网络安全培训课程课件.ppt

LOGO 网络安全培训课程网络安全培训课程 重庆网安计算机技术服务中心 目录 认识信息安全等级保护 1 2 了解网络基础及安全防护 学习网络故障排查-实例 3 Page 2 信息安全等级保护简介 我国计算机信息系统安全保护等级划分细则于1999年9月13日经国家质量技术监督局审查通过并正式批准发布，根据细则将计算机信息系统安全保护能力划分为五个安全保护等级： 第一级：用户自主保护级。用户自主保护级通过身份鉴别，自主访问控制机制，要求系统提供每一个用户具有对自身所创造的数据进行安全保护的能力。适用于普通内联网用户。 第二级：系统审计保护级。在用户自主保护级的基础上，重点强调系统的审计功能，要求通过审计、资源隔离等安全机帛，使每一个用户对自己的行为负责。适用于内联/国际互联网需要保密商务活动的用户。 第三级：安全标记保护级。在系统审计保护的基础上，从安全功能的设置和安全强度的要求方面均有明显的提高。首先，增加了标记和强制访问控制功能。同时，对身份鉴别、审计、数据完整性等安全功能均有更进一步的要求。如要求使用完整性敏感性标记，确保信息在网络传输的完整性。一般党政机关、金融机构、大型商业工业用户。 第四级：结构化保护级。在安全标记保护级的基础上，重点强调通过结构化设计方法使得所具有的安全功能具有更高的安全要求。适用于国家机关、中央金融机构、尖端科技和国防应用系统单位。 第五级：访问控制保护级。访问验证保护级重点强调”访问“监控器本身的可验证性，也是从安全功能的设计和实现方面提出更高要求。适用于国防关键应用以及国家特殊隔离信息系统使用单位。 Page 3 信息安全等级保护 Page 4 信息安全系统定级 定级是等级保护工作的首要环节，是开展信息系统建设、整改、测评、备案、监督检查等后续工作的重要基础。信息系统安全级别定不准，系统建设、整改、备案、等级测评等后续工作都失去了针对性。 信息系统的安全保护等级是信息系统的客观属性，不以已采取或将采取什么安全保护措施为依据，也不以风险评估为依据，而是以信息系统的重要性和信息系统遭到破坏后对国家安全、社会稳定、人民群众合法权益的危害程度为依据，确定信息系统的安全等级。 Page 5 系统定级一般流程 Page 6 保信息系统内信息的保密性、完整性和可用性等，系统服务安全是指确信息系统安全包括业务信息安全和系统服务安全。信息安全是指确保信息系统可以及时、有效地提供服务，以完成预定的业务目标。 的侵害程度可能不同，因此，信息系统定级也应由业务信息安全和系业务信息安全和系统服务安全，与之相关的受侵害客体和对客体统服务安全两方面确定。从业务信息安全角度反映的信息系统安全保护等级称业务信息安全等级。从系统服务安全角度反映的信息系统安全保护等级称系统服务安全等级。 对象的安全保护等级。由业务信息安全等级和系统服务安全等级的较高者确定定级 系统定级一般流程 1、确定定级对象 Page 7 2侵害的客体、确定业务信息安全受到破坏时所5侵害的客体、确定系统服务安全受到破坏时所 3、综合评定对客体的侵害程度 6、综合评定对客体的侵害程度 4、业务信息安全保护等级 7、系统服务安全保护等级 8、定级对象的安全保护等级 信息安全等级保护工作的重要意义 Page 8 保障的基本制度、基本策略、基本方法信息安全等级保护制度是国家信息安全是当今发达国家的通行做法，也是我国多年 ；来信息安全工作经验的总结 。 同步建设开展信息安全等级保护工作：有利于障重点；有利于明确责任 ；有利于指导和服务；有利于保展。 ；有利于产业发网络基础及安全防护 Page 9 1 网络基础与网络基础与OSI模型模型 2 TCP-IP编址编址 3 交换原理和交换原理和VLAN 网络基础与OSI模型 ?计算机网络定义：通过通信线路和通信设备将不同地理位置上的计算机系统互连起来的一个计算机系统的集合，通过运行特定的操作系统和通信协议来实现数据通信和资源共享。 ?计算机网络组成：通信线路、通信设备、计算机系统、操作系统、通信协议、通信子网、资源子网。 ?计算机网络类型：局域网、广域网。 Page 10 计算机网络组成 Page 11 计算机网络类型 通常指几公里以内的，可以通过某种介质互联的计算机、打印机或其它 设备的集合。目前,大多数网络都使用某些形式的以太网。 距离短、延迟小、 数据速率高、传输可靠 运行在有限的地理区域；允许网络设备同时访问高带宽的介质； 通过局部管理控制网络的权限；提供全时的局部服务； 连接物理上相邻的设备。 