CISP網(wǎng)絡(luò)與通信安全培訓(xùn)課件_第1頁(yè)
CISP網(wǎng)絡(luò)與通信安全培訓(xùn)課件_第2頁(yè)
CISP網(wǎng)絡(luò)與通信安全培訓(xùn)課件_第3頁(yè)
CISP網(wǎng)絡(luò)與通信安全培訓(xùn)課件_第4頁(yè)
CISP網(wǎng)絡(luò)與通信安全培訓(xùn)課件_第5頁(yè)
已閱讀5頁(yè),還剩189頁(yè)未讀, 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說(shuō)明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡(jiǎn)介

信息安全技術(shù)

網(wǎng)絡(luò)安全2003-12信息安全技術(shù)

網(wǎng)絡(luò)安全今天的主題第一章網(wǎng)絡(luò)安全基礎(chǔ)(模型,基礎(chǔ)知識(shí))第二章網(wǎng)絡(luò)設(shè)備安全管理(物理上安全,設(shè)置上安全等)第三章網(wǎng)絡(luò)中面臨的威脅針對(duì)網(wǎng)絡(luò)設(shè)備的攻擊(不同的設(shè)備,不同的漏洞)拒絕服務(wù)(DoS)攻擊(DOS,DDOS)欺騙攻擊(IP地址欺騙等)網(wǎng)絡(luò)嗅探(協(xié)議,端口)第四章網(wǎng)絡(luò)設(shè)備的安全配置第五章對(duì)網(wǎng)絡(luò)威脅采取的策略第六章

IPSec與VPN技術(shù)今天的主題第一章網(wǎng)絡(luò)安全基礎(chǔ)(模型,基礎(chǔ)知識(shí))第一章網(wǎng)絡(luò)安全基礎(chǔ)CISP網(wǎng)絡(luò)與通信安全培訓(xùn)課件INTERNET的美妙之處在于你和每個(gè)人都能互相連接(工作,學(xué)習(xí),電子商務(wù)等)INTERNET的可怕之處在于每個(gè)人都能和你互相連接(面臨著威脅,例如:病毒)INTERNET的美妙之處網(wǎng)絡(luò)基礎(chǔ)網(wǎng)絡(luò)基礎(chǔ)OSI參考模型ISO/OSI網(wǎng)絡(luò)體系結(jié)構(gòu)

即開放系統(tǒng)互聯(lián)參考模型(OpenSystemInterconnectReferenceModel)。是ISO(國(guó)際標(biāo)準(zhǔn)化組織)根據(jù)整個(gè)計(jì)算機(jī)網(wǎng)絡(luò)功能劃分七層.網(wǎng)絡(luò)體系結(jié)構(gòu)分層的目的

(為了更好的規(guī)劃網(wǎng)絡(luò),更好的達(dá)到網(wǎng)絡(luò)的互聯(lián)性,更好的解決問(wèn)題,更好的構(gòu)架網(wǎng)絡(luò)而建立)OSI參考模型的層次劃分

應(yīng)用層表示層

會(huì)話層

傳輸層網(wǎng)絡(luò)層

數(shù)據(jù)鏈路層物理層

OSI參考模型OSI層次劃分原則層次分明性應(yīng)該把層次分成理論上需要的不同等級(jí),減少過(guò)多的層次;當(dāng)在數(shù)據(jù)處理過(guò)程中需要不同級(jí)別抽象時(shí),則設(shè)立一個(gè)層次;在需要不同的通信服務(wù)時(shí),可在同一層內(nèi)再形成子層次,不需要時(shí)也可繞過(guò)該子層次。獨(dú)立性一個(gè)層次內(nèi)的功能或協(xié)議更改時(shí)不影響其它各層;互聯(lián)性只為每一層建立與其相鄰的上一層和下一層的接口;OSI層次劃分原則層次分明性O(shè)SI層次劃分原則

功能模塊化性每一層都應(yīng)該較好地履行其特定的功能;成熟性每一層的功能選定都基于已有成功經(jīng)驗(yàn)的國(guó)際標(biāo)準(zhǔn)協(xié)議;簡(jiǎn)明性每一層的界面都應(yīng)該選在服務(wù)描述最少、通過(guò)接口的信息流量最少的地方;把類似的功能集中在同一層內(nèi),使之易于局部化;

OSI層次劃分原則功能模塊化性TCP/IP協(xié)議層次模型TCP/IP協(xié)議分層并不完全對(duì)應(yīng)OSI模型應(yīng)用層TelnetFTPDNSSMTP傳輸層TCPUDP網(wǎng)絡(luò)層IPICMPARPRARP網(wǎng)絡(luò)接口層X(jué).25ARPnetTCP/IP協(xié)議層次模型TCP/IP協(xié)議分層并不完全對(duì)應(yīng)OSTelnetSMTPDNSFTPUDPTCPIP以太網(wǎng)無(wú)線網(wǎng)絡(luò)令牌網(wǎng)ARPNETTCP/IP模型與潛在風(fēng)險(xiǎn)應(yīng)用程序攻擊拒絕服務(wù)攻擊數(shù)據(jù)監(jiān)聽(tīng)和竊取硬件設(shè)備破壞TelnetSMTPDNSFTPUDPTCPIP以太網(wǎng)無(wú)線網(wǎng)常見(jiàn)黑客攻擊方式應(yīng)用層:應(yīng)用程序和操作系統(tǒng)的攻擊與破壞傳輸層:拒絕服務(wù)攻擊網(wǎng)絡(luò)層:拒絕服務(wù)攻擊和數(shù)據(jù)竊聽(tīng)風(fēng)險(xiǎn)硬件設(shè)備與數(shù)據(jù)鏈路:物理竊聽(tīng)與破壞

(物理維護(hù),介質(zhì)保護(hù),OPENBOOT)常見(jiàn)黑客攻擊方式應(yīng)用層:應(yīng)用程序和操作系統(tǒng)的攻擊與破壞網(wǎng)絡(luò)安全的語(yǔ)義范圍

保密性完整性可用性(CIA三元組基本安全法則)可控性網(wǎng)絡(luò)安全的語(yǔ)義范圍

保密性第二章網(wǎng)絡(luò)設(shè)備安全管理CISP網(wǎng)絡(luò)與通信安全培訓(xùn)課件局域網(wǎng)的特性

局域網(wǎng)典型特性高數(shù)據(jù)傳輸率短距離低誤碼率(廣域網(wǎng)絡(luò)高誤碼率)常用的局域網(wǎng)介質(zhì)訪問(wèn)控制技術(shù)載波監(jiān)聽(tīng)多路訪問(wèn)/沖突檢測(cè)(CSMA/CD)技術(shù)令牌控制技術(shù)光纖分布數(shù)據(jù)接口(FDDI)技術(shù)局域網(wǎng)的特性局域網(wǎng)典型特性局域網(wǎng)安全管理良好的網(wǎng)絡(luò)拓?fù)湟?guī)劃(IP地址規(guī)劃,路由區(qū)域設(shè)計(jì)等)對(duì)網(wǎng)絡(luò)設(shè)備進(jìn)行基本安全配置(口令和不必要的服務(wù)關(guān)閉)合理的劃分VLAN(防一端口屬多VLAN)分離數(shù)據(jù)廣播域(不同部門)綁定IP地址與Mac地址(防止盜用IP)配置防火墻和IDS設(shè)備使用內(nèi)容監(jiān)控(NETFLOW)與病毒過(guò)濾局域網(wǎng)安全管理良好的網(wǎng)絡(luò)拓?fù)湟?guī)劃(IP地址規(guī)劃,路由區(qū)域設(shè)計(jì)良好的網(wǎng)絡(luò)規(guī)劃網(wǎng)絡(luò)安全規(guī)劃原則合理的分配地址(規(guī)劃表)合理的網(wǎng)絡(luò)邏輯結(jié)構(gòu)(拓?fù)浼皡f(xié)議的選擇)通過(guò)VLAN分隔邏輯網(wǎng)絡(luò)通過(guò)域或工作組確定用戶權(quán)限(操作系統(tǒng))建立良好的網(wǎng)絡(luò)安全制度

(文檔等)良好的網(wǎng)絡(luò)規(guī)劃網(wǎng)絡(luò)安全規(guī)劃原則網(wǎng)絡(luò)設(shè)備安全配置關(guān)閉不必要的設(shè)備服務(wù)(STP,CDP等)使用強(qiáng)口令或密碼加強(qiáng)設(shè)備訪問(wèn)的認(rèn)證與授權(quán)(AAA口令)升級(jí)設(shè)備固件(對(duì)功能的提升)或OS(補(bǔ)丁)使用訪問(wèn)控制列表限制訪問(wèn)(名稱,擴(kuò)展,基本)使用訪問(wèn)控制表限制數(shù)據(jù)包類型(二層)網(wǎng)絡(luò)設(shè)備安全配置關(guān)閉不必要的設(shè)備服務(wù)(STP,CDP等)廣域網(wǎng)的概念和特性廣域網(wǎng)是覆蓋地理范圍相對(duì)較廣的數(shù)據(jù)通信網(wǎng)絡(luò)。網(wǎng)絡(luò)的規(guī)模和分類:局域網(wǎng)(LAN,localareanetwork)可覆蓋一個(gè)建筑物或一所學(xué)校;城域網(wǎng)(MAN,metropolitanareanetwork)可覆蓋一座城市;(WAN,wideareanetwork)可覆蓋多座城市、多個(gè)國(guó)家或洲。廣域網(wǎng)的概念和特性廣域網(wǎng)是覆蓋地理范圍相對(duì)較廣的數(shù)據(jù)通信網(wǎng)絡(luò)廣域網(wǎng)的構(gòu)成和種類廣域網(wǎng)的構(gòu)成(設(shè)備及基本構(gòu)架)廣域網(wǎng)的種類X.25幀中繼ATM廣域網(wǎng)的構(gòu)成和種類廣域網(wǎng)安全管理良好的網(wǎng)絡(luò)拓?fù)湟?guī)劃(協(xié)議選擇等)對(duì)網(wǎng)絡(luò)設(shè)備進(jìn)行基本安全配置(口令,加密)確保路由協(xié)議安全(路由協(xié)議加密,防惡意路由信息介入)使用ACL進(jìn)行數(shù)據(jù)過(guò)濾使用AAA加強(qiáng)訪問(wèn)控制和認(rèn)證廣域網(wǎng)安全管理良好的網(wǎng)絡(luò)拓?fù)湟?guī)劃(協(xié)議選擇等)交換機(jī)-Vlan穿越對(duì)策將所有user-end端口都從vlan1中排除

