校园网安全专题之-如何防范网络攻击课件.ppt

1、提纲提纲网络安全分析物理层安全防范数据链路层安全防范网络层安全防范网络设备的安全管理网络攻击软件繁多网络攻击软件繁多大量的攻击工具随手拾来大量的攻击工具随手拾来网络攻击方向灵活网络攻击方向灵活网络设备连接网络设备连接物理层物理层链路层链路层网络层网络层传输层传输层会话层会话层表示层表示层应用层应用层主机主机A A物理层物理层链路层链路层网络层网络层传输层传输层会话层会话层表示层表示层应用层应用层主机主机B B物理链接：光纤线缆、铜缆线缆物理链接：光纤线缆、铜缆线缆MAC 地址、地址、VLAN、ARP 请求、请求、DHCP 应用、应用、SPANNING TREE等等IP 地址、网络路由协议地址、

2、网络路由协议TCP/UDP传输端口号传输端口号OSI模型建立，使得不同设备的不同层之间相互通讯模型建立，使得不同设备的不同层之间相互通讯ICMP、IGMP应用数据流：应用数据流：DNS/HTTP/FTP/Telnet/SMTP各网络层次的威胁浅析各网络层次的威胁浅析安全关注点：该层次的安全问题主要是由提供服务所采安全关注点：该层次的安全问题主要是由提供服务所采用的应用软件和数据的安全性产生，包括用的应用软件和数据的安全性产生，包括WEB服务、服务、电子邮件系统、电子邮件系统、FTP等，此外还包括病毒对系统的威胁等，此外还包括病毒对系统的威胁安全关注点：面向连接和非面向连接的攻击安全关注点：面向

3、连接和非面向连接的攻击安全关注点：安全关注点：IP地址扫描地址扫描/欺骗欺骗/盗用盗用安全关注点：安全关注点：MAC地址欺骗地址欺骗/攻击、攻击、ARP欺骗欺骗/攻攻击、击、STP攻击、攻击、DHCP攻击攻击安全关注点：线路的安全、物理设备的安全、机房的安安全关注点：线路的安全、物理设备的安全、机房的安全等全等TCP/IP协议栈协议栈网络中的各个设备必工作于协议栈的某个层次网络中的各个设备必工作于协议栈的某个层次OSI网络七层模型网络七层模型网络设备连接网络设备连接物理层物理层链路层链路层网络层网络层传输层传输层会话层会话层表示层表示层应用层应用层主机主机A A物理层物理层链路层链路层网络层网

4、络层传输层传输层会话层会话层表示层表示层应用层应用层主机主机B B物理链接：光纤线缆、铜缆线缆物理链接：光纤线缆、铜缆线缆MAC 地址、地址、VLAN、ARP 请求、请求、DHCP 应用、应用、SPANNING TREE等等IP 地址、网络路由协议地址、网络路由协议TCP/UDP传输端口号传输端口号ICMP、IGMP威胁和破坏威胁和破坏最最底层安全最薄弱，一旦受到威胁和破坏，那么在此层底层安全最薄弱，一旦受到威胁和破坏，那么在此层之上的其它网络层次都将受到影响之上的其它网络层次都将受到影响应用数据流：应用数据流：DNS/HTTP/FTP/Telnet/SMTP网络攻击的层次及方位网络攻击的层次

5、及方位Internet汇聚层汇聚层核心设备攻击核心设备攻击服务器攻击服务器攻击网络层攻击网络层攻击网络层攻击网络层攻击网络层攻击网络层攻击数据链路层攻击数据链路层攻击数据链路层攻击数据链路层攻击数据链路层攻击数据链路层攻击接入层接入层外网攻击外网攻击要防范校园网内部的整要防范校园网内部的整体安全，最好的方式是体安全，最好的方式是在交换机上进行控制！在交换机上进行控制！交换机需要内嵌哪些安全机制？交换机需要内嵌哪些安全机制？源地址检查PingSweep防止用户对网络的扫描ACL功能强大的ACL功能、提供标准、扩展、基于时间以及专家级ACL，全方位保护网络RADIUS身份验证/SSHBPDU GU

