场景:我有一架服务器,它们都属于同一个私人的VLAN。我将数据从服务器 1 传输到服务器 2。其他任何服务器是否都可以嗅探到所发送的数据,还是只有通过路由器/交换机才可以?
我之所以问这个问题,是因为我想确定如果私有网络上有其他服务器(即虚拟服务器或租用的专用服务器)能够嗅探到文件,那么通过私有网络传输未加密文件是否安全。对于传输大量数据而言,SSH 加密的开销可能相当高。
答案1
是的,可以使用ARP欺骗攻击。或者交换机是否配置了端口镜像。
亚马逊等公司提供的服务通过将每个客户的服务器置于其自己的类似 VLAN 的环境中来避免这种情况。要进入 VLAN 之外,需要路由器(在亚马逊的情况下,由弹性 IP 提供)。最终结果是,在亚马逊或类似的设置中,您无法进行 ARP 欺骗攻击来查看其他服务器间数据。
答案2
在数据中心提供交换机的典型设置中,您的所有服务器以及(可能)它们的路由器都将位于您的私有 VLAN 上。如果是这种情况,您应该没问题。数据中心的所有交换机都可以看到流量,但其他客户看不到。许多设置都提供私有 LAN 以及互联网连接。确保您在私有连接上进行传输。
听起来你的私有 VLAN 上还有其他服务器。如果是那样的话,它就不那么私密了。你需要设置一些东西,以便只有你的服务器在你的私有 LAN 上。
即使进行了这种更改,交换机的错误配置或数据中心的故意窥探也可能泄露您的流量。因此,您可能仍需要加密,但实际上,如果您不信任数据中心,那么您将面临更大的问题。
答案3
基本上不是。可以通过使用
- ARP 欺骗攻击(被黑的服务器告诉交换机“我是 Server2 的 ip”)
- 嗅探交换机(它可能被黑客入侵或配置了端口镜像(当从服务器 1 到服务器 2 的流量镜像到服务器 3 时)
- 如果不在同一网段,则有可能在网关上进行嗅探
只需使用来自双方预定义的私钥的 SSL 就可以了
答案4
如果您的第 2 层 VLAN 中还有其他服务器,它们可以通过 arp 欺骗拦截流量。但是,私有 VLAN 通常意味着只有您的设备位于其中。在这种情况下,其他服务器不可能(除非提供商一方配置错误或恶意)获取您的流量。
现在,至于传输未加密数据是否安全:这取决于情况。如果此 VLAN 是由第三方提供的,您不知道他们如何处理您发送的帧。他们可能设置了端口镜像,并将您发送的每个帧镜像到其他地方。他们可能只是使用 sFlow 或 netFlow,并将一定数量的帧发送到另一个框以保存统计信息。由于您不是提供网络的人,因此您无法确定。因此,如果您的数据很敏感并且您想要安全,请加密。
顺便说一句,我发现现代服务器使用 SSH 完全可以毫无问题地饱和 GigE 链接。