(缺省VLAN的有很多服務(wù)沒(méi)有關(guān)掉.)將trunk接口劃分到一個(gè)單獨(dú)的vlan中,該vlan中不應(yīng)包含任何user-end接口交換機(jī)-Vlan穿越對(duì)策交換機(jī)-針對(duì)CDP攻擊交換機(jī)-針對(duì)CDP攻擊交換機(jī)-針對(duì)STP攻擊說(shuō)明SpanningTreeProtocol防止交換網(wǎng)絡(luò)產(chǎn)生回路RootBridgeBPDU--bridgeID,pathcost,interface攻擊強(qiáng)制接管rootbridge,導(dǎo)致網(wǎng)絡(luò)邏輯結(jié)構(gòu)改變,在重新生成STP時(shí),可以導(dǎo)致某些端口暫時(shí)失效,可以監(jiān)聽(tīng)大部份網(wǎng)絡(luò)流量。BPDUFlood:消耗帶寬,拒絕服務(wù)(間隔時(shí)間)對(duì)策對(duì)User-End端口,禁止發(fā)送BPDU(或用參數(shù)進(jìn)行控制)交換機(jī)-針對(duì)STP攻擊說(shuō)明交換機(jī)-針對(duì)VTP攻擊作用VlanTrunkingProtocol統(tǒng)一了整個(gè)網(wǎng)絡(luò)的VLAN配置和管理可以將VLAN配置信息傳遞到其它交換機(jī)動(dòng)態(tài)添加刪除VLAN(通過(guò)VTP更新信息)準(zhǔn)確跟蹤和監(jiān)測(cè)VLAN變化模式Server,Client,Transparent交換機(jī)-針對(duì)VTP攻擊作用交換機(jī)-針對(duì)VTP攻擊脆弱性Domain:只有屬于同一個(gè)Domain的交換機(jī)才能交換Vlan信息setvtpdomainnetpowerPassword:同一domain可以相互通過(guò)經(jīng)MD5加密的password驗(yàn)證,但password設(shè)置非必需的,如果未設(shè)置password,入侵者惡意添加或者刪除Vlan。對(duì)策設(shè)置password盡量將交換機(jī)的vtp設(shè)置為Transparent模式:setvtpdomainnetpowermodetransparentpasswordsercetvty(不去管VTP信息,只是轉(zhuǎn)發(fā))交換機(jī)-針對(duì)VTP攻擊脆弱性路由器-發(fā)現(xiàn)路由通過(guò)tracertroute命令最后一個(gè)路由容易成為DoS攻擊目標(biāo)(產(chǎn)生大量的數(shù)據(jù)包,使響應(yīng)者消耗資源)路由器-發(fā)現(xiàn)路由通過(guò)tracertroute命令路由器-猜測(cè)路由器類型端口掃描CDP其它特征:如Cisco路由器1999端口的ack分組信息,會(huì)有cisco字樣提示

(給入侵者帶來(lái)有用信息)路由器-猜測(cè)路由器類型端口掃描路由器-缺省帳號(hào)設(shè)備用戶名密碼級(jí)別bay路由器user空用戶

Manager空管理員bay350T交換機(jī)NetlCs無(wú)關(guān)管理員baysuperStackIIsecuritysecurity管理員3com交換機(jī)adminsynnet管理員

readsynnet用戶

writesynnet管理員

debugsynnet管理員

techtech

路由器-缺省帳號(hào)設(shè)備用戶名密碼級(jí)別bay路由器user空用戶路由器-缺省帳號(hào)

monitormonitor用戶

managermanager管理員

securitysecurity管理員cisco路由器(telnet)c(Cisco2600s)管理員

(telnet)cisco用戶

enablecisco管理員

(telnet)ciscorouters

shivaroot空管理員

Guest空用戶Webrampwradmintrancell管理員MotorolaCableRoutercablecomrouter管理員路由器-缺省帳號(hào)monitormonitor用戶mana路由器-密碼Cisco路由器的密碼(選擇手工安裝模式就可以沒(méi)有缺省密碼)弱加密MD5加密Enablesecret5路由器-密碼Cisco路由器的密碼(選擇手工安裝模式就可以沒(méi)路由器-SNMPSNMP版本SNMPv1,SNMPv2,SNMPv3SnmpAgentMIBSnmp網(wǎng)管軟件讀寫權(quán)限關(guān)掉不必要的服務(wù)

SNMP對(duì)管理人員有用,同時(shí)也為黑客提供方便.路由器-SNMPSNMP路由器-針對(duì)snmp攻擊利用讀、寫口令字下載配置文件針對(duì)SNMP的暴力破解程序CISCOSNMP越權(quán)訪問(wèn)可寫口令字……路由器-針對(duì)snmp攻擊利用讀、寫口令字下載配置文件

第三章網(wǎng)絡(luò)存在的威脅CISP網(wǎng)絡(luò)與通信安全培訓(xùn)課件網(wǎng)絡(luò)中面臨的威脅網(wǎng)絡(luò)中面臨的威脅拒絕服務(wù)攻擊定義

DoS(DenialofService)

拒絕服務(wù)攻擊是用來(lái)顯著降低系統(tǒng)提供服務(wù)的質(zhì)量或可用性的一種有目的行為。

DDoS(DistributedDenialofservice)分布式拒絕服務(wù)攻擊使用了分布式客戶服務(wù)器功能,加密技術(shù)及其它類的功能,它能被用于控制任意數(shù)量的遠(yuǎn)程機(jī)器,以產(chǎn)生隨機(jī)匿名的拒絕服務(wù)攻擊和遠(yuǎn)程訪問(wèn)。拒絕服務(wù)攻擊定義

DoS(DenialofServicDDoS攻擊示意圖分布式拒絕服務(wù)攻擊示意圖DDoS攻擊示意圖分布式拒絕服務(wù)攻擊示意圖DoS攻擊舉例SynFloodUdpFloodIcmpPingFloodDoS攻擊舉例SynFloodSynFloodSYNFlood是當(dāng)前最流行的DoS(拒絕服務(wù)攻擊)與DDoS(分布式拒絕服務(wù)攻擊),是利用TCP協(xié)議缺陷,發(fā)送大量偽造的TCP連接請(qǐng)求,從而使得被攻擊方資源耗盡(CPU滿負(fù)荷或內(nèi)存不足)的一種攻擊方式。SynFloodSYNFlood是當(dāng)前最流行的DoS(拒SynFloodSYN(我可以連接嗎?)ACK(可以)/SYN(請(qǐng)確認(rèn)?。〢CK(確認(rèn)連接)發(fā)起方應(yīng)答方正常的三次握手建立通訊的過(guò)程SynFloodSYN(我可以連接嗎?)ACK(可以)SynFloodSYN(我可以連接嗎?)ACK(可以)/SYN(請(qǐng)確認(rèn)?。┕粽呤芎φ邆卧斓刂愤M(jìn)行SYN請(qǐng)求為何還沒(méi)回應(yīng)就是讓你白等不能建立正常的連接SynFloodSYN(我可以連接嗎?)ACK(可以)UdpFloodUDP攻擊的原理是使兩個(gè)或兩個(gè)以上的系統(tǒng)之間產(chǎn)生巨大的UDP數(shù)據(jù)包。首先使這兩種UDP服務(wù)都產(chǎn)生輸出,然后讓這兩種UDP服務(wù)之間互相通信,使一方的輸出成為另一方的輸入。這樣會(huì)形成很大的數(shù)據(jù)流量。當(dāng)多個(gè)系統(tǒng)之間互相產(chǎn)生UDP數(shù)據(jù)包時(shí),最終將導(dǎo)致整個(gè)網(wǎng)絡(luò)癱瘓。如果涉及的主機(jī)數(shù)目少,那么只有這幾臺(tái)主機(jī)會(huì)癱瘓UdpFloodUDP攻擊的原理是使兩個(gè)或兩個(gè)以上的系統(tǒng)之UdpFlood禁止相關(guān)服務(wù)(RIP禁止對(duì)所有端口轉(zhuǎn)發(fā))與網(wǎng)絡(luò)設(shè)備配合(FWACL)UdpFlood禁止相關(guān)服務(wù)(RIP禁止對(duì)所有端口轉(zhuǎn)發(fā))IcmpPingFloodPing是通過(guò)發(fā)送ICMP報(bào)文,不能很好處理過(guò)大的Ping包,導(dǎo)致出現(xiàn):占去許多帶寬,塞滿網(wǎng)絡(luò).如TFN2K會(huì)產(chǎn)生大量的進(jìn)程,每個(gè)進(jìn)程都不停地發(fā)送PING包,從而導(dǎo)致被攻擊目標(biāo)的無(wú)法正常工作。IcmpPingFloodPing是通過(guò)發(fā)送ICMP報(bào)文IcmpFlood禁止相關(guān)服務(wù)與網(wǎng)絡(luò)設(shè)備配合(CISCO設(shè)備最新功能用命令去禁止)IcmpFlood禁止相關(guān)服務(wù)應(yīng)用級(jí)別的拒絕服務(wù)包含在操作系統(tǒng)或應(yīng)用程序中與安全相關(guān)的系統(tǒng)缺陷而引起的拒絕服務(wù)問(wèn)題,這些缺陷大多是由于錯(cuò)誤的程序編制,粗心的源代碼審核.典型代表是pcanywhere的拒絕服務(wù)問(wèn)題應(yīng)用級(jí)別的拒絕服務(wù)包含在操作系統(tǒng)或應(yīng)用程序中與安全相關(guān)的系統(tǒng)應(yīng)用級(jí)別的拒絕服務(wù)PCAnywhere存在因端口掃描導(dǎo)致的DoS攻擊描述:在遭受到nmap2.30BETA21的TCPSYN掃描之后,PcAnyWhere將停止響應(yīng),只有重新啟動(dòng)服務(wù)才能正常運(yùn)行。應(yīng)用級(jí)別的拒絕服務(wù)PCAnywhere存在因端口掃描導(dǎo)致的應(yīng)用級(jí)別的拒絕服務(wù)升級(jí)相關(guān)軟件(補(bǔ)漏洞)與安全產(chǎn)品配合(IDS,FW,ACL,ROUTE-MAP策略控制)應(yīng)用級(jí)別的拒絕服務(wù)升級(jí)相關(guān)軟件(補(bǔ)漏洞)Trinoo介紹影響平臺(tái):Linux,Solaris,Unix風(fēng)險(xiǎn)級(jí)別:高攻擊類型:基于網(wǎng)絡(luò),基于主機(jī)的Trin00是一種分布式拒絕服務(wù)的工具。攻擊者使用該工具可以控制多個(gè)主機(jī),利用這些主機(jī)向其他主機(jī)發(fā)送UDPflood。Trin00控制者可以給Trin00主機(jī)守護(hù)程序制造多種請(qǐng)求。使用UDP包開始flood主機(jī)使用UDP包終止flood主機(jī)修改主機(jī)主流程序的UDPflood配置Trinoo介紹影響平臺(tái):Linux,Solaris,Trinoo介紹Trinoo的攻擊方法是向被攻擊目標(biāo)主機(jī)的隨機(jī)端口發(fā)出全零的4字節(jié)UDP包,在處理這些超出其處理能力的垃圾數(shù)據(jù)包的過(guò)程中,被攻擊主機(jī)的網(wǎng)絡(luò)性能不斷下降,直到不能提供正常服務(wù),乃至崩潰。它對(duì)IP地址不做假.通訊端口是:(要在相應(yīng)策略控制里封掉)

