网安 - 专业的网络安全产业、社区、知识平台
@CI
2年前 提问
1个回答

常见导致网络瘫痪的原因有哪些

齐士忠
2年前

常见导致网络瘫痪的原因有以下这些:

  • 劣质水晶头:非标准的或劣质的水晶头可导致网络上传输的大量数据帧被反射或串扰所破坏,使网络流量大幅增加,当使用非标准的或劣质的水晶头的工作站的数据流量很大时,会导致网络阻塞。因此,水晶头要选择标准的Cat5+RJ-45接头,不可随意替代。

  • 未使用非屏蔽网线:双绞线是由4对线严格而合理地紧密绞和在一起的,以减少串扰和背景噪音的影响。以太网一般使用两对双绞线,排列在1、2、3、6的位置。其中1、2用于发送,3、6用于接收,1、2必须来自一个绕对,3、6必须来自一个绕对,不能破坏线缆的双绞关系,并保证外包皮与水晶头衔接良好。使用非标准的、劣质的网线,或者不按正确标准制作网线将线对分开使用形成缠绕,就会产生较大的串扰,信号耦合到邻近线对引起高频信号传输失败,致使网速变慢,甚至会使网络瘫痪。

  • 网卡损坏:网卡损坏后比较常见的现象有两种,一种是不响应通信信号,也不向网络发送任何数据,这样只有本机无法上网,不会影响网速。另一种是不停地发送广播包,而大量占用网络带宽,即所谓的导致广播风暴,使网络通信陷于瘫痪 。

  • 集线器距离过远或使用量少:在10mbps以太网中任意两个网络设备之间经过的集线器的数量不应超过4个,使用HUB的最大距离为600m;在100nbps快速以太网中只允许对两个100M的HUB进行级联,而且两个100MHUB之间的连接距离不能>5m,所以100M局域网在使用HUB时最大距离为205m。如果实际连接距离不符合以上要求会产生刍菊链效应,即数据传输的时间超长而引发的网络错误现象,导致网络无法连接。

  • 交换机端口与网卡双攻方式不一致:交换机的端口设置应和网卡速率及双工方式保持一致。如果交换机的端口设置和网卡速率及双工方式不一致,传输方式不匹配,会导致网速变慢。

  • 光纤接头污染:光纤接头被水侵蚀或被灰尘污染,信号不能正常传输会导致网络瘫痪,要保证光纤接线箱密封良好。单模光纤链路和多模光纤链路由于传输的光模式、优势波长和衰减机理完全不同,不可以混用。单模光纤和多模光纤的混用,可导致网络通信中断。

  • UPS净化能力下降:UPS对电源的净化能力下降时,内谐波容易从电源系统串入网络系统,当大量的内谐波功率叠加串入网络系统后,一方面侵蚀网络带宽,使网速变慢,当以太网的网络总流量高于80%时,会导致绝大多数的网络瘫痪;另一方面,串入的内谐波将干扰正常数据传输,导致数据出错。

避免网络瘫痪的措施有以下这些:

  • 堵住安全漏洞:限制系统物理访问是确保路由器安全的最有效方法之一。限制系统物理访问的一种方法就是将控制台和终端会话配置成在较短闲置时间后自动退出系统。避免将调制解调器连接至路由器的辅助端口也很重要。一旦限制了路由器的物理访问,用户一定要确保路由器的安全补丁是最新的。漏洞常常是在供应商发行补丁之前被披露,这就使得黑客抢在供应商发行补丁之前利用受影响的系统,这需要引起用户的关注。

  • 避免身份危机:黑客常常利用弱口令或默认口令进行攻击。加长口令、选用30到60天的口令有效期等措施有助于防止这类漏洞。另外,一旦重要的IT员工辞职,用户应该立即更换口令。用户应该启用路由器上的口令加密功能,这样即使黑客能够浏览系统的配置文件,他仍然需要破译密文口令。实施合理的验证控制以便路由器安全地传输证书。在大多数路由器上,用户可以配置一些协议,如远程验证拨入用户服务,这样就能使用这些协议结合验证服务器提供经过加密、验证的路由器访问。验证控制可以将用户的验证请求转发给通常在后端网络上的验证服务器。验证服务器还可以要求用户使用双因素验证,以此加强验证系统。双因素的前者是软件或硬件的令牌生成部分,后者则是用户身份和令牌通行码。其他验证解决方案涉及在安全外壳(SSH)或IPSec内传送安全证书。

  • 禁用服务:拥有众多路由服务是件好事,但近来许多安全事件都凸显了禁用不需要本地服务的重要性。需要注意的是,禁用路由器上的CDP可能会影响路由器的性能。另一个需要用户考虑的因素是定时。定时对有效操作网络是必不可少的。即使用户确保了部署期间时间同步,经过一段时间后,时钟仍有可能逐渐失去同步。用户可以利用名为网络时间协议(NTP)的服务,对照有效准确的时间源以确保网络上的设备时针同步。不过,确保网络设备时钟同步的最佳方式不是通过路由器,而是在防火墙保护的非军事区(DMZ)的网络区段放一台NTP服务器,将该服务器配置成仅允许向外面的可信公共时间源提出时间请求。在路由器上,用户很少需要运行其他服务,如SNMP和DHCP。只有绝对必要的时候才使用这些服务。

  • 限制逻辑访问:限制逻辑访问主要是借助于合理处置访问控制列表。限制远程终端会话有助于防止黑客获得系统逻辑访问。SSH是优先的逻辑访问方法,但如果无法避免Telnet,不妨使用终端访问控制,以限制只能访问可信主机。因此,用户需要给Telnet在路由器上使用的虚拟终端端口添加一份访问列表。控制消息协议(ICMP)有助于排除故障,但也为攻击者提供了用来浏览网络设备、确定本地时间戳和网络掩码以及对OS修正版本作出推测的信息。为了防止黑客搜集上述信息,只允许以下类型的ICMP流量进入用户网络:ICMP网无法到达的、主机无法到达的、端口无法到达的、包太大的、源抑制的以及超出生存时间(TTL)的。此外,逻辑访问控制还应禁止ICMP流量以外的所有流量。

  • 使用质量较高的硬件:选择水晶头、网线等硬件设备时尽量选择符合国标质量的产品,保证网络不会因为硬件产品的质量导致网络瘫痪,当使用非标准的或劣质的水晶头的工作站的数据流量很大时,会导致网络阻塞,质量没有问题的水晶头则不会产生这种问题。网线的选择尽量使用屏蔽双绞线网线,这样可以最大程度上降低因为电磁干扰来降低网络瘫痪的可能性。

推荐问答