6、ARD，802.1W防止对STP的攻击Storm Contrl风暴控制防止瞬间超大的数据流量验证用户对核心设备的访问PORT SERCURITY端口MAC的绑定、限定MAC数量，有效保护网络攻击源IP地址欺骗攻击检测SSH/源IP地址限制设备访问的安全性防DOS攻击防SYN、Smurf攻击提纲提纲网络安全分析物理层安全防范数据链路层安全防范网络层安全防范网络设备的安全管理物理层安全防范物理层安全防范 最简单的安全漏洞可能导致最严重的网络故障。最简单的安全漏洞可能导致最严重的网络故障。比如因为施工的不规范导致光缆被破坏，雷击事故，比如因为施工的不规范导致光缆被破坏，雷击事故，网络设备没有保护措施

7、被损坏，甚至中心机房因为网络设备没有保护措施被损坏，甚至中心机房因为不小心导致外来人员蓄意或无心的破坏不小心导致外来人员蓄意或无心的破坏 为了最大限度降低安全风险，提高意外情况下的为了最大限度降低安全风险，提高意外情况下的恢复能力，我们需要做的是：完善规范的网络管理恢复能力，我们需要做的是：完善规范的网络管理制度制度.提纲提纲网络安全分析物理层安全防范数据链路层安全防范网络层安全防范网络设备的安全管理数据链路层安全防范数据链路层安全防范 MAC 攻击攻击 ARP 攻击攻击 DHCP 攻击攻击 STP 攻击攻击MAC攻击攻击FF.FF.FF.FF.FF.FF广播广播MAC地址地址 00.d0.f

8、8.00.07.3c前前3个个字节：字节：IEEE分配给网分配给网络设备制造厂商络设备制造厂商的的后后3个个字节：网字节：网络设备制造厂商络设备制造厂商自行分配的，不自行分配的，不重复，生产时写重复，生产时写入设备入设备MAC地址：链路层唯一标识地址：链路层唯一标识MAC攻击攻击MAC攻击之一：攻击之一：MAC地址欺骗地址欺骗 将合法的将合法的MAC 地址修改成不存在地址修改成不存在的的MAC 地址或其它地址或其它计算机的计算机的MAC 地址，地址，从而隐藏自己真实从而隐藏自己真实的的MAC，来达到一，来达到一些不可告人的目的，些不可告人的目的，这就是这就是MAC 地址欺地址欺骗。骗。MAC攻

9、击攻击接入交换机接入交换机MAC Port A 1 B 8 C 14 MAC地址表：空间有限地址表：空间有限PC APC BPC CMAC攻击攻击MAC攻击之二：攻击之二：MAC地址洪泛攻击地址洪泛攻击交换机内部的交换机内部的MAC地址表空间是有限的，地址表空间是有限的，MAC攻击会很快占满交换机内部攻击会很快占满交换机内部MAC地址表，使得单地址表，使得单播包在交换机内部也变成广播包向同一个播包在交换机内部也变成广播包向同一个VLAN中所有端口转发，每个连在端口上的客户端都可中所有端口转发，每个连在端口上的客户端都可以收到该报文，交换机变成了一个以收到该报文，交换机变成了一个Hub，用户的，

10、用户的信息传输也没有安全保障了。信息传输也没有安全保障了。MAC攻击攻击交换机交换机攻击者攻击者MAC APC BMAC BPC CMAC C MAC Port H 1 X 2 Y 3 交换机内部的交换机内部的MAC地址地址表空间很快被不存在的源表空间很快被不存在的源MAC地址占满。没有空地址占满。没有空间学习合法的间学习合法的MAC B，MAC C流量流量 CB流量流量 CB流量流量CB单播流量在交换机内部以单播流量在交换机内部以广播包方式在所有端口转广播包方式在所有端口转发，非法者也能接受到这发，非法者也能接受到这些报文些报文MAC攻击：每秒发送成千攻击：每秒发送成千上万个随机源上万个随机

