交换机的安全性分析论文.docx

1、交换机的安全性分析论文xxxxxxx学院2010年应届毕业生论文交换机的安全性分析系 别：_信 息 工 程 系_专 业： 计 算 机 网 络 技 术 学 号：_姓 名： _ 指导老师： 交换机的安全性分析摘要：目前，交换机在企业网络中扮演着重要的角色，然而网络管理人员却很少考虑到交换机的安全性。针对交换机的攻击不断发生，探讨了交换机的安全性、交换机在网络设计的作用，并详细分析了针对交换机的攻击原理，以及相应安全防范措施。关键词：交换机 交换机安全 ARP攻击 VLAN VRRP网络安全防护是一项复杂而又艰巨的工作，几乎涉及到的所有网络设备。现在人们普遍认识到保护路由器及各种服务器的重要性，并投

2、入了大量的大力、财力。然而，由于交换机在网络中负责把流量转发至边界，并且很少出错，大多数网络管理人员很少考虑到交换机的安全性，针对交换机的安全防护措施经常被忽视。随着企业网络变得越来越复杂，在这些网络中交换机扮演着更加核心的角色。交换机是网络的接入点，它们不但是来自路由器的连接点，而且是用户连接核心网络的途径。按照层次网络安全模型，部署路由器的安全保护是网络保护的第一道防线，而交换机则是网络保护的第二道防线。因此，研究针对交换机的攻击原理及安全防范措施具有重要的意义。1.1.1 交换机的概念.21.1.2 交换机的工作原理. .2图2 采用冗余核心交换机的网络 15第一章 交换机的安全性分析1

3、.1交换机在传统的共享介质局域网中，所有节点共享一条公共通信传输介质，不可避免地会有冲突发生。例如集线器，它采用广播方式工作：发送自某一台机器的数据包被广播到所有连接到集线器的其他机器。这产生了大量无节制的流量，同时也是一种安全风险；因为，这意味着所有连接到集线器的机器能看到去往网络上所有其他机器的流量。为了解决共享介质方式下的冲突域问题及安全问题，提出将介质方式改为交换方式，引入了一种新的设备：交换机。交换机可以在它的多个端口之间建立多个并发连接，它将物理地址映射到逻辑地址，并且在发送端口终止广播。这意味着，如果数据包从交换机直接相连的一台机器发往某个与交换机直接相连的网络设备，它会被直接转

4、发到连接该网络设备的交换端口，这样与该交换机直接相连的其他机器要嗅探该机器的流量就非常困难。交换机按照工作的层次，可分为二层交换机和N层交换机。二层交换机又可细分为普通的二层交换和受控二层交换机。普通的二层交换，一半是针对某种局域设计的，例如802.3标准的Ethernet或802.5标准的token ring设计的。在局域网络领域，由于以太网的流行，常用的是以太网交换机。受二层交换机比普通的交换机提供了额外功能，它允许网络管理员对交换机进行控制(如：设置交换端口速度、通过MAC地址控制访问权限、基于某个端口收集关于带宽使用情况的统计信息等)。将2层交换机的设计思想应用到路由器的设计中，就出现

5、了第3层交换的概念。随着Internet的广泛应用，第3层交换技术已成为一项重要技术。将交换机的快速交换能力和路由器的路由能力结合在一起，出现了第3层交换机(又称作路由交换机或交换式路由器)。随着3层交换机的发展，出现了 层交换机(又称作多层交换机)。由于 层交换机提供了比典型的路由器更低的、每个端口的平均费用，同时提供增强的服务(如动态路由选择协议和访问控制支持)，越来越多的企业网络在网络核心部分从路由器转为n层交换机。1.1.1 交换机的概念交换机(英文:Switch，意为“开关”)是一种用于电信号转发的网络设备。它可以为接入交换机的任意两个网络节点提供独享的电信号通路。最常见的交换机是以