攻擊者主機(jī)到主控端主機(jī):27665/TCP

主控端主機(jī)到代理端主機(jī):27444/UDP

代理端主機(jī)到主服務(wù)器主機(jī):31335/UDPTrinoo介紹Trinoo的攻擊方法是向被攻擊目標(biāo)主機(jī)的隨TFN介紹影響平臺(tái):Linux,Solaris,Unix風(fēng)險(xiǎn)級(jí)別:高攻擊類型:基于網(wǎng)絡(luò),基于主機(jī)的TribeFloodNetwork,TFN,是一種分布式拒絕服務(wù)的工具,使用該工具可以使攻擊者利用多個(gè)主機(jī),一次flood一個(gè)目標(biāo)。有三種不同類型的flood:ICMPEchofloodUDPFloodSYNFloodTFN介紹影響平臺(tái):Linux,Solaris,UniTFN介紹TFN客戶機(jī)和服務(wù)器使用ICMPecho互相發(fā)送響應(yīng)包進(jìn)行通訊。TFN由主控端程序和代理端程序兩部分組成,具有偽造數(shù)據(jù)包的能力。TFN介紹TFN客戶機(jī)和服務(wù)器使用ICMPechoTFN2K介紹影響平臺(tái):Linux,Solaris,Unix風(fēng)險(xiǎn)級(jí)別:高攻擊類型:基于網(wǎng)絡(luò),基于主機(jī)的TribeFloodNetwork2000(TFN2k)是一種分布式拒絕服務(wù)的工具,可以實(shí)施多種類型的flood攻擊一個(gè)主機(jī)。TFN2k由客戶端和主機(jī)駐留程序組成??蛻舳丝刂埔粋€(gè)多個(gè)主機(jī)主流程序,主機(jī)主流程序?qū)δ繕?biāo)主機(jī)進(jìn)行flood??蛻舳丝梢允褂肬DP、TCP或ICMP與主機(jī)主流程序進(jìn)行通訊,并可以隱藏欺騙發(fā)包的源IP地址。TFN2K介紹影響平臺(tái):Linux,Solaris,UTFN2K介紹TFN2K是由TFN發(fā)展而來(lái)的,在TFN所具有的特性上,TFN2K又新增一些特性,它的主控端和代理端的網(wǎng)絡(luò)通訊是經(jīng)過(guò)加密的,中間還可能混雜了許多虛假數(shù)據(jù)包,而TFN對(duì)ICMP的通訊沒(méi)有加密。并且TFN2K可配置的代理端進(jìn)程端口。TFN2K介紹TFN2K是由TFN發(fā)展而來(lái)的,在TFN所具有DDoS攻擊特性DDoS攻擊將越來(lái)越多地采用IP欺騙的技術(shù);DDoS攻擊呈現(xiàn)由單一攻擊源發(fā)起進(jìn)攻,轉(zhuǎn)變?yōu)橛啥鄠€(gè)攻擊源對(duì)單一目標(biāo)進(jìn)攻的趨勢(shì);DDoS攻擊將會(huì)變得越來(lái)越智能化,試圖躲過(guò)網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)的檢測(cè)跟蹤,并試圖繞過(guò)防火墻防御體系;針對(duì)路由器的弱點(diǎn)的DDoS攻擊將會(huì)增多;DDoS攻擊利用路由器的多點(diǎn)傳送功能可以將攻擊效果擴(kuò)大若干倍;基于不同協(xié)議的攻擊:

--采用半連接技術(shù)SYN攻擊,和針對(duì)TCP/IP協(xié)議先天缺陷的的ACK攻擊。

--采用ICMP攻擊。

--采用UDP攻擊。DDoS攻擊特性DDoS攻擊將越來(lái)越多地采用IP欺騙的技術(shù);IP欺騙原理IP是網(wǎng)絡(luò)層的一個(gè)非面向連接的協(xié)議,偽造IP地址相對(duì)容易。TCP三次握手DoS攻擊序列號(hào)取樣和猜測(cè)預(yù)防拋棄基于地址的信任策略進(jìn)行包過(guò)濾加密使用隨機(jī)化初始序列號(hào)IP欺騙原理ARP欺騙實(shí)現(xiàn)簡(jiǎn)易指定ARP包中的源IP、目標(biāo)IP、源MAC、目標(biāo)MAC危害嗅探導(dǎo)致windows9x、NTIP沖突死機(jī)Flooding導(dǎo)致網(wǎng)絡(luò)異常ARP欺騙實(shí)現(xiàn)簡(jiǎn)易共享環(huán)境下的嗅探技術(shù)原理在以太網(wǎng)中是基于廣播方式傳送數(shù)據(jù)網(wǎng)卡置于混雜模式下可以接收所有經(jīng)的數(shù)據(jù)工具Snifferpro、IRIS、tcpdump、snoop共享環(huán)境下的嗅探技術(shù)原理

第四章網(wǎng)絡(luò)設(shè)備的安全配置CISP網(wǎng)絡(luò)與通信安全培訓(xùn)課件路由交換設(shè)備安全配置關(guān)閉不必要的設(shè)備服務(wù)使用強(qiáng)口令或密碼加強(qiáng)設(shè)備訪問(wèn)的認(rèn)證與授權(quán)升級(jí)設(shè)備固件或OS使用訪問(wèn)控制列表限制訪問(wèn)使用訪問(wèn)控制表限制數(shù)據(jù)包類型路由交換設(shè)備安全配置關(guān)閉不必要的設(shè)備服務(wù)Cisco路由交換的安全配置使用加密的強(qiáng)密碼servicepassword-encryptionenablesecretpa55w0rd使用分級(jí)密碼策略(0~7)enablesecret6pa55wordprivilegeexec6show使用用戶密碼策略u(píng)sernamepasswordpassprivilegeexec6showCisco路由交換的安全配置使用加密的強(qiáng)密碼Cisco路由交換安全配置控制網(wǎng)絡(luò)線路訪問(wèn)access-list8permit0access-list8denyanylinevty04access-class8in設(shè)置網(wǎng)絡(luò)連接超時(shí)Exec-timeout50以上措施可以保證路由器的密碼安全Cisco路由交換安全配置控制網(wǎng)絡(luò)線路訪問(wèn)以上措施可以保證路Cisco路由交換安全配置禁用交換機(jī)HTTP服務(wù)器noiphttpserver禁用CDP發(fā)掘協(xié)議nocdprun禁用交換機(jī)NTP服務(wù)器nontpenable如果用了,需要驗(yàn)證Ntpauthenticate-key10md5ntpkeyNtpserverseattlekey10禁用低端口簡(jiǎn)單服務(wù)noservice-udp-small-servicesnoservice-udp-small-services禁用Finger服務(wù)noservicefinger以上措施可以降低路由器遭受應(yīng)用層攻擊的風(fēng)險(xiǎn)Cisco路由交換安全配置禁用交換機(jī)HTTP服務(wù)器以上措施可Cisco路由交換安全配置禁用簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議nosnmp-serverenable使用SNMPv3加強(qiáng)安全特性snmp-serverenabletrapssnmpauthmd5使用強(qiáng)的SNMPv1通訊關(guān)鍵字snmp-servercommunityname以上三者不可同時(shí)使用,如果必要使用SNMP安全性1>>2>>3Cisco路由交換安全配置禁用簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議以上三者不可同Cisco路由交換安全配置認(rèn)證與日志管理

logging設(shè)置與不同的服務(wù)相關(guān)聯(lián)

logging的不同級(jí)別使用AAA加強(qiáng)設(shè)備訪問(wèn)控制

AAA概念日志管理loggingonloggingserverCisco路由交換安全配置認(rèn)證與日志管理Cisco路由交換安全配置禁用IPUnreachable報(bào)文禁用ICMPRedirect報(bào)文noipredirect禁用定向廣播noipdirected-broadcast禁用ARP代理noipproxy-arp使用IP驗(yàn)證Ipverifyunicastreverse-path禁用IP源路由選項(xiàng)noipsource-routeCisco路由交換安全配置禁用IPUnreachable報(bào)Cisco路由交換安全配置啟用TCP截獲特性防止DoS攻擊創(chuàng)建截獲訪問(wèn)控制列表起用TCP截獲特性設(shè)置門限制設(shè)置丟棄模式Cisco路由交換安全配置啟用TCP截獲特性防止DoS攻擊Cisco路由交換安全配置使用訪問(wèn)控制列表限制訪問(wèn)地址使用訪問(wèn)控制列表限定訪問(wèn)端口使用訪問(wèn)控制列表過(guò)濾特定類型數(shù)據(jù)包使用訪問(wèn)控制列表限定數(shù)據(jù)流量使用訪問(wèn)控制列表保護(hù)內(nèi)部網(wǎng)絡(luò)Cisco路由交換安全配置使用訪問(wèn)控制列表限制訪問(wèn)地址第五章對(duì)網(wǎng)絡(luò)威脅采取的策略CISP網(wǎng)絡(luò)與通信安全培訓(xùn)課件拒絕服務(wù)攻擊的防御策略拒絕服務(wù)攻擊的防御策略第一種是縮短SYNTimeout時(shí)間,由于SYNFlood攻擊的效果取決于服務(wù)器上保持的SYN半連接數(shù),這個(gè)值=SYN攻擊的頻度xSYNTimeout,所以通過(guò)縮短從接收到SYN報(bào)文到確定這個(gè)報(bào)文無(wú)效并丟棄該連接的時(shí)間,例如設(shè)置為20秒以下(過(guò)低的SYNTimeout設(shè)置可能會(huì)影響客戶的正常訪問(wèn)),可以成倍的降低服務(wù)器的負(fù)荷.

