使用過路由交換機的用戶可能都遇到過很多安全方面的問題，同時也反映出目前的路由技術(shù)有待完善。網(wǎng)絡(luò)安全不再單純依賴單一設(shè)備和單一技術(shù)來實現(xiàn)已成為業(yè)界共識。路由交換機作為網(wǎng)絡(luò)骨干設(shè)備，自然也肩負著構(gòu)筑網(wǎng)絡(luò)安全防線的重任。

圍繞路由交換機的安全問題進行了用戶調(diào)查，在收到的大量讀者反饋中，我們進行了統(tǒng)計和分析：70%的用戶曾經(jīng)遭受過Slammer、“沖擊波”等蠕蟲病毒的襲擊，這些蠕蟲病毒攻擊的直接目標(biāo)通常是PC機和服務(wù)器，但是攻擊是通過網(wǎng)絡(luò)進行的，因此當(dāng)這些蠕蟲病毒大規(guī)模爆發(fā)時，交換機、路由器會首先受到牽連。抽樣分析表明：近50%的用戶反映Slammer、沖擊波等蠕蟲病毒沖擊了路由交換機，36%的用戶的路由器受到?jīng)_擊。用戶只有通過重啟交換路由設(shè)備、重新配置訪問控制列表才能消除蠕蟲病毒對網(wǎng)絡(luò)設(shè)備造成的影響。

蠕蟲病毒攻擊網(wǎng)絡(luò)設(shè)備

蠕蟲病毒發(fā)作導(dǎo)致網(wǎng)絡(luò)吞吐效率下降、變慢。如果網(wǎng)絡(luò)中存在瓶頸，就會導(dǎo)致網(wǎng)絡(luò)停頓甚至癱瘓。這些瓶頸可能是線路帶寬，也可能是路由器、交換機的處理能力或者內(nèi)存資源。需要指出的是，網(wǎng)絡(luò)中的路由器、交換機已經(jīng)達到或接近線速，內(nèi)網(wǎng)帶寬往往不收斂，在這種情況下，病毒攻擊產(chǎn)生的流量對局域網(wǎng)內(nèi)部帶寬不會造成致命堵塞，但位于網(wǎng)絡(luò)出口位置的路由器和位于網(wǎng)絡(luò)核心位置的三層交換機卻要吞吐絕大多數(shù)的流量，因而首當(dāng)其沖地受到蠕蟲病毒的攻擊。接入層交換機通常需要與用戶終端直接連接，一旦用戶終端感染蠕蟲病毒，病毒發(fā)作就會嚴重消耗帶寬和交換機資源，造成網(wǎng)絡(luò)癱瘓，這一現(xiàn)象早已屢見不鮮。

蠕蟲病毒對網(wǎng)絡(luò)設(shè)備的沖擊形式主要有兩種：一是堵塞帶寬，導(dǎo)致服務(wù)不可用；二是占用CPU資源，導(dǎo)致宕機，紅色代碼、Slammer、沖擊波等蠕蟲病毒不停地掃描IP地址，在很短時間內(nèi)就占用大量的帶寬資源，造成網(wǎng)絡(luò)出口堵塞。宕機共分幾種情況:一是普通三層交換機都采用流轉(zhuǎn)發(fā)模式，也就是將第一個數(shù)據(jù)包發(fā)送到CPU處理，根據(jù)其目的地址建流，頻繁建流會急劇消耗CPU資源，蠕蟲病毒最重要的攻擊手段就是不停地發(fā)送數(shù)據(jù)流，這對于采用流轉(zhuǎn)發(fā)模式的網(wǎng)絡(luò)設(shè)備是致命的；二是如果網(wǎng)絡(luò)規(guī)劃有問題，在Slammer作用下導(dǎo)致大量ARP請求發(fā)生，也會耗盡CPU資源。再比如，Slammer病毒擁塞三層交換機之間鏈路帶寬，導(dǎo)致路由協(xié)議的數(shù)據(jù)包（如Hello包）丟失，導(dǎo)致整個網(wǎng)絡(luò)的路由震蕩。類似的情形還有利用路由交換機安全漏洞對交換機CPU等資源發(fā)起的DoS攻擊。在2003年第５期報紙上，我們曾集中介紹了路由器的安全問題，在這期報紙上我們將集中介紹交換機的安全問題。

交換機需要加強安全性

以太網(wǎng)路由交換機實際是一個為轉(zhuǎn)發(fā)數(shù)據(jù)包優(yōu)化的計算機。而是計算機就有被攻擊的可能，比如非法獲取路由交換機的控制權(quán)，導(dǎo)致網(wǎng)絡(luò)癱瘓，另一方面也會受到DoS攻擊，比如前面提到的幾種蠕蟲病毒。它們都利用了路由交換機的一些漏洞。一般交換機可以作生成權(quán)維護、路由協(xié)議維護、ARP、建路由表，維護路由協(xié)議，對ICＭP報文進行處理，監(jiān)控交換機，這些都有可能成為黑客攻擊交換機的手段。

蠕蟲病毒的攻擊，使網(wǎng)絡(luò)設(shè)備廠商和用戶都開始注重路由交換機的安全性。對于交換機安全性的理解，近48%的用戶認為交換機的安全性是指交換機本身具有抗攻擊性和安全性，31%的用戶認為是指路由交換機攜帶了安全模塊，21%的用戶認為兩者兼?zhèn)?。絕大數(shù)網(wǎng)絡(luò)設(shè)備廠商認為路由交換機的安全性需經(jīng)過特殊設(shè)計、提高了抗攻擊能力，同時具有一定的安全功能。