Page 12 计算机网络类型 在大范围区域内提供数据通信服务，主要用于互连局域网。 公用电话网：PSTN 综合业务数字网：ISDN 数字数据网：专线 帧中继：Frame Relay 异步传输模式：ATM 运行在广阔的地理区域；通过低速串行链路进行访问； 网络控制服从公共服务的规则；提供全时的或部分时间的连接； 连接物理上分离的、遥远的、甚至全球的设备 Page 13 OSI七层参考模型 ?OSI模型：1984年由国际标准化组织ISO国际标准化组织提出。 ?目的：提供一个大家共同遵守的标准，解决不同网络之间的兼容性和互操作性问题。 ?分层标准：依据功能来划分。 ?OSI七层参考模型的优点： 促进标准化工作,允许各个供应商进行开发. 各层间相互独立,把网络操作分成低复杂性单元. 灵活性好,某一层变化不会影响到别层. 各层间通过一个接口在相邻层上下通信. Page 14 OSI分层结构 应用层应用层 应用层应用层 (高高) 表示层表示层 会话层会话层 传输层传输层 网络层网络层 数据流层数据流层 负责主机之间的数据传输负责主机之间的数据传输 负责网络数据传输负责网络数据传输 数据链路层数据链路层 物理层物理层 Page 15 OSI分层结构 规定通信设备的机械的、电气的、功能的和规程的特性。主要涉及比特的传输，网络接口卡和网络连接等. 没有智能性，只能对bit 流进行简单的处理。如传输，放大，复制等。 网线：bit 流的传输. 中继器：信号的放大. 集线器：信号的放大和复制. Page 16 OSI分层结构 在相邻节点之间建立链路，传送数据帧。工作在同一个网段。主要涉及介质访问控制、连接控制、流量控制和差错控制等。 定义物理地址，标识节点。 将bit流组合成数据帧。 交换机：能识别数据帧中的MAC地址信息，在同一网 段转发数据。有智能，进行定向转发。 Page 17 OSI分层结构 是一座桥梁，将不同规范的网络互连起来。在不同网段路由数据包。 定义IP地址，由32bit的二进制数组成，点分十进制表示。 路由转发，通过路由表实现三层寻址. MAC地址（二层） 物理地址 平面结构 身份 IP地址 （三层） 逻辑地址 层次结构 位置 Page 18 OSI分层结构 实现终端用户到终端用户之间的连接。可以实现流量控制、负载均衡。 分段，使数据的大小适合在网络上传递。 区分服务，端口号标识上层的通信进程。 Page 19 OSI分层结构 在两个应用程序之间建立会话，管理会话，终止会话。一旦建立连接，会话层的任务就是管理会话。 主要由操作系统来完成，把不同的应用程序设置内存区间，分配相应的内存，CPU资源，保持不同的应用程序的数据独立性。 将数据转换成接收设备可以了解的格式. 翻译数据格式，加密，压缩. Page 20 OSI分层结构 为具体的应用程序提供服务，实现各种网络应用（WWW FTP QQ SMTP POP3）。 我们说某个应用程序的界面是否友好，就是应用层完成的。应用层为用户和计算机会话提供一个界面。 计算机有他的语言，人有人的语言，人要和计算机交流，必须有一个窗口来把信息传递出来。 Page 21 数据的封装与解封装 数据要通过网络进行传输，要从高层逐层的向下传送，如果一个主机要传送数据到别的主机，先把数据装到一个特殊协议报头中，这个过程叫封装。 上述的逆向过程。 Page 22 封装过程 Page 23 应用层应用层 表示层表示层 会话层会话层 传输层传输层 网络层网络层 数据链路层数据链路层 物理层物理层 上层数据上层数据 TCP 头头 上层数据上层数据 IP 头头 TCP+上层数据上层数据 LLC 头头 IP + TCP +上层数据上层数据 FCS MAC 头头 LLC 头头 + IP + TCP + 上层数据上层数据 FCS 0101110101001000010 解封装过程 Page 24 应用层应用层 表示层表示层 会话层会话层 传输层传输层 网络层网络层 数据链路层数据链路层 物理层物理层 上层数据上层数据 上层数据上层数据 TCP+上层数据上层数据 IP + TCP +上层数据上层数据 LLC 头头 + IP + TCP + 上层数据上层数据 0101110101001000010 数据传输过程 协议 应用层应用层 应用层应用层 表示层表示层 表示层表示层 会话层会话层 会话层会话层 传输层传输层 传输层传输层 网络层网络层 网络层 网络层网络层 数据连路层数据连路层 数据连路层 数据连路层数据连路层 物理层物理层 物理层 物理层物理层 通通 信信 介介 质质 通通 信信 介介 质质 端系统端系统A A 端系统端系统B B Page 25 冲突域和广播域 冲突：在以太网中，当两个节点同时传输数据时，从两个设备发出的帧将会碰撞， 在物理介质上相遇，彼此数据都会被破坏。 