IDC报告显示, 交换机市场近年来一直保持着较高的增长势头, 到2009年市场规模有望达到15.1亿美元。 交换机在企业网中占有重要的地位, 通常是整个网络的核心所在, 这一地位使它成为黑客入侵和病毒肆虐的重点对象, 为保障自身网络安全, 企业有必要对局域网上的交换机漏洞进行全面了解。 以下是利用交换机漏洞的五种攻击手段。
VLAN跳跃攻击
虚拟局域网(VLAN)是对广播域进行分段的方法。 VLAN还经常用于为网络提供额外的安全, 因为一个VLAN上的计算机无法与没有明确访问权的另一个VLAN上的用户进行对话。 不过VLAN本身不足以保护环境的安全, 恶意黑客通过VLAN跳跃攻击, 即使未经授权, 也可以从一个VLAN跳到另一个VLAN。
VLAN跳跃攻击(VLAN hopping)依靠的是动态中继协议(DTP)。 如果有两个相互连接的交换机, DTP就能够对两者进行协商, 确定它们要不要成为802.1Q中继, 洽商过程是通过检查端口的配置状态来完成的。
VLAN跳跃攻击充分利用了DTP, 在VLAN跳跃攻击中, 黑客可以欺骗计算机, 冒充成另一个交换机发送虚假的DTP协商消息, 宣布他想成为中继; 真实的交换机收到这个DTP消息后, 以为它应当启用802.1Q中继功能, 而一旦中继功能被启用, 通过所有VLAN的信息流就会发送到黑客的计算机上。 图1表明了这个过程。
中继建立起来后, 黑客可以继续探测信息流, 也可以通过给帧添加802.1Q信息, 指定想把攻击流量发送给哪个VLAN。
生成树攻击
生成树协议(STP)可以防止冗余的交换环境出现回路。 要是网络有回路, 就会变得拥塞不堪, 从而出现广播风暴, 引起MAC表不一致, 最终使网络崩溃。
使用STP的所有交换机都通过网桥协议数据单元(BPDU)来共享信息, BPDU每两秒就发送一次。 交换机发送BPDU时, 里面含有名为网桥ID的标号, 这个网桥ID结合了可配置的优先数(默认值是32768)和交换机的基本MAC地址。 交换机可以发送并接收这些BPDU, 以确定哪个交换机拥有最低的网桥ID, 拥有最低网桥ID的那个交换机成为根网桥(root bridge)。
根网桥好比是小镇上的社区杂货店, 每个小镇都需要一家杂货店, 而每个市民也需要确定到达杂货店的最佳路线。 比最佳路线来得长的路线不会被使用, 除非主通道出现阻塞。
根网桥的工作方式很相似。 其他每个交换机确定返回根网桥的最佳路线, 根据成本来进行这种确定, 而这种成本基于为带宽所分配的值。 如果其他任何路线发现摆脱阻塞模式不会形成回路(譬如要是主路线出现问题), 它们将被设成阻塞模式。
恶意黑客利用STP的工作方式来发动拒绝服务(DoS)攻击。 如果恶意黑客把一台计算机连接到不止一个交换机, 然后发送网桥ID很低的精心设计的BPDU, 就可以欺骗交换机, 使它以为这是根网桥,这会导致STP重新收敛(reconverge), 从而引起回路, 导致网络崩溃。
MAC 表洪水攻击
交换机的工作方式是: 帧在进入交换机时记录下MAC源地址, 这个MAC地址与帧进入的那个端口相关, 因此以后通往该MAC地址的信息流将只通过该端口发送出去。 这可以提高带宽利用率, 因为信息流用不着从所有端口发送出去, 而只从需要接收的那些端口发送出去。
MAC地址存储在内容可寻址存储器(CAM)里面, CAM是一个128K大小的保留内存, 专门用来存储MAC地址, 以便快速查询。 如果恶意黑客向CAM发送大批数据包, 就会导致交换机开始向各个地方发送大批信息流, 从而埋下了隐患, 甚至会导致交换机在拒绝服务攻击中崩溃。
ARP攻击
ARP(Address Resolution Protocol)欺骗是一种用于会话劫持攻击中的常见手法。 地址解析协议(ARP)利用第2层物理MAC地址来映射第3层逻辑IP地址, 如果设备知道了IP地址, 但不知道被请求主机的MAC地址, 它就会发送ARP请求。 ARP请求通常以广播形式发送, 以便所有主机都能收到。
恶意黑客可以发送被欺骗的ARP回复, 获取发往另一个主机的信息流。 图2显示了一个ARP欺骗过程, 其中ARP请求以广播帧的形式发送, 以获取合法用户的MAC地址。 假设黑客Jimmy也在网络上, 他试图获取发送到这个合法用户的信息流, 黑客Jimmy欺骗ARP响应, 声称自己是IP地址为10.0.0.55(MAC地址为05-1C-32-00-A1-99)的主人, 合法用户也会用相同的MAC地址进行响应。 结果就是, 交换机在MAC地表中有了与该MAC表地址相关的两个端口, 发往这个MAC地址的所有帧被同时发送到了合法用户和黑客Jimmy。
VTP攻击
VLAN中继协议(VTP,VLAN Trunk Protocol)是一种管理协议, 它可以减少交换环境中的配置数量。 就VTP而言, 交换机可以是VTP服务器、VTP客户端或者VTP透明交换机, 这里着重讨论VTP服务器和VTP客户端。 用户每次对工作于VTP服务器模式下的交换机进行配置改动时, 无论是添加、修改还是移除VLAN, VTP配置版本号都会增加1, VTP客户端看到配置版本号大于目前的版本号后, 就知道与VTP服务器进行同步。
恶意黑客可以让VTP为己所用, 移除网络上的所有VLAN(除了默认的VLAN外), 这样他就可以进入其他每个用户所在的同一个VLAN上。 不过, 用户可能仍在不同的网络上, 所以恶意黑客就需要改动他的IP地址, 才能进入他想要攻击的主机所在的同一个网络上。
恶意黑客只要连接到交换机, 并在自己的计算机和交换机之间建立一条中继, 就可以充分利用VTP。 黑客可以发送VTP消息到配置版本号高于当前的VTP服务器, 这会导致所有交换机都与恶意黑客的计算机进行同步, 从而把所有非默认的VLAN从VLAN数据库中移除出去。
……