破坏了正常的网络架构采用服务器虚拟化技术,需要对原来的网络架构进行一定的改动,建立新的网络架构,以适应服务器虚拟化的要求。但是,网络架构的改动打破了原来平衡的网络架构系统,也就会产生一些危险系统安全的风险安全问题。比如:如果不使用服务器虚拟化技术,客户可以把几个隔离区设置在防火墙的设备上。这样一来,一个隔离区就可以管理着一个服务器,服务器之间可以不同的管理原则,不同的服务器也就可以有不同的管理方法。这样,当有一个服务器被外界攻击时,其它的服务器就不会受到影响,可以正常运行。但是,如果采用了服务器虚拟化技术,就需要把虚拟的服务器一起连接到同一个虚拟交换机上。通过虚拟交换机就把所有的虚拟的服务器同外部网络联系了起来。因为所有的虚拟的服务器都连接在同一个虚拟交换机上,这就造成了一方面原来设置的防火墙功能失去了防护作用,另一方面给所有的虚拟服务器增加了安全风险。当一个虚拟服务器遭受到攻击或出现状况时,其它的虚拟服务器也会受到影响。可能致使系统服务器超载服务器虚拟化虽然能产生若干个服务器供用户使用,但是这些产生的服务器只是虚拟的,还需要借用物理服务器的硬件系统来进行各种应用程序的运行。各个虚拟服务器的应用程序非常多,这些应用程序一旦全部运行起来,就会大量占用物理服务器的内存、中央处理器、网络等硬件系统,从而给物理服务器带来沉重的运行负担。如果有一天,所有的虚拟服务器都在运行大量的应用程序,就有可能使物理服务器负荷太大,从而出现服务器超载的现象。服务器超载到一定程度,就有可能造成各个虚拟服务器运行程序速度太慢,影响客户的使用。更严重的还可能造成物理服务器系统崩溃,给客户带来无法估量的损失。致使虚拟机失去安全保护服务器虚拟化后,每个虚拟机都会被装上自己的管理程序,供客户操作和使用虚拟服务器。但是不是所有的管理程序都是完美无缺,没有安全漏洞的。管理程序在设计中都有可能会产生一些安全漏洞和缺陷。而这些安全漏洞和缺陷则有可能成为电脑黑客的攻击服务器的着手点。他们通过这些安全漏洞和缺陷会顺利地进入服务器,进行一些非法操作。更重要的是,一台虚拟机管理程序的安全漏洞和缺陷会传染给其它虚拟机。当一台虚拟机因安全漏洞和缺陷遭受黑客攻击时,其它的虚拟机也会受到影响,致使虚拟机失去安全保护。服务器被攻击的机会大大增加连接于同一台物理服务器的所有服务器虚拟机是能相互联系的。在相互联系的过程中,就有可能产生一些安全风险,致使服务器遭受黑客的攻击。而且,黑客不需要对所有的服务器虚拟机逐个进行攻击,只需要对其中的一台虚拟机进行攻击。只要攻下一台虚拟机,其它的虚拟机就可以被攻下。因为,所有的虚拟机都是相互联系的。所以说,服务器虚拟化后被攻击的机会大大增加了。虚拟机补丁带来的安全风险每个虚拟机都有着自己的管理系统,而这些管理系统是经常需要及时安装最新补丁以防止被攻击。但是,一个物理服务器可以带许多个虚拟机,每个虚拟机就是一台服务器,都需要安装补丁,工作量太大。这就给虚拟机的补丁安装带来麻烦,会大大影响补丁的安装速度,使虚拟机不能够及时安装不断,从而带来安全隐患。另外,一些客户会通过一些技术手段保留个别虚拟机用于虚拟机的灾难恢复。但是,保留的虚拟机很可能没有及时安装新的补丁,从而会给灾难恢复的虚拟机带来运行的安全风险。
传输层常见的安全风险包括但不限于:
1、SYN 泛洪攻击:
服务器端的资源是在第二次握手之后分配的,客户端资源是在第三次握手之后分配的。攻击者发送大量第一次握手的数据包,对服务器回复的ACK不予确认。导致服务器所有的连接处于挂起状态,消耗服务器资源。
2、RST 复位攻击:
攻击者创建 TCP 复位数据报,将数据报发送给受害者和服务器,终止两者的连接。复位数据报的伪造要求源 IP、源端口、目标 IP、目标端口、序号都要正确,而且序号要落在窗口内,因此窗口越大,越容易发起复位攻击。
3、会话劫持:
扰乱客户和服务器之间的同步状态,改写客户与服务器之间的会话。
传输层的重要性:
传输层是整个协议层次结构的核心,是唯一负责总体数据传输和控制的一层。在OSI七层模型中传输层是负责数据通信的最高层,又是面向网络通信的低三层和面向信息处理的高三层之间的中间层。因为网络层不一定保证服务的可靠,而用户也不能直接对通信子网加以控制,因此在网络层之上,加一层即传输层以改善传输质量。
传输层利用网络层提供的服务,并通过传输层地址提供给高层用户传输数据的通信端口,使系统间高层资源的共享不必考虑数据通信方面和不可靠的数据传输方面的问题。它的主要功能是:对一个进行的对话或连接提供可靠的传输服务,在通向网络的单一物理连接上实现该连接的复用,在单一连接上提供端到端的序号与流量控制、差错控制及恢复等服务。
以上内容参考:百度百科-传输层
欢迎分享,转载请注明来源:夏雨云
评论列表(0条)