首页 新闻中心 技术资讯
技术资讯

工业交换机存在的优势和安全隐患?

时间:2018-08-03 来源:本站

 工业交换机应用于工业控制领域的以太网交换机设备,因而它的适应能力很强,那么工业交换机自身有什么优势和它存在什么样的安全隐患呢?


一、工业交换机的优势;  

1. 超强抗干扰性

工业交换机具有很强的抗干扰功用,比如在防雷、防水、防腐蚀、防静电等方面都有较高的防护等级,但是商业交换机则不具有这些功能。

2. 采用工业级元器件

工业交换机对产品的元件要求很高,经得起恶劣环境的考验,因此能比较好地适应工业环境。

3. 使用寿命长

工业交换机从外壳到元器件都采用工业级方案,因此产品的可靠性更高,使用失效更长,一般能超过10年,普通商用交换机的使用寿命大致为3-5年。

4. 宽温工作

工业交换机一般采用金属外壳,散热更好,防护性更强,基本能满足-45~+75℃的温度范围内可以正常工作,能够适应复杂的温度和湿度,但是商用交换机的工作范围相对而言较为狭窄。

5. 快速冗余

工业交换机一般具有快速环网、冗余的功能,冗余时间小于20ms。虽然商用产品也可以组成冗余网络,但治愈时间达10-30s以上,时间太久,工业环境不适用。

二、工业交换机存在的安全隐患?

(1)广播风暴攻击

当交换机接收到大流量的广播数据、组播数据或者目的MAC地址为胡乱构造的单播数据时,将以广播的方式进行转发,如果交换机不支持对洪泛数据的流量控制,那么网络的带宽可能就会被这些垃圾数据充满,从而网络中的其它用户无法正常上网。所以,交换机需要支持对从每个端口收到的洪泛数据进行速率限制。

(2)数据对网络进行攻击

当恶意用户向路由器发送非常大流量的数据,这些数据通过交换机发送给路由器的同时、也占用了该上联接口的大部分带宽,那么其它用户上网也将赶到非常的缓慢。所以,交换机需限制每个端口进行入方向的速率,不然恶意用户就可攻击他所在的网络、从而影响该网络内所有的其它用户。

(3)海量MAC地址攻击

因为交换机在转发数据时以MAC地址作为索引,如果数据报的目的MAC地址未知时,将在网络中以洪泛的方式转发。所以,恶意用户可以向网络内发送大量的垃圾数据,这些数据的源MAC地址不停改变,因为交换机需要不停的进行MAC地址学习、并且交换机的MAC表容量是有限的,当交换机的MAC表被充满时,原有的MAC地址就会被新学习到的MAC地址覆盖。这样,当交换机接收到路由器发送给正常客户的数据时,由于找不到该客户MAC的记录,从而就将以洪泛的方式在网络内转发,这样就大大降低了网络的转发性能。因此,交换机需要能够限制每个端口能够学习MAC地址的数量,不然整个网络就将退化为一个类似于HUB构成的网络。

(4)MAC欺骗攻击

恶意用户为攻击网络使之瘫痪,还可将自己的MAC地址改为路由器的MAC地址,然后不停地发送给交换机,这样,交换机就会更新MAC-X的记录,认为MAC-X位于与该恶意用户连接的端口上,此时,当其他用户有数据发送给路由器时,交换机将把这些数据发送给该恶意用户,这样发送正常数据的用户就不能正常上网了。

因此,交换机应具备MAC与端口的绑定功能,否则恶意用户可简单地让网络陷入崩溃;或交换机需绑定每个端口允许进入网络的数据的源MAC地址,这样恶意用户就不能通过MAC欺骗来攻击网络。

(5)ARP欺骗攻击

恶意用户可以进行ARP欺骗攻击,即不管接收到对哪个IP地址发出的ARP请求,都立即发送ARP应答,这样其它用户发送的数据也都将发送到恶意用户的这个MAC地址,这些用户自然不能正常上网。

因此,交换机应该实现端口与IP地址的绑定功能,即若收到的ARP请求、ARP应答、口数据与绑定的IP不同,即可将这些数据丢弃掉,否则会让网络陷入瘫痪。


返回上级>
分享至:
微信公众号 微信公众号
业务咨询微信 业务咨询微信

400-700-5088

深圳品牌网站建设:创同盟