交换设备漏洞发现与防范

任务2　交换设备漏洞发现与防范

任务介绍

2009年IDC报告显示，交换机市场近年来一直保持较高增长势头。交换机在企业网中占有重要地位，是整个网络的核心所在，这一地位使它成为黑客入侵和病毒肆虐的重点对象。为保障自身网络安全，企业必须对局域网上的交换机漏洞进行全面了解。通过案例的学习，使学生了解交换机漏洞的攻击手段，增强安全防范意识。

任务分析

在《网络世界》网站www.cnw.com.cn上，围绕交换机的安全问题进行的用户调查统计与分析显示：70%的用户曾遭受过Slammer、“冲击波”等蠕虫病毒的袭击，这些蠕虫病毒攻击的直接目标通常是PC机和服务器，攻击均通过网络进行。当这些蠕虫病毒大规模爆发时，交换机、路由器会首先受到牵连。抽样分析表明：近50%的用户反映Slammer、“冲击波”等蠕虫病毒冲击了交换机，36%用户的路由器受到冲击。用户只有通过重启交换路由设备、重新配置访问控制列表才能消除蠕虫病毒对网络设备造成的影响。

思科公司是全球领先的互联网解决方案供应商，思科Catalyst 6500产品是模块化安全产品，思科将安全模块集成在交换机中，企业可根据需求采用不同的安全措施和预防技术。Catalyst 6500系列交换机集成了IPSec VPN、防火墙、入侵检测以及多层LAN、WAN和MAN交换功能。针对Catalyst 6500系列，思科还设计了思科安全套接层（SSL）模块，提高Web应用的性能和安全性，提供安全联网。而若将SSL与思科内容交换模块（CSM）集成在一起，将能加速流量，同时从Web服务器卸载资源，提供安全的服务器负载均衡解决方案。

2010年8月，国家互联网应急中心发布安全公告，Cisco防火墙服务模块、自适应安全设备和无线控制系统均出现安全漏洞，攻击者利用漏洞可进行拒绝服务攻击，并以应用程序权限执行特定代码。目前 Cisco 已发布更新程序修复上述安全漏洞，建议相关用户尽快下载更新。国内思科Cisco Catalyst 6000、6500、7600系列交换机NAM 网络分析模块漏洞，国家计算机网络应急技术处理协调中心评估为中度危机。据介绍，安装有网络分析模块的思科6000、6500、7600系列交换机，存在可导致攻击的漏洞，漏洞可能允许攻击者获得该系统的完全控制权。

任务实施

网络安全不再单纯依赖单一设备和单一技术实现已成为业界共识。交换机作为网络骨干设备，也肩负着构筑网络安全防线的重任。

以太网交换机实际是一个为转发数据包优化的计算机。凡计算机均有被攻击的可能，比如交换机被非法控制，导致网络瘫痪；也会受到拒绝服务攻击，如交换机蠕虫病毒均属利用交换机的一些漏洞。一般交换机可作生成树维护、路由协议维护、ARP，建路由表，维护路由协议，对ICMP报文进行处理，监控交换机，都有可能成为黑客攻击交换机的手段。

多数用户认为交换机的安全性是指交换机本身具有抗攻击性和安全性，少数认为是指交换机携带安全模块，绝大多数网络设备厂商则认为交换机的安全性需经过特殊设计，提高其抗攻击能力，并具有一定的安全功能。

传统交换机主要用于数据包的快速转发，强调转发性能。随着局域网的广泛互联，加上TCP/IP协议本身的开放性，网络安全成为一个突出问题。当网络中的敏感数据、机密信息被泄露、重要数据设备被攻击时，作为网络环境重要转发设备的交换机，其原来的安全特性已无法满足现在的安全需求——传统的交换机必须增加安全性。

网络设备厂商认为安全性加强的交换机是对普通交换机的升级和完善，除具备一般的功能外，还应具备普通交换机没有的安全策略功能。这种交换机从网络安全和用户业务应用出发，能实现特定的安全策略，预防病毒和网络攻击，限制非法访问，进行事后分析，有效保障用户网络业务的正常开展。实现安全性的一种作法是在现有交换机中嵌入各种安全模块。不同用户有不同需求，有的用户希望交换机中增加防火墙、VPN、数据加密、身份认证等功能，有的用户表示需要直接使用安全设备，还有的用户表示两种方式都需要。