11、源MAC的报文的报文MAC攻击攻击交换机交换机攻击者攻击者 FTP 服务器服务器PC C用户名、密码用户名、密码用户名、密码用户名、密码用户名、密码用户名、密码用户名：用户名：unit密码：密码：qy7ttvj7vgSniffer截取数据包截取数据包利用利用MAC地址洪泛地址洪泛攻击截获客户信息攻击截获客户信息MAC攻击攻击MAC攻击攻击 1、MAC静态地址锁静态地址锁 2、802.1x自动绑定自动绑定MAC地址地址 3、限定交换机某个端口上可以学习的、限定交换机某个端口上可以学习的MAC数量数量MAC攻击攻击 交换机交换机攻击者攻击者 当端口学习的源当端口学习的源MAC地地址数量大于一定的数

12、量址数量大于一定的数量（这个值可以自己设定）（这个值可以自己设定）或源或源MAC地址和端口绑地址和端口绑定的不一样，受到的数据定的不一样，受到的数据帧丢弃帧丢弃/发送警告信息通发送警告信息通知网管员知网管员/端口可关闭端口可关闭MAC攻击防范攻击防范数据链路层安全防范数据链路层安全防范 MAC 攻击攻击 ARP 攻击攻击 DHCP 攻击攻击 STP 攻击攻击ARP攻击攻击ARP 协议协议在以太网中传输的数据包是以太包，而以太包的寻址是依据其首部的物理地址（MAC 地址）。仅仅知道某主机的逻辑地址（IP 地址）并不能让内核发送一帧数据给此主机，内核必须知道目的主机的物理地址才能发送数据。ARP

13、协议的作用就是在于把逻辑地址变换成物理地址，也既是把32bit 的IP 地址变换成48bit 的以太地址。32位位IP地址：地址：202.103.24.10548位位MAC地址：地址：00-d0-f8-fb-29-e3ARPARP攻击攻击 每一个主机都有一个ARP 高速缓存，此缓存中记录了最近一段时间内其它IP 地址与其MAC 地址的对应关系。如果本机想与某台主机通信，则首先在ARP 高速缓存中查找此台主机的IP 和MAC 信息，如果存在，则直接利用此MAC 地址构造以太包；如果不存在，则向本网络上每一个主机广播一个ARP 请求包，其意义是如果你有此IP 地址，请告诉我你的MAC 地址“，目的

14、主机收到此请求包后，发送一个ARP 响应包，本机收到此响应包后，把相关信息记录在ARP 高速缓存中。ARP攻击攻击 局域网中两台局域网中两台PC通讯，一台通讯，一台PC B要和要和另一台另一台PCA通讯，首先通讯，首先需要知道需要知道PC A的的MAC地址，因为在广域网靠地址，因为在广域网靠IP来来寻址，而在局寻址，而在局域网中是靠域网中是靠MAC地址来寻址的。地址来寻址的。PC B先查找机器缓存中存贮的先查找机器缓存中存贮的ARP表（表（IP和和MAC对应关系对应关系表），该表为动态刷新的。如何没有必须先发出一个表），该表为动态刷新的。如何没有必须先发出一个ARP请求的请求的广播报文，询问大

15、家：广播报文，询问大家：IP地址是地址是PC A的的MAC地址是多少？地址是多少？局域网里的局域网里的PC都会收到都会收到ARP请求报文，并查看自己的请求报文，并查看自己的IP是否是是否是PC A，如果是则响应，反馈如果是则响应，反馈ARP响应报文，响应报文中有响应报文，响应报文中有PC A的的MAC地址：地址：MAC A。PC APC BPC CPC DARP请求：请求：IP A?ARP响应：响应：IP AMAC AARP攻击攻击 按照按照RFC的规定，的规定，PC在发在发ARP响应时，不需要一定要先收响应时，不需要一定要先收到到ARP请求报文，局域网中任何一台请求报文，局域网中任何一台PC

