[精选]校园网安全专题之——如何防范网络攻击36178.pptx

校园网安全专题之 如何防范网络攻击湖南大网络中心湖南大网络中心20072007年年1111月月提纲网络安全分析物理层安全防范数据链路层安全防范网络层安全防范网络设备的安全管理网络攻击软件繁多大量的攻击工具随手拾来网络攻击方向灵活网络设备连接物理层链路层网络层传输层会话层表示层应用层主机A物理层链路层网络层传输层会话层表示层应用层主机B物理链接：光纤线缆、铜缆线缆MAC 地址、VLAN、ARP 请求、DHCP 应用、SPANNING TREE 等IP 地址、网络路由协议TCP/UDP 传输端口号OSI 模型建立，使得不同设备的不同层之间相互通讯ICMP、IGMP应用数据流：DNS/HTTP/FTP/Telnet/SMTP各网络层次的威胁浅析安全关注点：该层次的安全问题主要是由提供服务所采用的应用软件和数据的安全性产生，包括WEB 服务、电子邮件系统、FTP 等，此外还包括病毒对系统的威胁安全关注点：面向连接和非面向连接的攻击安全关注点：IP地址扫描/欺骗/盗用安全关注点：MAC 地址欺骗/攻击、ARP 欺骗/攻击、STP 攻击、DHCP 攻击安全关注点：线路的安全、物理设备的安全、机房的安全等TCP/IP 协议栈网络中的各个设备必工作于协议栈的某个层次OSI 网络七层模型网络设备连接物理层链路层网络层传输层会话层表示层应用层主机A物理层链路层网络层传输层会话层表示层应用层主机B物理链接：光纤线缆、铜缆线缆MAC 地址、VLAN、ARP 请求、DHCP 应用、SPANNING TREE 等IP 地址、网络路由协议TCP/UDP 传输端口号ICMP、IGMP威胁和破坏最底层安全最薄弱，一旦受到威胁和破坏，那么在此层之上的其它网络层次都将受到影响应用数据流：DNS/HTTP/FTP/Telnet/SMTP网络攻击的层次及方位Internet汇聚层核心设备攻击服务器攻击网络层攻击网络层攻击网络层攻击数据链路层攻击数据链路层攻击数据链路层攻击接入层外网攻击要防范校园网内部的整体安全，最好的方式是在交换机上进行控制！交换机需要内嵌哪些安全机制？源地址检查PingSweep防止用户对网络的扫描ACL功能强大的ACL功能、提供标准、扩展、基于时间以及专家级ACL，全方位保护网络RADIUS身份验证/SSHBPDU GUARD，802.1W防止对STP 的攻击Storm Contrl风暴控制防止瞬间超大的数据流量验证用户对核心设备的访问PORT SERCURITY端口MAC 的绑定、限定MAC数量，有效保护网络攻击源IP 地址欺骗攻击检测SSH/源IP地址限制设备访问的安全性防DOS 攻击防SYN、Smurf攻击提纲网络安全分析物理层安全防范数据链路层安全防范网络层安全防范网络设备的安全管理物理层安全防范 最简单的安全漏洞可能导致最严重的网络故障。比如因为施工的不规范导致光缆被破坏，雷击事故，网络设备没有保护措施被损坏，甚至中心机房因为不小心导致外来人员蓄意或无心的破坏 为了最大限度降低安全风险，提高意外情况下的恢复能力，我们需要做的是：完善规范的网络管理制度.提纲网络安全分析物理层安全防范数据链路层安全防范网络层安全防范网络设备的安全管理数据链路层安全防范 MAC 攻击 ARP 攻击 DHCP 攻击 STP 攻击MAC 攻击FF.FF.FF.FF.FF.FF广播MAC 地址 00.d0.f8.00.07.3c前3 个字节：IEEE 分配给网络设备制造厂商的后3 个字节：网络设备制造厂商自行分配的，不重复，生产时写入设备MAC 地址：链路层唯一标识MAC 攻击MAC 攻击之一：MAC 地址欺骗 将合法的MAC 地址修改成不存在的MAC 地址或其它计算机的MAC 地址，从而隐藏自己真实的MAC，来达到一些不可告人的目的，这就是MAC 地址欺骗。MAC 攻击接入交换机MAC Port A 1 B 8 C 14 MAC 地址表：空间有限PC A PC B PC CMAC 攻击MAC 攻击之二：MAC 地址洪泛攻击交换机内部的MAC 地址表空间是有限的，MAC攻击会很快占满交换机内部MAC 地址表，使得单播包在交换机内部也变成广播包向同一个VLAN中所有端口转发，每个连在端口上的客户端都可以收到该报文，交换机变成了一个Hub，用户的信息传输也没有安全保障了。