欧美性猛交XXXX免费看蜜桃,成人网18免费韩国,亚洲国产成人精品区综合,欧美日韩一区二区三区高清不卡,亚洲综合一区二区精品久久

                  阻斷攻擊從接入交換機入手 

寬帶網(wǎng)接入交換機通常需要與用戶(hù)終端直接連接，一旦用戶(hù)終端感染蠕蟲(chóng)病毒，病毒發(fā)作就會(huì )嚴重消耗帶寬和交換機資源，甚至造成網(wǎng)絡(luò )癱瘓，這一現象在Slammer和沖擊波事件中早已屢見(jiàn)不鮮。寬帶接入交換機究竟面臨哪些安全風(fēng)險？怎樣才能化解這些風(fēng)險？接下來(lái)我們將逐一揭示。

交換機的風(fēng)險

利用抓包工具，筆者經(jīng)常捕獲到大流量的異常報文，它們一方面消耗網(wǎng)絡(luò )帶寬，另一方面消耗網(wǎng)絡(luò )設備的資源，影響網(wǎng)絡(luò )的正常運行。

單播類(lèi)異常報文：?jiǎn)尾チ髁看蠖鄶凳前l(fā)送給網(wǎng)關(guān)，網(wǎng)關(guān)設備根據路由表對這些報文做出轉發(fā)或丟棄處理。對私有IP地址，公網(wǎng)三層交換機或路由器會(huì )自動(dòng)丟棄單播流量。如果用戶(hù)已經(jīng)獲得一個(gè)公網(wǎng)IP地址，這些單播流量就會(huì )被轉發(fā)出去，進(jìn)而影響更大范圍的網(wǎng)絡(luò )。以沖擊波病毒為例，中毒主機只要監測到網(wǎng)絡(luò )可用，就會(huì )啟動(dòng)一個(gè)攻擊傳播線(xiàn)程，不斷隨機生成攻擊地址進(jìn)行攻擊。在沖擊波發(fā)作嚴重的階段，網(wǎng)絡(luò )速度明顯變慢，一些接入層交換機和一些小型路由器甚至崩潰，核心三層交換機的CPU利用率達到100%，運營(yíng)商不得不采取屏蔽ICMP報文的辦法加以應對。

廣播類(lèi)異常報文：廣播是實(shí)現某些協(xié)議的必要方式。廣播報文會(huì )發(fā)送給特定網(wǎng)段內的所有主機，每臺主機都會(huì )對收到的報文進(jìn)行處理，做出回應或丟棄的決定，其結果是既消耗網(wǎng)絡(luò )帶寬又影響主機性能。利用端口隔離技術(shù)，用戶(hù)可以限制廣播報文只發(fā)往上行端口，這樣可以減小對本網(wǎng)段鏈路和主機的影響，但無(wú)法解決對匯聚層和核心層設備造成的影響。如果在匯聚或核心設備上將多個(gè)小區劃在一個(gè)VLAN內，廣播類(lèi)流量就會(huì )通過(guò)上層設備返回到其他小區，進(jìn)而繼續占用這些小區的鏈路帶寬并影響主機性能，這種配置方法在當前寬帶網(wǎng)絡(luò )中廣泛存在。

組播類(lèi)異常報文：組播類(lèi)信息本來(lái)只服務(wù)于網(wǎng)絡(luò )內的部分用戶(hù)，其目的地址是網(wǎng)絡(luò )內申請加入組播組的主機。一些主機并沒(méi)有申請加入組播組，這些組播報文本不應該轉發(fā)給這些主機，但是事實(shí)上這些主機還是收到了組播信息。是什么原因導致組播報文轉發(fā)給沒(méi)有申請加入的主機呢?原來(lái)，為了實(shí)現組播，二層交換機使用GMRP組播注冊協(xié)議或IGMP Snooping協(xié)議來(lái)維護一個(gè)動(dòng)態(tài)組播表，然后把組播報文轉發(fā)給與該組播組成員相關(guān)的端口，以實(shí)現在VLAN 內的二層組播，如果沒(méi)有運行IGMP Snooping，組播報文將在二層廣播，這就是導致組播泛濫的原因。