16、都可以向网络内其它都可以向网络内其它PC通告：自己就是通告：自己就是PC A和和MAC A的对应关系，这就给攻击的对应关系，这就给攻击者带来可乘人之危的漏洞者带来可乘人之危的漏洞！ARP协议的缺陷协议的缺陷PC APC BPC CPC D非法非法ARP响应：响应：IP AMAC CARP攻击攻击ARP攻击之一：攻击之一：ARP欺骗欺骗ARP欺骗：利用上页讲到的欺骗：利用上页讲到的ARP漏洞，发送虚假漏洞，发送虚假的的ARP请求报文和响应报文，报文中的源请求报文和响应报文，报文中的源IP和源和源MAC均为虚假的，扰乱局域网中被攻击均为虚假的，扰乱局域网中被攻击PC中保中保存的存的ARP表，使得网

17、络中被攻击表，使得网络中被攻击PC的流量都可流的流量都可流入到攻击者手中。入到攻击者手中。ARP攻击攻击PC B攻击者：攻击者：发送发送ARP欺骗欺骗192.168.10.1MAC A192.168.10.3MAC C192.168.10.2MAC B发送发送ARP响应，告诉：响应，告诉：192.168.10.1对应的对应的MAC是是MAC CARP表刷新，表刷新，192.168.10.1对应对应的是的是MAC C发送到发送到PC A的流的流量均到攻击者手中量均到攻击者手中MAC C发送发送ARP响应，告诉：响应，告诉：192.168.10.2对应的对应的MAC是是MAC CARP表刷新，表刷

18、新，192.168.10.2对应对应的是的是MAC CPC AARP攻击攻击ARP攻击之二：攻击之二：ARP恶作剧恶作剧ARP恶作剧：和恶作剧：和ARP欺骗的原理一样，报文中的欺骗的原理一样，报文中的源源IP和源和源MAC均为虚假的，或错误的网关均为虚假的，或错误的网关IP和网和网关关MAC对应关系。它的主要目的不是窃取报文，对应关系。它的主要目的不是窃取报文，而是扰乱局域网中合法而是扰乱局域网中合法PC中保存的中保存的ARP表，使得表，使得网络中的合法网络中的合法PC无法正常上网、通讯中断。无法正常上网、通讯中断。ARP攻击攻击PC B攻击者：攻击者：发送发送ARP欺骗欺骗192.168.1

19、0.1 MAC A192.168.10.3MAC C192.168.10.2MAC B发送发送ARP响应，告诉：响应，告诉：192.168.10.1对应的对应的MAC是是MAC XARP表刷新，表刷新，192.168.10.1对应对应的是的是MAC X正常的网络访问数正常的网络访问数据包，据包，WWW、QQ、FTP网关网关找不到正确的网关，找不到正确的网关，所有访问外网的数据所有访问外网的数据都无法得到回应都无法得到回应ARP攻击攻击发包工具发包工具TouchStoneARP攻击攻击ARP攻击之三：攻击之三：ARP洪泛洪泛ARP洪泛：网络病毒利用洪泛：网络病毒利用ARP协议，在网络中大协议，在

20、网络中大量发送伪造量发送伪造ARP报文，扰乱网络中主机和设备的报文，扰乱网络中主机和设备的ARP缓存，导致无法正常访问网络的攻击行为。缓存，导致无法正常访问网络的攻击行为。相关病毒：相关病毒：TrojanDropper.Win32.Juntador.c Win32.Troj.Mir2 Win32.Troj.Zypsw.33952 ARP攻击攻击 使用交换机的使用交换机的IP、MAC、端口绑定可以进行控制吗？、端口绑定可以进行控制吗？ARP攻击攻击ARP数据包数据包ARP攻击攻击 需要使用专用的交换机端口需要使用专用的交换机端口ARP Check功能功能 ARP攻击攻击PC B攻击者：攻击者：发