安全性加强的交换机本身具有抗攻击性，比普通交换机具有更高的智能性和安全保护功能。在系统安全方面，交换机在网络由核心到边缘的整体架构中实现了安全机制，即通过特定技术对网络管理信息进行加密、控制；在接入安全性方面，采用安全接入机制，包括802.1x接入验证、RADIUS/TACACST、MAC地址检验以及各种类型虚拟网技术等。不仅如此，许多交换机还增加了硬件形式的安全模块，一些具有内网安全功能的交换机则更好地遏制了伴随WLAN应用而泛滥的内网安全隐患。

从以下几个方面学习交换机的安全问题：

一、蠕虫病毒攻击网络设备

蠕虫病毒发作导致网络吞吐效率下降、变慢。如网络存在瓶颈，就会导致网络停顿甚至瘫痪。这些瓶颈可能是线路带宽，也可能是路由器、交换机的处理能力或者内存资源。需要指出的是，网络中的路由器、交换机已达到或接近线速，内网带宽往往不收敛，在此情况下，病毒攻击产生的流量对局域网内部带宽不会造成致命堵塞，但位于网络出口位置的路由器和位于网络核心位置的三层交换机却要吞吐绝大多数的流量，首当其冲地受到蠕虫病毒的攻击。接入层交换机通常需要与用户终端直接连接，一旦用户终端感染蠕虫病毒，病毒发作就会严重消耗带宽和交换机资源，造成网络瘫痪，这一现象早已屡见不鲜。

（1） 蠕虫病毒对网络设备的冲击形式主要有两种：一是，堵塞带宽，导致服务不可用；二是占用CPU资源，导致当机，红色代码、Slammer、冲击波等蠕虫病毒不停地扫描IP地址，在很短时间内就占用大量的带宽资源，造成网络出口堵塞。

（2） 当机的表现有如下几种：一是，普通三层交换机都采用流转发模式，是将第一个数据包发送到CPU处理，根据其目的地址建流，频繁建流会急剧消耗CPU资源，蠕虫病毒最重要的攻击手段就是不停地发送数据流，这对于采用流转发模式的网络设备是致命的；二是，如若网络规划有问题，在Slammer作用下导致大量ARP请求发生，也会耗尽CPU资源；三是，Slammer病毒拥塞三层交换机之间链路带宽，导致路由协议的数据包（如Hello包）丢失，导致整个网络的路由震荡。

类似的情形还有利用交换机安全漏洞对交换机CPU等资源发起的DoS攻击。

二、交换机中常用的安全技术

（1） 流量控制技术。即把流经端口的异常流量限制在一定范围内。许多交换机具有基于端口的流量控制功能，能实现风暴控制、端口保护和端口安全。流量控制功能用于交换机与交换机之间发生拥塞时通知对方暂时停止发送数据包，以免报文丢失。广播风暴抑制可以限制广播流量的大小，对超过设定值的广播流量进行丢弃处理。不过，交换机的流量控制功能只能对经过端口的各类流量进行简单的速率限制，将广播、组播的异常流量限制在一定的范围内，而无法区分哪些是正常流量，哪些是异常流量。同时，如何设定一个合适的阈值也比较困难。

（2） 访问控制列表（ACL）技术。ACL通过对网络资源进行访问输入和输出控制，确保网络设备不被非法访问或被用作攻击跳板。ACL是一张规则表，交换机依顺序执行这些规则，并处理每一个进入端口的数据包。每条规则根据数据包的属性（如源地址、目的地址和协议）要么允许、要么拒绝数据包通过。由于规则是按照一定顺序处理的，故每条规则的相对位置对于确定允许和不允许什么样的数据包通过网络至关重要。

（3） 安全套接层（SSL）。即为所有 HTTP 流量加密，允许访问交换机上基于浏览器的管理GUI。802.1x和RADIUS 网络登录控制基于端口的访问，以进行验证和责任明晰。

（4） 源端口过滤。只允许指定端口进行相互通信。

（5） 数据加密。Secure Shell（SSHv1/SSHv2）加密传输所有的数据，确保IP网络上安全的CLI远程访问。

（6） 安全FTP。实现与交换机之间安全的文件传输，避免不需要的文件下载或未授权的交换机配置文件复制。

有了安全功能并不意味着安全，一些交换机虽具有ACL，但若ASIC支持的ACL少仍旧无效。一般交换机还不能对非法的ARP（源目的MAC为广播地址）进行特殊处理。网络中是否出现路由欺诈、生成树欺诈的攻击、802.1x的DoS攻击、对交换机网络管理系统的DoS攻击等，都是交换机面临的潜在威胁。

