如何攻击交换机ddos攻击交换机

如题所述

交换机构造及原理？

交换机的基本组成

1、交换机的外部构造：

前面板上的多个RJ45接口是以太网口，用来连接计算机或其他交换机。

后面板或前面板上的串口是交换机的配置口，用串口线缆将其与计算机的串口连接起来，可实现对交换机的配置操作。也有的交换机的配置口位于前面板上。

面板上有若干指示灯，其亮、灭或闪烁可以反映交换机的工作状态是否正常。

此外还有电源插口、电源开关等。

可上机架（柜）式交换机的标准长度为48.26cm（19in）。

2、交换机的内部构造：

交换机的内部组成为：

CPU（中央处理器）：交换机使用特殊用途集成电路芯片ASIC，以实现高速的数据传输。

RAM/DRAM：主存储器，存储运行配置。

NVRAM（非易失性RAM）：存储备份配置文件等。

FlashROM（快闪存储器）：存储系统软件映像文件等。是可擦可编程的ROM。

ROM：存储开机诊断程序、引导程序和操作系统软件。

接口电路：交换机各端口的内部电路。

交换机的工作原理

交换机工作于OSI参考模型的第二层，即数据链路层。交换机内部的CPU会在每个端口成功连接时，通过将MAC地址和端口对应，形成一张MAC表。在今后的通讯中，发往该MAC地址的数据包将仅送往其对应的端口，而不是所有的端口。因此，交换机可用于划分数据链路层广播，即冲突域；但它不能划分网络层广播，即广播域。

交换机拥有一条很高带宽的背部总线和内部交换矩阵。交换机的所有的端口都挂接在这条背部总线上，控制电路收到数据包以后，处理端口会查找内存中的地址对照表以确定目的MAC（网卡的硬件地址）的NIC（网卡）挂接在哪个端口上，通过内部交换矩阵迅速将数据包传送到目的端口，目的MAC若不存在，广播到所有的端口，接收端口回应后交换机会“学习”新的MAC地址，并把它添加入内部MAC地址表中。使用交换机也可以把网络“分段”，通过对照IP地址表，交换机只允许必要的网络流量通过交换机。通过交换机的过滤和转发，可以有效的减少冲突域。

ctc路由交换机配置？

本交换机特性如下：

1.基于高性能芯片实现QoS能力，基于端口设定优先级，也可以针对不同协议制定优先级(IEEE802.1p)，采用灵活队列分级调度技术和拥塞管理，具有低延迟、低抖动特性、确保重要业务不受延迟或丢弃，同时保证网络的高效运行。

2.支持虚拟局域网(VLAN，IEEE802.1Q)，最多支持4096个VLAN，有效降低搬迁、增加和改变网络节点的管理负担，以及将网络广播业务流限制在VLAN内，控制流量和抑制广播风暴的产生。

3.支持生成树(STP)协议，与其它路由器协同工作并防止网络中循环的出现。

4.支持以太网OAM功能，可以简化网络操作，检验网络性能和降低网络运行的成本，完成日常网络和业务的分析、预测、规划和配置工作。

5.支持网络管理SNMPv1/v2/v3及RMON，通过集中的网管软件提供全面的带内管理，可通过Console或Telnet提供方便易用的命令行配置界面。配置文件可通过TFTP程序进行上传和下载，极大地方便用户的使用。可通过WEB方式进行管理，降低对维护人员的要求，简化了网络管理的工作量。

6.同时支持IPv4/IPv6、多种隧道和多播协议，保证各种业务的灵活部署，为用户节约成本。

2、系统硬件实现

2.1Humber交换系统

Humber交换系统是本交换机的核心电路。该电路由Humber交换模块、GE物理层模块和接口电路组成。主要完成以太网数据帧的全线速第二层(L2)交换(桥接)、第三层(L3)IPv4/6单播和组播路由、地址学习和老化、虚拟局域网(VLAN)、生成树、虚拟路由冗余协议(VRRP)、QoS等功能。

2.1.1Humber交换模块

Humber交换模块主要是由CTC6048交换芯片实现，该芯片是一款低成本高集成高性能包处理芯片，其工作频率达到575MHz;数据位宽达到256bits，提供更高的带宽处理能力;具有完整的IPv4/IPv6协议栈，并支持多种IPv4/IPv6隧道和IVI等地址转换技术;丰富的MPLS特性;基于硬件的OAM机制，包括IEEE802.1ag和ITU-TY.1731;支持基于G.8031/G.8032标准的快速保护切换(APS)，切换时间小于50ms;在服务质量方面，支持可配置的QoS;内置IEEE1588v2和同步以太网功能;内部集成TCAM和SRAM，具备L2/L3/MPLS/Metro特性，满足更低成本应用的要求;提供48个具备全线速交换的串行千兆比特媒体无关接口(SGMII)，也可以配置成4个10GE接口，可在-45℃～+85℃宽温范围内稳定工作。芯片功能框图如图2所示。