21、送发送ARP欺骗欺骗192.168.10.3MAC C192.168.10.2MAC B发送发送ARP响应，说：响应，说：PC A对应的对应的MAC是是MAC C发送发送ARP响应，说：响应，说：PC B对应的对应的MAC是是MAC CARP攻击防范攻击防范192.168.10.1MAC APC A数据链路层安全防范数据链路层安全防范 MAC 攻击攻击 ARP 攻击攻击 DHCP 攻击攻击 STP 攻击攻击DHCP攻击攻击什么是什么是DHCP？DHCP 是Dynamic Host Configuration Protocol 之缩写，即动态主机配置协议，它能够自动地给网络中的主机分配IP地址和

22、设置相关网络属性。DHCP协议被广泛的应用在局域网环境里来动态分配IP地址。使用了DHCP服务后，网络的管理和配置是集中化和自动化的，能够把手工IP 地址配置所导致的配置错误减少到最低程度，比如手工设置IP所造成的IP地址冲突、网关和DNS设置错误等，大大减少网络的管理难度和管理时间。DHCP攻击攻击DHCP ServerPC ClientDHCP Discover(广播包广播包)DHCP Offer(单播包单播包)DHCP Request(广播包广播包)DHCP ACK(单播包单播包)DHCP：标准请查阅标准请查阅RFC2131DHCP 协议协议DHCP攻击攻击DHCP 报文格式报文格式Cl

23、ient IP Address(CIADDR)（4Bytes）Seconds（2Bytes）Flags（2Bytes）Transaction ID(XID)Server IP Address(SIADDR)（4Bytes）Your IP Address(YIADDR)（4Bytes）Gateway IP Address(GIADDR)（4Bytes）Client Hardware Address(CHADDR)（16Bytes）Filename（128Bytes）Server Name(SNAME)（64Bytes）DHCP OptionsOP CodeHardware Type Hardwa

24、re LengthHOPSDHCP攻击攻击Filename（128Bytes）DHCP OptionsOP：若是若是Client送给送给DHCP Server的报文，设为的报文，设为1，反之为，反之为2 Client IP Address(CIADDR)：要是客户端（要是客户端（Client）想继续想继续使用之前取得的使用之前取得的IP地址，则列于这个字段地址，则列于这个字段Your IP Address(YIADDR)：DHCP Server送回客户端送回客户端（Client）的）的DHCP Offer和和DHCP ACK报文中，此栏填写报文中，此栏填写DHCP Server分配给分配给Cl

25、ient端的端的IP地址地址Gateway IP Address(GIADDR)：若需跨网段进行若需跨网段进行DHCP发放，发放，这个字段则为这个字段则为Relay Agent的的IP地址，否则为地址，否则为0；Client Hardware Address(CHADDR)（16Bytes）：客户端客户端申请申请IP地址用的地址用的MAC地址即在此字段地址即在此字段DHCP Options：允许厂商自定义的选项允许厂商自定义的选项，以提供更多的设定以提供更多的设定信息信息(如子网掩码如子网掩码、Gateway、DNS、用户权限等用户权限等)。其长度可。其长度可变，可携带多个选项，每一个选项的第

26、一个变，可携带多个选项，每一个选项的第一个byte为信息代码，为信息代码，其后一个其后一个byte为该项信息长度，之后为该项信息内容为该项信息长度，之后为该项信息内容DHCP攻击攻击DHCP攻击之一：攻击之一：恶意恶意DHCP请求请求DHCP服务器攻击：恶意用户通过更换服务器攻击：恶意用户通过更换MAC地址地址的方式向的方式向DHCP Server发送大量的发送大量的DHCP请求，请求，以消耗以消耗DHCP Server可分配的可分配的IP地址为目的，使地址为目的，使得合法用户的得合法用户的IP请求无法实现。请求无法实现。DHCP攻击攻击源源MAC地址在地址在不断变化不断变化目的目的MAC地址

