飞崧浅析工业以太网交换机安全问题之欺骗攻击

   随着工业智能化，工业以太网交换机迅速普及，而它的安全问题也日益受到相关重视，下面由苏州工业交换机厂家飞崧为你讲解其安全问题中的欺骗攻击。

　　MAC欺骗攻击

　　恶意用户为攻击网络使之瘫痪，还可将自己的MAC地址改为路由器的MAC地址(称为MAC-X)，然后不停(并不需要很大的流量，每秒钟1个就足够了)地发送给交换机，这样，交换机就会更新MAC-X的记录，认为MAC-X位于与该恶意用户连接的端口上，此时，当其他用户有数据发送给路由器时，交换机将把这些数据发送给该恶意用户，这样发送正常数据的用户就不能正常上网了(同理，该网络内所有的用户都不能上网)。

　　因此，交换机应具备MAC与端口的绑定功能(即路由器的MAC地址最好在交换机上静态配置)，否则恶意用户可简单地让网络陷入崩溃;或交换机需绑定每个端口允许进入网络的数据的源MAC地址，这样恶意用户就不能通过MAC欺骗来攻击网络。

　　ARP欺骗攻击

　　恶意用户可以进行ARP欺骗攻击，即不管接收到对哪个IP地址发出的ARP请求，都立即发送ARP应答，这样其它用户发送的数据也都将发送到恶意用户的这个MAC地址，这些用户自然不能正常上网。

　　因此，工业以太网交换机应该实现端口与IP地址的绑定功能，即若收到的ARP请求、ARP应答、口数据与绑定的IP不同，即可将这些数据丢弃掉，否则会让网络陷入瘫痪。