交换机有ip地址过滤功能吗？

这个得看交换机的类型，普通交换机可分为网管型和非网管型两种，如果是网管型的交换机就有IP，如果要对网管型交换机进行配置的话就需要使用它的IP地址登入到该网管型交换机中。如果是非网管型的交换机就没有IP，属于那种插上去就能可以使用的傻瓜型交换机。

（1）网管型交换机的功能和优点

1、背板带宽大，数据转发速度更快。

2、组网灵活，应用大中型网络的接入层。

3、提供的端口灵活，根据网络的应用选择不同的接口形式如：SFP、GE、快速以太口、以太口等。

4、支持vlan的划分，用户可以针对不同的应用进行区域划分，有效的对网络进行控制和管理。进步抑制广播风暴。

5、可网管交换机的数据吞吐量（Throughput）大、包丢失率（PacketLoss）小、延迟（Latency）低。

6、可以基于源、目的、网段进行数据信息流的控制。

7、链路聚合可以让交换机和交换机以及交换机和服务器之间通过多个以太网端口绑定在一起，实现负载均衡,

8、具有ARP的防护功能，进步减少网络的ARP欺骗

9、具有MAC地址的绑定。

10、端口镜像功能可以将一个端口的流量和状态复制到交换机的另一个端口，用于监管

11、支持DHCP的功能。

12、访问控制列表它可以对IP数据包进行控制，比如限制它的流量、出入以及提供QoS等等

13、具有较好的安全性能：交换机都可以进行MAC地址的过滤、MAC地址锁定，并可以构建静态的MAC转发表。

14、能够支持IEEE802.1Q和基于端口技术的VLAN。而IEEE802.1QVLAN中涉及的GVRP（GARP，VLAN注册协议）和GMRP（GARP组播注册协议）也被广泛地支持。

15、具有SNMP功能，更能对网络实现很好的管理和控制。

16、易于扩展，灵活应用，可以通过网络管理软件进行管理，也可以通过其本身的访问控制对其进行远程访问。增加网络的安全性和可控制性。

（2）网管交换机的缺点

1、比非网管交换机稍贵。

2、与非网管交换机比操作复杂，需要配置。

（3）非网管交换机优点：

1、价格便宜，节省开支。

2、端口数量密集。

3、用户使用灵活。

(4)非网管交换机的缺点：

1、非网管交换机功能有限，适合家用或者小型网络中。

2、不支持ARP防护。

arp攻击不是病毒因而几乎所有的杀毒软件对之都无可奈何；但它却胜似病毒—因为它轻可造成通信变慢、网络瘫痪，重会造成信息的泄密。

3、不支持mac地址的绑定

4、不支持vlan的划分

在非网管的交换机上连接的终端用户处于同一广播域中，会爆发广播风暴，不能对其进行防护和抑制。使整个网络出现拥塞、阻断、泛洪，导致整个网络瘫痪。

5、不支持基于流量的控制

6、数据传输的可靠性差，出现丢包现象严重。

7、组装单一，不能应用在大中型网络中，对网络升级、扩展存在大的局限。

8、管理不便，硬件故障率比较大。

什么是DDOS攻击？它的原理是什么？它的目的是什么？越详细越好！谢谢？

网站最头痛的就是被攻击，常见的服务器攻击方式主要有这几种：端口渗透、端口渗透、密码破解、DDOS攻击。其中，DDOS是目前最强大，也是最难防御的攻击方式之一。

那什么是DDOS攻击呢？

攻击者向服务器伪造大量合法的请求，占用大量网络带宽，致使网站瘫痪，无法访问。其特点是，防御的成本远比攻击的成本高，一个黑客可以轻松发起10G、100G的攻击，而要防御10G、100G的成本却是十分高昂。

DDOS攻击最初人们称之为DOS（DenialofService）攻击，它的攻击原理是：你有一台服务器，我有一台个人电脑，我就用我的个人电脑向你的服务器发送大量的垃圾信息，拥堵你的网络，并加大你处理数据的负担，降低服务器CPU和内存的工作效率。

不过，随着科技的进步，类似DOS这样一对一的攻击很容易防御，于是DDOS—分布式拒绝服务攻击诞生了。其原理和DOS相同，不同之处在于DDOS攻击是多对一进行攻击，甚至达到数万台个人电脑在同一时间用DOS攻击的方式攻击一台服务器，最终导致被攻击的服务器瘫痪。

DDOS常见三种攻击方式

SYN/ACKFlood攻击：最为经典、有效的DDOS攻击方式，可通杀各种系统的网络服务。主要是通过向受害主机发送大量伪造源IP和源端口的SYN或ACK包，导致主机的缓存资源被耗尽或忙于发送回应包而造成拒绝服务，由于源都是伪造的故追踪起来比较困难，缺点是实施起来有一定难度，需要高带宽的僵尸主机支持。