第二種方法是設(shè)置SYNCookie,就是給每一個(gè)請(qǐng)求連接的IP地址分配一個(gè)Cookie,如果短時(shí)間內(nèi)連續(xù)受到某個(gè)IP的重復(fù)SYN報(bào)文,就認(rèn)定是受到了攻擊,以后從這個(gè)IP地址來(lái)的包會(huì)被一概丟棄。

SynFlood解決辦法第一種是縮短SYNTimeout時(shí)間,由于SYNFloo動(dòng)態(tài)分析

受到攻擊時(shí)在線分析TCPSYN報(bào)文的所有細(xì)節(jié)。如源地址、IP首部中的標(biāo)識(shí)、TCP首部中的序列號(hào)、TTL值等,特別是TTL值,如果大量的攻擊包似乎來(lái)自不同的IP但是TTL值卻相同,往往能推斷出攻擊者與目標(biāo)之間的路由器距離,至少也可以通過(guò)過(guò)濾特定TTL值的報(bào)文降低被攻擊系統(tǒng)的負(fù)荷(在這種情況下TTL值與攻擊報(bào)文不同的用戶就可以恢復(fù)正常訪問(wèn))

網(wǎng)絡(luò)設(shè)備配合SynFlood其它辦法動(dòng)態(tài)分析

受到攻擊時(shí)在線分析TCPSYN報(bào)文的所有細(xì)節(jié)。如SynFlood其它辦法

負(fù)載均衡

基于DNS解析的負(fù)載均衡本身就擁有對(duì)SYNFlood的免疫力,基于DNS解析的負(fù)載均衡能將用戶的請(qǐng)求分配到不同IP的服務(wù)器主機(jī)上,SYNFlood程序有兩種攻擊方式,基于IP的和基于域名的,前者是攻擊者自己進(jìn)行域名解析并將IP地址傳遞給攻擊程序,后者是攻擊程序自動(dòng)進(jìn)行域名解析,但是它們有一點(diǎn)是相同的,就是一旦攻擊開始,將不會(huì)再進(jìn)行域名解析。攻擊者攻擊的永遠(yuǎn)只是其中一臺(tái)服務(wù)器。

SynFlood其它辦法

負(fù)載均衡

基于DNS解析的負(fù)檢測(cè)DDoS攻擊根據(jù)異常情況分析

訪問(wèn)量突然劇增,經(jīng)過(guò)sniffer分析,有大量的非正常的包,如沒(méi)有正常的tcp三次握手,或者是三次握手后沒(méi)有正常的關(guān)閉連接,或者大量的廣播包,或者大量的icmp包,這說(shuō)明極其有可能是遭受DDoS攻擊。外部訪問(wèn)突然變慢,或者訪問(wèn)不到,可是主機(jī)的訪問(wèn)量卻不大,這很有可能是路由器的配置出現(xiàn)問(wèn)題,詢問(wèn)一下是否有人對(duì)路由器等設(shè)備進(jìn)行過(guò)操作,或者你的對(duì)等ISP的線路出現(xiàn)問(wèn)題。

主機(jī)突然反應(yīng)很遲鈍。這要經(jīng)過(guò)sniffer進(jìn)行偵聽(tīng),這有兩種可能,一種是流量確實(shí)很大,有可能是遭受DoS攻擊,還有就是應(yīng)用程序編寫有誤,導(dǎo)致系統(tǒng)資源耗盡。檢測(cè)DDoS攻擊根據(jù)異常情況分析DDoS攻擊的對(duì)策與網(wǎng)絡(luò)服務(wù)提供商協(xié)作

能否與上一級(jí)的網(wǎng)絡(luò)主干服務(wù)提供商進(jìn)行良好的合作是非常重要的事情。DDoS攻擊對(duì)帶寬的使用是非常嚴(yán)格的,無(wú)論使用什么方法都無(wú)法使自己的網(wǎng)絡(luò)對(duì)它的上一級(jí)進(jìn)行控制。最好能夠與網(wǎng)絡(luò)服務(wù)供應(yīng)商進(jìn)行協(xié)商,請(qǐng)求他們幫助實(shí)現(xiàn)路由的訪問(wèn)控制,以實(shí)現(xiàn)對(duì)帶寬總量的限制以及不同的訪問(wèn)地址在同一時(shí)間對(duì)帶寬的占有率。最好請(qǐng)求服務(wù)提供商幫監(jiān)視網(wǎng)絡(luò)流量,并在遭受攻擊時(shí)允許訪問(wèn)他們的路由器。DDoS攻擊的對(duì)策與網(wǎng)絡(luò)服務(wù)提供商協(xié)作DDoS攻擊的對(duì)策安裝IDS和監(jiān)控異常流量。

在防衛(wèi)攻擊方面,安裝IDS可以發(fā)現(xiàn)是否有入侵行動(dòng)正在進(jìn)行,立即對(duì)入侵行動(dòng)進(jìn)行報(bào)警。以最快時(shí)間內(nèi)對(duì)入侵做成反應(yīng)。此外,也要時(shí)常監(jiān)控網(wǎng)絡(luò)流量,注意是否有異常的流量產(chǎn)生。(IDS操作)優(yōu)化對(duì)外提供服務(wù)的主機(jī)

對(duì)于潛在的有可能遭受攻擊的主機(jī)也要同樣進(jìn)行設(shè)置保護(hù)。在服務(wù)器上禁止一切不必要的服務(wù),打補(bǔ)丁,進(jìn)行安全配置。此外,用防火墻對(duì)提供服務(wù)的主機(jī)進(jìn)行保護(hù),對(duì)訪問(wèn)量大的主機(jī)進(jìn)行負(fù)載均衡。將網(wǎng)站分布在多個(gè)不同的物理主機(jī)上,這樣每一臺(tái)主機(jī)只包含了網(wǎng)站的一部分,防止了網(wǎng)站在遭受攻擊時(shí)全部癱瘓。DDoS攻擊的對(duì)策安裝IDS和監(jiān)控異常流量。DDoS攻擊的對(duì)策立即啟動(dòng)應(yīng)付策略,盡可能快的向回追蹤攻擊包

如果發(fā)現(xiàn)攻擊并非來(lái)自內(nèi)部應(yīng)當(dāng)立即與服務(wù)提供商取得聯(lián)系。由于攻擊包的源地址很有可能是被攻擊者偽裝的,因此不必過(guò)分的相信該地址。應(yīng)當(dāng)迅速的判斷是否遭到了拒絕服務(wù)攻擊,因?yàn)樵诠敉V购?,只有很短的一段時(shí)間您可以向回追蹤攻擊包,這最好和安全公司或組織一道來(lái)追查攻擊者。與信息安全監(jiān)察部門聯(lián)系

由于系統(tǒng)日志屬于電子證據(jù),可以被非法修改。所以一旦攻擊發(fā)生,應(yīng)該及時(shí)與信息安全監(jiān)察部門聯(lián)系,及時(shí)提供系統(tǒng)日志作為證據(jù)保全,以利于追查和起訴攻擊者,便于日后用法律手段追回經(jīng)濟(jì)損失DDoS攻擊的對(duì)策立即啟動(dòng)應(yīng)付策略,盡可能快的向回追蹤攻擊包DDoS預(yù)防方法限制ICMP數(shù)據(jù)包出站速率InterfacexxRete-limitoutputaccess-group10225600080008000conform-actiontransmitexceed-actiondropAccess-list102permiticmpanyanyechoAccess-list102permiticmpanyanyecho-replyDDoS預(yù)防方法限制ICMP數(shù)據(jù)包出站速率DDoS預(yù)防方法限制SYN數(shù)據(jù)包連接速率InterfacexxRete-limitinputaccess-group103800080008000conform-actiontransmitexceed-actiondropAccess-list103denytcpanyhostxx.xx.xx.xxestablishedAccess-list103permittcpanyhostxx.xx.xx.xxDDoS預(yù)防方法限制SYN數(shù)據(jù)包連接速率DDoS預(yù)防方法InterfacexxIpaccess-group101inAccess-list101denyip55anyAccess-list101denyip55anyAccess-list101denyip55anyAccess-list101permitipanyanyDDoS預(yù)防方法DDoS預(yù)防方法入口數(shù)據(jù)包必須來(lái)自客戶地址確保檢查入口數(shù)據(jù)包有效DDoS預(yù)防方法DDoS預(yù)防方法驗(yàn)證單點(diǎn)傳送反向路徑檢查數(shù)據(jù)包地返回路徑是否使用與到達(dá)相同接口,以緩解某些欺騙數(shù)據(jù)包需要路由CEF(快速向前傳輸)特性

DDoS預(yù)防方法驗(yàn)證單點(diǎn)傳送反向路徑

第六章IPSec與VPN技術(shù)CISP網(wǎng)絡(luò)與通信安全培訓(xùn)課件IPSec與VPN技術(shù)IPSec與VPN技術(shù)VPN技術(shù)虛擬專用網(wǎng)(VirtualPrivateNetwork):在公眾網(wǎng)絡(luò)上所建立的企業(yè)網(wǎng)絡(luò),且此企業(yè)網(wǎng)絡(luò)擁有與專用網(wǎng)絡(luò)相同的安全、管理及功能等特點(diǎn)。

VPN技術(shù)虛擬專用網(wǎng)(VirtualPrivateNet采用VPN的原因費(fèi)用安全性采用VPN的原因費(fèi)用安全性VPN協(xié)議—隧道協(xié)議第二層隧道協(xié)議PPTP(Point-to-PointTunnelingProtocol)L2F(Layer2Forwarding)L2TP(Layer2TunnelingProtocol)第三層隧道協(xié)議GREIPSecVPN協(xié)議—隧道協(xié)議第二層隧道協(xié)議PPTP將其他協(xié)議和數(shù)據(jù)封裝于IP網(wǎng)絡(luò);該方式用在公共的Internet創(chuàng)建VPN,遠(yuǎn)端用戶能夠透過(guò)任何支持PPTP的ISP訪問(wèn)公司的專用網(wǎng)絡(luò)。此協(xié)議由Microsoft開發(fā),與Windows95和NT集成很好。在數(shù)據(jù)安全性方面,此協(xié)議使用40bit或128bitRC4的加密算法。PPTP將其他協(xié)議和數(shù)據(jù)封裝于IP網(wǎng)絡(luò);該方式用在公共的InL2TPIETF所制定的在Internet上創(chuàng)建VPN的協(xié)議。它支持非IP的協(xié)議,例如:AppleTalk和IPX,還有非IP的協(xié)議,例如:AppleTalk和IPX,還有非IPSec的安全協(xié)議。這個(gè)協(xié)議是在PPTP和L2F的技術(shù)之上所制定的標(biāo)準(zhǔn)InternetTunnel協(xié)議。在數(shù)據(jù)安全方面,建議使用IPSec作為加密方式。