冲突域：一个支持共享介质的网段。 广播域：广播帧传输的网络范围，一般是路由器来设定边界 （因为router不转发广播）。 Page 26 OSI模型的缺陷及意义 许多功能在多个层次重复，有冗余感（如流2.3.4层都有，差错控制等，数据链路层有流控）。 各层功能分配不均匀（链路、网络层任务重，会话层任务轻）。 功能和服务定义复杂，很难产品化。 提供了网络间互连的参考模型。 成为实际网络建模、设计的重要参考工具和理论依据。 为我们提供了进行网络设计与分析的方法。 Page 27 TCP/IP与OSI TCP/IP与OSI的比较: ?TCP/IP 分四层，OSI分的是七层。 ?TCP/IP网络实践上的标准，OSI网络理论的标准。 ?TCP/IP定义每一层功能如何实现,OSI定义每一层做什么。 ?TCO/IP的每一层都可以映射到OSI模型中去。 Page 28 TCP/IP与OSI Page 29 应用层应用层 表示层表示层 应用层应用层 会话层会话层 传输层传输层 传输层传输层 网络层网络层 网络层网络层 数据链路层数据链路层 网络接口层网络接口层 物理层物理层 TCP/IP应用层 Page 30 应用层应用层 传输层传输层 网络层网络层 网络接口层网络接口层 文件传输文件传输 - TFTP * - FTP * E-Mail 远程登陆远程登陆- SMTP - Telnet * 网络管理网络管理- SSH* 名称管理名称管理- SNMP * - DNS* TCP/IP传输层 应用层应用层 传输层传输层 网络层网络层 网络接口层网络接口层 Page 31 传输控制协议传输控制协议(TCP) 面向连接面向连接 用户数据报协议用户数据报协议(UDP) 非面向连接非面向连接 端口号 应用层应用层 F T P T E L N E T 23 TCP S M T P D N S T F T P S N M P R I P 21 25 53 69 161 520 端口号端口号 传输层传输层 UDP Page 32 端口号作用 Telnet Z Host A 源端口源端口 目标端口目标端口 Host Z SP 1028 DP 23 目标端口目标端口 = 23. 端口号标识上层通信进程。 小于1024 为周知端口、1024-5000为临时端口、大于 5000为其他服务预留。 Page 33 TCP 确认机制 发送方发送方 发送发送 1 接收接收 1 接收方接收方 发送发送 ACK 2 发送发送 2 接收接收 2 发送发送 ACK 3 发送发送 3 接收接收 3 接收接收 ACK 4 滑动窗口 = 1 Page 34 TCP 三次握手 Host A Host B 1 发送发送 SYN (seq=100 ctl=SYN) 接收接收 SYN 接收接收 SYN 2 发送发送 SYN, ACK (seq=300 ack=101 ctl=syn,ack) 3 建立会话建立会话 (seq=101 ack=301 ctl=ack) TCP连接建立 Page 35 IP地址组成 IP地址为32Bit二进制数组成，用点分十进制表示。 （例如：192.168.1.1/24） IP地址=网络位+主机位 用来标识一个IP地址哪些是网络位, 哪些是主机位。 用1 标识网络为，用0标识主机位。 Page 36 IP地址分类 A类 （1-126） B类 （128-191） C类 （192-223） 前8位表示网络位，前16位表示网络位， 前24位表示网络位，后24位表示主机位。 后16位表示主机位。 后8位表示主机位。 D类 （224-239） 用于组播地址。 E类 （240-255） 科研使用。 Page 37 特殊IP地址 本地回环本地回环(loopback)测试地测试地址址 广播地址广播地址 255.255.255.255 127.0.0.1 0.0.0.0 主机位全为1: 代表该网段的所有主机。 