[科普中国]-网络瘫痪

网络瘫痪原因

网络瘫痪包括多方面的原因，现列举其中的几点1：

水晶头非标准的或劣质的水晶头可导致网络上传输的大量数据帧被反射或串扰所破坏，使网络流量大幅增加，当使用非标准的或劣质的水晶头的工作站的数据流量很大时，会导致网络阻塞。因此，水晶头要选择标准的Cat5+RJ-45接头，不可随意替代。

网线双绞线是由4对线严格而合理地紧密绞和在一起的，以减少串扰和背景噪音的影响。以太网一般使用两对双绞线，排列在1、2、3、6的位置。其中1、2用于发送，3、6用于接收，1、2必须来自一个绕对，3、6必须来自一个绕对，不能破坏线缆的双绞关系，并保证外包皮与水晶头衔接良好。使用非标准的、劣质的网线，或者不按正确标准制作网线将线对分开使用形成缠绕，就会产生较大的串扰，信号耦合到邻近线对引起高频信号传输失败，致使网速变慢，甚至会使网络瘫痪。

网卡网卡损坏后比较常见的现象有两种，一种是不响应通信信号，也不向网络发送任何数据，这样只有本机无法上网，不会影响网速。另一种是不停地发送广播包，而大量占用网络带宽，即所谓的导致广播风暴，使网络通信陷于瘫痪1。

集线器在10mbps以太网中任意两个网络设备之间经过的集线器的数量不应超过4个，使用HUB的最大距离为600m；在100nbps快速以太网中只允许对两个100M的HUB进行级联，而且两个100MHUB之间的连接距离不能>5m，所以100M局域网在使用HUB时最大距离为205m。如果实际连接距离不符合以上要求会产生刍菊链效应，即数据传输的时间超长而引发的网络错误现象，导致网络无法连接。

交换机交换机的端口设置应和网卡速率及双工方式保持一致。如果交换机的端口设置和网卡速率及双工方式不一致，传输方式不匹配，会导致网速变慢。

光纤链路光纤接头被水侵蚀或被灰尘污染,信号不能正常传输会导致网络瘫痪，要保证光纤接线箱密封良好。单模光纤链路和多模光纤链路由于传输的光模式、优势波长和衰减机理完全不同，不可以混用。单模光纤和多模光纤的混用，可导致网络通信中断。

UPSUPS对电源的净化能力下降时，内谐波容易从电源系统串入网络系统，当大量的内谐波功率叠加串入网络系统后，一方面侵蚀网络带宽，使网速变慢，当以太网的网络总流量高于80%时，会导致绝大多数的网络瘫痪；另一方面，串入的内谐波将干扰正常数据传输，导致数据出错。

危害假如互联网瘫痪，有不清的公司会破产，当然，随之有数不清的人会失业。就拿我国淘宝网来说，有超过2000万网民完全依赖在拍卖网站平台上做买卖来维持生计。如果互联网没了，所有相关产业都会烟消云散，互联网接入服务商也会前景黯淡。这只是相关的企业和个人，其实现在有很多企业已开始将所有资料都向网上转移，这样有助于节省空间。互联网成了企业新的神经中枢，为信息提供庇护。另外，交通枢纽，新闻中心，现在都高度依赖互联网，如果互联网瘫痪，后果真的难以想象。小编就曾碰到过小范围的网络瘫痪，银行网络有问题，害得小编兜里空空如也好几天。想必银行也因为这次的网络问题损失不少呀2。

案例案例一 携程漏洞门2014年3月22日，乌云安全漏洞平台公布了关于“携程安全支付日历导致用户银行卡信息泄露”的相关信息。漏洞发现者指出，携程由于服务器未做到严格的安全配置，包括持卡人姓名、身份证号、持卡类别、卡号、CW码等信息存在泄露可能，所有支付过程中的调试信息面临安全风险。该漏洞被曝出后，引发公众担比。漏洞事件曝光后首个交易日，携程股价也一度下跌近10%3。

案例二 支付宝宕机2015年5月27目下午17时左右，支付宝出现在大规模故障。据多个地区的网友用户反映，支付宝账号无法登录，更无法进行转付账。与此同时，打开余额宝后，不能显示余额，只能显示网络无法链接。随后，支付宝在新浪微博回应称：由于杭州市萧山区某地光纤被挖断，造成目前少部分用户无法使用支付宝，运营商以及工程师正在修复3。

