關(guān)建華

摘 要：21世紀(jì)是信息化與網(wǎng)絡(luò)化的新時代，網(wǎng)絡(luò)的快速發(fā)展為用戶之間實現(xiàn)信息連接創(chuàng)造了更加有利的技術(shù)條件。在這數(shù)據(jù)通信的網(wǎng)絡(luò)時代，如何保障用戶通過提取工具得到安全的網(wǎng)絡(luò)信息，是網(wǎng)絡(luò)的參與者需要解決的重大課題。文章主要在認(rèn)識數(shù)據(jù)通信網(wǎng)絡(luò)的基礎(chǔ)上，了解網(wǎng)絡(luò)安全的含義，并提出如何保障數(shù)據(jù)通信網(wǎng)絡(luò)安全的對策。

關(guān)鍵詞：數(shù)據(jù)通信；網(wǎng)絡(luò)安全；信息安全；對策

1 前言

當(dāng)今計算機網(wǎng)絡(luò)與通信技術(shù)的迅猛發(fā)展，帶動了數(shù)據(jù)通信等科學(xué)技術(shù)的完善和日漸成熟，并且推動了網(wǎng)絡(luò)化的數(shù)據(jù)通信模式逐步取代傳統(tǒng)化的通信模式而發(fā)展為當(dāng)前最主要的時代通信方式。隨著網(wǎng)絡(luò)化的信息發(fā)展，以及數(shù)據(jù)庫建設(shè)水平的不斷提高，使得客戶端以及服務(wù)器網(wǎng)絡(luò)成為用戶獲取多樣化信息的媒介。

2 重視網(wǎng)絡(luò)安全，提高數(shù)據(jù)通信網(wǎng)絡(luò)的管理水平

2.1 加大對安全性的評估力度

有效保障數(shù)據(jù)通信網(wǎng)絡(luò)的穩(wěn)定性和安全性，就必須充分發(fā)揮技術(shù)人力資源的作用，積極構(gòu)建起健全完善的數(shù)據(jù)通信平臺，并積極對系統(tǒng)平臺的安全性進(jìn)行科學(xué)的全面的評估。作為一名合格具備專業(yè)化技術(shù)的人員，應(yīng)按照相關(guān)制度要求和標(biāo)準(zhǔn)流程，設(shè)置科學(xué)的評估方式，對整個網(wǎng)絡(luò)環(huán)境進(jìn)行系統(tǒng)的評估，并適時給予安全調(diào)整，準(zhǔn)確分析潛在的用戶群體以及信息源，并對他們進(jìn)行安全評估和識別，充分了解數(shù)據(jù)通信網(wǎng)絡(luò)的發(fā)展實際，以此為出發(fā)點開展系統(tǒng)安全性的分析活動。

2.2 及時排查隱存的安全威脅

定期開展網(wǎng)絡(luò)安全的檢查與維修活動，以及時確保數(shù)據(jù)信息的可靠性與真實性得到有效的安全確認(rèn)，避免服務(wù)器的終端設(shè)備以及信息網(wǎng)中的硬件設(shè)備和軟件設(shè)備受到惡意破壞，防止系統(tǒng)網(wǎng)絡(luò)受到不法分子的嚴(yán)重攻擊，達(dá)到對數(shù)據(jù)庫內(nèi)部的信息進(jìn)行保密的目的。所以這就要求專業(yè)化的技術(shù)人員需以對網(wǎng)絡(luò)安全性的有效評估為前提，全面仔細(xì)存在的隱形的安全威脅，積極設(shè)置高效的網(wǎng)管設(shè)置等形式，不斷優(yōu)化系統(tǒng)漏洞，拒絕一切不法分析用戶的對網(wǎng)絡(luò)系統(tǒng)的入侵和攻擊，降低安全風(fēng)險的發(fā)生。

3 路由器與交換機漏洞的發(fā)現(xiàn)和防護(hù)

作為通過遠(yuǎn)程連接的方式實現(xiàn)網(wǎng)絡(luò)資源的共享是大部分用戶均會使用到的，不管這樣的連接方式是利用何種方式進(jìn)行連接，都難以避開負(fù)載路由器以及交換機的系統(tǒng)網(wǎng)絡(luò)，這是這樣，這些設(shè)備存在著某些漏洞極容易成為黑客的攻擊的突破口。