27、地址FFFF.FFFF.FFFFDHCP攻击攻击DHCP ServerPC Client攻击者攻击者不断变不断变化化MAC地址地址Denial of ServiceIP Pool被耗尽被耗尽DHCP Discover(广播包广播包)X DHCP可以分配的可以分配的IP数量数量DHCP Offer(单播包单播包)X DHCP可以分配的可以分配的IP数量数量DHCP Request(广播包广播包)X DHCP可以分配的可以分配的IP数量数量DHCP ACK(单播包单播包)X DHCP可以分配的可以分配的IP数量数量DHCP攻击攻击 1、MAC静态地址锁静态地址锁 2、802.1x自动绑定自动绑定M

28、AC地址地址 3、限定交换机某个端口上可以学习的、限定交换机某个端口上可以学习的MAC数量数量DHCP攻击攻击DHCP ServerPC Client 1、当端口学习的源、当端口学习的源MAC地址数量大于所限地址数量大于所限定的数量，受到的数据定的数量，受到的数据帧丢弃帧丢弃/发送警告信息通发送警告信息通知网管员知网管员/并关闭端口并关闭端口攻击者攻击者不断变不断变化化MAC地址地址 2、802.1x端口下，端口端口下，端口自动绑定用户自动绑定用户IP/MAC，用户再如何更改用户再如何更改MAC，报文都无法通过认证端报文都无法通过认证端口口恶意恶意DHCP请求的防范请求的防范DHCP攻击攻击D

29、HCP攻击之二：攻击之二：伪装的伪装的DHCP Server伪装的伪装的DHCP Server：非法：非法DHCP Server，为合法，为合法用户的用户的IP请求分配不正确的请求分配不正确的IP地址、网关、地址、网关、DNS等等错误信息，不仅影响合法用户的正常通讯，还导致错误信息，不仅影响合法用户的正常通讯，还导致合法用户的信息都发往非法合法用户的信息都发往非法DHCP Server，严重影，严重影响合法用户的信息安全。响合法用户的信息安全。DHCP攻击攻击DHCP ServerPC Client攻击者：攻击者：伪装为伪装为DHCP ServerClient发出的发出的DHCP请求报文请求报

30、文非法非法DHCP Server响应报文响应报文Client访问某个访问某个PC的的报文报文DHCP攻击攻击1、检查和控制、检查和控制DHCP响应报文是否：是合法响应报文是否：是合法DHCP Server发出的报文发出的报文2、控制客户端发出的、控制客户端发出的DHCP请求报文被广播出去？请求报文被广播出去？DHCP攻击攻击 接入交换机一般不具有接入交换机一般不具有DHCP Relay功能，收到功能，收到DHCP请求请求广播报文后，并在广播报文后，并在VLAN内是向所有端口转发。内是向所有端口转发。交换机具有交换机具有DHCP Relay功能，一旦启用功能，一旦启用DHCP Relay功能，功

31、能，并且配置了并且配置了DHCP Server的的IP地址，则客户端发出的地址，则客户端发出的DHCP请求，在交换机中将不以广播包的形式转发出去，而是直接请求，在交换机中将不以广播包的形式转发出去，而是直接到交换机到交换机CPU，从而有效避免从而有效避免DHCP请求报文广播出去被非请求报文广播出去被非法法DHCP Server收到。收到。交换机交换机CPU处理后，以单播的形式发往指定的处理后，以单播的形式发往指定的DHCP Server。收到收到DHCP响应报文后（响应报文后（Offer，ACK，NAK报文），报文），CPU会判定报文中的源会判定报文中的源IP地址是否为交换机中设定的地址是否为

32、交换机中设定的DHCP Server的地址，从而保证的地址，从而保证DHCP响应报文的合法性。响应报文的合法性。这比仅仅设定交换机某个端口可以接受这比仅仅设定交换机某个端口可以接受DHCP响应报文更合响应报文更合理和可靠。理和可靠。数据链路层安全防范数据链路层安全防范 MAC 攻击攻击 ARP 攻击攻击 DHCP 攻击攻击 STP 攻击攻击STP攻击攻击发送虚假的发送虚假的BPDU报文，扰乱网络拓扑和链路架构，报文，扰乱网络拓扑和链路架构，充当网络根节点，获取信息。充当网络根节点，获取信息。STP攻击攻击STP攻击攻击 1、对于接入层交换机，在没有冗余链路的情况、对于接入层交换机，在没有冗余链

