4. 寬溫工作
工業(yè)交換機(jī)一般采用金屬外殼�����,散熱更好,防護(hù)性更強(qiáng)�����,基本能滿足-45~+75℃的溫度范圍內(nèi)可以正常工作����,能夠適應(yīng)復(fù)雜的溫度和濕度,但是商用交換機(jī)的工作范圍相對而言較為狹窄��。
5. 快速冗余
工業(yè)交換機(jī)一般具有快速環(huán)網(wǎng)�����、冗余的功能����,冗余時(shí)間小于20ms。雖然商用產(chǎn)品也可以組成冗余網(wǎng)絡(luò)����,但治愈時(shí)間達(dá)10-30s以上,時(shí)間太久��,工業(yè)環(huán)境不適用����。
二����、工業(yè)交換機(jī)存在的安全隱患�?
(1)廣播風(fēng)暴攻擊
當(dāng)交換機(jī)接收到大流量的廣播數(shù)據(jù)、組播數(shù)據(jù)或者目的MAC地址為胡亂構(gòu)造的單播數(shù)據(jù)時(shí)���,將以廣播的方式進(jìn)行轉(zhuǎn)發(fā),如果交換機(jī)不支持對洪泛數(shù)據(jù)的流量控制����,那么網(wǎng)絡(luò)的帶寬可能就會(huì)被這些垃圾數(shù)據(jù)充滿,從而網(wǎng)絡(luò)中的其它用戶無法正常上網(wǎng)��。所以��,交換機(jī)需要支持對從每個(gè)端口收到的洪泛數(shù)據(jù)進(jìn)行速率限制���。
(2)數(shù)據(jù)對網(wǎng)絡(luò)進(jìn)行攻擊
當(dāng)惡意用戶向路由器發(fā)送非常大流量的數(shù)據(jù)����,這些數(shù)據(jù)通過交換機(jī)發(fā)送給路由器的同時(shí)���、也占用了該上聯(lián)接口的大部分帶寬���,那么其它用戶上網(wǎng)也將趕到非常的緩慢���。所以,交換機(jī)需限制每個(gè)端口進(jìn)行入方向的速率���,不然惡意用戶就可攻擊他所在的網(wǎng)絡(luò)�����、從而影響該網(wǎng)絡(luò)內(nèi)所有的其它用戶�。
(3)海量MAC地址攻擊
因?yàn)榻粨Q機(jī)在轉(zhuǎn)發(fā)數(shù)據(jù)時(shí)以MAC地址作為索引����,如果數(shù)據(jù)報(bào)的目的MAC地址未知時(shí),將在網(wǎng)絡(luò)中以洪泛的方式轉(zhuǎn)發(fā)����。所以,惡意用戶可以向網(wǎng)絡(luò)內(nèi)發(fā)送大量的垃圾數(shù)據(jù)���,這些數(shù)據(jù)的源MAC地址不停改變�����,因?yàn)榻粨Q機(jī)需要不停的進(jìn)行MAC地址學(xué)習(xí)�、并且交換機(jī)的MAC表容量是有限的,當(dāng)交換機(jī)的MAC表被充滿時(shí)���,原有的MAC地址就會(huì)被新學(xué)習(xí)到的MAC地址覆蓋�。這樣���,當(dāng)交換機(jī)接收到路由器發(fā)送給正常客戶的數(shù)據(jù)時(shí)��,由于找不到該客戶MAC的記錄��,從而就將以洪泛的方式在網(wǎng)絡(luò)內(nèi)轉(zhuǎn)發(fā)�����,這樣就大大降低了網(wǎng)絡(luò)的轉(zhuǎn)發(fā)性能��。因此��,交換機(jī)需要能夠限制每個(gè)端口能夠?qū)W習(xí)MAC地址的數(shù)量��,不然整個(gè)網(wǎng)絡(luò)就將退化為一個(gè)類似于HUB構(gòu)成的網(wǎng)絡(luò)。
(4)MAC欺騙攻擊
惡意用戶為攻擊網(wǎng)絡(luò)使之癱瘓����,還可將自己的MAC地址改為路由器的MAC地址,然后不停地發(fā)送給交換機(jī)����,這樣,交換機(jī)就會(huì)更新MAC-X的記錄�����,認(rèn)為MAC-X位于與該惡意用戶連接的端口上�����,此時(shí)���,當(dāng)其他用戶有數(shù)據(jù)發(fā)送給路由器時(shí)����,交換機(jī)將把這些數(shù)據(jù)發(fā)送給該惡意用戶�,這樣發(fā)送正常數(shù)據(jù)的用戶就不能正常上網(wǎng)了。
因此��,交換機(jī)應(yīng)具備MAC與端口的綁定功能,否則惡意用戶可簡單地讓網(wǎng)絡(luò)陷入崩潰;或交換機(jī)需綁定每個(gè)端口允許進(jìn)入網(wǎng)絡(luò)的數(shù)據(jù)的源MAC地址����,這樣惡意用戶就不能通過MAC欺騙來攻擊網(wǎng)絡(luò)。
(5)ARP欺騙攻擊
惡意用戶可以進(jìn)行ARP欺騙攻擊�����,即不管接收到對哪個(gè)IP地址發(fā)出的ARP請求�����,都立即發(fā)送ARP應(yīng)答����,這樣其它用戶發(fā)送的數(shù)據(jù)也都將發(fā)送到惡意用戶的這個(gè)MAC地址�����,這些用戶自然不能正常上網(wǎng)�����。
因此��,交換機(jī)應(yīng)該實(shí)現(xiàn)端口與IP地址的綁定功能,即若收到的ARP請求�、ARP應(yīng)答、口數(shù)據(jù)與綁定的IP不同�����,即可將這些數(shù)據(jù)丟棄掉��,否則會(huì)讓網(wǎng)絡(luò)陷入癱瘓�����。
支持.jpg)
特普安博會(huì)欄目1.jpg)
于我們.jpg)