MAC 攻击交换机攻击者MAC APC BMAC BPC CMAC C MAC Port H 1 X 2 Y 3 交换机内部的MAC 地址表空间很快被不存在的源MAC 地址占满。没有空间学习合法的MAC B，MAC C流量 CB流量 CB流量C B单播流量在交换机内部以广播包方式在所有端口转发，非法者也能接受到这些报文MAC 攻击：每秒发送成千上万个随机源MAC 的报文MAC 攻击交换机攻击者 FTP 服务器PC C用户名、密码用户名、密码用户名、密码用户名：unit密码：qy7ttvj7vgSniffer 截取数据包利用MAC 地址洪泛攻击截获客户信息MAC 攻击MAC 攻击防范：1、MAC 静态地址锁 2、802.1x 自动绑定MAC 地址 3、限定交换机某个端口上可以学习的MAC 数量MAC 攻击 交换机攻击者 当端口学习的源MAC 地址数量大于一定的数量（这个值可以自己设定）或源MAC 地址和端口绑定的不一样，受到的数据帧丢弃/发送警告信息通知网管员/端口可关闭MAC 攻击防范数据链路层安全防范 MAC 攻击 ARP 攻击 DHCP 攻击 STP 攻击ARP 攻击ARP 协议在以太网中传输的数据包是以太包，而以太包的寻址是依据其首部的物理地址（MAC 地址）。仅仅知道某主机的逻辑地址（IP 地址）并不能让内核发送一帧数据给此主机，内核必须知道目的主机的物理地址才能发送数据。ARP 协议的作用就是在于把逻辑地址变换成物理地址，也既是把32bit 的IP 地址变换成48bit 的以太地址。32 位IP 地址：202.103.24.10548 位MAC 地址：00-d0-f8-fb-29-e3ARPARP 攻击 每一个主机都有一个ARP 高速缓存，此缓存中记录了最近一段时间内其它IP 地址与其MAC 地址的对应关系。如果本机想与某台主机通信，则首先在ARP 高速缓存中查找此台主机的IP 和MAC 信息，如果存在，则直接利用此MAC 地址构造以太包；如果不存在，则向本网络上每一个主机广播一个ARP 请求包，其意义是如果你有此IP 地址，请告诉我你的MAC 地址“，目的主机收到此请求包后，发送一个ARP 响应包，本机收到此响应包后，把相关信息记录在ARP 高速缓存中。ARP 攻击 局域网中两台PC 通讯，一台PC B 要和另一台PCA 通讯，首先需要知道PC A 的MAC 地址，因为在广域网靠IP 来寻址，而在局域网中是靠MAC 地址来寻址的。PC B 先查找机器缓存中存贮的ARP 表（IP 和MAC 对应关系表），该表为动态刷新的。如何没有必须先发出一个ARP 请求的广播报文，询问大家：IP 地址是PC A 的MAC 地址是多少？局域网里的PC 都会收到ARP 请求报文，并查看自己的IP 是否是PC A，如果是则响应，反馈ARP 响应报文，响应报文中有PC A的MAC 地址：MAC A。PC A PC B PC C PC DARP 请求：IP A?ARP 响应：IP AMAC AARP 攻击 按照RFC 的规定，PC 在发ARP 响应时，不需要一定要先收到ARP 请求报文，局域网中任何一台PC 都可以向网络内其它PC 通告：自己就是PC A 和MAC A 的对应关系，这就给攻击者带来可乘人之危的漏洞！ARP 协议的缺陷PC A PC B PC C PC D非法ARP 响应：IP AMAC CARP 攻击ARP 攻击之一：ARP 欺骗ARP 欺骗：利用上页讲到的ARP 漏洞，发送虚假的ARP 请求报文和响应报文，报文中的源IP和源MAC 均为虚假的，扰乱局域网中被攻击PC 中保存的ARP 表，使得网络中被攻击PC 的流量都可流入到攻击者手中。ARP 攻击PC B攻击者：发送ARP欺骗192.168.10.1MAC A192.168.10.3MAC C192.168.10.2MAC B发送ARP 响应，告诉：192.168.10.1 对应的MAC 是MAC CARP 表刷新，192.168.10.1 对应的是MAC C发送到PC A 的流量均到攻击者手中MAC C发送ARP 响应，告诉：192.168.10.2 对应的MAC 是MAC CARP 表刷新，192.168.10.2 对应的是MAC CPC AARP 攻击ARP 攻击之二：ARP 恶作剧ARP 恶作剧：和ARP 欺骗的原理一样，报文中的源IP和源MAC 均为虚假的，或错误的网关IP和网关MAC 对应关系。它的主要目的不是窃取报文，而是扰乱局域网中合法PC 中保存的ARP 表，使得网络中的合法PC 无法正常上网、通讯中断。ARP 攻击PC B攻击者：发送ARP欺骗192.168.10.1 MAC A192.168.10.3MAC C192.168.10.2MAC B发送ARP 响应，告诉：192.168.10.1 对应的MAC 是MAC XARP 表刷新，192.168.10.1 对应的是MAC X网关找不到正确的网关，所有访问外网的数据都无法得到回应ARP 攻击发包工具TouchStoneARP 攻击ARP 攻击之三：ARP 洪泛ARP 洪泛：网络病毒利用ARP 协议，在网络中大量发送伪造ARP 报文，扰乱网络中主机和设备的ARP 缓存，导致无法正常访问网络的攻击行为。相关病毒：TrojanDropper.Win32.Juntador.c Win32.Troj.Mir2 Win32.Troj.Zypsw.33952 ARP 攻击思考：使用交换机的IP、MAC、端口绑定可以进行控制吗？ARP 攻击ARP 数据包ARP 攻击防范：需要使用专用的交换机端口ARP Check 功能 ARP 攻击PC B攻击者：发送ARP欺骗192.168.10.3MAC C192.168.10.2MAC B发送ARP 响应，说：PC A 对应的MAC 是MAC C发送ARP 响应，说：PC B 对应的MAC 是MAC CARP 攻击防范192.168.10.1MAC APC A数据链路层安全防范 MAC 攻击 ARP 攻击 DHCP 攻击 STP 攻击DHCP 攻击什么是DHCP？DHCP 是Dynamic Host Configuration Protocol 之缩写，即动态主机配置协议，它能够自动地给网络中的主机分配IP地址和设置相关网络属性。DHCP协议被广泛的应用在局域网环境里来动态分配IP地址。使用了DHCP服务后，网络的管理和配置是集中化和自动化的，能够把手工IP 地址配置所导致的配置错误减少到最低程度，比如手工设置IP所造成的IP地址冲突、网关和DNS设置错误等，大大减少网络的管理难度和管理时间。DHCP 攻击DHCP ServerPC ClientDHCP Discover(广播包)DHCP Offer(单播包)DHCP Request(广播包)DHCP ACK(单播包)DHCP：标准请查阅RFC2131DHCP 协议DHCP 攻击DHCP 报文格式Client IP Address(CIADDR)（4Bytes）Seconds（2Bytes）Flags（2Bytes）Transaction ID(XID)Server IP Address(SIADDR)（4Bytes）Your IP Address(YIADDR)（4Bytes）Gateway IP Address(GIADDR)（4Bytes）Client Hardware Address(CHADDR)（16Bytes）Filename（128Bytes）Server Name(SNAME)（64Bytes）DHCP OptionsOP Code Hardware Type Hardware Length HOPSDHCP 攻击Filename（128Bytes）DHCP OptionsOP：若是Client 送给DHCP Server 的报文，设为1，反之为2 Client IP Address(CIADDR)：要是客户端（Client）想继续使用之前取得的IP 地址，则列于这个字段Your IP Address(YIADDR)：DHCP Server 送回客户端（Client）的DHCP Offer 和DHCP ACK 报文中，此栏填写DHCP Server 分配给Client 端的IP 地址Gateway IP Address(GIADDR)：若需跨网段进行DHCP 发放，这个字段则为Relay Agent 的IP 地址，否则为0；Client Hardware Address(CHADDR)（16Bytes）：客户端申请IP 地址用的MAC 地址即在此字段DHCP Options：允许厂商自定义的选项，以提供更多的设定信息(如子网掩码、Gateway、DNS、用户权限等)。