代表任何网络代表任何网络 Page 38 私有IP地址 A类1个：10.0.0.0/8 C类256个： 192.168.0.0/24 - 192.168.255.0/24 B类16个： 172.16.0.0/16 -172.31.0.0/16 Page 39 子网划分的核心思想 ? “ 借用”主机位来“制造”新的“网络” 网络网络 172.16.2.160 255.255.255 .0 子网（借位）子网（借位） 主机主机 00000010 10100000 11111111 00000000 00000010 00000000 128 192 224 240 248 252 254 255 10101100 11111111 10101100 00010000 11111111 00010000 网络号网络号 172 16 2 0 Page 40 划分子网方法 ?所选择的子网掩码将会产生多少个子网?: ?2的x 次方(x代表借掩码位数)。 ?每个子网能有多少主机?: ?2的y 次方-2(y代表当前主机位数)。 ?每个子网的广播地址是?: ?广播地址=下个子网号-1 ?每个子网的有效主机分别是?: ?忽略全为0和全为1的地址，剩下的就是有效主机地址。 Page 41 子网划分优点 ?子网划分可以解决IP地址紧缺的问题。 ?子网划分可以解决广播问题，分割广播域。 ?例如：一个C类网络，有254台主机可以用。当我们分给一个公司，但是该公司没有这么多主机，地址就有很大的浪费。通过子网划分可以节省IP地址。 Page 42 交换机概述 是全双工，可发可收。能识别数据帧中的MAC信息，根据地址信息把数据交换到特定的接口。 交换机是根据数据帧中的封装的目的MAC地址来做出转发数据的决定。 是目的MAC和交换机接口的映射，交换机根据MAC表把数据发送到相应的接口。 Page 43 交换机的三个功能 Page 44 地址学习 帧的转发/过滤 环路防止 交换机地址学习 MAC地址表地址表 0260.8c01.1111 A B 0260.8c01.3333 E0 0260.8c01.2222 C E1 E3 D E2 0260.8c01.4444 Page 45 ?最初开机时MAC地址表是空的 ?Mac地址表条目默认老化时间是 300秒，以下命令可改变老化时间: sw(config)#mac-address-table aging-time ? Aging time value 交换机地址学习 MAC地址表地址表 0260.8c01.1111 A E0: 0260.8c01.1111 B 0260.8c01.3333 E0 0260.8c01.2222 C E1 D E2 E3 0260.8c01.4444 ?主机A发送数据帧给主机C ?交换机通过学习数据帧的源 MAC地址，记录下主机A的MAC地址对应端口E0 ?该数据帧转发到除端口 E0以外的其它所有端口(不清楚目标主机的单点传送用泛洪方式 ) Page 46 帧的转发 0260.8c01.1111 A MAC地址表地址表 E0: 0260.8c01.1111 E2: 0260.8c01.2222 E1: 0260.8c01.3333 E3: 0260.8c01.4444 B 0260.8c01.3333 E0 0260.8c01.2222 C E1 E3 D E2 0260.8c01.4444 ?主机C发送数据给B：交换机发现目的B的MAC对应E1接口，就把数据从这里发送出去。 ?主机D发送广播帧或多点帧：广播帧或多点帧泛洪到除源端口外的所有端口。 Page 47 防止环路 x 阻塞阻塞 ?运行STP协议防止环路。 ?某些端口置于阻塞状态就能防止冗余结构的网络拓扑中产生回路。 Page 48 交换机配置 ?配置命名：Switch(config)# hostname Sw1 ?配置管理IP： Sw1(config)# int vlan 1 Sw1(config-if)# ip add 172.16.1.210 255.255.255.0 Sw1(config-if)# no shut ?配置网关 ： Sw1(config)# ip default-gateway 172.16.1.201 ?查看MAC表。 Sw1#sh mac-add ?设置双工和速率。 