还有一种针对服务器的SYN攻击也会令局域网电脑全体“掉线”： SYN攻击属于DOS攻击的一种，它利用TCP协议三次握手的等待确认缺陷，通过发送大量的半连接请求，耗费CPU和内存资源。SYN攻击除了能影响主机外，还可以危害路由器、防火墙等网络系统，事实上SYN攻击并不管目标是什么系统，只要这些系统打开TCP服务就可以实施。配合IP欺骗，SYN攻击能达到很好的效果，通常，感染SYN病毒的客户端在短时间内伪造大量不存在的IP地址，向服务器不断地发送SYN包，服务器回复确认包，并等待客户的确认，由于源地址是不存在的，服务器需要不断的重发直至超时，这些伪造的SYN包将长时间占用未连接队列，正常的SYN请求被丢弃，目标系统和路由器运行缓慢，严重的时候就直接引起整个局域网的网络堵塞甚至系统瘫痪。

防火墙路由器无法解决内网安全问题

面对日益严重的内网攻击和整网掉线问题，很多路由器和防火墙开发商也在产品中加入了相关技术，例如加入IP-MAC绑定功能可以防止局域网的ARP欺骗，但是这些设备由于以太网工作原理的关系，其实还是无法全面解决内网安全问题。

例如DDOS攻击，虽然路由器和防火墙可以利用一些设定好的规则判断出哪些数据包带有DDOS攻击的特征，但是它必须在收到这些数据包之后才能对数据包进行分析，而这些数据包在收过来的时候其实就已经占用了LAN口的带宽资源，由于路由器和防火墙都在局域网的最外端，这样的网络结构已经决定了它们无法在攻击数据包产生的时候就进行封堵，而且这些设备大部分还是采用100Mb的带宽与LAN交换机相连，加上大部分的局域网交换机都是线速转发的二层交换机，受感染客户端发送的大量数据包可以很快用完这些带宽，因此网络数据传输的压力都加载在路由器的LAN端口，这时候很多正常的请求都无法顺利通过LAN口提交过去，因此即使路由器知道哪些是正常的请求也无济于事。

用交换机来解决局域网攻击问题

既然路由器和防火墙无法全面解决局网安全问题，那么自然会有人想到用交换机来解决这个问题。

在大部分网管人员和技术员看来，交换机就是纯粹用来拓展上网计算机数量，提供更多的LAN口，似乎它就只是一个只管线速转发而从来不对数据包进行分析的设备，这也是二层交换机给人比较深刻的印象。

共3页: 上一页 [1] 2 [3] 下一页

【内容导航】  第 1 页：当今网络安全的新形势  第 2 页：防火墙路由器无法解决内网安全问题  第 3 页：局域网安全应当受到更多的重视