网络设备的工作原理与安全威胁
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
1.网络设备的工作工作原理与安全威胁
1.1.集线器的工作原理与安全威胁
集线器又称HUB,是一种用于组建物理结构、形状为星型的网络设备。它具备中继器的信号放大功能,所以它有延长物理线路距离的特性。但是集线器在放大正常信号的同时也放大了噪声信号,噪声信号是网络上的干扰信号,它将对正常的网络通信造成影响。集线器的端口比中继器密集,所以在某种情况下人们把集线器叫做“多端口的中继器”。集线器转发数据的原理如图1.1所示:当主机A要给主机D发送数据时,主机A会把数据广播到除原端口以外的所有端口上。此时主机B解开广播包,看到目标的IP地址不是B主机NIC(网卡)上的IP地址,所以将数据帧丢弃。C主机解开广播包,看到目标的IP不是C主机的NIC上的IP 地址,也将数据帧丢弃。D主机解开广播包,看到目标的IP是D主机NIC上的IP地址,它会将数据帧从NIC复制到内存中,然后内存在将其交给CPU处理。
集线器的特性:集线器是一个半双工冲突设备。如图所示:集线器所有端口连接的主机全部处于一个冲突域内,不能有多个主机同时发送数据。集线器不能隔离广播,如图所示1.2:
所以不能将集线器连接成环状,否则广播会在环路上一直循环,直到TTL值被减为0。集线器属于共享带宽式设备。如果集线器的总体带宽是10MB,共有4个端口,那么每个端口的理论带宽是2.5MB。集线器的安全性很差,因为集线器的数据发送是利用广播数据报文到所有端口的,而且这个广播是带上真实的负荷(用户数据)的广播,容易被他人监听。所以安全性得不到保障。如图所示1.3
注意:集线器安全威胁的重要提示:只要在集线器的任意端口接入协议分析器或安装了协议分析软件的计算机都可以成功的监听集线器上其他端口的流入和流出的数据。当然这些数据中也包括比较重要和敏感的机密信息,如密码、账号等。
1.1.1.演示集线器的入侵与防御
演示目标:分析集线器的工作过程造成数据泄密事件
演示环境:如下图所示:
背景说明:通过该演示过程证明集线器的工作原理是将数据包广播到设备的每一个端口上(除发送端口)外,如果远程管理主机(192.168.2.4)telnet思科路由器192.168.2.5,那么192.168.2.6的协议分析器应该能够成功的捕获到telnet的密码
防御方案:由于集线器的安全威胁是设备工作原理上的天生缺陷,无法避免。所以没有更有效的防御措施,唯一的办法是选用智能的设备,可以用二层交换机去替代集线器。
1.2.网桥、二层交换机的工作原理与安全威胁
学习网桥工作原理之前必须先理解的一个重要的网络理论:“星型结构的网络“。虽然前面提到集线器组织的是一个”星型结构的网络“,但是这个所谓的”星型网络“实际上只是一个物理连接环境的星型,并不是访问介质协议(以太网的访问介质协议CSMA/CD)上的星型。从访问介质的逻辑角度理解:所有利用集线器组织的网络都应该是冲突型的网络。如下图所示:
1.理解冲突域(碰撞域)
冲突域是一种基于以太制式算法产生的问题。只要是以太网,不管是10mb/s、100mb/s、1000mb/s,甚至是万兆以太网都会有冲突的存在。那是因为只要是以太网都必须遵循CSMA/CD(载波侦听协议)。它是以太网的访问介质协议,载波侦听协议的工作原理如图1.7所示:如果A,B,C,D这四个主机都处于一个冲突域内,且都连接在一个集线器上,如果B主机要给C主机发送数据,那么B主机会在正式发送数据之前向网络中发送一个载波侦听信号,查看网络总线是否繁忙。如果繁忙,如A主机正在给D主机发送数据,B主机就不能发送数据给C主机,否则就会产生一个冲突。因此得出一个结论:以太网上的多个主机在一个冲突域内,同一时刻只能有一个主机向另一个主机发送数据,如果违反了该原则就会有冲突产生。
注意:使用过集线器后会发现,在集线器上连接4个主机后,在同一时间内所有计算机都可以互相复制文件,并没有等待某个主机将文件传递完成后,另外的主机在传递数据,视觉上多台连接到一台集线器的主机是同时发送数据,所以会质疑对CSMA/CD的定义。
事实上这是因为人类的视觉器官对真相的理解永远是有限的,在”同一时间“只有一台主机向另外一台主机发送数据。如图1.8所示,当主机A发送数据给主机C时,如果该数据报文很大,发送的延时就会很大,占用以太总线的时间就很长。而其他的主机比如:主机B与主机D等待发送的时间就会很长,如果主机A要利用10分钟来完成与主机C 的数据传递,那么主机B与主机D之间发送数据之前需要等待10分钟才能进行,这显然是一种不科学的方法。所以OSI传输层将主机A发送给主机C的较大的数据报文分割成若干个小块的数据报文进行发送。主机B给主机D发送数据时也使用相同的方式。所以真实的情况是:主机A发送一小块数据报文,主机B再发送一小块报文,然后如此交替进行。而这一小块数据报文发送延时是基于微秒级别进行计算的。所以人们的视觉感觉是主机A与主机B同时进行发送。但事实上在同一时刻只有一个主机发送数据报文。
现在开始介绍网桥:网桥工作在OSI的第二层,能够划分或减少冲突域,性能比集线器良好;能够基于Mac地址进行数据链路层选路;能够基于自学习构建Mac地址表;不能隔离广播,所以不能让网桥形成环路。网桥的工作原理如图1.9所示:如果主机A发送数据给主机D,当数据从网桥的1号接口进入时,网桥不会像集线器那样将数据广播到所有接口上。因为在网桥内部有一张MAC表,该表记录着网桥物理接口所连接的主机MAC地址。当数据进入网桥时,网桥通过查询Mac地址表得知主机D对应的物理接口是4号接口,所以网桥就将数据直接转发到4号接口,而不再需要将数据广播到所有接口。此时网桥的2和3号接口就没有受到冲突的影响,所以主机A在发送数据给主机D 时,主机B可以同时发送数据给主机C。这样得出一个结论:网桥将冲突域划分得更小,转发性能比集线器更高,可以形象的理解成网桥的每个接口是一个冲突域,而集线器的所有接口在一个冲突域。集线器与网桥的性能对照如图2.10所示: