如何防范网络攻击
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
端口绑定MAC地址与IP地址 设置MAC地址的老化时间
ARP攻击防范配置 范例
设置对端口FA0/1+IP+MAC地址三者绑定,同时启用ARP检测 功能,步骤如下:
Switch(config)# port-security arp-check Switch(config)#interface f 0/1 Switch(config-if)#switchport mode access Switch(config-if)# switchport port-security Switch(config-if)#switchport port-security maximum 1 Switch(config-if)#switchport port-security
《网络安全》-翟安江
如何防范网络攻击
各网络层次的威胁浅析
TCP/IP协Байду номын сангаас栈
网络中的各个设备必工作于协议栈的某个层次
安全关注点:该层次的安全问题主要是由提供服务所采 用的应用软件和数据的安全性产生,包括WEB服务、 电子邮件系统、FTP等,此外还包括病毒对系统的威胁
安全关注点:面向连接和非面向连接的攻击
PC Client
DHCP Discover (广播包)
DHCP Offer (单播包) DHCP Request (广播包) DHCP ACK (单播包)
• DHCP:标准请查阅RFC2131
DHCP Server
DHCP攻击
DHCP 报文格式
OP Code Hardware Type Hardware Length HOPS
含义 进入配置模式 进入接口配置模式 设置接口模式为Access 启用端口安全 设置端口最大的安全地址数 端口绑定MAC地址 设置MAC地址的老化时间
MAC攻击防范配置 范例
➢ 将MAC 地址与端口进行绑定: ➢ interface interface FastEthernet0/1 ➢ switchport mode access ➢ switchport port-security ➢ switchport port-security maximum 1 ➢ switchport port-security mac-address
MAC攻击
接入交换机
MAC地址表:空间有限
MAC Port
A
1
B
8
C
14
PC A
PC B
PC C
MAC攻击
MAC攻击之二: MAC地址洪泛攻击
交换机内部的MAC地址表空间是有限的,MAC 攻击会很快占满交换机内部MAC地址表,使得单 播包在交换机内部也变成广播包向同一个VLAN 中所有端口转发,每个连在端口上的客户端都可 以收到该报文,交换机变成了一个Hub,用户的 信息传输也没有安全保障了。
前3个字节: IEEE分配给网 络设备制造厂商 的
后3个字节:网 络设备制造厂商 自行分配的,不 重复,生产时写 入设备
FF.FF.FF.FF.FF.FF
广播MAC地址
MAC攻击
MAC攻击之一: MAC地址欺骗
将合法的MAC 地址修改成不存在 的MAC 地址或其它 计算机的MAC 地址, 从而隐藏自己真实 的MAC,来达到一 些不可告人的目的, 这就是MAC 地址欺 骗。
• 局域网里的PC都会收到ARP请求报文,并查看自己的IP是否是
PC A,如果是则响应,反馈ARP响应报文,响应报文中有PC A 的MAC地址:MAC A。
PC A
PC B
PC C
ARP响应: IP A<->MAC A
ARP请求: IP A<->?
PC D
ARP攻击
ARP协议的缺陷
• 按照RFC的规定,PC在发ARP响应时,不需要一定要先收
00d0.f800.0002 ➢ switchport port-security aging time 600
数据链路层安全防范
➢MAC 攻击 ➢ARP 攻击 ➢DHCP 攻击 ➢STP 攻击
ARP攻击
ARP 协议
在以太网中传输的数据包是以太包,而以太包的寻址是依据 其首部的物理地址(MAC 地址)。仅仅知道某主机的逻辑地 址(IP 地址)并不能让内核发送一帧数据给此主机,内核必 须知道目的主机的物理地址才能发送数据。ARP 协议的作用 就是在于把逻辑地址变换成物理地址,也既是把32bit 的IP 地址变换成48bit 的以太地址。
步骤3
switchport mode access
步骤4
switchport port-security
步骤5
switchport port-security maximum maximum
步骤6
switchport port-security mac-address H.H.H
步骤7
switchport port-security aging time seconds
安全关注点:IP地址扫描/欺骗/盗用
安全关注点:MAC地址欺骗/攻击、ARP欺骗/攻 击、STP攻击、DHCP攻击
安全关注点:线路的安全、物理设备的安全、机房的安 全等
数据链路层安全防范
➢MAC 攻击 ➢ARP 攻击 ➢DHCP 攻击 ➢STP 攻击
MAC攻击
MAC地址:链路层唯一标识
00.d0.f8. 00.07.3c
MAC攻击
当端口学习的源MAC地 址数量大于一定的数量 (这个值可以自己设定) 或源MAC地址和端口绑 定的不一样,受到的数 据帧丢弃/发送警告信息 通知网管员/端口可关闭
MAC攻击防范
交换机
攻击者
MAC攻击防范配置
配置步骤
步骤 步骤1
名称 configure terminal
步骤2
interface interface id
ARP攻击
找不到正确的网关, 所有访问外网的数据
都无法得到回应
发送ARP响应,告诉: 192.168.10.1对应的
MAC是MAC X
网关
192.168.10.1 MAC A
正常的网络访问数 据包,WWW、 QQ 、FTP
攻击者: 发送ARP 欺骗
192.168.10.3 MAC C
ARP表刷新, 192.168.10.1对应
的是MAC X
PC B
192.168.10.2 MAC B
ARP攻击
发包工具TouchStone
ARP攻击
ARP攻击之三:ARP洪泛
ARP洪泛:网络病毒利用ARP协议,在网络中大 量发送伪造ARP报文,扰乱网络中主机和设备的 ARP缓存,导致无法正常访问网络的攻击行为。
相关病毒: TrojanDropper.Win32.Juntador.c Win32.Troj.Mir2 Win32.Troj.Zypsw.33952
DHCP协议被广泛的应用在局域网环境里来动态分配IP地址。使 用了DHCP服务后,网络的管理和配置是集中化和自动化的,能 够把手工IP 地址配置所导致的配置错误减少到最低程度,比如 手工设置IP所造成的IP地址冲突、网关和DNS设置错误等,大大 减少网络的管理难度和管理时间。
DHCP攻击
DHCP 协议
ARP攻击
• 局域网中两台PC通讯,一台PC B要和另一台PCA通讯,首先
需要知道PC A的MAC地址,因为在广域网靠IP来寻址,而在局 域网中是靠MAC地址来寻址的。
• PC B先查找机器缓存中存贮的ARP表(IP和MAC对应关系
表),该表为动态刷新的。如何没有必须先发出一个ARP请求的 广播报文,询问大家:IP地址是PC A的MAC地址是多少?