L2TPIETF所制定的在Internet上創(chuàng)建VPN的協(xié)議IPSecIETF所制定的安全協(xié)議。它可以在Internet網(wǎng)上提供Tunnel封裝、數(shù)據(jù)驗(yàn)證和數(shù)據(jù)亂碼加密的服務(wù)。IPSec工作在網(wǎng)絡(luò)協(xié)議棧的第三層,并且支持IPV6,使用DES(56-bit)或TripleDES(112-bit)加密方式。IPSec分兩種工作方式:Tunnel模式(tunnel服務(wù)和加密服務(wù)同時(shí)提供)和Transport模式(只提供加密服務(wù),不提供Tunnel)IPSecIETF所制定的安全協(xié)議。它可以在InternetIPSec工作模式傳輸模式在IPSec之前在IPSec*之后IP有效載荷IP頭內(nèi)部受保護(hù)的數(shù)據(jù)IP有效載荷IP頭IPSec

頭線上傳輸保護(hù)TCP/UDP/ICMP有效負(fù)載IPSec工作模式傳輸模式在IPSec之前在IPSec*用于LAN的IPSec傳輸模式點(diǎn)對(duì)點(diǎn)通信

對(duì)保護(hù)工作組通信非常有效

B:A:LAN用于LAN的IPSec傳輸模式點(diǎn)對(duì)點(diǎn)通信 B:10.0.IPSec工作模式隧道模式IPPayloadIPheaderIPPayloadIPheaderIPheaderIPSECheader保護(hù)IP包頭和IP負(fù)載可適用于兩者,隱藏內(nèi)部IP地址,協(xié)議類型和端口號(hào)加密在IPSec之前在IPSec*之后IPSec工作模式隧道模式IPPayloadIPhead用于WAN的IPSec隧道模式通過(guò)WAN把私有地址空間擴(kuò)展到任意地方跨WAN保證私有性,完整性和身份驗(yàn)證ISPVPNGatewayInternet

B:C:1

D:A:經(jīng)過(guò)隧道的私有地址可路由的公有地址用于WAN的IPSec隧道模式通過(guò)WAN把私有地址空間擴(kuò)展到隧道和傳輸模式相結(jié)合通過(guò)WAN的安全隧道和通過(guò)LAN的安全傳輸相結(jié)合而對(duì)LAN和WAN實(shí)現(xiàn)一個(gè)統(tǒng)一的安全策略建筑的內(nèi)外有一致的安全性ISPVPNGatewayInternet

B:A:主機(jī)間的傳輸C:1

D:通過(guò)WAN的隧道隧道和傳輸模式相結(jié)合通過(guò)WAN的安全隧道和通過(guò)LAN的安全傳VPN網(wǎng)絡(luò)架構(gòu)告電安全隧道公共網(wǎng)絡(luò)FR/DDN/X.25分支機(jī)構(gòu)子網(wǎng)分支機(jī)構(gòu)子網(wǎng)管理中心子網(wǎng)VPN網(wǎng)關(guān)NEsec300FW2035968?告警內(nèi)網(wǎng)接口外網(wǎng)接口電源NEsec300FW2035968?告警內(nèi)網(wǎng)接口外網(wǎng)接口電源NEsec300FW2035968?告警內(nèi)網(wǎng)接口外網(wǎng)接口電源VPN網(wǎng)關(guān)VPN網(wǎng)關(guān)NEsec300CA警內(nèi)網(wǎng)接口外網(wǎng)接口源認(rèn)證服務(wù)器管理器VPN網(wǎng)絡(luò)架構(gòu)告電安全隧道公共網(wǎng)絡(luò)FR/DDN/X.25分支VPN的特點(diǎn)解決了企業(yè)進(jìn)行遠(yuǎn)程通訊必須購(gòu)置專用遠(yuǎn)程訪問(wèn)服務(wù)器,必須使用租用線路的高成本、低擴(kuò)展性的問(wèn)題。將遠(yuǎn)程網(wǎng)絡(luò)主干的通訊的軟硬件維護(hù)的任務(wù)交給ISP管理,大大減少企業(yè)為了管理網(wǎng)絡(luò)所投入的人力和物力,減少了企業(yè)的管理成本。利用點(diǎn)對(duì)點(diǎn)等隧道協(xié)議(PPP)以及第二層隧道協(xié)議(L2TP)可以實(shí)現(xiàn)多點(diǎn)建立VPN,使得用戶可以開通多個(gè)VPN,以便同時(shí)訪問(wèn)Internet和企業(yè)網(wǎng)絡(luò)。采用Microsoft的點(diǎn)對(duì)點(diǎn)加密協(xié)議(MPPE)以及安全I(xiàn)P標(biāo)準(zhǔn)(IPsec)和密匙可以實(shí)現(xiàn)VPN的安全策略。VPN的特點(diǎn)解決了企業(yè)進(jìn)行遠(yuǎn)程通訊必須購(gòu)置專用遠(yuǎn)程訪問(wèn)服務(wù)器問(wèn)題?問(wèn)題?信息安全技術(shù)

網(wǎng)絡(luò)安全2003-12信息安全技術(shù)

網(wǎng)絡(luò)安全今天的主題第一章網(wǎng)絡(luò)安全基礎(chǔ)(模型,基礎(chǔ)知識(shí))第二章網(wǎng)絡(luò)設(shè)備安全管理(物理上安全,設(shè)置上安全等)第三章網(wǎng)絡(luò)中面臨的威脅針對(duì)網(wǎng)絡(luò)設(shè)備的攻擊(不同的設(shè)備,不同的漏洞)拒絕服務(wù)(DoS)攻擊(DOS,DDOS)欺騙攻擊(IP地址欺騙等)網(wǎng)絡(luò)嗅探(協(xié)議,端口)第四章網(wǎng)絡(luò)設(shè)備的安全配置第五章對(duì)網(wǎng)絡(luò)威脅采取的策略第六章

IPSec與VPN技術(shù)今天的主題第一章網(wǎng)絡(luò)安全基礎(chǔ)(模型,基礎(chǔ)知識(shí))第一章網(wǎng)絡(luò)安全基礎(chǔ)CISP網(wǎng)絡(luò)與通信安全培訓(xùn)課件INTERNET的美妙之處在于你和每個(gè)人都能互相連接(工作,學(xué)習(xí),電子商務(wù)等)INTERNET的可怕之處在于每個(gè)人都能和你互相連接(面臨著威脅,例如:病毒)INTERNET的美妙之處網(wǎng)絡(luò)基礎(chǔ)網(wǎng)絡(luò)基礎(chǔ)OSI參考模型ISO/OSI網(wǎng)絡(luò)體系結(jié)構(gòu)

即開放系統(tǒng)互聯(lián)參考模型(OpenSystemInterconnectReferenceModel)。是ISO(國(guó)際標(biāo)準(zhǔn)化組織)根據(jù)整個(gè)計(jì)算機(jī)網(wǎng)絡(luò)功能劃分七層.網(wǎng)絡(luò)體系結(jié)構(gòu)分層的目的

(為了更好的規(guī)劃網(wǎng)絡(luò),更好的達(dá)到網(wǎng)絡(luò)的互聯(lián)性,更好的解決問(wèn)題,更好的構(gòu)架網(wǎng)絡(luò)而建立)OSI參考模型的層次劃分

應(yīng)用層表示層

會(huì)話層

傳輸層網(wǎng)絡(luò)層

數(shù)據(jù)鏈路層物理層

OSI參考模型OSI層次劃分原則層次分明性應(yīng)該把層次分成理論上需要的不同等級(jí),減少過(guò)多的層次;當(dāng)在數(shù)據(jù)處理過(guò)程中需要不同級(jí)別抽象時(shí),則設(shè)立一個(gè)層次;在需要不同的通信服務(wù)時(shí),可在同一層內(nèi)再形成子層次,不需要時(shí)也可繞過(guò)該子層次。獨(dú)立性一個(gè)層次內(nèi)的功能或協(xié)議更改時(shí)不影響其它各層;互聯(lián)性只為每一層建立與其相鄰的上一層和下一層的接口;OSI層次劃分原則層次分明性O(shè)SI層次劃分原則

功能模塊化性每一層都應(yīng)該較好地履行其特定的功能;成熟性每一層的功能選定都基于已有成功經(jīng)驗(yàn)的國(guó)際標(biāo)準(zhǔn)協(xié)議;簡(jiǎn)明性每一層的界面都應(yīng)該選在服務(wù)描述最少、通過(guò)接口的信息流量最少的地方;把類似的功能集中在同一層內(nèi),使之易于局部化;

OSI層次劃分原則功能模塊化性TCP/IP協(xié)議層次模型TCP/IP協(xié)議分層并不完全對(duì)應(yīng)OSI模型應(yīng)用層TelnetFTPDNSSMTP傳輸層TCPUDP網(wǎng)絡(luò)層IPICMPARPRARP網(wǎng)絡(luò)接口層X(jué).25ARPnetTCP/IP協(xié)議層次模型TCP/IP協(xié)議分層并不完全對(duì)應(yīng)OSTelnetSMTPDNSFTPUDPTCPIP以太網(wǎng)無(wú)線網(wǎng)絡(luò)令牌網(wǎng)ARPNETTCP/IP模型與潛在風(fēng)險(xiǎn)應(yīng)用程序攻擊拒絕服務(wù)攻擊數(shù)據(jù)監(jiān)聽(tīng)和竊取硬件設(shè)備破壞TelnetSMTPDNSFTPUDPTCPIP以太網(wǎng)無(wú)線網(wǎng)常見(jiàn)黑客攻擊方式應(yīng)用層:應(yīng)用程序和操作系統(tǒng)的攻擊與破壞傳輸層:拒絕服務(wù)攻擊網(wǎng)絡(luò)層:拒絕服務(wù)攻擊和數(shù)據(jù)竊聽(tīng)風(fēng)險(xiǎn)硬件設(shè)備與數(shù)據(jù)鏈路:物理竊聽(tīng)與破壞

(物理維護(hù),介質(zhì)保護(hù),OPENBOOT)常見(jiàn)黑客攻擊方式應(yīng)用層:應(yīng)用程序和操作系統(tǒng)的攻擊與破壞網(wǎng)絡(luò)安全的語(yǔ)義范圍