從路由器與交換機存在漏洞致因看，路由與交換的過程就是于網(wǎng)絡(luò)中對數(shù)據(jù)包進(jìn)行移動。在這個轉(zhuǎn)移的過程中，它們常常被認(rèn)為是作為某種單一化的傳遞設(shè)備而存在，那么這就需要注意，假如某個黑客竊取到主導(dǎo)路由器或者是交換機的相關(guān)權(quán)限之后，則會引發(fā)損失慘重的破壞。縱觀路由與交換市場，擁有最多市場占有率的是思科公司，并且被網(wǎng)絡(luò)領(lǐng)域人員視為重要的行業(yè)標(biāo)準(zhǔn)，也正因為該公司的產(chǎn)品普及應(yīng)用程度較高，所以更加容易受到黑客攻擊的目標(biāo)。比如，在某些操作系統(tǒng)中，設(shè)置有相應(yīng)的用于思科設(shè)備完整工具，主要是方便管理員對漏洞進(jìn)行定期的檢查，然而這些工具也被攻擊者注意到并利用工具相關(guān)功能查找出設(shè)備的漏洞所在，就像密碼漏洞主要利用John the Ripper進(jìn)行攻擊。所以針對這類型的漏洞防護(hù)最基本的防護(hù)方法是開展定期的審計活動，為避免這種攻擊，充分使用平臺帶有相應(yīng)的多樣化的檢查工具，并在需要時進(jìn)行定期更新，并保障設(shè)備出廠的默認(rèn)密碼已經(jīng)得到徹底清除；而針對BGP漏洞的防護(hù)，最理想的辦法是于ISP級別層面處理和解決相關(guān)的問題，假如是網(wǎng)絡(luò)層面，最理想的辦法是對攜帶數(shù)據(jù)包入站的路由給予嚴(yán)密的監(jiān)視，并時刻搜索內(nèi)在發(fā)生的所有異常現(xiàn)象。

4 交換機常見的攻擊類型

4.1 MAC 表洪水攻擊

交換機基本運行形勢為：當(dāng)幀經(jīng)過交換機的過程會記下MAC源地址，該地址同幀經(jīng)過的端口存在某種聯(lián)系，此后向該地址發(fā)送的信息流只會經(jīng)過該端口，這樣有助于節(jié)約帶寬資源[1]。通常情況下，MAC地址主要儲存于能夠追蹤和查詢的CAM中，以方便快捷查找。假如黑客通過往CAM傳輸大量的數(shù)據(jù)包，則會促使交換機往不同的連接方向輸送大量的數(shù)據(jù)流，最終導(dǎo)致該交換機處在防止服務(wù)攻擊環(huán)節(jié)時因過度負(fù)載而崩潰。

4.2 ARP攻擊

這是在會話劫持攻擊環(huán)節(jié)頻發(fā)的手段之一，它是獲取物理地址的一個TCP/IP協(xié)議。某節(jié)點的IP地址的ARP請求被廣播到網(wǎng)絡(luò)上后，這個節(jié)點會收到確認(rèn)其物理地址的應(yīng)答，這樣的數(shù)據(jù)包才能被傳送出去。黑客可通過偽造IP地址和MAC地址實現(xiàn)ARP欺騙，能夠在網(wǎng)絡(luò)中產(chǎn)生大量的ARP通信量使網(wǎng)絡(luò)阻塞，ARP欺騙過程如圖1所示。

4.3 VTP攻擊

以VTP角度看，探究的是交換機被視為VTP客戶端或者是VTP服務(wù)器時的情況。當(dāng)用戶對某個在VTP服務(wù)器模式下工作的交換機的配置實施操作時，VTP上所配置的版本號均會增多1，當(dāng)用戶觀察到所配置的版本號明顯高于當(dāng)前的版本號時，則可判斷和VTP服務(wù)器實現(xiàn)同步。當(dāng)黑客想要入侵用戶的電腦時，那他就可以利用VTP為自己服務(wù)。黑客只要成功與交換機進(jìn)行連接，然后再本臺計算機與其構(gòu)建一條有效的中繼通道，然后就能夠利用VTP。當(dāng)黑客將VTP信息發(fā)送至配置的版本號較高且高于目前的VTP服務(wù)器，那么就會致使全部的交換機同黑客那臺計算機實現(xiàn)同步，最終將全部除非默認(rèn)的VLAN移出VLAN數(shù)據(jù)庫的范圍[2]。

5 安全防范VLAN攻擊的對策

5.1 保障TRUNK接口的穩(wěn)定與安全

通常情況下，交換機所有的端口大致呈現(xiàn)出Access狀態(tài)以及Turnk狀態(tài)這兩種，前者是指用戶接入設(shè)備時必備的端口狀態(tài)，后置是指在跨交換時一致性的VLAN-ID兩者間的通訊。對Turnk進(jìn)行配置時，能夠避免開展任何的命令式操作行為，也同樣能夠?qū)崿F(xiàn)于跨交換狀態(tài)下一致性的VLAN-ID兩者間的通訊。正是設(shè)備接口的配置處于自適應(yīng)的自然狀態(tài)，為各項攻擊的發(fā)生埋下隱患，可通過如下的方式防止安全隱患的發(fā)生。