33、路的情况下，尽量不开启下，尽量不开启STP协议（传统的防范方式）协议（传统的防范方式）2、使用交换机具备的、使用交换机具备的BPDU Guard功能，可以功能，可以禁止网络中直接接用户的端口或接入层交换机的禁止网络中直接接用户的端口或接入层交换机的下连端口收到下连端口收到BPDU报文。从而防范用户发送非报文。从而防范用户发送非法法BPDU报文报文 提纲提纲网络安全分析物理层安全防范数据链路层安全防范网络层安全防范网络设备的安全管理网络层安全防范网络层安全防范 IP欺骗攻击欺骗攻击 IP扫描攻击扫描攻击IP欺骗攻击欺骗攻击IP欺骗：盗用合法用户的欺骗：盗用合法用户的IP地址，隐藏自己的真正地址，

34、隐藏自己的真正身份。身份。IP欺骗和欺骗和MAC欺骗相结合，伪装成其他人进行网欺骗相结合，伪装成其他人进行网络访问。络访问。不断修改不断修改IP，发送，发送TCP SYN连接，攻击连接，攻击Server，造成造成SYN Flood 攻击。攻击。IP欺骗攻击欺骗攻击利用利用TCP协议缺陷，变化协议缺陷，变化IP，发送了大量伪造发送了大量伪造的的TCP连接请求，使得被攻击方资源耗尽，无法及时回应连接请求，使得被攻击方资源耗尽，无法及时回应或处理正常的服务请求或处理正常的服务请求l 一个正常的一个正常的TCP连接需要三次握手，首先客户端发送连接需要三次握手，首先客户端发送一个包含一个包含SYN标志的

35、数据包，其后服务器返回一个标志的数据包，其后服务器返回一个SYN/ACK的应答包，表示客户端的请求被接受，最后客的应答包，表示客户端的请求被接受，最后客户端再返回一个确认包户端再返回一个确认包ACK，这样才完成这样才完成TCP连接，进入连接，进入数据包传输过程数据包传输过程IP欺骗攻击欺骗攻击TCP三次握手三次握手ServerPC Client攻击者攻击者IP欺骗攻击欺骗攻击利用利用TCP协议缺陷，变化协议缺陷，变化IP，发送了大量伪造发送了大量伪造的的TCP连接请求，使得被攻击方资源耗尽，无法及时回应连接请求，使得被攻击方资源耗尽，无法及时回应或处理正常的服务请求；或处理正常的服务请求；l

36、在服务器端发送应答包后，如果客户端不发出确认，服在服务器端发送应答包后，如果客户端不发出确认，服务器会等待到超时，期间这些半连接状态都务器会等待到超时，期间这些半连接状态都；l 如果大量的如果大量的SYN包发到服务器端后没有应答，就会使服包发到服务器端后没有应答，就会使服务器端的务器端的TCP资源迅速耗尽，导致正常的连接不能进入，资源迅速耗尽，导致正常的连接不能进入，甚至会导致服务器的系统崩溃。甚至会导致服务器的系统崩溃。IP欺骗攻击欺骗攻击ServerPC Client攻击者攻击者客户端无确认包，服务器客户端无确认包，服务器处于半连接状态，很快缓处于半连接状态，很快缓存空间即被消耗掉存空间即

37、被消耗掉SYN Flood攻击攻击IP欺骗攻击欺骗攻击IP/MAC欺骗欺骗伪装者：伪装者：发送发送ARP欺骗欺骗192.168.10.1MAC A以以PC B的地址的地址192.168.10.2和和MAC B发送报文发送报文收到以收到以IP B/MAC B封装的报文封装的报文PC B192.168.10.2MAC B192.168.10.3MAC C攻击者伪装成攻击者伪装成PC B的身的身份上网，网络管理员以为份上网，网络管理员以为是是PC B在进行网络访问在进行网络访问IP欺骗攻击欺骗攻击 1、交换机端口静态绑定、交换机端口静态绑定IP地址地址 2、交换机端口静态绑定、交换机端口静态绑定IP