其长度可变，可携带多个选项，每一个选项的第一个byte 为信息代码，其后一个byte 为该项信息长度，之后为该项信息内容DHCP 攻击DHCP 攻击之一：恶意DHCP 请求DHCP 服务器攻击：恶意用户通过更换MAC 地址的方式向DHCP Server 发送大量的DHCP 请求，以消耗DHCP Server 可分配的IP地址为目的，使得合法用户的IP请求无法实现。DHCP 攻击链路层报头 链路层报头 网络层报头 网络层报头 UDP UDP 报头 报头 DHCP DHCP 报文内容 报文内容源MAC 地址在不断变化目的MAC 地址FFFF.FFFF.FFFFDHCP 攻击DHCP ServerPC Client攻击者不断变化MAC地址Denial of ServiceIP Pool 被耗尽DHCP Discover(广播包)X DHCP 可以分配的IP 数量DHCP Offer(单播包)X DHCP 可以分配的IP 数量DHCP Request(广播包)X DHCP 可以分配的IP 数量DHCP ACK(单播包)X DHCP 可以分配的IP 数量DHCP 攻击防范：1、MAC 静态地址锁 2、802.1x 自动绑定MAC 地址 3、限定交换机某个端口上可以学习的MAC 数量DHCP 攻击DHCP ServerPC Client 1、当端口学习的源MAC 地址数量大于所限定的数量，受到的数据帧丢弃/发送警告信息通知网管员/并关闭端口攻击者不断变化MAC地址 2、802.1x 端口下，端口自动绑定用户IP/MAC，用户再如何更改MAC，报文都无法通过认证端口恶意DHCP 请求的防范DHCP 攻击DHCP 攻击之二：伪装的DHCP Server伪装的DHCP Server：非法DHCP Server，为合法用户的IP请求分配不正确的IP地址、网关、DNS 等错误信息，不仅影响合法用户的正常通讯，还导致合法用户的信息都发往非法DHCP Server，严重影响合法用户的信息安全。DHCP 攻击DHCP ServerPC Client攻击者：伪装为DHCP ServerClient 发出的DHCP 请求报文非法DHCP Server 响应报文Client 访问某个PC 的报文DHCP 攻击防范：1、检查和控制DHCP 响应报文是否：是合法DHCP Server 发出的报文2、控制客户端发出的DHCP 请求报文被广播出去？DHCP 攻击防范：防范：接入交换机一般不具有DHCP Relay 功能，收到DHCP 请求广播报文后，并在VLAN 内是向所有端口转发。交换机具有DHCP Relay 功能，一旦启用DHCP Relay 功能，并且配置了DHCP Server 的IP 地址，则客户端发出的DHCP请求，在交换机中将不以广播包的形式转发出去，而是直接到交换机CPU，从而有效避免DHCP 请求报文广播出去被非法DHCP Server 收到。交换机CPU 处理后，以单播的形式发往指定的DHCP Server。收到DHCP 响应报文后（Offer，ACK，NAK 报文），CPU 会判定报文中的源IP 地址是否为交换机中设定的DHCP Server的地址，从而保证DHCP 响应报文的合法性。这比仅仅设定交换机某个端口可以接受DHCP 响应报文更合理和可靠。数据链路层安全防范 MAC 攻击 ARP 攻击 DHCP 攻击 STP 攻击STP 攻击STP STP 攻击：攻击：发送虚假的BPDU 报文，扰乱网络拓扑和链路架构，充当网络根节点，获取信息。STP 攻击STP 攻击防范：1、对于接入层交换机，在没有冗余链路的情况下，尽量不开启STP 协议（传统的防范方式）2、使用交换机具备的BPDU Guard 功能，可以禁止网络中直接接用户的端口或接入层交换机的下连端口收到BPDU 报文。从而防范用户发送非法BPDU 报文 提纲网络安全分析物理层安全防范数据链路层安全防范网络层安全防范网络设备的安全管理网络层安全防范 IP 欺骗攻击 IP 扫描攻击IP 欺骗攻击IP 欺骗：盗用合法用户的IP 地址，隐藏自己的真正身份。