IP網(wǎng)絡(luò)承載業(yè)務(wù)分析

目前國內(nèi)通信業(yè)的焦點(diǎn)仍有很多，比如TD-SCDMA和WCDMA之爭，手機(jī)電視以及各種3G增值業(yè)務(wù)之爭，牌照之爭，共享資源減少重復(fù)投資之爭，諸如此類。但至少有一點(diǎn)，在各大運(yùn)營商廠商以及研究院學(xué)者之間已經(jīng)達(dá)成了共識：

那就是今后的所有業(yè)務(wù)都將使用IP網(wǎng)絡(luò)來承載。實(shí)現(xiàn)真正的AllOverIP。并且隨著3G，IPTV等業(yè)務(wù)離我們的生活越來越近，全I(xiàn)P網(wǎng)絡(luò)的融合也離我們越來越近。全I(xiàn)P承載網(wǎng)絡(luò)給我們帶來了標(biāo)準(zhǔn)化，高帶寬，資源共享，網(wǎng)絡(luò)共享等優(yōu)點(diǎn)的同時(shí)，也給我們帶來了新的思考和挑戰(zhàn)。

最大的挑戰(zhàn)無非來自于兩個(gè)方面。IP的服務(wù)質(zhì)量以及IP的網(wǎng)絡(luò)安全。毫無疑問，傳統(tǒng)的專網(wǎng)專用的通信網(wǎng)絡(luò)可以提供給用戶穩(wěn)定性更好更安全的業(yè)務(wù)，帶給了用戶更好的網(wǎng)絡(luò)體驗(yàn)。使用IP網(wǎng)絡(luò)來承載上層應(yīng)用確實(shí)帶給了我們很多不確定性。

延遲，丟包，抖動(dòng)，不穩(wěn)定性都會(huì)給運(yùn)營商的服務(wù)質(zhì)量帶來很大沖擊。同時(shí)，針對IP網(wǎng)絡(luò)的安全攻擊事件也層出不窮。但從總的趨勢來看，全I(xiàn)P承載是大勢所趨，利遠(yuǎn)大于弊。因此我們需要花更多的時(shí)間來關(guān)注服務(wù)質(zhì)量以及IP的網(wǎng)絡(luò)安全。本文則主要側(cè)重于IP網(wǎng)絡(luò)安全，從多個(gè)方面進(jìn)行探討。

說起網(wǎng)絡(luò)安全，首先自然要說起網(wǎng)絡(luò)攻擊。如果沒有網(wǎng)絡(luò)攻擊，自然天下太平。而分析起網(wǎng)絡(luò)攻擊，自然離不開對黑客的討論。那么為什么要發(fā)起網(wǎng)絡(luò)攻擊呢？只有切實(shí)了解了黑客發(fā)起網(wǎng)絡(luò)攻擊的動(dòng)機(jī)才能反黑客。只有消滅了犯罪的根源，也才能杜絕犯罪，維護(hù)社會(huì)穩(wěn)定。

下面我們可以先從技術(shù)的角度對網(wǎng)絡(luò)攻擊行為進(jìn)行一個(gè)分類。按照OSI七層模型來進(jìn)行分類，可以分為針對應(yīng)用層的攻擊，針對傳輸層的攻擊，針對網(wǎng)絡(luò)層的攻擊還有針對數(shù)據(jù)鏈路層的攻擊。

arp欺騙攻擊：ARP協(xié)議用來完成IP地址到MAC地址的轉(zhuǎn)換。ARP協(xié)議對網(wǎng)絡(luò)安全具有重要的意義。通過偽造IP地址和MAC地址實(shí)現(xiàn)ARP欺騙，能夠在網(wǎng)絡(luò)中產(chǎn)生大量的ARP通信量使網(wǎng)絡(luò)阻塞或者實(shí)現(xiàn)“maninthemiddle”進(jìn)行ARP重定向和嗅探攻擊。

目前網(wǎng)絡(luò)上有很多種工具可以完成此類攻擊，如網(wǎng)絡(luò)執(zhí)法官等。針對此類攻擊也有很多種防范措施，比如MAC地址靜態(tài)綁定，arp智能檢測等。

Mac地址泛洪

交換機(jī)主動(dòng)學(xué)習(xí)客戶端的MAC地址，并建立和維護(hù)端口和MAC地址的對應(yīng)表以此建立交換路徑，這個(gè)表就是通常我們所說的MAC地址表。MAC地址表的大小是固定的，不同的交換機(jī)的MAC地址表大小不同。

Mac地址泛洪攻擊是指利用工具產(chǎn)生欺騙MAC，快速填滿MAC地址表，交換機(jī)MAC地址表被填滿后，交換機(jī)以廣播方式處理通過交換機(jī)的報(bào)文，這時(shí)攻擊者可以利用各種嗅探攻擊獲取網(wǎng)絡(luò)信息。MAC地址表滿了后，流量以泛洪方式發(fā)送到所有接口，也就代表TRUNK接口上的流量也會(huì)發(fā)給所有接口和鄰接交換機(jī)，會(huì)造成交換機(jī)負(fù)載過大，網(wǎng)絡(luò)緩慢和丟包甚至癱瘓。

目前主流廠家的中低端交換MAC地址表容量在8K左右，而使用Dsniff工具可以輕松地在1分鐘內(nèi)產(chǎn)生15萬左右MAC地址沖擊我們的局域網(wǎng)。而針對這種類型的攻擊防護(hù)可以在交換機(jī)啟動(dòng)最大MAC地址限制，端口安全等策略。

IP網(wǎng)絡(luò)在應(yīng)用過程中給我們帶來很大的方便，但是，在應(yīng)用的同時(shí)我們還應(yīng)該充分考慮其安全問題，這樣才能保證我們的網(wǎng)絡(luò)平穩(wěn)安心的運(yùn)行。

【編輯推薦】

1. 安全3.3的三大必要條件
2. 淺析黑客技術(shù)和網(wǎng)絡(luò)安全
3. 別讓惡意軟件妨礙我們的生活
4. 大多數(shù)企業(yè)忽視“網(wǎng)絡(luò)間諜”的威脅
5. IT人員的困繞：互聯(lián)網(wǎng)早期的病毒傳播