6、太网交换机。其他常见的还有电话语音交换机、光纤交换机等。1.1.2 交换机的工作原理（一）三种交换技术1端口交换端口交换技术最早出现在插槽式的集线器中，这类集线器的背板通常划分有多条以太网段（每条网段为一个广播域），不用网桥或路由连接，网络之间是互不相通的。以大主模块插入后通常被分配到某个背板的网段上，端口交换用于将以太模块的端口在背板的多个网段之间进行分配、平衡。根据支持的程度，端口交换还可细分为：模块交换：将整个模块进行网段迁移。端口组交换：通常模块上的端口被划分为若干组，每组端口允许进行网段迁移。端口级交换：支持每个端口在不同网段之间进行迁移。这种交换技术是基于OSI第一层上完成的，具有

7、灵活性和负载平衡能力等优点。如果配置得当，那么还可以在一定程度进行客错，但没有改变共享传输介质的特点，自而未能称之为真正的交换。2帧交换帧交换是目前应用最广的局域网交换技术，它通过对传统传输媒介进行微分段，提供并行传送的机制，以减小冲突域，获得高的带宽。一般来讲每个公司的产品的实现技术均会有差异，但对网络帧的处理方式一般有以下几种：直通交换：提供线速处理能力，交换机只读出网络帧的前14个字节，便将网络帧传送到相应的端口上。存储转发：通过对网络帧的读取进行验错和控制。前一种方法的交换速度非常快，但缺乏对网络帧进行更高级的控制，缺乏智能性和安全性，同时也无法支持具有不同速率的端口的交换。因此，各厂

8、商把后一种技术作为重点。有的厂商甚至对网络帧进行分解，将帧分解成固定大小的信元，该信元处理极易用硬件实现，处理速度快，同时能够完成高级控制功能（如美国MADGE公司的LET集线器）如优先级控制。3信元交换ATM技术代表了网络和通讯技术发展的未来方向，也是解决目前网络通信中众多难题的一剂“良药”，ATM采用固定长度53个字节的信元交换。由于长度固定，因而便于用硬件实现。ATM采用专用的非差别连接，并行运行，可以通过一个交换机同时建立多个节点，但并不会影响每个节点之间的通信能力。ATM还容许在源节点和目标、节点建立多个虚拟链接，以保障足够的带宽和容错能力。ATM采用了统计时分电路进行复用，因而能大

9、大提高通道的利用率。ATM的带宽可以达到25M、155M、622M甚至数Gb的传输能力。（二）、交换机应用中几个值得注意的问题1交换机网络中的瓶颈问题交换机本身的处理速度可以达到很高，用户往往迷信厂商宣传的Gbps级的高速背板。其实这是一种误解，连接入网的工作站或服务器使用的网络是以大网，它遵循CSMACD介质访问规则。在当前的客户服务器模式的网络中多台工作站会同时访问服务器，因此非常容易形成服务器瓶颈。有的厂商已经考虑到这一点，在交换机中设计了一个或多个高速端口（如3COM的Linkswitch1000可以配置一个或两个100Mbps端口），方便用户连接服务器或高速主干网。用户也可以通过设计

10、多台服务器（进行业务划分）或追加多个网卡来消除瓶颈。交换机还可支持生成树算法，方便用户架构容错的冗余连接。2网络中的广播帧目前广泛使用的网络操作系统有Netware、Windows NT等，而Lan Server的服务器是通过发送网络广播帧来向客户机提供服务的。这类局域网中广播包的存在会大大降低交换机的效率，这时可以利用交换机的虚拟网功能（并非每种交换机都支持虚拟网）将广播包限制在一定范围内。每台文交换机的端口都支持一定数目的MAC地址，这样交换机能够“记忆”住该端口一组连接站点的情况，厂商提供的定位不同的交换机端口支持MAC数也不一样，用户使用时一定要注意交换机端口的连接端点数。如果超过厂商