IP 欺骗和MAC 欺骗相结合，伪装成其他人进行网络访问。不断修改IP，发送TCP SYN 连接，攻击Server，造成SYN Flood 攻击。IP 欺骗攻击SYN Flood SYN Flood 利用TCP协议缺陷，变化IP，发送了大量伪造的TCP连接请求，使得被攻击方资源耗尽，无法及时回应或处理正常的服务请求l 一个正常的TCP连接需要三次握手，首先客户端发送一个包含SYN 标志的数据包，其后服务器返回一个SYN/ACK 的应答包，表示客户端的请求被接受，最后客户端再返回一个确认包ACK，这样才完成TCP连接，进入数据包传输过程IP 欺骗攻击TCP三次握手ServerPC Client攻击者TCP SYN TCP SYNSYN/ACK SYN/ACKACK ACK1 12 23 3IP 欺骗攻击SYN Flood SYN Flood 利用TCP协议缺陷，变化IP，发送了大量伪造的TCP连接请求，使得被攻击方资源耗尽，无法及时回应或处理正常的服务请求；l 在服务器端发送应答包后，如果客户端不发出确认，服务器会等待到超时，期间这些半连接状态都 保存在服务器 保存在服务器一个空间有限的缓存队列中 一个空间有限的缓存队列中；l 如果大量的SYN 包发到服务器端后没有应答，就会使服务器端的TCP资源迅速耗尽，导致正常的连接不能进入，甚至会导致服务器的系统崩溃。IP 欺骗攻击ServerPC Client攻击者TCP SYN TCP SYNSYN/ACK SYN/ACK下一个 下一个SYN SYN1 12 23 3客户端无确认包，服务器处于半连接状态，很快缓存空间即被消耗掉SYN Flood 攻击IP 欺骗攻击IP/MAC欺骗伪装者：发送ARP欺骗192.168.10.1MAC A以PC B 的地址192.168.10.2 和MAC B 发送报文收到以IP B/MAC B封装的报文PC B192.168.10.2MAC B192.168.10.3MAC C攻击者伪装成PC B 的身份上网，网络管理员以为是PC B 在进行网络访问IP 欺骗攻击防范：1、交换机端口静态绑定IP 地址 2、交换机端口静态绑定IP 和MAC 地址 3、802.1x 自动绑定IP 和MAC 地址 4、DHCP 动态绑定IP 欺骗攻击192.168.10.1MAC A192.168.10.3MAC C192.168.10.2MAC B以PC B 的地址192.168.10.2 和MAC B 发送报文PC B用MAC B 发送报文以IP 地址为PC B 的192.168.10.2 发送报文端口安全绑定，禁止非法报文通过攻击者：发送ARP欺骗IP 欺骗攻击防DOS/DDOS攻击：RFC 2827 的入口过滤规则网络层安全防范 IP 欺骗攻击 IP 扫描攻击IP 扫描攻击众 所 周 知，许 多 黑 客 攻 击、网 络 病 毒 入 侵 都 是 从 扫描 网 络 内 活 动 的 主 机 开 始 的，大 量 的 扫 描 报 文 也 急剧占用网络带宽，导致正常的网络通讯无法进行。一批IP 网段某些不存在的IPIP 扫描攻击扫描工具SuperScanIP 扫描攻击防范：system-guard 功能：在每个接口上设置相应的攻击阀值；检测用户、隔离用户（记录日志信息）、恢复通讯（记录日志信息）；被监控的攻击主机数量、隔离用户的时间都可以根据网络实际状况设置。提纲网络安全分析物理层安全防范数据链路层安全防范网络层安全防范网络设备的安全管理因为一旦攻击者登录交换机，那么交换机配置的所有安全防范措施则化为乌有，因此必须重视交换机管理安全！1、一般的网络管理协议：SNMPv2，Telnet，Web 等都是明文登录和传输信息的。因此，尽量使用SSH、SNMPv3 等秘文传输方式登录交换机，因为它们都与交换机之间都是加密传输2、管理VLAN 与用户VLAN 分开3、交换机上不用的端口划在一个VLAN 中，并将这些口Shutdown，需要用时，再开启4、限制可以管理交换机的IP，锐捷交换机均支持Telnet 和Web 的源IP 访问控制列表网络设备管理问题网络设备管理可以说是网络中最薄弱的一个环节！