隨著(zhù)寬帶網(wǎng)絡(luò )的進(jìn)一步普及以及視頻應用的逐漸增加，組播技術(shù)將會(huì )得到更廣泛地應用，那時(shí)組播類(lèi)異常流量不僅會(huì )出現在網(wǎng)絡(luò )的第二層，而且還會(huì )路由到整個(gè)組播樹(shù)。加上視頻類(lèi)信息流量較大，很難區分正常流量和不正常流量。因而對組播進(jìn)行控制也就更加困難了。

總之，局域網(wǎng)內的應用存在被病毒利用的可能性，如果不有效限制異常流量，就會(huì )對網(wǎng)絡(luò )帶寬以及網(wǎng)絡(luò )設備造成資源消耗。因此，為面向用戶(hù)的二層交換機增加智能，把問(wèn)題隔離在最小的范圍內，就顯得尤為重要。

化解風(fēng)險的對策

利用交換機的流量控制功能，我們能夠把流經(jīng)端口的異常流量限制在一定的范圍內。例如，Cisco交換機具有基于端口的流量控制功能，能夠實(shí)現風(fēng)暴控制、端口保護和端口安全。風(fēng)暴控制能夠緩解單播、廣播或組播包導致的網(wǎng)絡(luò )變慢，通過(guò)對不同種類(lèi)流量設定一個(gè)閾值，交換機在端口流量達到設定值時(shí)啟動(dòng)流量控制功能甚至將端口宕掉。端口保護類(lèi)似于端口隔離，設置了端口保護功能的端口之間不交換任何流量。端口安全是對未經(jīng)許可的地址進(jìn)行端口級的訪(fǎng)問(wèn)限制。無(wú)獨有偶，華為交換機提供流量控制和廣播風(fēng)暴抑制比等端口控制功能。流量控制功能用于交換機與交換機之間在發(fā)生擁塞時(shí)通知對方暫時(shí)停止發(fā)送數據包，以避免報文丟失。廣播風(fēng)暴抑制可以限制廣播流量的大小，對超過(guò)設定值的廣播流量進(jìn)行丟棄處理。

不過(guò)，交換機的流量控制功能只能對經(jīng)過(guò)端口的各類(lèi)流量進(jìn)行簡(jiǎn)單的速率限制，將廣播、組播的異常流量限制在一定的范圍內，而無(wú)法區分哪些是正常流量，哪些是異常流量。同時(shí)，如何設定一個(gè)合適的閾值也比較困難。如果需要對報文做更進(jìn)一步的控制用戶(hù)可以采用ACL(訪(fǎng)問(wèn)控制列表 )。ACL利用IP地址、TCP/UDP端口等對進(jìn)出交換機的報文進(jìn)行過(guò)濾，根據預設條件，對報文做出允許轉發(fā)或阻塞的決定。Cisco和華為的交換機均支持IP ACL和MAC ACL，每種ACL分別支持標準格式和擴展格式。標準格式的ACL根據源地址和上層協(xié)議類(lèi)型進(jìn)行過(guò)濾，擴展格式的ACL根據源地址、目的地址以及上層協(xié)議類(lèi)型進(jìn)行過(guò)濾。

通過(guò)細分不同的網(wǎng)絡(luò )流量，用戶(hù)可以針對性地對異常流量分別進(jìn)行控制。通過(guò)IP報文的協(xié)議字段控制單播類(lèi)異常流量，通過(guò)以太幀的協(xié)議字段控制廣播類(lèi)異常報文，通過(guò)IP目的地址段控制組播類(lèi)報文。除了這些控制手段之外，網(wǎng)絡(luò )管理員還需要經(jīng)常注意網(wǎng)絡(luò )異常流量，及時(shí)定位異常流量的源主機，并且排除故障。(作者系太原市通信實(shí)業(yè)有限公司數據網(wǎng)絡(luò )分公司 工程師)