三、交换机与IDS联动

传统的IDS系统一直备受争议，原因有四点：一是误报率和漏报率太高；二是没有主动防御能力，只能被动防守；三是缺乏准确的定位和处理机制，只能识别IP地址，无法定位IP地址；四是性能普遍不足，不能适应交换技术和高带宽环境，大流量冲击和多IP分片情况都可能造成IDS瘫痪或丢包，容易遭到DoS攻击。

思科、华为、3Com等网络设备厂商认为，交换机与IDS联动能够克服IDS的不足，实现双赢效果。因为黑客和病毒均依赖网络平台进行攻击，如将IDS作为监控系统，与交换机联动，就能在网络平台上切断黑客和病毒的传播途径，实现意想不到的安全效果。

IDS与交换设备联动是指在运行的过程中，交换机将各种数据流的信息上报给安全设备，IDS根据上报信息和数据流内容进行检测，发现网络安全事件时进行有针对性的操作，并将这些对安全事件反应的动作发送到交换机上，由交换机实现精确的端口断开操作。

实现IDS与交换设备联动，需要交换机能支持认证、端口镜像、强制流分类、进程数控制、端口反查等功能，且具备线速交换特性。目前，思科Catalyst 6500等新一代智能交换机即与IDS实现联动，它具备多重网络标识的绑定和端口反查功能，防止网络欺骗行为，能帮助IDS系统对攻击点进行准确定位。

智能交换机与IDS的联动是非常实际且不会给用户带来额外投资的理想方案。绝大多数用户虽认可这项技术，但在实践中能将交换机与IDS联动起来的用户却是极少数，其原因是网络设备厂商在培训用户综合使用交换机和IDS方面存在明显不足。

四、安全与效率的权衡

安全与效率的确是对此消彼长的矛盾。从技术上讲，传统交换机大都采用软件方式，依靠CPU处理能力提供安全防御功能。众所周知，病毒攻击对交换机性能的影响较大，当网络流量大到一定程度时必然造成交换机瘫痪，网络中断。但对依靠硬件技术实现了安全功能的交换机来说，在负载范围内，其处理能力是全冗余的，不会影响性能。同时因为数据过滤、智能识别攻击源、策略查找等功能也是基于硬件实现，从而保证病毒引起的流量不影响交换机的正常运行。当病毒报文流量大到一定程度，且是未知类型病毒时，可能会对交换机的正常业务造成影响，具有自我保护功能的交换设备则可根据优先级设置，丢弃低优先级的、可能具有攻击性的报文，保证高优先级业务不中断，系统稳定运行。

总之，采用先进体系架构的交换设备能在保障安全的同时保证性能。对于强调效率的用户则最好选择依靠硬件实现安全功能的交换机。

知识拓展

一、交换机的概念与原理

交换（switching）是按照通信两端传输信息的需要，用人工或设备自动完成的方法，把要传输的信息送到符合要求的相应路由上的技术的统称。广义的交换机（switch）就是一种在通信系统中完成信息交换功能的设备。

在计算机网络系统中，交换概念的提出改进了共享工作模式。之前学习过的HUB集线器就是一种共享设备，HUB本身不能识别目的地址，当同一局域网内的A主机给B主机传输数据时，数据包在以HUB为架构的网络以广播方式传输，由每台终端通过验证数据包头的地址信息确定是否接收。也就是说，在此工作方式下，同一时刻网络上只能传输一组数据帧的通信，如发生碰撞还得重试。这种方式就是共享网络带宽。

交换机拥有一条很高带宽的背部总线和内部交换矩阵。交换机的所有的端口都挂接在这条背部总线上，控制电路收到数据包后，处理端口会查找内存中的地址对照表以确定目的MAC（网卡的硬件地址）的NIC（网卡）挂接在那个端口上，通过内部交换矩阵迅速将数据包传送到目的端口，目的MAC若不存在才广播到所有的端口，接收端口回应后交换机会“学习”新的地址，并把它添加入内部MAC地址表中。

使用交换机可以把网络“分段”，通过对照MAC地址表，交换机只允许必要的网络流量通过交换机。通过交换机的过滤和转发，可有效隔离广播风暴，减少误包和错包出现，避免共享冲突。

交换机在同一时刻可进行多个端口对之间的数据传输。每一端口都可视为独立的网段，连接在其上的网络设备独自享有全部的带宽，无须同其他设备竞争使用。当节点A向节点D发送数据时，节点B可同时向节点C发送数据，且这两个传输都享有网络的全部带宽，都有自己的虚拟连接。假使这里使用的是100Mbps的以太网交换机，那么该交换机这时的总流通量就等于2×100Mbps=200Mbps，而使用100Mbps的共享式HUB时，一个HUB的总流通量也不会超出100Mbps。