11、给定的MAC数，交换机接收到一个网络帧时，只有其目的站的MAC地址不存在于该交换机端口的MAC地址表中，那么该帧会以广播方式发向交换机的每个端口。3虚拟网的划分虚拟网是交换机的重要功能，通常虚拟网的实现形式有三种：(1)静态端口分配静态虚拟网的划分通常是网管人员使用网管软件或直接设置交换机的端口，使其直接从属某个虚拟网。这些端口一直保持这些从属性，除非网管人员重新设置。这种方法虽然比较麻烦，但比较安全，容易配置和维护。（2）动态虚拟网支持动态虚拟网的端口，可以借助智能管理软件自动确定它们的从属。端口是通过借助网络包的MAC地址、逻辑地址或协议类型来确定虚拟网的从属。当一网络节点刚连接入网时，交

12、换机端口还未分配，于是交换机通过读取网络节点的MAC地址动态地将该端口划入某个虚拟网。这样一旦网管人员配置好后，用户的计算机可以灵活地改变交换机端口，而不会改变该用户的虚拟网的从属性，而且如果网络中出现未定义的MAC地址，则可以向网管人员报警。（3）多虚拟网端口配置该配置支持一用户或一端口可以同时访问多个虚拟网。这样可以将一台网络服务器配置成多个业务部门（每种业务设置成一个虚拟网）都可同时访问，也可以同时访问多个虚拟网的资源，还可让多个虚拟网间的连接只需一个路由端口即可完成。但这样会带来安全上的隐患。虚拟网的业界规范正在制定当中，因而各个公司的产品还谈不上互操作性。Cisco公司开发了Inte

13、rSwitch Link（ISL）虚拟网络协议，该协议支持跨骨干网（ATM、FDDI、Fast Ethernet）的虚拟网。但该协议被指责为缺乏安全性上的考虑。传统的计算机网络中使用了大量的共享式Hub，通过灵活接入计算机端口也可以获得好的效果。( 4 ) 高速局域网技术的应用快速以太网技术虽然在某些方面与传统以大网保持了很好的兼容性，但100BASE-TX、100BASAE-T4及100BASE-FX对传输距离和级连都有了比较大的限制。通过100Mbps的交换机可以打破这些局限。同时也只有交换机端口才可以支持双工高速传输。目前也出现了CDDIFDDI的交换技术，另外该CDDIFDDI的端口价

14、格也呈下降趋势，同时在传输距离和安全性方面也有比较大的优势，因此它是大型网络骨干的一种比较好的选择。3COM的主要交换产品有Linkswitch系列和LANplex系列；BAY的主要交换产品有LattisSwitch2800，BAY stack workgroup、System3O005000（提供某些可选交换模块）；Cisco的主要交换产品有Catalyst 1000200030005000系列。第二章 未用端口禁用与MAC寻址21 未用端口禁用多数网络的交换机上都有一些未使用的端口。这些端口实际上是潜在的安全漏洞，因为任何人都可以连接到未使用的端口并访问网络。为了提供网络的安全性，只要有可

15、能就应该禁用网络中所有交换机上的未使用端口，以后根据需要再启用这些被禁用的端口。交换机接入前，先用命令把所有的端口shudown,需要启用哪一个启用哪一个，类似于路由器，这是网络管理员经常忽略的问题这种解决方案带来一些不便：如果网络规模比较大，而且职员上网需求变化大，网络管理员由于不得不经常启用或禁用交换机上的端口而浪费大量的时间。22 MAC寻址一种更好的解决方案是通过MAC地址限制对端口的访问。MAC寻址的原理是：把能通过交换机访问网络的机器网卡的MAC地址预先保存在交换机中，当某机器接入交换机的端口时，交换机首先查看MAC地址表，若该机器网卡的MAC地址不存在，就拒绝端口转发流量。目前，

