返回
网络骨干节点路由器交换机安全问题及对策

网络骨干节点路由器交换机安全问题及对策

ID:9377048

大小:143.15 KB

页数:4页

时间:2018-04-29

网络骨干节点路由器交换机安全问题及对策_第1页
网络骨干节点路由器交换机安全问题及对策_第2页
网络骨干节点路由器交换机安全问题及对策_第3页
网络骨干节点路由器交换机安全问题及对策_第4页
资源描述:

《网络骨干节点路由器交换机安全问题及对策》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库

1、网络安全网络骨干节点路由器、交换机安全问题及对策赵晓峰安徽财经大学网络中心安徽233041摘要:路由器、交换机是网络基础骨干设备,这些设备的安全关系到整个网络正常运转。文中对这些设备安全性方面存在问题进行了论述,探讨了对这些设备具有巨大威胁的攻击方式,并据此提出了一些防范对策。关键词:网络安全;网络攻击;防御对策0引言式,也是成功率最高的一种攻击方式。因链路层ARP协议路由器、交换机是网络基础骨干节点,这些节点设备只在安全性方面存在很大缺陷,园区网、局域网即使整网使用是单纯的为网络发送、接收数据,而不用向服务器那样对普

2、交换机组网,攻击者对攻击目标实施ARP欺骗,在被攻击通用户提供各项服务,普通用户在使用网络时,根本就不会目标与网关或路由器之间充当中间人,就可实现对攻击目感到这些设备的存在。因此,相对于服务器来说,其被攻击标的嗅探。的可能性将大大降低。HTTP、TELNET用户名与密码都是明文的,SNMPv1、但在智能型交换机及路由器中,为了方便管理员对设备v2团体名也是明文的,攻击者如果能在管理员对设备实施远程管理,常会在设备中通过HTTP、SNMP、TELNET等服管理时,进行ARP欺骗,并对管理员对设备的管理数据包务实现远程管理

3、功能。这些服务如果被攻击者所利用,控制嗅探,就能轻易获取管理员的WEB、TELNET用户名和密或瘫痪路由器、交换机,将使网络面临被控制或瘫痪的危险。码或SNMP读写权限团体名。获取了管理员用户名、密码或因此,网络管理人员在使用这些管理功能时,必须深入了解SNMP读写权限团体名后,攻击者就能直接或间接对设备实这些功能的优缺点,在做好安全防护基础上,使用这些管理施控制。功能。1.3基于社会工程的攻击方式1攻击方式概述攻击者通过骗取等方法获取管理员用户名或密码,或通1.1基于WEB的攻击方式过对管理员情况侧面了解,生成管理员

4、有可能使用的用户名、密码字典,然后,通过穷举方式破解管理员用户名与密码或为了方便对设备管理,现在很多路由器、交换机都提供SNMP读写团体名,这种方式虽然成功率不大,但也是攻击了基于HTTP的WEB远程管理功能,这使得即使没有学过什么网络知识的人,通过WEB也能方便的对路由器、交换机进者常用的一种方式。行管理,简单的如操作PC机一样。但在这种方便的管理功能1.4攻击实例背后,却存在着巨大的安全风险。管理员都知道网络设备WEB、TELNET管理员用户名与目前很多厂家设备中提供的WEB管理功能,都或多或少密码被攻击者破解的危

5、险,但很多人并不知道SNMP读写团存在些问题,如很多厂家WEB服务存在WEB访问认证绕过体名如果被攻击者获取也是非常危险的。下面以实例说明攻或WEB越权访问等漏洞,就极大威胁着网络设备的安全。当击者如何通过读写权限团体名实现对被管设备的控制。设备存在此漏洞,并打开该管理功能后,攻击者通过构造畸SNMP协议是目前广泛使用的网络管理协议,智能型交形格式化字符串的访问请求,就能绕过认证或用普遍用户权换机或路由器都基本实现了该功能,管理端使用SNMP对被限,以最大管理权限进行系统,这样攻击者就可以完全控制管设备管理,实际上是通

6、过访问被管设备MIB库相应管理项设备。值来实现的,对MIB库管理项值读可以查看被管设备状态信1.2基于嗅探的攻击方式息,写MIB库相应管理项值,就可实现对被管设备远程控制。基于嗅探的攻击,是所有攻击方式中最危险的攻击方大部分交换机、路由器厂家在自己设备中,除了采用标准的作者简介:赵晓峰(1970-),男,实验师,学士,主要研究方向为网络管理、网络安全。242006.11网络安全MIB库MIBII外,一般还自定义了一些私有MIB,这些私有表项6、ccCopyEntryRowStatusOBJECT-TYPEMIB涵盖了设

7、备管理各个方面,如上传下载配置文件、格式SYNTAXINTEGER{entryrun(1)}化设备FLASH等,这些功能对设备管理非常有用,但也非MAX-ACCESSread-create常危险。糟糕的是,这些私有MIB管理功能,管理员只有STATUScurrent在使用厂家自已的网管软件时,才能了解这些功能存在,第::={ccCopyEntry14}三方网管软件一般都是对MIBII进行访问的。攻击者了解被按照上面所列表项,只要管理端发送相应SNMP管理报管设备私有MIB并获取了被管设备读写权限团体名后,使文,将它们改

8、变成某个相应值,就可以将被管设备配置文件用SNMP调试命令(如LINIX下的SNMP相关命令)读写被下载到某一TFTP服务器上。通过SNMP测试命令发送这些管设备私有MIB,就可以直接控制被管设备。以下用世界著管理报文:名网络厂商(简称厂商A)设备为例,说明攻击者如何利用(1)SnmpsetccCopyEntry.2int321(

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。