总之，交换机是一种基于MAC地址识别，能完成封装转发数据包功能的网络设备，它可以“学习”MAC地址，并把其存放在内部地址表中，通过在数据帧的始发者和目标接收者之间建立临时的交换路径，使数据帧直接由源地址到达目的地址。

二、交换机的分类

交换机的传输模式有全双工、半双工、全双工/半双工自适应。

交换机的全双工是指交换机在发送数据的同时也能够接收数据，两者同步进行，这好像大家平时打电话一样，说话的同时也能够听到对方的声音。目前的交换机都支持全双工。全双工的优势在于迟延小，速度快。

交换机的“半双工”是与全双工密切对应的另一个概念，是指一个时间段内只有一个动作发生。这类似于一条窄窄的马路，同时只容一辆车通过，当有两辆车对开时，只能允许一辆先过，待其开到头儿后另一辆才能开。早期对讲机与早期集线器等设备都是实行半双工的产品。随着技术不断进步，半双工会逐渐退出历史舞台。

交换机的分类有如下几种方法：

（1） 从广义上分为广域网交换机和局域网交换机。广域网交换机主要应用于电信领域，提供通信用的基础平台。而局域网交换机则应用于局域网络，用于连接终端设备，如PC机及网络打印机等。

（2） 从传输介质和传输速度上分为以太网交换机、快速以太网交换机、千兆以太网交换机、FDDI交换机、ATM交换机和令牌环交换机等。

（3） 从规模应用上分为企业级交换机、部门级交换机和工作组交换机等。各厂商划分的尺度并不完全一致：企业级交换机是机架式；部门级交换机可以是机架式（插槽数较少），也可是固定配置式；工作组级交换机为固定配置式（功能较为简单）。另一方面，从应用规模看，作为骨干交换机时，支持500个信息点以上大型企业应用的交换机为企业级交换机，支持100～300个信息点的中型企业的交换机为部门级交换机，而支持100个信息点以内的交换机为工作组级交换机。本任务学习的交换机是局域网交换机。

三、交换机的功能

交换机的主要功能包括物理编址、网络拓扑结构、错误校验、帧序列以及流控。目前交换机还具备了一些新的功能，如对VLAN（虚拟局域网）的支持、对链路汇聚的支持，甚至有的还具有防火墙的功能。

（1） 学习。以太网交换机了解每一端口相连设备的MAC地址，并将地址同相应的端口映射起来存放在交换机缓存中的MAC地址表中。

（2） 转发/过滤。当一个数据帧的目的地址在MAC地址表中有映射时，它被转发到连接目的节点的端口而不是所有端口（如该数据帧为广播/组播帧则转发至所有端口）。

（3） 消除回路。当交换机包括一个冗余回路时，以太网交换机通过生成树协议避免回路的产生，同时允许存在后备路径。

交换机除能够连接同种类型的网络之外，还可在不同类型的网络（如以太网和快速以太网）之间起到互联作用。现在许多交换机都能提供支持快速以太网或FDDI等的高速连接端口，用于连接网络中的其他交换机或为带宽占用量大的关键服务器提供附加带宽。

交换机的每个端口都用来连接一个独立网段，但有时为提供更快的接入速度，可以把一些重要的网络计算机直接连接到交换机的端口。这样，网络的关键服务器和重要用户就拥有更快的接入速度，支持更大的信息流量。

简要概括交换机的基本功能主要有：

其一，像集线器一样，交换机提供了大量可供线缆连接的端口，这样可以采用星形拓扑布线。

其二，像中继器、集线器和网桥那样，当它转发帧时，交换机会重新产生一个不失真的方形电信号。

其三，像网桥那样，交换机在每个端口上都使用相同的转发或过滤逻辑。

其四，像网桥那样，交换机将局域网分为多个冲突域，每个冲突域都是有独立的宽带，因此大大提高了局域网的带宽。

其五，除具有网桥、集线器和中继器的功能以外，交换机还提供了更先进的功能，如虚拟局域网（VLAN）和更高的性能。

四、交换方式

交换机通过以下三种方式进行交换：

（一）直通式

直通方式的以太网交换机可理解为在各端口间是纵横交叉的线路矩阵电话交换机。它在输入端口检测到一个数据包时，检查该包的包头，获取包的目的地址，启动内部的动态查找表转换成相应的输出端口，在输入与输出交叉处接通，把数据包直通到相应的端口，实现交换功能。由于不需要存储，延迟非常小、交换非常快，这是它的优点。它的缺点是，因为数据包内容并没有被以太网交换机保存下来，所以无法检查所传送的数据包是否有误，不能提供错误检测能力。由于没有缓存，不能将具有不同速率的输入/输出端口直接接通，而且容易丢包。