16、多数交换机都支持这种特性。通常，对于相对静态的网络，还可以把用户机器网卡的MAC地址绑定到交换机的某个端口上，这样做可以防止攻击者物理接触交换机时拔掉其他用户的网线并接入自己的机器，企图通过使用该活动的网络端口来获取网络的访问权限。OSI协议栈的数据链路层分为MAC（媒体访问控制）和LLC（逻辑链路控制）子层，其中MAC位于LLC的下面。这些子层是由IEEE定义的，而MAC层中使用的寻址方案是由IEEE通过一种两个网络接口卡不会有相同的MAC地址的方式管理的。这样使用户得以在一个LAN中安装任何NIC，而不用担心地址冲突。寻址格式的长度是48位。前24位代表OUI组织惟一识别符），是一个标识N

17、IC生产厂家的数字。IEEE分配OUI.后24位包含一个由生产厂家或供货商分配的用于识别NIC的惟一性数字。下面的列表显示了Linksys和D-Link NIC的一些MAC地址。注意，来自同一个供货商的网卡的前六位数字是相同的。Linksys以太网网卡 00 40 05 1D 8E 7ELinksys以太网网卡 00 40 05 2A 57 4BD-Link以太网网卡 00 80 C8 C 1 91 6DD-Link以太网网卡 00 80 C8 C174 8B互联网络寻址互联网络是由互相连接的带有连接节点（称为主机和路由器）的LAN组成的。每个设备都有一个物理连接连接到具有MAC层地址的网络，

18、每个节点都有一个逻辑互联网络地址。图A-5说明了应用IP互联网络地址的网络。左侧网络的网络地址是192.168.1.0,右侧网络的网络地址是192.168.2.0.地址最后面主机域内的0表示整个网络。假设主机192.168.1.10想发送信息到主机192.168.2.25（在网络的远端）。该过程简单描述如下：1主机192.168.1.10将信息以一帧（或多帧）发送到路由器的MAC地址。2.路由器为网络192.168.2.0对数据重新分帧以便将这些帧传递到192.168.2.25的MAC地址。3节点192.168.2.25接收这些帧。有关IP寻址的更多信息可在标题“IP（网际协议）”下找到。高层

19、寻址应用层是人们与计算机进行交互的层。在提到其他计算机时，使用的是较容易记忆的名称，而不是使用复杂的IP地址。例如，若要访问Microsoft Web站点，用户可在Web浏览器的地址域中键入a然后用户的Web浏览器将转到指定的DNS站点并将这个名称转换成一个IP地址。从此，访问该站点时将使用这个IP地址。HTTP Web浏览器或FTP等应用程序使用端口地址与在其他计算机上运行的相似的应用程序进行联系。端口地址与IP地址的组合就是套接字。例如，Web服务器使用的是端口80，所以如果要连接到IP地址为192.168.2.25的Web服务器，则可以键入192.168.2.25:80,但是在运行Web

20、浏览器时，端口号是自动获取的，所以人们一般不需要键入它们。有一些人所共知的适用于大多数应用程序的端口。请参阅“TCP/IP端口”。面向连接网络寻址IP网络互联方案是一种无连接的联网方案。每个数据分组都是通过路由器逐级地转发到目的地。路由器读取每个数据分组中的地址并转发数据分组。面向连接网络中通过网络的路径是事先建立的。该路径模拟物理电路，在ATM网络、帧中继网络和其他面向连接网络中被称为“虚电路”在面向连接网络中，标识符将分配给通过网络的路径。该标识符将代替目的地址使用。它识别通向目的地的整个路径而不是目的地本身。在数据分组穿过网络时，交换机读取标识符以决定使用哪个预分配的电路继续转发数据分组

21、。这个过程减少了开销并提升了性能。有关更多信息，请参阅ATM（异步传输模式）”、“帧中继”和“虚电路”。启用MAC地址安全是一项相对简单的工作，因为交换机可以很容易地获取所连接设备的MAC地址，目前主流的交换机都支持MAC寻址功能第三章 STP协议2.1 STP概念及工作原理STP（Spanning Tree Protocol）生成树协议是一种二层管理协议，它通过有选择性地阻塞网络冗余链路来达到消除网络二层环路的目的，同时具备链路的备份功能。生成树协议和其他协议一样，是随着网络的不断发展而不断更新换代的。“生成树协议”是一个广义的概念，并不是特指IEEE 802.1D中定义的STP协议，而是包