mac-address 00d0.f800.0002ip-address 192.168.1.1
数据链路层安全防范
➢MAC 攻击 ➢ARP 攻击 ➢DHCP 攻击 ➢STP 攻击
DHCP攻击
什么是DHCP?
DHCP 是Dynamic Host Configuration Protocol 之缩写,即动 态主机配置协议,它能够自动地给网络中的主机分配IP地址和 设置相关网络属性。
到ARP请求报文,局域网中任何一台PC都可以向网络内其它 PC通告:自己就是PC A和MAC A的对应关系,这就给攻击 者带来可乘人之危的漏洞 !
PC A
PC B
PC C
PC D
非法ARP响应: IP A<->MAC C
ARP攻击
ARP攻击之一:ARP欺骗
ARP欺骗:利用上页讲到的ARP漏洞,发送虚假 的ARP请求报文和响应报文,报文中的源IP和源 MAC均为虚假的,扰乱局域网中被攻击PC中保 存的ARP表,使得网络中被攻击PC的流量都可流 入到攻击者手中。
攻击者: 发送ARP 欺骗
192.168.10.3 MAC C
ARP表刷新, 192.168.10.1对应
的是MAC C
PC B
192.168.10.2 MAC B
ARP攻击
ARP攻击之二:ARP恶作剧
ARP恶作剧:和ARP欺骗的原理一样,报文中的 源IP和源MAC均为虚假的,或错误的网关IP和网 关MAC对应关系。它的主要目的不是窃取报文, 而是扰乱局域网中合法PC中保存的ARP表,使得 网络中的合法PC无法正常上网、通讯中断。
32位IP地址:202.103.24.105
ARP
48位MAC地址:00-d0-f8-fb-29-e3
ARP攻击
每一个主机都有一个ARP 高速缓存,此缓存中记录了最近一段时间内 其它IP 地址与其MAC 地址的对应关系。如果本机想与某台主机通信, 则首先在ARP 高速缓存中查找此台主机的IP 和MAC 信息,如果存在, 则直接利用此MAC 地址构造以太包;如果不存在,则向本网络上每一 个主机广播一个ARP 请求包,其意义是"如果你有此IP 地址,请告诉 我你的MAC 地址“,目的主机收到此请求包后,发送一个ARP 响应包, 本机收到此响应包后,把相关信息记录在ARP 高速缓存中。
ARP攻击
ARP数据包
ARP攻击
防范:
利用交换机端口ARP检查安全功能:打开ARP 报文检查ARP报文中的源IP和源MAC是否和绑 定的一致,可有效防止安全端口上欺骗ARP, 防止非法信息点冒充网络关键设备的IP(如服 务器),造成网络通讯混乱。或通过802.1X中 的IP授权模式实现IP+MAC绑定。
含义 进入配置模式 启用ARP检测功能 进入接口配置模式 设置接口模式为Access 启用端口安全 设置端口最大的安全地址数
步骤7 步骤8
switchport port-security mac-address H.H.H ip-address ipaddress
switchport port-security aging time seconds
MAC攻击
MAC Port
H
1
X
2
Y
3
交换机内部的MAC地址 表空间很快被不存在的源 MAC地址占满。没有空 间学习合法的MAC B,
MAC C
攻击者 MAC A
MAC攻击:每秒发送成千 上万个随机源MAC的报文
交换机
单播流量在交换机内部以 广播包方式在所有端口转 发,非法者也能接受到这 些报文
PC B MAC B
步骤 步骤1
名称 configure terminal
配置步骤
步骤2 port-security arp-check
步骤3
interface interface id
步骤4
switchport mode access
步骤5 switchport port-security
步骤6
switchport port-security maximum maximum
ARP攻击
发送ARP响应,说: PC B对应的MAC是
MAC C
ARP攻击防范
PC A
192.168.10.1 MAC A
攻击者: 发送ARP 欺骗
192.168.10.3 MAC C
发送ARP响应,说: PC A对应的MAC是
MAC C
PC B
192.168.10.2 MAC B
ARP攻击防范配置
ARP攻击
ARP表刷新, 192.168.10.2对应
的是MAC C
发送ARP响应,告诉: 192.168.10.2对应的
MAC是MAC C
PC A
192.168.10.1 MAC A
发送ARP响应,告诉: 192.168.10.1对应的
MAC是MAC C
发送到PC A的流 量均到攻击者手中
MAC C
PC C MAC C
MAC攻击
利用MAC地址洪泛 攻击截获客户信息
Sniffer截取数据包
用户名、密码
攻击者
交换机
FTP 服务器
PC C 用户名:unit 密码:qy7ttvj7vg
MAC攻击
MAC攻击
防范:
1、MAC静态地址锁 2、802.1x自动绑定MAC地址 3、限定交换机某个端口上可以学习的MAC数量