保密性完整性可用性(CIA三元組基本安全法則)可控性網(wǎng)絡(luò)安全的語(yǔ)義范圍

保密性第二章網(wǎng)絡(luò)設(shè)備安全管理CISP網(wǎng)絡(luò)與通信安全培訓(xùn)課件局域網(wǎng)的特性

局域網(wǎng)典型特性高數(shù)據(jù)傳輸率短距離低誤碼率(廣域網(wǎng)絡(luò)高誤碼率)常用的局域網(wǎng)介質(zhì)訪問(wèn)控制技術(shù)載波監(jiān)聽(tīng)多路訪問(wèn)/沖突檢測(cè)(CSMA/CD)技術(shù)令牌控制技術(shù)光纖分布數(shù)據(jù)接口(FDDI)技術(shù)局域網(wǎng)的特性局域網(wǎng)典型特性局域網(wǎng)安全管理良好的網(wǎng)絡(luò)拓?fù)湟?guī)劃(IP地址規(guī)劃,路由區(qū)域設(shè)計(jì)等)對(duì)網(wǎng)絡(luò)設(shè)備進(jìn)行基本安全配置(口令和不必要的服務(wù)關(guān)閉)合理的劃分VLAN(防一端口屬多VLAN)分離數(shù)據(jù)廣播域(不同部門)綁定IP地址與Mac地址(防止盜用IP)配置防火墻和IDS設(shè)備使用內(nèi)容監(jiān)控(NETFLOW)與病毒過(guò)濾局域網(wǎng)安全管理良好的網(wǎng)絡(luò)拓?fù)湟?guī)劃(IP地址規(guī)劃,路由區(qū)域設(shè)計(jì)良好的網(wǎng)絡(luò)規(guī)劃網(wǎng)絡(luò)安全規(guī)劃原則合理的分配地址(規(guī)劃表)合理的網(wǎng)絡(luò)邏輯結(jié)構(gòu)(拓?fù)浼皡f(xié)議的選擇)通過(guò)VLAN分隔邏輯網(wǎng)絡(luò)通過(guò)域或工作組確定用戶權(quán)限(操作系統(tǒng))建立良好的網(wǎng)絡(luò)安全制度

(文檔等)良好的網(wǎng)絡(luò)規(guī)劃網(wǎng)絡(luò)安全規(guī)劃原則網(wǎng)絡(luò)設(shè)備安全配置關(guān)閉不必要的設(shè)備服務(wù)(STP,CDP等)使用強(qiáng)口令或密碼加強(qiáng)設(shè)備訪問(wèn)的認(rèn)證與授權(quán)(AAA口令)升級(jí)設(shè)備固件(對(duì)功能的提升)或OS(補(bǔ)丁)使用訪問(wèn)控制列表限制訪問(wèn)(名稱,擴(kuò)展,基本)使用訪問(wèn)控制表限制數(shù)據(jù)包類型(二層)網(wǎng)絡(luò)設(shè)備安全配置關(guān)閉不必要的設(shè)備服務(wù)(STP,CDP等)廣域網(wǎng)的概念和特性廣域網(wǎng)是覆蓋地理范圍相對(duì)較廣的數(shù)據(jù)通信網(wǎng)絡(luò)。網(wǎng)絡(luò)的規(guī)模和分類:局域網(wǎng)(LAN,localareanetwork)可覆蓋一個(gè)建筑物或一所學(xué)校;城域網(wǎng)(MAN,metropolitanareanetwork)可覆蓋一座城市;(WAN,wideareanetwork)可覆蓋多座城市、多個(gè)國(guó)家或洲。廣域網(wǎng)的概念和特性廣域網(wǎng)是覆蓋地理范圍相對(duì)較廣的數(shù)據(jù)通信網(wǎng)絡(luò)廣域網(wǎng)的構(gòu)成和種類廣域網(wǎng)的構(gòu)成(設(shè)備及基本構(gòu)架)廣域網(wǎng)的種類X.25幀中繼ATM廣域網(wǎng)的構(gòu)成和種類廣域網(wǎng)安全管理良好的網(wǎng)絡(luò)拓?fù)湟?guī)劃(協(xié)議選擇等)對(duì)網(wǎng)絡(luò)設(shè)備進(jìn)行基本安全配置(口令,加密)確保路由協(xié)議安全(路由協(xié)議加密,防惡意路由信息介入)使用ACL進(jìn)行數(shù)據(jù)過(guò)濾使用AAA加強(qiáng)訪問(wèn)控制和認(rèn)證廣域網(wǎng)安全管理良好的網(wǎng)絡(luò)拓?fù)湟?guī)劃(協(xié)議選擇等)交換機(jī)-Vlan穿越對(duì)策將所有user-end端口都從vlan1中排除

(缺省VLAN的有很多服務(wù)沒(méi)有關(guān)掉.)將trunk接口劃分到一個(gè)單獨(dú)的vlan中,該vlan中不應(yīng)包含任何user-end接口交換機(jī)-Vlan穿越對(duì)策交換機(jī)-針對(duì)CDP攻擊交換機(jī)-針對(duì)CDP攻擊交換機(jī)-針對(duì)STP攻擊說(shuō)明SpanningTreeProtocol防止交換網(wǎng)絡(luò)產(chǎn)生回路RootBridgeBPDU--bridgeID,pathcost,interface攻擊強(qiáng)制接管rootbridge,導(dǎo)致網(wǎng)絡(luò)邏輯結(jié)構(gòu)改變,在重新生成STP時(shí),可以導(dǎo)致某些端口暫時(shí)失效,可以監(jiān)聽(tīng)大部份網(wǎng)絡(luò)流量。BPDUFlood:消耗帶寬,拒絕服務(wù)(間隔時(shí)間)對(duì)策對(duì)User-End端口,禁止發(fā)送BPDU(或用參數(shù)進(jìn)行控制)交換機(jī)-針對(duì)STP攻擊說(shuō)明交換機(jī)-針對(duì)VTP攻擊作用VlanTrunkingProtocol統(tǒng)一了整個(gè)網(wǎng)絡(luò)的VLAN配置和管理可以將VLAN配置信息傳遞到其它交換機(jī)動(dòng)態(tài)添加刪除VLAN(通過(guò)VTP更新信息)準(zhǔn)確跟蹤和監(jiān)測(cè)VLAN變化模式Server,Client,Transparent交換機(jī)-針對(duì)VTP攻擊作用交換機(jī)-針對(duì)VTP攻擊脆弱性Domain:只有屬于同一個(gè)Domain的交換機(jī)才能交換Vlan信息setvtpdomainnetpowerPassword:同一domain可以相互通過(guò)經(jīng)MD5加密的password驗(yàn)證,但password設(shè)置非必需的,如果未設(shè)置password,入侵者惡意添加或者刪除Vlan。對(duì)策設(shè)置password盡量將交換機(jī)的vtp設(shè)置為Transparent模式:setvtpdomainnetpowermodetransparentpasswordsercetvty(不去管VTP信息,只是轉(zhuǎn)發(fā))交換機(jī)-針對(duì)VTP攻擊脆弱性路由器-發(fā)現(xiàn)路由通過(guò)tracertroute命令最后一個(gè)路由容易成為DoS攻擊目標(biāo)(產(chǎn)生大量的數(shù)據(jù)包,使響應(yīng)者消耗資源)路由器-發(fā)現(xiàn)路由通過(guò)tracertroute命令路由器-猜測(cè)路由器類型端口掃描CDP其它特征:如Cisco路由器1999端口的ack分組信息,會(huì)有cisco字樣提示

(給入侵者帶來(lái)有用信息)路由器-猜測(cè)路由器類型端口掃描路由器-缺省帳號(hào)設(shè)備用戶名密碼級(jí)別bay路由器user空用戶

Manager空管理員bay350T交換機(jī)NetlCs無(wú)關(guān)管理員baysuperStackIIsecuritysecurity管理員3com交換機(jī)adminsynnet管理員

readsynnet用戶

writesynnet管理員

debugsynnet管理員

techtech

路由器-缺省帳號(hào)設(shè)備用戶名密碼級(jí)別bay路由器user空用戶路由器-缺省帳號(hào)

monitormonitor用戶

managermanager管理員

securitysecurity管理員cisco路由器(telnet)c(Cisco2600s)管理員

(telnet)cisco用戶

enablecisco管理員

(telnet)ciscorouters

shivaroot空管理員

Guest空用戶Webrampwradmintrancell管理員MotorolaCableRoutercablecomrouter管理員路由器-缺省帳號(hào)monitormonitor用戶mana路由器-密碼Cisco路由器的密碼(選擇手工安裝模式就可以沒(méi)有缺省密碼)弱加密MD5加密Enablesecret5路由器-密碼Cisco路由器的密碼(選擇手工安裝模式就可以沒(méi)路由器-SNMPSNMP版本SNMPv1,SNMPv2,SNMPv3SnmpAgentMIBSnmp網(wǎng)管軟件讀寫權(quán)限關(guān)掉不必要的服務(wù)

SNMP對(duì)管理人員有用,同時(shí)也為黑客提供方便.路由器-SNMPSNMP路由器-針對(duì)snmp攻擊利用讀、寫口令字下載配置文件針對(duì)SNMP的暴力破解程序CISCOSNMP越權(quán)訪問(wèn)可寫口令字……路由器-針對(duì)snmp攻擊利用讀、寫口令字下載配置文件

第三章網(wǎng)絡(luò)存在的威脅CISP網(wǎng)絡(luò)與通信安全培訓(xùn)課件網(wǎng)絡(luò)中面臨的威脅網(wǎng)絡(luò)中面臨的威脅拒絕服務(wù)攻擊定義

DoS(DenialofService)

拒絕服務(wù)攻擊是用來(lái)顯著降低系統(tǒng)提供服務(wù)的質(zhì)量或可用性的一種有目的行為。

DDoS(DistributedDenialofservice)分布式拒絕服務(wù)攻擊使用了分布式客戶服務(wù)器功能,加密技術(shù)及其它類的功能,它能被用于控制任意數(shù)量的遠(yuǎn)程機(jī)器,以產(chǎn)生隨機(jī)匿名的拒絕服務(wù)攻擊和遠(yuǎn)程訪問(wèn)。拒絕服務(wù)攻擊定義