养成良好的网管习惯 不要忽略任何可疑信息 不要忘记配置并更新ACL 不要忘记使用绑定功能 尽量控制攻击的最小范围（尽量在接入层部署安全功能）保护好你的密码 业务网段与管理网段隔离 服务器独立在一个区域 设备的缺省配置记得修改谢 谢!9、静夜四无邻，荒居旧业贫。5月-235月-23Tuesday,May 16,2023 10、雨中黄叶树，灯下白头人。18:43:3718:43:3718:435/16/2023 6:43:37 PM 11、以我独沈久，愧君相见频。5月-2318:43:3718:43May-2316-May-23 12、故人江海别，几度隔山川。18:43:3718:43:3718:43Tuesday,May 16,2023 13、乍见翻疑梦，相悲各问年。5月-235月-2318:43:3718:43:37May 16,2023 14、他乡生白发，旧国见青山。16 五月 20236:43:37 下午18:43:375月-23 15、比不了得就不比，得不到的就不要。五月 236:43 下午5月-2318:43May 16,2023 16、行动出成果，工作出财富。2023/5/16 18:43:3718:43:3716 May 2023 17、做前，能够环视四周；做时，你只能或者最好沿着以脚为起点的射线向前。6:43:37 下午6:43 下午18:43:375月-23 9、没有失败，只有暂时停止成功！。5月-235月-23Tuesday,May 16,2023 10、很多事情努力了未必有结果，但是不努力却什么改变也没有。18:43:3718:43:3718:435/16/2023 6:43:37 PM 11、成功就是日复一日那一点点小小努力的积累。5月-2318:43:3718:43May-2316-May-23 12、世间成事，不求其绝对圆满，留一份不足，可得无限完美。18:43:3718:43:3718:43Tuesday,May 16,2023 13、不知香积寺，数里入云峰。5月-235月-2318:43:3718:43:37May 16,2023 14、意志坚强的人能把世界放在手中像泥块一样任意揉捏。16 五月 20236:43:37 下午18:43:375月-23 15、楚塞三湘接，荆门九派通。五月 236:43 下午5月-2318:43May 16,2023 16、少年十五二十时，步行夺得胡马骑。2023/5/16 18:43:3718:43:3716 May 2023 17、空山新雨后，天气晚来秋。6:43:37 下午6:43 下午18:43:375月-23 9、杨柳散和风，青山澹吾虑。5月-235月-23Tuesday,May 16,2023 10、阅读一切好书如同和过去最杰出的人谈话。18:43:3718:43:3718:435/16/2023 6:43:37 PM 11、越是没有本领的就越加自命不凡。5月-2318:43:3718:43May-2316-May-23 12、越是无能的人，越喜欢挑剔别人的错儿。18:43:3718:43:3718:43Tuesday,May 16,2023 13、知人者智，自知者明。胜人者有力，自胜者强。5月-235月-2318:43:3718:43:37May 16,2023 14、意志坚强的人能把世界放在手中像泥块一样任意揉捏。16 五月 20236:43:37 下午18:43:375月-23 15、最具挑战性的挑战莫过于提升自我。五月 236:43 下午5月-2318:43May 16,2023 16、业余生活要有意义，不要越轨。2023/5/16 18:43:3718:43:3716 May 2023 17、一个人即使已登上顶峰，也仍要自强不息。6:43:37 下午6:43 下午18:43:375月-23MOMODA POWERPOINTLorem ipsum dolor sit amet,consectetur adipiscing elit.Fusce id urna blandit,eleifend nulla ac,fringilla purus.Nulla iaculis tempor felis ut cursus.感 谢 您 的 下 载 观 看专家告诉