22、括STP以及各种在STP基础上经过改进了的生成树协议。在网络发展初期，透明网桥的运用。它比只会放大和广播信号的集线器聪明得多。它的学习能力是把发向它的数据帧的源MAC地址和端口号记录下来，下次碰到这个目的MAC地址的报文就只从记录中的端口号发送出去，除非目的MAC地址没有记录在案或者目的MAC地址本身就是多播地址才会向所有端口发送。通过透明网桥，不同的局域网之间可以实现互通，网络可操作的范围得以扩大，而且由于透明网桥具备MAC地址学习功能而不会像Hub那样造成网络报文冲撞泛滥。透明网桥也有它的缺陷，它的缺陷就在于它的透明传输。透明网桥并不能像路由器那样知道报文可以经过多少次转发，一旦网络存在环

23、路就会造成报文在环路内不断循环和增生，出现广播风暴。为了解决这一问题，后来提出了生成树协议。STP协议中定义了根桥（RootBridge）、根端口（RootPort）、指定端口（DesignatedPort）、路径开销（PathCost）等概念，目的就在于通过构造一棵自然树的方法达到裁剪冗余环路的目的，同时实现链路备份和路径最优化。用于构造这棵树的算法称为生成树算法SPA（Spanning TreeAlgorithm）。要实现这些功能，网桥之间必须要进行一些信息的交流，这些信息交流单元就称为配置消息BPDU（BridgeProtocol Data Unit）。STP BPDU是一种二层报文，目

24、的MAC是多播地址01-80-C2-00-00-00，所有支持STP协议的网桥都会接收并处理收到的BPDU报文。该报文的数据区里携带了用于生成树计算的所有有用信息。2.2 STP的工作过程首先进行根桥的选举。选举的依据是网桥优先级和网桥MAC地址组合成的桥ID（Bridge ID），桥ID最小的网桥将成为网络中的根桥。在网桥优先级都一样（默认优先级是32768）的情况下，MAC地址最小的网桥成为根桥。接下来，确定根端口，根据与根桥连接路径开销最少的端口为根端口，路径开销等于1000除于传输介质的速率假设中SW1和跟桥之间的链路是千兆GE链路，跟桥和SW3之间的链路是百兆FE链路，SW3从端口1

25、到根桥的路径开销的默认值是19，而从端口2经过SW1到根桥的路径开销是4+4=8，所以端口2成为根端口，进入转发状态。根桥和根端口都确定之后然后是裁剪冗余的环路。这个工作是通过阻塞非根桥上相应端口来实现的。生成树经过一段时间（默认值是30秒左右）稳定之后，所有端口要么进入转发状态，要么进入阻塞状态。STPBPDU仍然会定时从各个网桥的指定端口发出，以维护链路的状态。如果网络拓扑发生变化，生成树就会重新计算，端口状态也会随之改变。当然生成树协议还有很多内容，其他各种改进型的生成树协议都是以此为基础的，基本思想和概念都大同小异。STP协议给透明网桥带来了新生。但是它还是有缺点的，STP协议的缺陷主

26、要表现在收敛速度上。当拓扑发生变化，新的配置消息要经过一定的时延才能传播到整个网络，这个时延称为Forward Delay，协议默认值是15秒。在所有网桥收到这个变化的消息之前，若旧拓扑结构中处于转发的端口还没有发现自己应该在新的拓扑中停止转发，则可能存在临时环路。为了解决临时环路的问题，生成树使用了一种定时器策略，即在端口从阻塞状态到转发状态中间加上一个只学习MAC地址但不参与转发的中间状态，两次状态切换的时间长度都是Forward Delay，这样就可以保证在拓扑变化的时候不会产生临时环路。但是，这个看似良好的解决方案实际上带来的却是至少两倍Forward Delay的收敛时间！为了解决S