Sw1(config)# int f0/1 Sw1(config-if)#speed 10 / 100 / auto Sw1(config-if)#duplex half / full / auto Page 49 VLAN概述 Page 50 第三层第三层 第二层第二层 第一层第一层 销售部销售部 人力资源部人力资源部 工程部工程部 VLAN =一个广播域 = 逻辑网段 (子网) 一个VLAN的优点及分类 隔离二层广播，优化网性能。 优点 VLAN可以跨越交换机，简化布线，方便管理。 每个VLAN是一个独立的子网，VLNA间的通信要通过三层设备实现， 可以通过访问控制列表对VLNA间的通信进行安全控制。 静态VLAN：基于交换机接口。 动态VLAN：基于主机MAC地址，不常用, 需要在交换中建立一张VMPS表，来标明哪些MAC属于哪个VLAN. 效率低。 分类 Page 51 VLAN运行 交换机交换机 A 红色红色 VLAN 黑色黑色 VLAN 绿色绿色 VLAN ? 每个逻辑的VLAN就象一个独立的物理桥 ? 交换机上的每一个端口都可以分配给不同的VLAN ? 默认的情况下，所有的端口都属于VLAN1（Cisco） Page 52 VLAN运作 交换机交换机A 交换机交换机B 红色红色 VLAN 黑色黑色 VLAN 绿色绿色 VLAN 红色红色 VLAN 黑色黑色 VLAN 绿色绿色 VLAN ? 同一个VLAN可以跨越多个交换机 Page 53 VLAN运作 干道连接干道连接 快速以太网快速以太网 红色红色 VLAN 黑色黑色 VLAN 绿色绿色 VLAN 红色红色 VLAN 黑色黑色 VLAN 绿色绿色 VLAN ? 主干功能支持多个VLAN的数据 ? 主干使用了特殊的封装格式支持不同的VLAN ? 只有快速以太网端口可以配置为主干端口 Page 54 VLAN的配置 ?全局模式 Switch# configure terminal Switch(config)# vlan 3 Switch(config-vlan)# name Vlan3 Switch(config-vlan)# exit Switch(config)# end ?数据库模式 Switch# vlan database Switch(vlan)# vlan 3 VLAN 3 added: Name: VLAN0003 Switch(vlan)# exit APPLY completed. Exiting. Page 55 VLAN的接入端口 ? 接入交换机端口在一个单一的数据的VLAN Page 56 VLAN执行的命令 ? 配置VLAN -vlan 101 -switchport mode access -switchport access vlan 101 ? 验证VLAN -show interfaces -show vlan Page 57 配置VLAN的接入 Switch(config)# vlan vlan_id 配置一个VLAN. Switch(config-vlan)# name vlan_name 给VLAN命名. Switch(config-if)# switchport mode access 配置交换机的端口为接入模式 . Switch(config-if)# switchport access vlan vlan_id 把接入端口划分到 vlan中. Page 58 查看VLAN Switch#show vlan VLAN Name Status Ports - - - - 1 default active Fa0/1, Fa0/2, Fa0/3, Fa0/4 Fa0/5, Fa0/7, Fa0/9 11 asw11_data active 12 asw12_data active 95 VLAN0095 active Fa0/8 99 Trunk_Native active 100 Internal_Access active 111 voice-for-group-11 active 112 voice-for-group-12 active 1002 fddi-default act/unsup 1003 token-ring-default act/unsup 1004 fddinet-default act/unsup 1005 trnet-default act/unsup VLAN Type SAID MTU Parent RingNo BridgeNo Stp BrdgMode Trans1 - - - - - - - - - 1 enet 100001 1500 - - - - - 0 11enet 100011 1500 - - - - - 0 . . . . . Page 59 网络故障排查 ARP及ARP防护 1 2 arp原理原理 arp攻击方式攻击方式 3 arp防护防护 Page 60 ARP协议原理 ARP协议是“Address Resolution Protocol”（地址解析协议）的缩写。