TCP全连接攻击：这种攻击是为了绕过常规防火墙的检查而设计的，一般情况下，常规防火墙大多具备过滤TearDrop、Land等DOS攻击的能力，但对于正常的TCP连接是放过的，殊不知很多网络服务程序（如：IIS、Apache等Web服务器）能接受的TCP连接数是有限的，一旦有大量的TCP连接，即便是正常的，也会导致网站访问非常缓慢甚至无法访问，TCP全连接攻击就是通过许多僵尸主机不断地与受害服务器建立大量的TCP连接，直到服务器的内存等资源被耗尽而被拖跨，从而造成拒绝服务，这种攻击的特点是可绕过一般防火墙的防护而达到攻击目的，缺点是需要找很多僵尸主机，并且由于僵尸主机的IP是暴露的，因此此种DDOS攻击方式容易被追踪。

刷Script脚本攻击：这种攻击主要是针对存在ASP、JSP、PHP、CGI等脚本程序，并调用MSSQLServer、MySQLServer、Oracle等数据库的网站系统而设计的，特征是和服务器建立正常的TCP连接，并不断的向脚本程序提交查询、列表等大量耗费数据库资源的调用，典型的以小博大的攻击方法。

如何防御DDOS攻击？

总体来说，可以从硬件、单个主机、整个服务器系统三方面入手。

一、硬件

1.增加带宽

带宽直接决定了承受攻击的能力，增加带宽硬防护是理论最优解，只要带宽大于攻击流量就不怕了，但成本非常高。

2、提升硬件配置

在有网络带宽保证的前提下，尽量提升CPU、内存、硬盘、网卡、路由器、交换机等硬件设施的配置，选用知名度高、口碑好的产品。

3、硬件防火墙

将服务器放到具有DDoS硬件防火墙的机房。专业级防火墙通常具有对异常流量的清洗过滤功能，可对抗SYN/ACK攻击、TCP全连接攻击、刷脚本攻击等等流量型DDoS攻击

二、单个主机

1、及时修复系统漏洞，升级安全补丁。

2、关闭不必要的服务和端口，减少不必要的系统加载项及自启动项，尽可能减少服务器中执行较少的进程，更改工作模式

3、iptables

4、严格控制账户权限，禁止root登录，密码登录，修改常用服务的默认端口

三、整个服务器系统

1.负载均衡

使用负载均衡将请求被均衡分配到各个服务器上，减少单个服务器的负担。

2、CDN

CDN是构建在网络之上的内容分发网络，依靠部署在各地的边缘服务器，通过中心平台的分发、调度等功能模块，使用户就近获取所需内容，降低网络拥塞，提高用户访问响应速度和命中率，因此CDN加速也用到了负载均衡技术。相比高防硬件防火墙不可能扛下无限流量的限制，CDN则更加理智，多节点分担渗透流量，目前大部分的CDN节点都有200G的流量防护功能，再加上硬防的防护，可以说能应付目绝大多数的DDoS攻击了。

3.分布式集群防御

分布式集群防御的特点是在每个节点服务器配置多个IP地址，并且每个节点能承受不低于10G的DDoS攻击，如一个节点受攻击无法提供服务，系统将会根据优先级设置自动切换另一个节点，并将攻击者的数据包全部返回发送点，使攻击源成为瘫痪状态。

网管交换机的作用？

1.网络管理功能

在当今的交换机领域，大多数的交换机都具有网管功能，何为网管呢?网管即是对于网络的管理，基于网管功能，管理员可以对连接在该网络交换机上的设备和应用的用户进行必要的检测和控制。网络管理可以分为两类，一是对网络设备进行管理，调节控制整个网络的运行状态。二是对于用户的检测和控制，比如控制用户的管理权限，控制流量速度，网络带宽等。

2.安全防范功能

大型的网管交换机一般都具有十分强大的防御能力，能够有效防止和抵御各种恶意的攻击和入侵，保障用户的信息安全。

3.数据吞吐量大

相比较于家用的非网管型交换机，大型的网管交换机的体积更大，性能更强，同等条件下对于数据的吞吐能力更强，防止数据拥堵，提高网络速度。

4.支持多重网络控制方式

网管型交换机能够实现多种网络控制方式，如流量控制、优先级、VLAN和ACL等。

在有大量用户的情况下，使用网管型交换机无疑是一个很好的选择，一台好的交换机对于用户的体验影响是很大的，如果交换机性能太差，那么整个网络的用户的网速都会被拖慢，如果交换机的可靠性太差，一旦出现问题，那么整个网络的用户都无法上网，用户无疑会十分不满。所以在采购的时候朋友们一定要精挑细选，多方比较。尽量挑选名牌产品