（二）存储转发

存储转发方式是计算机网络领域应用最为广泛的方式。它把输入端口的数据包先存储起来，然后进行CRC（循环冗余码校验）检查，在对错误包处理后才取出数据包的目的地址，通过查找表转换成输出端口送出包。由此产生的不足是，存储转发方式在数据处理时延时较大。但它可以对进入交换机的数据包进行错误检测，有效改善网络性能。它尤其能支持不同速度的端口间的转换，保持高速端口与低速端口间的协同工作。

（三）碎片隔离

碎片隔离是介于前两者之间的一种解决方案，它检查数据包的长度是否够64个字节，如小于64字节即为假包，应该丢弃该包；如大于64字节，则发送该包。这种方式不提供数据校验。它处理数据的速度比存储转发方式快，但比直通式慢。常见的交换技术有：

（1）端口交换。该技术最早出现在插槽式的集线器中，这类集线器的背板通常划分有多条以太网段（每条网段为一个广播域），不用网桥或路由连接，网络之间互不相通。以大主模块插入后通常被分配到某个背板的网段上，端口交换用于将以太模块的端口在背板的多个网段之间进行分配、平衡。根据支持的程度，端口交换还可细分为：

（2）帧交换。这是目前应用最广的局域网交换技术，它通过对传统传输媒介进行微分段，提供并行传送的机制，以减小冲突域，获得较高带宽。

（3）信元交换。ATM技术采用固定长度53个字节的信元交换。因其长度固定，便于用硬件实现。ATM采用专用的非差别连接，并行运行，可通过一个交换机同时建立多个节点，但并不影响每个节点之间的通信能力。ATM还容许在源节点和目标、节点建立多个虚拟链接，以保障足够的带宽和容错能力。ATM采用了统计时分电路进行复用，能大大提高通道的利用率。ATM的带宽可以达到25M、155M、622M甚至数Gb的传输能力。随着万兆以太网的出现，曾代表网络和通信技术发展未来方向的ATM技术逐渐失去存在意义。

五、黑客利用交换机漏洞的攻击手段

图2.8　Vlan跳跃攻击

黑客利用交换机漏洞的攻击手段有如下几种。

（1）VLAN跳跃攻击。虚拟局域网（VLAN）是对广播域进行分段的方法。VLAN还常用于为网络提供额外的安全，因为一个VLAN上的计算机无法与没有明确访问权的另一VLAN上的用户进行对话。VLAN本身不足以保护环境的安全，黑客通过VLAN跳跃攻击，即使未经授权，也可从一个VLAN跳到另一个VLAN。

VLAN跳跃攻击（VLAN hopping）依靠的是动态中继协议（DTP）。如有两个相互联接的交换机，DTP就能协商两者，确定它们要不要成为802.1Q中继，洽商过程通过检查端口的配置状态完成。

VLAN跳跃攻击充分利用DTP，在VLAN跳跃攻击中，黑客可欺骗计算机，冒充成另一交换机发送虚假DTP协商消息，宣布它想成为中继；真实的交换机收到此DTP消息后，以为它应当启用802.1Q中继功能，而一旦中继功能被启用，通过所有VLAN的信息流就会发送到黑客的计算机上。如图2.8表明了这个过程。

中继建立起来后，黑客可以继续探测信息流，也可通过给帧添加802.1Q信息，指定想把攻击流量发送给哪个VLAN。

（2）生成树攻击。生成树协议（STP）可防止冗余的交换环境出现回路。若网络有回路，会变得拥塞不堪，从而出现广播风暴，引起MAC表不一致，最终使网络瘫痪。

使用STP的所有交换机都通过网桥协议数据单元（BPDU）共享信息，BPDU每两秒发送一次。交换机发送BPDU时含有名为网桥ID的标号，这个网桥ID结合了可配置的优先数（默认值是32768）和交换机的基本MAC地址。交换机可以发送并接收这些BPDU，以确定哪个交换机拥有最低的网桥ID，拥有最低网桥ID的那个交换机成为根网桥（Root Bridge）。