在局域网中，网络中实际传输的是“帧”，帧里面有目标主机的MAC地址； 在以太网中，一个主机要和另一个主机进行直接通信，必须要知道目标主机的MAC地址。但这个目标MAC地址是如何获得的呢？它就是通过地址解析协议获得的。 ARP协议的基本功能就是主机在发送报文前将目标主机的IP地址解析成目标主机的MAC地址，以保证通信的顺利进行。 Page 61 ARP协议原理 ? Arp request和reply的数据帧长都是42字节（28字节的arp数据、14字节的以太帧头） 以太网 目的地址 6 以太网 源地址 6 帧 硬件 协议 硬件 协议 OP 发送端 发送端 目的 目的 地址 地址 类型 地址 类型 以太网地址 IP地址 以太网地址 IP地址 长度 长度 2 2 2 1 6 4 1 2 28字节ARP请求/应答 6 4 以太网首部 Page 62 ARP协议原理 以太网目的地址 以太网目的地址 以太网源地址 以太网源地址 硬件类型 硬件地址长协议地址长度 度 协议类型 操作 发送者以太网地址(0-3) 发送者以太网地址(4-5) 发送者协议地址(0-1) 发送者协议地址(2-3) 目的以太网地址(0-1) 目的以太网地址(2-5) 目的协议地址(0-3) Page 63 ARP协议原理 正常的ARP通讯过程只需ARP Request和ARP Replay两个过程，简单的说就是一问一答： internet internet gateway ARP Replay ARP Request PC Page 64 ARP协议原理 网关回应给主机的ARP Reply报文 主机收到网关的ARP Reply报文后，同样会提取报文中的“Senders hardware address”和“Senders protocol PC address”生成自己的 ARP表项； Page 65 ARP攻击方式 ? Arp flood arp 泛洪，只要是瞬间发送大量的arp数据包给switch，填满switch的mac table，导致无法switch工作异常， 提示：这时switch就会象hub一样工作 Page 66 ARP攻击方式 ?gratuitous arp 免费arp， 原理： 1.gratuitous arp也是arp request的一种，所以是 broadcast,就是群发，就是搞的地球人都知道 2. gratuitous arp的arp报文中，源ip和目的ip是 一样的，就是为了再次确认网络中身份。 ms的ip地址冲突监测机制就是通过 免费arp实现的 Page 67 ARP攻击方式 ? 免费arp的精髓 前文说到构建arp spoof的简易方式。 这里我有一个疑问，如果攻击者不让其中的1个用户访问任何地址，是否需要发送整个网段的错误的mac地址给 受害主机？ 答案是 NO 如果这样劳命伤财，不是好办法！ 只要代表受害主机发送错误的gratuitous arp。1个arp报文足以！当然arp table有老化时间，不过谎话不停的说，说了多次，就变成“真”di了 这样网络中的其他主机都收到错误的mac地址的arp报文进行更新自身的arp cache。于是灾难就这样发生了！ Page 68 ARP攻击方式 免费arp的工作原理 原来 良民的地址是 4444.4444.4444 发送发送源源ip和目的和目的ip均为均为受害主机的受害主机的 ip地址地址的免费的免费arp报文报文 普通交换机普通交换机 GratuitousArp Send mac add=错误的错误的mac地址地址 Send ip add=受害主机受害主机ip Target ip add受害主机受害主机ip 这是广播报文哦这是广播报文哦 我好毒、我好毒、 我好毒我好毒 为什么整个为什么整个网段都网段都ping不通？！不通？！ 我真实的mac是 恐怖份子恐怖份子 Page 69 极品良民极品良民 1111.1111.1111 ARP攻击方式 ? Arp proxy arp 代理：arp proxy是arp的攻击之首， 这也是传说的“中间人”攻击！ 