避免方法对于黑客来说，利用路由器的漏洞发起攻击通常是一件比较容易的事情。路由器攻击会浪费CPU周期，误导信息流量，使网络陷于瘫痪。好的路由器本身会采取一个好的安全机制来保护自己，但是仅此一点是远远不够的。保护路由器安全还需要网管员在配置和管理路由器过程中采取相应的安全措施4。

防止路由器攻击之堵住安全漏洞限制系统物理访问是确保路由器安全的最有效方法之一。限制系统物理访问的一种方法就是将控制台和终端会话配置成在较短闲置时间后自动退出系统。避免将调制解调器连接至路由器的辅助端口也很重要。一旦限制了路由器的物理访问，用户一定要确保路由器的安全补丁是最新的。漏洞常常是在供应商发行补丁之前被披露，这就使得黑客抢在供应商发行补丁之前利用受影响的系统，这需要引起用户的关注。

防止路由器攻击之避免身份危机黑客常常利用弱口令或默认口令进行攻击。加长口令、选用30到60天的口令有效期等措施有助于防止这类漏洞。另外，一旦重要的IT员工辞职，用户应该立即更换口令。用户应该启用路由器上的口令加密功能，这样即使黑客能够浏览系统的配置文件，他仍然需要破译密文口令。实施合理的验证控制以便路由器安全地传输证书。在大多数路由器上，用户可以配置一些协议，如远程验证拨入用户服务，这样就能使用这些协议结合验证服务器提供经过加密、验证的路由器访问。验证控制可以将用户的验证请求转发给通常在后端网络上的验证服务器。验证服务器还可以要求用户使用双因素验证，以此加强验证系统。双因素的前者是软件或硬件的令牌生成部分，后者则是用户身份和令牌通行码。其他验证解决方案涉及在安全外壳(SSH)或IPSec内传送安全证书。

防止路由器攻击之禁用不必要服务拥有众多路由服务是件好事，但近来许多安全事件都凸显了禁用不需要本地服务的重要性。需要注意的是，禁用路由器上的CDP可能会影响路由器的性能。另一个需要用户考虑的因素是定时。定时对有效操作网络是必不可少的。即使用户确保了部署期间时间同步，经过一段时间后，时钟仍有可能逐渐失去同步。用户可以利用名为网络时间协议(NTP)的服务，对照有效准确的时间源以确保网络上的设备时针同步。不过，确保网络设备时钟同步的最佳方式不是通过路由器，而是在防火墙保护的非军事区(DMZ)的网络区段放一台NTP服务器，将该服务器配置成仅允许向外面的可信公共时间源提出时间请求。在路由器上，用户很少需要运行其他服务，如SNMP和DHCP。只有绝对必要的时候才使用这些服务4。

防止路由器攻击之限制逻辑访问限制逻辑访问主要是借助于合理处置访问控制列表。限制远程终端会话有助于防止黑客获得系统逻辑访问。SSH是优先的逻辑访问方法，但如果无法避免Telnet，不妨使用终端访问控制，以限制只能访问可信主机。因此，用户需要给Telnet在路由器上使用的虚拟终端端口添加一份访问列表。

控制消息协议(ICMP)有助于排除故障，但也为攻击者提供了用来浏览网络设备、确定本地时间戳和网络掩码以及对OS修正版本作出推测的信息。为了防止黑客搜集上述信息，只允许以下类型的ICMP流量进入用户网络：ICMP网无法到达的、主机无法到达的、端口无法到达的、包太大的、源抑制的以及超出生存时间(TTL)的。此外，逻辑访问控制还应禁止ICMP流量以外的所有流量。

使用入站访问控制将特定服务引导至对应的服务器。例如，只允许SMTP流量进入邮件服务器;DNS流量进入DSN服务器;通过安全套接协议层(SSL)的HTTP(HTTP/S)流量进入Web服务器。为了避免路由器成为DoS攻击目标，用户应该拒绝以下流量进入：没有IP地址的包、采用本地主机地址、广播地址、多播地址以及任何假冒的内部地址的包。虽然用户无法杜绝DoS攻击，但用户可以限制DoS的危害。用户可以采取增加SYN ACK队列长度、缩短ACK超时等措施来保护路由器免受TCP SYN攻击。

用户还可以利用出站访问控制限制来自网络内部的流量。这种控制可以防止内部主机发送ICMP流量，只允许有效的源地址包离开网络。这有助于防止IP地址欺骗，减小黑客利用用户系统攻击另一站点的可能性4。