27、TP协议的这个缺陷，在世纪之初IEEE推出了802.1w标准，作为对802.1D标准的补充。在IEEE 802.1w标准里定义了快速生成树协议RSTP（Rapid Spanning Tree Protocol）。RSTP协议在STP协议基础上做了三点重要改进，使得收敛速度快得多（最快1秒以内）。第一点改进：为根端口和指定端口设置了快速切换用的替换端口（Alternate Port）和备份端口（Backup Port）两种角色，当根端口/指定端口失效的情况下，替换端口/备份端口就会无时延地进入转发状态。第二点改进：在只连接了两个交换端口的点对点链路中，指定端口只需与下游网桥进行一次握手就可以无时

28、延地进入转发状态。如果是连接了三个以上网桥的共享链路，下游网桥是不会响应上游指定端口发出的握手请求的，只能等待两倍Forward Delay时间进入转发状态。第三点改进：直接与终端相连而不是把其他网桥相连的端口定义为边缘端口（Edge Port）。边缘端口可以直接进入转发状态，不需要任何延时。由于网桥无法知道端口是否是直接与终端相连，所以需要人工配置。可见，RSTP协议相对于STP协议的确改进了很多。为了支持这些改进，BPDU的格式做了一些修改，但RSTP协议仍然向下兼容STP协议，可以混合组网。虽然如此，RSTP和STP一样同属于单生成树SST（SingleSpanning Tree），有它

29、自身的诸多缺陷，主要表现在三个方面。第一点缺陷：由于整个交换网络只有一棵生成树，在网络规模比较大的时候会导致较长的收敛时间，拓扑改变的影响面也较大。第二点缺陷：在网络结构对称的情况下，单生成树也没什么大碍。但是，在网络结构不对称的时候，单生成树就会影响网络的连通性。第三点缺陷：当链路被阻塞后将不承载任何流量，造成了带宽的极大浪费，这在环行城域网的情况下比较明显。这些缺陷都是单生成树SST无法克服的，于是支持VLAN的多生成树协议出现了。2.3 生成树协议攻击及防范、PVST(一) 生成树协议攻击网络中如果有回路，网络广播就会在网络中反复发送，从而形成广播风暴，最终使网络崩溃。生成树协议（STP

30、）可以通过阻塞冗余线路，消降除交交环境中出现的回路。使用STP的所有交换机都通过网桥协议数据单元（BPDU）来共享信息。交换机可以发送并接收这些BPDU，以确定哪个交换机拥有最低的网桥ID，拥有最低网桥ID的那个交换机成为根网桥（root bridge）。其他每个交换机确定返回根网桥的最佳路线（端口速度、可靠性最高的路径），其他路径的端口设为阻塞模式。如果恶意攻击者连接到一个交换机，然后发送网桥ID很低的精心设计的BPDU，就可以欺骗交换机，使它以为这是根网桥，这会导致STP重新收敛速度慢，在一定时间内会产生回路，从而导致网络崩溃。(二) 生成树协议攻击的防范要防止操纵生成树协议的攻击，需要使

31、用根目录保护和BPDU保护加强命令来保持网络中主网桥的位置不发生改变，同时也可以强化生成树协议的域边界。为了解决生成树协议收敛速度慢的问题，可以在交换机上配置使用快速生成树协议RSTP，避免在网络重新收敛过程中的网络回路的产生。(三) STP生成树之PVST 图表 1实验要求：解决网络中得环路。SW3 SW4分别做为VLAN 10 20和VLAN 30 40的根桥，VLAN 10 20和VLAN 30 40备用根桥，SW3 SW4之间捆绑实现负载均衡。使用设备：3550交换机4台步骤1：配置trunkSW1配置：SW1(config)#interface range fastEthernet 0/1 - 2 SW1(config-if-range)#switchport mode trunkSW2配置：SW2(config)#interface range fastEthernet 0/1 - 2 SW2(config-if-range)#switchport mode trunkSW2(config-if-range)#exitSW3配置：SW3(config)#interface range fastEthernet 0/1 - 2 SW3(config-i