关于网络信息安全数据通信的论文.doc

关于网络信息安全数据通信的论文 1路由器与交换机漏洞的发现和防护 作为通过远程连接的方式实现网络资源的共享是大部分用户均会使用到的不管这样的连接方式是利用何种方式进行连接都难以避开负载路由器以及交换机的系统网络这是这样这些设备存在着某些漏洞极容易成为的攻击的突破口从路由器与交换机存在漏洞致因看路由与交换的过程就是于网络中对数据包进行移动在这个转移的过程中它们常常被认为是作为某种单一化的传递设备而存在那么这就需要注意假如某个窃取到主导路由器或者是交换机的相关权限之后则会引发损失惨重的破坏纵观路由与交换市场拥有最多市场占有率的是思科公司并且被网络领域人员视为重要的行业标准也正因为该公司的产品普及应用程度较高所以更加容易受到攻击的目标比如在某些操作系统中设置有相应的用于思科设备完整工具主要是方便管理员对漏洞进行定期的检查然而这些工具也被攻击者注意到并利用工具相关功能查找出设备的漏洞所在就像密码漏洞主要利用JohntheRipper进行攻击所以针对这类型的漏洞防护最基本的防护方法是开展定期的审计活动为避免这种攻击充分使用平台带有相应的多样化的检查工具并在需要时进行定期更新并保障设备出厂的默认密码已经得到彻底清除；而针对BGP漏洞的防护最理想的办法是于ISP级别层面处理和解决相关的问题假如是网络层面最理想的办法是对携带数据包入站的路由给予严密的监视并时刻搜索内在发生的所有异常现象 2交换机常见的攻击类型 2.1MAC表洪水攻击 交换机基本运行形势为：当帧经过交换机的过程会记下MAC源地址该地址同帧经过的端口存在某种联系此后向该地址发送的信息流只会经过该端口这样有助于节约带宽资源通常情况下MAC地址主要储存于能够追踪和查询的CAM中以方便快捷查找假如通过往CAM传输大量的数据包则会促使交换机往不同的连接方向输送大量的数据流最终导致该交换机处在防止服务攻击环节时因过度负载而崩溃. 2.2ARP攻击 这是在会话劫持攻击环节频发的手段之一它是获取物理地址的一个TCP/IP协议某节点的IP地址的ARP请求被广播到网络上后这个节点会收到确认其物理地址的应答这样的数据包才能被传送出去可通过伪造IP地址和MAC地址实现ARP欺骗能够在网络中产生大量的ARP通信量使网络阻塞ARP欺骗过程如图1所示 2.3VTP攻击 以VTP角度看探究的是交换机被视为VTP客户端或者是VTP服务器时的情况当用户对某个在VTP服务器模式下工作的交换机的配置实施操作时VTP上所配置的版本号均会增多1当用户观察到所配置的版本号明显高于当前的版本号时则可判断和VTP服务器实现同步当想要入侵用户的电脑时那他就可以利用VTP为自己服务只要成功与交换机进行连接然后再本台计算机与其构建一条有效的中继通道然后就能够利用VTP当将VTP信息发送至配置的版本号较高且高于目前的VTP服务器那么就会致使全部的交换机同那台计算机实现同步最终将全部除非默认的VLAN移出VLAN数据库的范围 3安全防范VLAN攻击的对策 3.1保障TRUNK接口的稳定与安全 通常情况下交换机所有的端口大致呈现出Access状态以及Turnk状态这两种前者是指用户接入设备时必备的端口状态后置是指在跨交换时一致性的VLANID两者间的通讯对Turnk进行配置时能够避免开展任何的命令式操作行为也同样能够实现于跨交换状态下一致性的VLANID两者间的通讯正是设备接口的配置处于自适应的自然状态为各项攻击的发生埋下隐患可通过如下的方式防止安全隐患的发生首先把交换机设备上全部的接口状态认为设置成Access状态这样设置的目的是为了防止将自己设备的接口设置成Desibarle状态后不管以怎样的方式进行协商其最终结果均是Accese状态致使难以将交换机设备上的空闲接口作为攻击突破口并欺骗为Turnk端口以实现在局域网的攻击其次是把交换机设备上全部的接口状态认为设置成Turnk状态不管企图通过设置什么样的端口状态进行攻击这边的接口状态始终为Turnk状态这样有助于显著提高设备的可控性最后对Turnk端口中关于能够允许进出的VLAN命令进行有效配置对出入Turnk端口的VLAN报文给予有效控制只有经过允许的系类VLAN报文才能出入Turnk端口这样就能够有效抑制企图通过发送错误报文而进行攻击保障数据传送的安全性 3.2保障VTP协议的有效性与安全性 VTP（VLANTrunkProtocolVLAN干道协议）是用来使VLAN配置信息在交换网内其它交换机上进行动态注册的一种二层协议它主要用于管理在同一个域的网络范围内VLANs的建立、删除以及重命名在一台VTPServer上配置一个新的VLAN时该VLAN的配置信息将自动传播到本域内的其他所有交换机这些交换机会自动地接收这些配置信息使其VLAN的配置与VTPServer保持一致从而减少在多台设备上配置同一个VLAN信息的工作量而且保持了VLAN配置的统一性处于VTP模式下容易通过VTP实现初步入侵和攻击并通过获取相应的权限以随意更改入侵的局域网络内部架构导致网络阻塞和混乱所以对VTP协议进行操作时仅保存一台设置为VTP的服务器模式其余为VTP的客户端模式最后基于保障VTP域的稳定与安全的目的应将VTP域全部的交换机设置为相同的密码以保证只有符合密码相同的情况才能正常运作VTP保障网络的安全 4结语 处于全球信息以及计算机等科学技术的不断改善和向前发展的社会环境中数据通信网络的发展内容得到了多样化的丰富和充实数据通信已发展成