DoS(DenialofServicDDoS攻擊示意圖分布式拒絕服務(wù)攻擊示意圖DDoS攻擊示意圖分布式拒絕服務(wù)攻擊示意圖DoS攻擊舉例SynFloodUdpFloodIcmpPingFloodDoS攻擊舉例SynFloodSynFloodSYNFlood是當(dāng)前最流行的DoS(拒絕服務(wù)攻擊)與DDoS(分布式拒絕服務(wù)攻擊),是利用TCP協(xié)議缺陷,發(fā)送大量偽造的TCP連接請(qǐng)求,從而使得被攻擊方資源耗盡(CPU滿負(fù)荷或內(nèi)存不足)的一種攻擊方式。SynFloodSYNFlood是當(dāng)前最流行的DoS(拒SynFloodSYN(我可以連接嗎?)ACK(可以)/SYN(請(qǐng)確認(rèn)!)ACK(確認(rèn)連接)發(fā)起方應(yīng)答方正常的三次握手建立通訊的過(guò)程SynFloodSYN(我可以連接嗎?)ACK(可以)SynFloodSYN(我可以連接嗎?)ACK(可以)/SYN(請(qǐng)確認(rèn)?。┕粽呤芎φ邆卧斓刂愤M(jìn)行SYN請(qǐng)求為何還沒(méi)回應(yīng)就是讓你白等不能建立正常的連接SynFloodSYN(我可以連接嗎?)ACK(可以)UdpFloodUDP攻擊的原理是使兩個(gè)或兩個(gè)以上的系統(tǒng)之間產(chǎn)生巨大的UDP數(shù)據(jù)包。首先使這兩種UDP服務(wù)都產(chǎn)生輸出,然后讓這兩種UDP服務(wù)之間互相通信,使一方的輸出成為另一方的輸入。這樣會(huì)形成很大的數(shù)據(jù)流量。當(dāng)多個(gè)系統(tǒng)之間互相產(chǎn)生UDP數(shù)據(jù)包時(shí),最終將導(dǎo)致整個(gè)網(wǎng)絡(luò)癱瘓。如果涉及的主機(jī)數(shù)目少,那么只有這幾臺(tái)主機(jī)會(huì)癱瘓UdpFloodUDP攻擊的原理是使兩個(gè)或兩個(gè)以上的系統(tǒng)之UdpFlood禁止相關(guān)服務(wù)(RIP禁止對(duì)所有端口轉(zhuǎn)發(fā))與網(wǎng)絡(luò)設(shè)備配合(FWACL)UdpFlood禁止相關(guān)服務(wù)(RIP禁止對(duì)所有端口轉(zhuǎn)發(fā))IcmpPingFloodPing是通過(guò)發(fā)送ICMP報(bào)文,不能很好處理過(guò)大的Ping包,導(dǎo)致出現(xiàn):占去許多帶寬,塞滿網(wǎng)絡(luò).如TFN2K會(huì)產(chǎn)生大量的進(jìn)程,每個(gè)進(jìn)程都不停地發(fā)送PING包,從而導(dǎo)致被攻擊目標(biāo)的無(wú)法正常工作。IcmpPingFloodPing是通過(guò)發(fā)送ICMP報(bào)文IcmpFlood禁止相關(guān)服務(wù)與網(wǎng)絡(luò)設(shè)備配合(CISCO設(shè)備最新功能用命令去禁止)IcmpFlood禁止相關(guān)服務(wù)應(yīng)用級(jí)別的拒絕服務(wù)包含在操作系統(tǒng)或應(yīng)用程序中與安全相關(guān)的系統(tǒng)缺陷而引起的拒絕服務(wù)問(wèn)題,這些缺陷大多是由于錯(cuò)誤的程序編制,粗心的源代碼審核.典型代表是pcanywhere的拒絕服務(wù)問(wèn)題應(yīng)用級(jí)別的拒絕服務(wù)包含在操作系統(tǒng)或應(yīng)用程序中與安全相關(guān)的系統(tǒng)應(yīng)用級(jí)別的拒絕服務(wù)PCAnywhere存在因端口掃描導(dǎo)致的DoS攻擊描述:在遭受到nmap2.30BETA21的TCPSYN掃描之后,PcAnyWhere將停止響應(yīng),只有重新啟動(dòng)服務(wù)才能正常運(yùn)行。應(yīng)用級(jí)別的拒絕服務(wù)PCAnywhere存在因端口掃描導(dǎo)致的應(yīng)用級(jí)別的拒絕服務(wù)升級(jí)相關(guān)軟件(補(bǔ)漏洞)與安全產(chǎn)品配合(IDS,FW,ACL,ROUTE-MAP策略控制)應(yīng)用級(jí)別的拒絕服務(wù)升級(jí)相關(guān)軟件(補(bǔ)漏洞)Trinoo介紹影響平臺(tái):Linux,Solaris,Unix風(fēng)險(xiǎn)級(jí)別:高攻擊類型:基于網(wǎng)絡(luò),基于主機(jī)的Trin00是一種分布式拒絕服務(wù)的工具。攻擊者使用該工具可以控制多個(gè)主機(jī),利用這些主機(jī)向其他主機(jī)發(fā)送UDPflood。Trin00控制者可以給Trin00主機(jī)守護(hù)程序制造多種請(qǐng)求。使用UDP包開始flood主機(jī)使用UDP包終止flood主機(jī)修改主機(jī)主流程序的UDPflood配置Trinoo介紹影響平臺(tái):Linux,Solaris,Trinoo介紹Trinoo的攻擊方法是向被攻擊目標(biāo)主機(jī)的隨機(jī)端口發(fā)出全零的4字節(jié)UDP包,在處理這些超出其處理能力的垃圾數(shù)據(jù)包的過(guò)程中,被攻擊主機(jī)的網(wǎng)絡(luò)性能不斷下降,直到不能提供正常服務(wù),乃至崩潰。它對(duì)IP地址不做假.通訊端口是:(要在相應(yīng)策略控制里封掉)

攻擊者主機(jī)到主控端主機(jī):27665/TCP

主控端主機(jī)到代理端主機(jī):27444/UDP

代理端主機(jī)到主服務(wù)器主機(jī):31335/UDPTrinoo介紹Trinoo的攻擊方法是向被攻擊目標(biāo)主機(jī)的隨TFN介紹影響平臺(tái):Linux,Solaris,Unix風(fēng)險(xiǎn)級(jí)別:高攻擊類型:基于網(wǎng)絡(luò),基于主機(jī)的TribeFloodNetwork,TFN,是一種分布式拒絕服務(wù)的工具,使用該工具可以使攻擊者利用多個(gè)主機(jī),一次flood一個(gè)目標(biāo)。有三種不同類型的flood:ICMPEchofloodUDPFloodSYNFloodTFN介紹影響平臺(tái):Linux,Solaris,UniTFN介紹TFN客戶機(jī)和服務(wù)器使用ICMPecho互相發(fā)送響應(yīng)包進(jìn)行通訊。TFN由主控端程序和代理端程序兩部分組成,具有偽造數(shù)據(jù)包的能力。TFN介紹TFN客戶機(jī)和服務(wù)器使用ICMPechoTFN2K介紹影響平臺(tái):Linux,Solaris,Unix風(fēng)險(xiǎn)級(jí)別:高攻擊類型:基于網(wǎng)絡(luò),基于主機(jī)的TribeFloodNetwork2000(TFN2k)是一種分布式拒絕服務(wù)的工具,可以實(shí)施多種類型的flood攻擊一個(gè)主機(jī)。TFN2k由客戶端和主機(jī)駐留程序組成。客戶端控制一個(gè)多個(gè)主機(jī)主流程序,主機(jī)主流程序?qū)δ繕?biāo)主機(jī)進(jìn)行flood??蛻舳丝梢允褂肬DP、TCP或ICMP與主機(jī)主流程序進(jìn)行通訊,并可以隱藏欺騙發(fā)包的源IP地址。TFN2K介紹影響平臺(tái):Linux,Solaris,UTFN2K介紹TFN2K是由TFN發(fā)展而來(lái)的,在TFN所具有的特性上,TFN2K又新增一些特性,它的主控端和代理端的網(wǎng)絡(luò)通訊是經(jīng)過(guò)加密的,中間還可能混雜了許多虛假數(shù)據(jù)包,而TFN對(duì)ICMP的通訊沒(méi)有加密。并且TFN2K可配置的代理端進(jìn)程端口。TFN2K介紹TFN2K是由TFN發(fā)展而來(lái)的,在TFN所具有DDoS攻擊特性DDoS攻擊將越來(lái)越多地采用IP欺騙的技術(shù);DDoS攻擊呈現(xiàn)由單一攻擊源發(fā)起進(jìn)攻,轉(zhuǎn)變?yōu)橛啥鄠€(gè)攻擊源對(duì)單一目標(biāo)進(jìn)攻的趨勢(shì);DDoS攻擊將會(huì)變得越來(lái)越智能化,試圖躲過(guò)網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)的檢測(cè)跟蹤,并試圖繞過(guò)防火墻防御體系;針對(duì)路由器的弱點(diǎn)的DDoS攻擊將會(huì)增多;DDoS攻擊利用路由器的多點(diǎn)傳送功能可以將攻擊效果擴(kuò)大若干倍;基于不同協(xié)議的攻擊:

--采用半連接技術(shù)SYN攻擊,和針對(duì)TCP/IP協(xié)議先天缺陷的的ACK攻擊。

--采用ICMP攻擊。

--采用UDP攻擊。DDoS攻擊特性DDoS攻擊將越來(lái)越多地采用IP欺騙的技術(shù);IP欺騙原理IP是網(wǎng)絡(luò)層的一個(gè)非面向連接的協(xié)議,偽造IP地址相對(duì)容易。TCP三次握手DoS攻擊序列號(hào)取樣和猜測(cè)預(yù)防拋棄基于地址的信任策略進(jìn)行包過(guò)濾加密使用隨機(jī)化初始序列號(hào)IP欺騙原理ARP欺騙實(shí)現(xiàn)簡(jiǎn)易指定ARP包中的源IP、目標(biāo)IP、源MAC、目標(biāo)MAC危害嗅探導(dǎo)致windows9x、NTIP沖突死機(jī)Flooding導(dǎo)致網(wǎng)絡(luò)異常ARP欺騙實(shí)現(xiàn)簡(jiǎn)易共享環(huán)境下的嗅探技術(shù)原理在以太網(wǎng)中是基于廣播方式傳送數(shù)據(jù)網(wǎng)卡置于混雜模式下可以接收所有經(jīng)的數(shù)據(jù)工具Snifferpro、IRIS、tcpdump、snoop共享環(huán)境下的嗅探技術(shù)原理

