8.2 路由式数据面攻击类型
CCNP安全Secure 642-637认证考试指南
基础知识点
8.2 路由式数据面攻击类型
在网络安全中,知己知彼非常重要。只有深入了解攻击的原理,才能降低攻击造成的危害。路由式基础设施是网络的重要组成部分,因此也极易遭到攻击。接下来,我们将讨论3种最常见的路由式数据面攻击,它们是:
IP欺骗(IP spoofing);
慢通道拒绝服务(slow-path denial of service);
流量泛洪(traffic flooding)。
8.2.1 IP欺骗
前面的章节曾经介绍过IP欺骗,我们在此做一简单回顾。在IP欺骗中,攻击者冒用可信主机或网络的IP地址收发流量,进而访问只对该地址开放的网络资源。IP欺骗严重威胁交换式网络与路由式网络的安全,必须采用相应的防御手段才能降低这种攻击造成的危害。攻击者主要利用以下3种方式实施IP欺骗:
向网络注入包含某已知主机IP地址的数据包;
通过源路由选择冒用某可信主机的身份;
向网络注入大量不存在的主机IP地址,以发动拒绝服务攻击。
8.2.2 慢通道拒绝服务
普通拒绝服务攻击的原理可以简述如下:一台或一组主机在短时间内向目标网络发送大量流量,以达到瘫痪网络服务的目的。这种拒绝服务攻击相对而言较易实施,因此目前已广为人知。进程交换(process switching)的速度相对较慢,它是数据转发的瓶颈。如果持续以进程交换的方式处理大量数据包,设备最终将不堪重负。这就是慢通道拒绝服务攻击的原理。设备的CPU具备以下3种功能:
处理控制面流量;
处理管理面流量;
处理慢通道数据面流量。
这一章将讨论如何抵御慢通道数据面攻击。
8.2.3 流量泛洪
这种攻击向目标主机发送海量数据包,导致目标主机因不堪重负而崩溃。部署本章介绍的安全措施有助于减少流量泛洪对数据面、控制面和管理面的威胁。