原理: 双向arp spoof Page 70 ARP攻击方式 Proxy arp的工作原理 Arp reply to GW Send mac add恐怖份子恐怖份子mac Send ip add=极品良民极品良民ip Target mac add GW mac地址地址 Target ip addGW ip地址地址 S8610 Gateway 普通交换机普通交换机 Arp reply to 良民良民 Send mac add恐怖份子恐怖份子mac Send ip add=网关网关ip Target mac add 良民良民mac地址地址 Target ip add良民良民 ip地址地址 IC、IP、IQ卡，卡， 统统告诉我密码统统告诉我密码 我要和网关通我要和网关通讯，没钱了，讯，没钱了，我要查我的银我要查我的银行账户行账户 恐怖份子的潜台词：恐怖份子的潜台词： Hello，良民，我是网关！ Hello，网关，我是良民！ Page 71 恐怖份子恐怖份子 极品良民极品良民 ARP攻击方式 原来良民的原来良民的mac 地址是地址是 3333.3333.3333 S8610 Gateway Proxy arp的工作原理 我真实的mac是 2222.2222.2222 普通交换机普通交换机 IC、IP、IQ卡，卡， 统统告诉我密码统统告诉我密码 嘿嘿，俺的真实mac是 3333.3333.3333 我要和网关通我要和网关通讯，没钱了，讯，没钱了，我要查我的银我要查我的银行账户行账户 极品良民极品良民 原来网关的原来网关的mac地址是地址是 3333.3333.3333 恐怖份子恐怖份子 Page 72 恐怖份子的潜台词：恐怖份子的潜台词： Hello，良民，我是网关！ Hello，网关，我是良民！ ARP攻击方式 S8610 Gateway Arp table 良民ip 恐怖份子恐怖份子mac Proxy arp的工作原理 我真实的mac是 2222.2222.2222 普通交换机普通交换机 IC、IP、IQ卡，卡， 统统告诉我密码统统告诉我密码 后期良民和网关的通讯后期良民和网关的通讯 路线图；路线图； 所有通讯报文都要经过恐怖份子所有通讯报文都要经过恐怖份子 嘿嘿，俺的真实mac是 3333.3333.3333 恐怖份子恐怖份子 恐怖份子的潜台词：恐怖份子的潜台词： Hello，良民，我是网关！ Hello，网关，我是良民！ Page 73 极品良民极品良民 Arp table 网关ip 恐怖份子恐怖份子mac ARP防护 电脑绑定电脑绑定arp arp -s 157.55.85.212 00-aa-00-62-c6-09 备注:arp a arp d echo off arp -d a arp s网关LAN IP网关LAN MAC AntiARP防火墙、瑞星个人防火墙防火墙、瑞星个人防火墙 2008、360ARP防火墙等防火墙等 原理:拦截ARP的攻击或者是 IP冲突，保障系统不会受 ARP攻击的影响 NBR的免费的免费arp NBR的8.41b5后推出免费 arp的功能！ 当前最新正式发布版本是 8.5b9! 目的是通过不断的 gratuitous arp 的broadcast宣告自己的正确 mac。现在是每秒 1个gratuitous arp报文。 Ip和和mac的绑定的绑定 该功能只是该 ip只响应绑定的 mac，如果更换ip，就有可以正常上网，并不是该 mac一定只能使用该ip才能上网，这个是一定要区分清楚的！除非绑定一个子网 ARP防护 ?DHCP Snooping 监控方式也即DHCP Snooping方式，适合大部分主机为动态分配IP地址的网络场景。实现原理：接入层交换机监控用户动态申请IP地址的全过程，记录用户的IP、MAC和端口信息，并且在接入交换机上做多元素绑定，从而在根本上阻断非法ARP报文的传播。 另外，ARP泛洪攻击会产生大量的ARP报文，消耗网络带宽资源和交换机CPU资源，造成网络速度急剧降低。因此可以在接入交换机部署ARP报文限速，对每个端口单位时间内接收到的ARP报文数量进行限制，避免ARP泛洪攻击，保护网络资源。 Page 75 重庆网安计算机技术服务中心 （023-67031431 ） 知识回顾知识回顾Knowledge Knowledge Review Review