新闻中心

当前页面: 首页 >新闻中心 >新品速递 >迈森与您浅谈工业交换机安全问题

迈森与您浅谈工业交换机安全问题

--工业交换机

供稿:北京迈森科技有限公司 2017/11/10 12:38:32
0 人气:4

工业交换机发展现状:

  以太网交换机技术发展趋势近几年来,随着企业数据通信业务以及相关的融合业务的迅猛发展,以太网交换机作为不可或缺的要害设备不仅在数量上获得了极大的提高,而且在质量、性能等方面不断完善。

  而伴随着以太网交换机的迅速普及,它的安全问题也日益受到相关重视,我们目前要应对以下这些方面。

工业以太网交换机安全问题

方法/步骤

(1)广播风暴攻击

  当交换机接收到大流量的广播数据、组播数据或者目的MAC地址为胡乱构造的单播数据时,将以广播的方式进行转发,如果交换机不支持对洪泛数据的流量控制,那么网络的带宽可能就会被这些垃圾数据充满,从而网络中的其它用户无法正常上网。所以,交换机需要支持对从每个端口收到的洪泛数据进行速率限制。

(2)数据对网络进行攻击

  当恶意用户向路由器发送非常大流量的数据,这些数据通过交换机发送给路由器的同时、也占用了该上联接口的大部分带宽,那么其它用户上网也将赶到非常的缓慢。

  所以,交换机需限制每个端口进行入方向的速率,不然恶意用户就可攻击他所在的网络、从而影响该网络内所有的其它用户。

(3)海量MAC地址攻击

  因为交换机在转发数据时以MAC地址作为索引,如果数据报的目的MAC地址未知时,将在网络中以洪泛的方式转发。所以,恶意用户可以向网络内发送大量的垃圾数据,这些数据的源MAC地址不停改变,因为交换机需要不停的进行MAC地址学习、并且交换机的MAC表容量是有限的,当交换机的MAC表被充满时,原有的MAC地址就会被新学习到的MAC地址覆盖。这样,当交换机接收到路由器发送给正常客户的数据时,由于找不到该客户MAC的记录,从而就将以洪泛的方式在网络内转发,这样就大大降低了网络的转发性能。

  因此,交换机需要能够限制每个端口能够学习MAC地址的数量,不然整个网络就将退化为一个类似于HUB构成的网络。

(4)MAC欺骗攻击

  恶意用户为攻击网络使之瘫痪,还可将自己的MAC地址改为路由器的MAC地址,然后不停地发送给交换机,这样,交换机就会更新MAC-X的记录,认为MAC-X位于与该恶意用户连接的端口上,此时,当其他用户有数据发送给路由器时,交换机将把这些数据发送给该恶意用户,这样发送正常数据的用户就不能正常上网了。

  因此,交换机应具备MAC与端口的绑定功能,否则恶意用户可简单地让网络陷入崩溃;或交换机需绑定每个端口允许进入网络的数据的源MAC地址,这样恶意用户就不能通过MAC欺骗来攻击网络。

(5)ARP欺骗攻击

  恶意用户可以进行ARP欺骗攻击,即不管接收到对哪个IP地址发出的ARP请求,都立即发送ARP应答,这样其它用户发送的数据也都将发送到恶意用户的这个MAC地址,这些用户自然不能正常上网。

  因此,交换机应该实现端口与IP地址的绑定功能,即若收到的ARP请求、ARP应答、口数据与绑定的IP不同,即可将这些数据丢弃掉,否则会让网络陷入瘫痪。

北京迈森简介:

   北京迈森科技有限公司是一家集自主研发、销售集成业务、服务为一体的高科技技术企业,总部及研发基地设立于风景秀丽的北京市海淀区高新技术开发区,“中关村生命科学园”。公司销售网络覆盖全国,技术和研发实力雄厚,并致力于成为政府认定的“高新技术企业”。

  公司自成立以来,始终坚持“服务至上,互利双赢,追求极致”的企业理念,荟萃业界精英,将国外先进的信息技术、管理方法及企业经验与国内企业的具体实际相结合,以“嵌入式、智能化、系统化、集成化”为技术导向,为用户提供可靠的自动化通信传输产品和嵌入式创新解决方案,提供全面的系统集成、硬件、软件、以用户为中心的设计服务。

  迈森业务涉及工业以太网通信、工业现场总线传输、工业光纤接入、工业电脑及电量管理系统等专业领域,主要产品均具有独立的知识专权,CE、FCC、ROHS、IEC61850等多项国际认证和电力行业EMC电磁兼容等各种行业标准认证,并致力通过国网电力科学研究院A类认证测试等众多国内专业机构组织的技术测试及认证,满足智能电网、煤矿安全、轨道交通等各种行业标准要求。

北京迈森交换机展示:

                  MS5A

                 MS26MC

审核编辑(袁键灏)
更多内容请访问 北京迈森科技有限公司(http://c.gongkong.com/?cid=56343)

手机扫描二维码分享本页

工控宝APP下载安装

工控速派APP下载安装

 

我来评价

评价:
一般