第四章網(wǎng)絡(luò)設(shè)備的安全配置CISP網(wǎng)絡(luò)與通信安全培訓(xùn)課件路由交換設(shè)備安全配置關(guān)閉不必要的設(shè)備服務(wù)使用強(qiáng)口令或密碼加強(qiáng)設(shè)備訪問(wèn)的認(rèn)證與授權(quán)升級(jí)設(shè)備固件或OS使用訪問(wèn)控制列表限制訪問(wèn)使用訪問(wèn)控制表限制數(shù)據(jù)包類型路由交換設(shè)備安全配置關(guān)閉不必要的設(shè)備服務(wù)Cisco路由交換的安全配置使用加密的強(qiáng)密碼servicepassword-encryptionenablesecretpa55w0rd使用分級(jí)密碼策略(0~7)enablesecret6pa55wordprivilegeexec6show使用用戶密碼策略u(píng)sernamepasswordpassprivilegeexec6showCisco路由交換的安全配置使用加密的強(qiáng)密碼Cisco路由交換安全配置控制網(wǎng)絡(luò)線路訪問(wèn)access-list8permit0access-list8denyanylinevty04access-class8in設(shè)置網(wǎng)絡(luò)連接超時(shí)Exec-timeout50以上措施可以保證路由器的密碼安全Cisco路由交換安全配置控制網(wǎng)絡(luò)線路訪問(wèn)以上措施可以保證路Cisco路由交換安全配置禁用交換機(jī)HTTP服務(wù)器noiphttpserver禁用CDP發(fā)掘協(xié)議nocdprun禁用交換機(jī)NTP服務(wù)器nontpenable如果用了,需要驗(yàn)證Ntpauthenticate-key10md5ntpkeyNtpserverseattlekey10禁用低端口簡(jiǎn)單服務(wù)noservice-udp-small-servicesnoservice-udp-small-services禁用Finger服務(wù)noservicefinger以上措施可以降低路由器遭受應(yīng)用層攻擊的風(fēng)險(xiǎn)Cisco路由交換安全配置禁用交換機(jī)HTTP服務(wù)器以上措施可Cisco路由交換安全配置禁用簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議nosnmp-serverenable使用SNMPv3加強(qiáng)安全特性snmp-serverenabletrapssnmpauthmd5使用強(qiáng)的SNMPv1通訊關(guān)鍵字snmp-servercommunityname以上三者不可同時(shí)使用,如果必要使用SNMP安全性1>>2>>3Cisco路由交換安全配置禁用簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議以上三者不可同Cisco路由交換安全配置認(rèn)證與日志管理

logging設(shè)置與不同的服務(wù)相關(guān)聯(lián)

logging的不同級(jí)別使用AAA加強(qiáng)設(shè)備訪問(wèn)控制

AAA概念日志管理loggingonloggingserverCisco路由交換安全配置認(rèn)證與日志管理Cisco路由交換安全配置禁用IPUnreachable報(bào)文禁用ICMPRedirect報(bào)文noipredirect禁用定向廣播noipdirected-broadcast禁用ARP代理noipproxy-arp使用IP驗(yàn)證Ipverifyunicastreverse-path禁用IP源路由選項(xiàng)noipsource-routeCisco路由交換安全配置禁用IPUnreachable報(bào)Cisco路由交換安全配置啟用TCP截獲特性防止DoS攻擊創(chuàng)建截獲訪問(wèn)控制列表起用TCP截獲特性設(shè)置門限制設(shè)置丟棄模式Cisco路由交換安全配置啟用TCP截獲特性防止DoS攻擊Cisco路由交換安全配置使用訪問(wèn)控制列表限制訪問(wèn)地址使用訪問(wèn)控制列表限定訪問(wèn)端口使用訪問(wèn)控制列表過(guò)濾特定類型數(shù)據(jù)包使用訪問(wèn)控制列表限定數(shù)據(jù)流量使用訪問(wèn)控制列表保護(hù)內(nèi)部網(wǎng)絡(luò)Cisco路由交換安全配置使用訪問(wèn)控制列表限制訪問(wèn)地址第五章對(duì)網(wǎng)絡(luò)威脅采取的策略CISP網(wǎng)絡(luò)與通信安全培訓(xùn)課件拒絕服務(wù)攻擊的防御策略拒絕服務(wù)攻擊的防御策略第一種是縮短SYNTimeout時(shí)間,由于SYNFlood攻擊的效果取決于服務(wù)器上保持的SYN半連接數(shù),這個(gè)值=SYN攻擊的頻度xSYNTimeout,所以通過(guò)縮短從接收到SYN報(bào)文到確定這個(gè)報(bào)文無(wú)效并丟棄該連接的時(shí)間,例如設(shè)置為20秒以下(過(guò)低的SYNTimeout設(shè)置可能會(huì)影響客戶的正常訪問(wèn)),可以成倍的降低服務(wù)器的負(fù)荷.

第二種方法是設(shè)置SYNCookie,就是給每一個(gè)請(qǐng)求連接的IP地址分配一個(gè)Cookie,如果短時(shí)間內(nèi)連續(xù)受到某個(gè)IP的重復(fù)SYN報(bào)文,就認(rèn)定是受到了攻擊,以后從這個(gè)IP地址來(lái)的包會(huì)被一概丟棄。

SynFlood解決辦法第一種是縮短SYNTimeout時(shí)間,由于SYNFloo動(dòng)態(tài)分析

受到攻擊時(shí)在線分析TCPSYN報(bào)文的所有細(xì)節(jié)。如源地址、IP首部中的標(biāo)識(shí)、TCP首部中的序列號(hào)、TTL值等,特別是TTL值,如果大量的攻擊包似乎來(lái)自不同的IP但是TTL值卻相同,往往能推斷出攻擊者與目標(biāo)之間的路由器距離,至少也可以通過(guò)過(guò)濾特定TTL值的報(bào)文降低被攻擊系統(tǒng)的負(fù)荷(在這種情況下TTL值與攻擊報(bào)文不同的用戶就可以恢復(fù)正常訪問(wèn))

網(wǎng)絡(luò)設(shè)備配合SynFlood其它辦法動(dòng)態(tài)分析

受到攻擊時(shí)在線分析TCPSYN報(bào)文的所有細(xì)節(jié)。如SynFlood其它辦法

負(fù)載均衡

基于DNS解析的負(fù)載均衡本身就擁有對(duì)SYNFlood的免疫力,基于DNS解析的負(fù)載均衡能將用戶的請(qǐng)求分配到不同IP的服務(wù)器主機(jī)上,SYNFlood程序有兩種攻擊方式,基于IP的和基于域名的,前者是攻擊者自己進(jìn)行域名解析并將IP地址傳遞給攻擊程序,后者是攻擊程序自動(dòng)進(jìn)行域名解析,但是它們有一點(diǎn)是相同的,就是一旦攻擊開始,將不會(huì)再進(jìn)行域名解析。攻擊者攻擊的永遠(yuǎn)只是其中一臺(tái)服務(wù)器。

SynFlood其它辦法

負(fù)載均衡

基于DNS解析的負(fù)檢測(cè)DDoS攻擊根據(jù)異常情況分析

訪問(wèn)量突然劇增,經(jīng)過(guò)sniffer分析,有大量的非正常的包,如沒(méi)有正常的tcp三次握手,或者是三次握手后沒(méi)有正常的關(guān)閉連接,或者大量的廣播包,或者大量的icmp包,這說(shuō)明極其有可能是遭受DDoS攻擊。外部訪問(wèn)突然變慢,或者訪問(wèn)不到,可是主機(jī)的訪問(wèn)量卻不大,這很有可能是路由器的配置出現(xiàn)問(wèn)題,詢問(wèn)一下是否有人對(duì)路由器等設(shè)備進(jìn)行過(guò)操作,或者你的對(duì)等ISP的線路出現(xiàn)問(wèn)題。

主機(jī)突然反應(yīng)很遲鈍。這要經(jīng)過(guò)sniffer進(jìn)行偵聽(tīng),這有兩種可能,一種是流量確實(shí)很大,有可能是遭受DoS攻擊,還有就是應(yīng)用程序編寫有誤,導(dǎo)致系統(tǒng)資源耗盡。檢測(cè)DDoS攻擊根據(jù)異常情況分析DDoS攻擊的對(duì)策與網(wǎng)絡(luò)服務(wù)提供商協(xié)作

能否與上一級(jí)的網(wǎng)絡(luò)主干服務(wù)提供商進(jìn)行良好的合作是非常重要的事情。DDoS攻擊對(duì)帶寬的使用是非常嚴(yán)格的,無(wú)論使用什么方法都無(wú)法使自己的網(wǎng)絡(luò)對(duì)它的上一級(jí)進(jìn)行控制。最好能夠與網(wǎng)絡(luò)服務(wù)供應(yīng)商進(jìn)行協(xié)商,請(qǐng)求他們幫助實(shí)現(xiàn)路由的訪問(wèn)控制,以實(shí)現(xiàn)對(duì)帶寬總量的限制以及不同的訪問(wèn)地址在同一時(shí)間對(duì)帶寬的占有率。最好請(qǐng)求服務(wù)提供商幫監(jiān)視網(wǎng)絡(luò)流量,并在遭受攻擊時(shí)允許訪問(wèn)他們的路由器。DDoS攻擊的對(duì)策與網(wǎng)絡(luò)服務(wù)提供商協(xié)作DDoS攻擊的對(duì)策安裝IDS和監(jiān)控異常流量。

在防衛(wèi)攻擊方面,安裝IDS可以發(fā)現(xiàn)是否有入侵行動(dòng)正在進(jìn)行,立即對(duì)入侵行動(dòng)進(jìn)行報(bào)警。以最快時(shí)間內(nèi)對(duì)入侵做成反應(yīng)。此外,也要時(shí)常監(jiān)控網(wǎng)絡(luò)流量,注意是否有異常的流量產(chǎn)生。(IDS操作)優(yōu)化對(duì)外提供服務(wù)的主機(jī)

對(duì)于潛在的有可能遭受攻擊的主機(jī)也要同樣進(jìn)行設(shè)置保護(hù)。在服務(wù)器上禁止一切不必要的服務(wù),打補(bǔ)丁,進(jìn)行安全配置。此外,用防火墻對(duì)提供服務(wù)的主機(jī)進(jìn)行保護(hù),對(duì)訪問(wèn)量大的主機(jī)進(jìn)行負(fù)載均衡。將網(wǎng)站分布在多個(gè)不同的物理主機(jī)上,這樣每一臺(tái)主機(jī)只包含了網(wǎng)站的一部分,防止了網(wǎng)站在遭受攻擊時(shí)全部癱瘓。DDoS攻擊的對(duì)策安裝IDS和監(jiān)控異常流量。DDoS攻擊的對(duì)策立即啟動(dòng)應(yīng)付策略,盡可能快的向回追蹤攻擊包

如果發(fā)現(xiàn)攻擊

溫馨提示

  • 1. 本站所有資源如無(wú)特殊說(shuō)明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁(yè)內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒(méi)有圖紙預(yù)覽就沒(méi)有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫(kù)網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

最新文檔

評(píng)論

0/150

提交評(píng)論