根网桥犹如小镇居民通往社区杂货店的小路：每个小镇都设有杂货店，每个市民也需确定到达杂货店的最佳路线。比最佳路线长的路线一般不会被使用，除非主通道出现阻塞。如上，根网桥的工作方式是，每个交换机都会根据成本确定返回根网桥的最佳路线，确定成本的基础是为带宽所分配的值。如其他任何路线发现摆脱阻塞模式不会形成回路（假如主路线出现问题），它们将被设成阻塞模式。

黑客利用STP工作方式发动拒绝服务（DoS）攻击。如果黑客把一台计算机连接到不止一个交换机上，然后发送网桥ID很低的精心设计的BPDU，就能欺骗交换机，使它误认为这是根网桥，即导致STP重新收敛（reconverge），从而引起回路、网络瘫痪。

（3） MAC表洪水攻击。交换机的工作方式是帧在进入交换机时记录下MAC源地址，这个MAC地址与帧进入的那个端口相关，以后通往该MAC地址的信息流将只通过该端口发送。这样，可以提高带宽利用率，因为信息流不必从所有端口发送，只从需要接收的那些端口发送出去。

MAC地址存储在内容可寻址存储器（Content Addressable Memory，CAM）里面，CAM是一个128K大小的保留内存，专门用来存储MAC地址，以便快速查询。如黑客向CAM发送大批数据包，就会导致交换机开始向各个地方发送大批信息流，从而埋下隐患，甚至导致交换机在拒绝服务攻击中崩溃。

（4） ARP攻击。ARP（Address Resolution Protocol）欺骗是用于会话劫持攻击中的常见手法。地址解析协议（ARP）利用第2层物理MAC地址来映射第3层逻辑IP地址，如果设备知道IP地址，但不知道被请求主机的MAC地址，就会发送ARP请求。ARP请求通常以广播形式发送，以便所有主机都能收到。

黑客可以发送被欺骗的ARP回复，获取发往另一个主机的信息流。如图2.9显示了一个ARP欺骗过程，其中ARP请求以广播帧的形式发送，以获取合法用户的MAC地址。假设黑客Jimmy也在网络上，他试图获取发送到这个合法用户的信息流，黑客Jimmy欺骗ARP响应，声称自己是IP地址为10.0.0.55（MAC地址为05-1C-32-00-A1-99）的主人，合法用户也会用相同的MAC地址进行响应。结果为，交换机在MAC地表中有了与该MAC表地址相关的两个端口，发往这个MAC地址的所有帧被同时发送到合法用户和黑客Jimmy。

图2.9　ARP欺骗

（5）VTP攻击。VLAN中继协议（VLAN Trunk Protocol，VTP）是一种管理协议，它可减少交换环境中的配置数量。就VTP而言，交换机可以是VTP服务器、VTP客户端或者VTP透明交换机（本任务重点学习VTP服务器和VTP客户端）。用户每次对工作于VTP服务器模式下的交换机进行配置改动时，无论是添加、修改还是移除VLAN，VTP配置版本号都会增加1，VTP客户端看到配置版本号大于目前的版本号后，就知道与VTP服务器进行同步。

黑客可以让VTP为己所用，移除网络上的所有VLAN（除默认的VLAN外），即可进入其他所有用户所在的同一VLAN上。不过，用户可能仍在不同的网络上，所以黑客需要改动他的IP地址，才能进入他想要攻击的主机所在的同一网络。

黑客只要连接到交换机，并在自己计算机和交换机之间建立一条中继，就可充分利用VTP。黑客可以发送VTP消息到配置版本号高于当前的VTP服务器，导致所有交换机都与黑客的计算机进行同步，网络中所有交换机的信息会被黑客交换机的VLAN信息覆盖。

任务总结

交换机在企业网中占有重要地位，是整个网络的核心，故而成为黑客入侵和病毒肆虐的重点对象。为保障自身网络安全，企业有必要对局域网上的交换机漏洞进行全面了解。

通过该任务的学习，对交换机有基本的了解的同时，更要学会应用其中的知识排解计算机日常使用中遇到的病毒侵袭交换机问题。

任务评价

一、评价方法

本任务采用学生自我评价、小组评价和教师评价的方法，对学习目标进行检验。学生本人首先对自己的调研情况进行自查，找出成绩分析不足；小组根据每位同学所做的工作和对调查报告结论的贡献给出综合评价；最后教师针对每个小组的调研报告结合每一位同学给出评价结论，指出改进和努力的方向。

二、评价指标