网络信息安全数据通信论文

1路由器与交换机漏洞的发现和防护

作为通过远程连接的方式实现网络资源的共享是大部分用户均会使用到的，不管这样的连接方式是利用何种方式进行连接，都难以避开负载路由器以及交换机的系统网络，这是这样，这些设备存在着某些漏洞极容易成为黑客的攻击的突破口。从路由器与交换机存在漏洞致因看，路由与交换的过程就是于网络中对数据包进行移动。在这个转移的过程中，它们常常被认为是作为某种单一化的传递设备而存在，那么这就需要注意，假如某个黑客窃取到主导路由器或者是交换机的相关权限之后，则会引发损失惨重的破坏。纵观路由与交换市场，拥有最多市场占有率的是思科公司，并且被网络领域人员视为重要的行业标准，也正因为该公司的产品普及应用程度较高，所以更加容易受到黑客攻击的目标。比如，在某些操作系统中，设置有相应的用于思科设备完整工具，主要是方便管理员对漏洞进行定期的检查，然而这些工具也被攻击者注意到并利用工具相关功能查找出设备的漏洞所在，就像密码漏洞主要利用JohntheRipper进行攻击。所以针对这类型的漏洞防护最基本的防护方法是开展定期的审计活动，为避免这种攻击，充分使用平台带有相应的多样化的检查工具，并在需要时进行定期更新，并保障设备出厂的默认密码已经得到彻底清除；而针对BGP漏洞的防护，最理想的办法是于ISP级别层面处理和解决相关的问题，假如是网络层面，最理想的办法是对携带数据包入站的路由给予严密的监视，并时刻搜索内在发生的所有异常现象。

2交换机常见的攻击类型

2.1MAC表洪水攻击

交换机基本运行形势为：当帧经过交换机的过程会记下MAC源地址，该地址同帧经过的端口存在某种联系，此后向该地址发送的信息流只会经过该端口，这样有助于节约带宽资源。通常情况下，MAC地址主要储存于能够追踪和查询的CAM中，以方便快捷查找。假如黑客通过往CAM传输大量的数据包，则会促使交换机往不同的连接方向输送大量的数据流，最终导致该交换机处在防止服务攻击环节时因过度负载而崩溃.

2.2ARP攻击

这是在会话劫持攻击环节频发的手段之一，它是获取物理地址的一个TCP/IP协议。某节点的IP地址的ARP请求被广播到网络上后，这个节点会收到确认其物理地址的应答，这样的数据包才能被传送出去。黑客可通过伪造IP地址和MAC地址实现ARP欺骗，能够在网络中产生大量的ARP通信量使网络阻塞，ARP欺骗过程如图1所示。

2.3VTP攻击

以VTP角度看，探究的是交换机被视为VTP客户端或者是VTP服务器时的情况。当用户对某个在VTP服务器模式下工作的交换机的配置实施操作时，VTP上所配置的版本号均会增多1，当用户观察到所配置的版本号明显高于当前的版本号时，则可判断和VTP服务器实现同步。当黑客想要入侵用户的电脑时，那他就可以利用VTP为自己服务。黑客只要成功与交换机进行连接，然后再本台计算机与其构建一条有效的中继通道，然后就能够利用VTP。当黑客将VTP信息发送至配置的版本号较高且高于目前的VTP服务器，那么就会致使全部的交换机同黑客那台计算机实现同步，最终将全部除非默认的VLAN移出VLAN数据库的范围。

3安全防范VLAN攻击的对策

3.1保障TRUNK接口的稳定与安全

通常情况下，交换机所有的端口大致呈现出Access状态以及Turnk状态这两种，前者是指用户接入设备时必备的端口状态，后置是指在跨交换时一致性的VLAN-ID两者间的通讯。对Turnk进行配置时，能够避免开展任何的命令式操作行为，也同样能够实现于跨交换状态下一致性的VLAN-ID两者间的通讯。正是设备接口的配置处于自适应的自然状态，为各项攻击的发生埋下隐患，可通过如下的方式防止安全隐患的发生。首先，把交换机设备上全部的接口状态认为设置成Access状态，这样设置的目的是为了防止黑客将自己设备的接口设置成Desibarle状态后，不管以怎样的方式进行协商其最终结果均是Accese状态，致使黑客难以将交换机设备上的空闲接口作为攻击突破口，并欺骗为Turnk端口以实现在局域网的攻击。其次是把交换机设备上全部的接口状态认为设置成Turnk状态。不管黑客企图通过设置什么样的端口状态进行攻击，这边的接口状态始终为Turnk状态，这样有助于显著提高设备的可控性。最后对Turnk端口中关于能够允许进出的VLAN命令进行有效配置，对出入Turnk端口的VLAN报文给予有效控制。只有经过允许的系类VLAN报文才能出入Turnk端口，这样就能够有效抑制黑客企图通过发送错误报文而进行攻击，保障数据传送的安全性。

3.2保障VTP协议的有效性与安全性

VTP（VLANTrunkProtocol，VLAN干道协议）是用来使VLAN配置信息在交换网内其它交换机上进行动态注册的一种二层协议，它主要用于管理在同一个域的网络范围内VLANs的建立、删除以及重命名。在一台VTPServer上配置一个新的VLAN时，该VLAN的配置信息将自动传播到本域内的其他所有交换机，这些交换机会自动地接收这些配置信息，使其VLAN的配置与VTPServer保持一致，从而减少在多台设备上配置同一个VLAN信息的工作量，而且保持了VLAN配置的统一性。处于VTP模式下，黑客容易通过VTP实现初步入侵和攻击，并通过获取相应的权限，以随意更改入侵的局域网络内部架构，导致网络阻塞和混乱。所以对VTP协议进行操作时，仅保存一台设置为VTP的服务器模式，其余为VTP的客户端模式。最后基于保障VTP域的稳定与安全的目的，应将VTP域全部的交换机设置为相同的密码，以保证只有符合密码相同的情况才能正常运作VTP，保障网络的安全。

4结语

处于全球信息以及计算机等科学技术的不断改善和向前发展的社会环境中，数据通信网络的发展内容得到了多样化的丰富和充实，数据通信已发展成当今社会通信的的主要方式。所以不断是从基础研究理论或是实际应用活动中，如何保障网络安全应当成为今后数据网络发展中的重大课题，研究人员应当致力于探索多样化和创新化的方式和渠道，以全面保障数据通信网络的安全和稳定，为广大社会用户创造高效放心的通信环境。

作者：关建华 单位：铁通赤峰分公司