首先，把交換機設(shè)備上全部的接口狀態(tài)認(rèn)為設(shè)置成Access狀態(tài)，這樣設(shè)置的目的是為了防止黑客將自己設(shè)備的接口設(shè)置成Desibarle狀態(tài)后，不管以怎樣的方式進(jìn)行協(xié)商其最終結(jié)果均是Accese狀態(tài)，致使黑客難以將交換機設(shè)備上的空閑接口作為攻擊突破口，并欺騙為Turnk端口以實現(xiàn)在局域網(wǎng)的攻擊。其次是把交換機設(shè)備上全部的接口狀態(tài)認(rèn)為設(shè)置成Turnk狀態(tài)。不管黑客企圖通過設(shè)置什么樣的端口狀態(tài)進(jìn)行攻擊，這邊的接口狀態(tài)始終為Turnk狀態(tài)，這樣有助于顯著提高設(shè)備的可控性[3]。最后對Turnk端口中關(guān)于能夠允許進(jìn)出的VLAN命令進(jìn)行有效配置，對出入Turnk端口的VLAN報文給予有效控制。只有經(jīng)過允許的系類VLAN報文才能出入Turnk端口，這樣就能夠有效抑制黑客企圖通過發(fā)送錯誤報文而進(jìn)行攻擊，保障數(shù)據(jù)傳送的安全性。

5.2 保障VTP協(xié)議的有效性與安全性

VTP（VLAN Trunk Protocol，VLAN干道協(xié)議）是用來使VLAN配置信息在交換網(wǎng)內(nèi)其它交換機上進(jìn)行動態(tài)注冊的一種二層協(xié)議，它主要用于管理在同一個域的網(wǎng)絡(luò)范圍內(nèi)VLANs的建立、刪除以及重命名。在一臺VTP Server上配置一個新的VLAN時，該VLAN的配置信息將自動傳播到本域內(nèi)的其他所有交換機，這些交換機會自動地接收這些配置信息，使其VLAN的配置與VTP Server保持一致，從而減少在多臺設(shè)備上配置同一個VLAN信息的工作量，而且保持了VLAN配置的統(tǒng)一性[3]。處于VTP模式下，黑客容易通過VTP實現(xiàn)初步入侵和攻擊，并通過獲取相應(yīng)的權(quán)限，以隨意更改入侵的局域網(wǎng)絡(luò)內(nèi)部架構(gòu)，導(dǎo)致網(wǎng)絡(luò)阻塞和混亂。所以對VTP協(xié)議進(jìn)行操作時，僅保存一臺設(shè)置為VTP的服務(wù)器模式，其余為VTP的客戶端模式。最后基于保障VTP域的穩(wěn)定與安全的目的，應(yīng)將VTP域全部的交換機設(shè)置為相同的密碼，以保證只有符合密碼相同的情況才能正常運作VTP，保障網(wǎng)絡(luò)的安全。

6 結(jié)語

處于全球信息以及計算機等科學(xué)技術(shù)的不斷改善和向前發(fā)展的社會環(huán)境中，數(shù)據(jù)通信網(wǎng)絡(luò)的發(fā)展內(nèi)容得到了多樣化的豐富和充實，數(shù)據(jù)通信已發(fā)展成當(dāng)今社會通信的的主要方式。所以不斷是從基礎(chǔ)研究理論或是實際應(yīng)用活動中，如何保障網(wǎng)絡(luò)安全應(yīng)當(dāng)成為今后數(shù)據(jù)網(wǎng)絡(luò)發(fā)展中的重大課題，研究人員應(yīng)當(dāng)致力于探索多樣化和創(chuàng)新化的方式和渠道，以全面保障數(shù)據(jù)通信網(wǎng)絡(luò)的安全和穩(wěn)定，為廣大社會用戶創(chuàng)造高效放心的通信環(huán)境。

[參考文獻(xiàn)]

[1]姜南.探討網(wǎng)絡(luò)數(shù)據(jù)安全的策略[J].民營科技，2012，6（2）：118-192.

[2]魏英韜.對通信網(wǎng)絡(luò)數(shù)據(jù)的探討[J].黑龍江科技信息，2011，6（3）：89-93.

[3]代正賢.淺談通信網(wǎng)絡(luò)安全技術(shù)[J].科技創(chuàng)新與應(yīng)用，2013，（7）：179-186.