38、和和MAC地址地址 3、802.1x自动绑定自动绑定IP和和MAC地址地址 4、DHCP动态绑定动态绑定IP欺骗攻击欺骗攻击192.168.10.1MAC A192.168.10.3MAC C192.168.10.2MAC B以以PC B的地址的地址192.168.10.2和和MAC B发送报文发送报文PC B用用MAC B发送报文发送报文以以IP地址为地址为PC B的的192.168.10.2发送发送报文报文端口安全绑定，禁端口安全绑定，禁止非法报文通过止非法报文通过攻击者：攻击者：发送发送ARP欺骗欺骗IP欺骗攻击欺骗攻击防防DOS/DDOSDOS/DDOS攻击攻击：RFC 2827的入口

39、过滤规则的入口过滤规则网络层安全防范网络层安全防范 IP欺骗攻击欺骗攻击 IP扫描攻击扫描攻击IP扫描攻击扫描攻击众所周知，许多黑客攻击、网络病毒入侵都是从众所周知，许多黑客攻击、网络病毒入侵都是从扫描网络内活动的主机开始的，大量的扫描报文扫描网络内活动的主机开始的，大量的扫描报文也急剧占用网络带宽，导致正常的网络通讯无法也急剧占用网络带宽，导致正常的网络通讯无法进行。进行。一批一批IP网网段段某些不存某些不存在的在的IPIP扫描攻击扫描攻击扫描工具扫描工具SuperScanIP扫描攻击扫描攻击 system-guard功能：功能：在每个接口上设置相应的攻击阀值；在每个接口上设置相应的攻击阀值

40、；检测用户、隔离用户（记录日志信息）、恢复通讯（记录检测用户、隔离用户（记录日志信息）、恢复通讯（记录日志信息）；日志信息）；被监控的攻击主机数量、隔离用户的时间都可以根据网络被监控的攻击主机数量、隔离用户的时间都可以根据网络实际状况设置。实际状况设置。提纲提纲网络安全分析物理层安全防范数据链路层安全防范网络层安全防范网络设备的安全管理因为一旦攻击者登录交换机，那么交换机配置的所有安全防范措施因为一旦攻击者登录交换机，那么交换机配置的所有安全防范措施则化为乌有，因此必须重视交换机管理安全！则化为乌有，因此必须重视交换机管理安全！1、一般的网络管理协议：、一般的网络管理协议：SNMPv2，Tel

41、net，Web等都是明文登等都是明文登录和传输信息的。因此，尽量使用录和传输信息的。因此，尽量使用SSH、SNMPv3等秘文传输方式等秘文传输方式登录交换机，因为它们都与交换机之间都是加密传输登录交换机，因为它们都与交换机之间都是加密传输2、管理管理VLAN与用户与用户VLAN分开分开3、交换机上不用的端口划在一个、交换机上不用的端口划在一个VLAN中，并将这些口中，并将这些口Shutdown，需要用时，再开启需要用时，再开启4、限制可以管理交换机的、限制可以管理交换机的IP，锐捷交换机均支持锐捷交换机均支持Telnet和和Web的的源源IP访问控制列表访问控制列表网络设备管理问题网络设备管理问题网络设备管理可以说是网络中最薄弱的一个环节！网络设备管理可以说是网络中最薄弱的一个环节！养成良好的网管习惯养成良好的网管习惯 不要忽略任何可疑信息不要忽略任何可疑信息 不要忘记配置并更新不要忘记配置并更新ACL 不要忘记使用绑定功能不要忘记使用绑定功能 尽量控制攻击的最小范围尽量控制攻击的最小范围 （尽量在接入层部署安全功能）（尽量在接入层部署安全功能）保护好你的密码保护好你的密码 业务网段与管理网段隔离业务网段与管理网段隔离 服务器独立在一个区域服务器独立在一个区域 设备的缺省配置记得修改设备的缺省配置记得修改谢 谢!