校园网安全专题之——如何防范网络攻击

校园网安全专题之——如何防范网络攻击湖南大网络中心2007年11月提纲网络安全分析物理层安全防范数据链路层安全防范网络层安全防范网络设备的安全管理网络攻击软件繁多大量的攻击工具随手拾来网络攻击方向灵活网络设备连接物理层链路层网络层传输层会话层表示层应用层主机A物理层链路层网络层传输层会话层表示层应用层主机B物理链接：光纤线缆、铜缆线缆MAC地址、VLAN、ARP请求、DHCP应用、SPANNINGTREE等IP地址、网络路由协议TCP/UDP传输端口号OSI模型建立，使得不同设备的不同层之间相互通讯ICMP、IGMP应用数据流：DNS/HTTP/FTP/Telnet/SMTP各网络层次的威胁浅析安全关注点：该层次的安全问题主要是由提供服务所采用的应用软件和数据的安全性产生，包括WEB服务、电子邮件系统、FTP等，此外还包括病毒对系统的威胁安全关注点：面向连接和非面向连接的攻击安全关注点：IP地址扫描/欺骗/盗用安全关注点：MAC地址欺骗/攻击、ARP欺骗/攻击、STP攻击、DHCP攻击安全关注点：线路的安全、物理设备的安全、机房的安全等TCP/IP协议栈网络中的各个设备必工作于协议栈的某个层次OSI网络七层模型网络设备连接物理层链路层网络层传输层会话层表示层应用层主机A物理层链路层网络层传输层会话层表示层应用层主机B物理链接：光纤线缆、铜缆线缆MAC地址、VLAN、ARP请求、DHCP应用、SPANNINGTREE等IP地址、网络路由协议TCP/UDP传输端口号ICMP、IGMP威胁和破坏最底层安全最薄弱，一旦受到威胁和破坏，那么在此层之上的其它网络层次都将受到影响应用数据流：DNS/HTTP/FTP/Telnet/SMTP网络攻击的层次及方位Internet汇聚层核心设备攻击服务器攻击网络层攻击网络层攻击网络层攻击数据链路层攻击数据链路层攻击数据链路层攻击接入层外网攻击要防范校园网内部的整体安全，最好的方式是在交换机上进行控制！交换机需要内嵌哪些安全机制？源地址检查PingSweep防止用户对网络的扫描ACL功能强大的ACL功能、提供标准、扩展、基于时间以及专家级ACL，全方位保护网络RADIUS身份验证/SSHBPDUGUARD，802.1W防止对STP的攻击StormContrl风暴控制防止瞬间超大的数据流量验证用户对核心设备的访问PORTSERCURITY端口MAC的绑定、限定MAC数量，有效保护网络攻击源IP地址欺骗攻击检测SSH/源IP地址限制设备访问的安全性防DOS攻击防SYN、Smurf攻击提纲网络安全分析物理层安全防范数据链路层安全防范网络层安全防范网络设备的安全管理物理层安全防范最简单的安全漏洞可能导致最严重的网络故障。比如因为施工的不规范导致光缆被破坏，雷击事故，网络设备没有保护措施被损坏，甚至中心机房因为不小心导致外来人员蓄意或无心的破坏……为了最大限度降低安全风险，提高意外情况下的恢复能力，我们需要做的是：完善规范的网络管理制度.提纲网络安全分析物理层安全防范数据链路层安全防范网络层安全防范网络设备的安全管理数据链路层安全防范•MAC攻击•ARP攻击•DHCP攻击•STP攻击MAC攻击FF.FF.FF.FF.FF.FF广播MAC地址00.d0.f8.00.07.3c前3个字节：IEEE分配给网络设备制造厂商的后3个字节：网络设备制造厂商自行分配的，不重复，生产时写入设备MAC地址：链路层唯一标识MAC攻击MAC攻击之一：MAC地址欺骗将合法的MAC地址修改成不存在的MAC地址或其它计算机的MAC地址，从而隐藏自己真实的MAC，来达到一些不可告人的目的，这就是MAC地址欺骗。MAC攻击接入交换机MACPortA1B8C14MAC地址表：空间有限PCAPCBPCCMAC攻击MAC攻击之二：MAC地址洪泛攻击交换机内部的MAC地址表空间是有限的，MAC攻击会很快占满交换机内部MAC地址表，使得单播包在交换机内部也变成广播包向同一个VLAN中所有端口转发，每个连在端口上的客户端都可以收到该报文，交换机变成了一个Hub，用户的信息传输也没有安全保障了。MAC攻击交换机攻击者MACAPCBMACBPCCMACCMACPortH1X2Y3交换机内部的MAC地址表空间很快被不存在的源MAC地址占满。没有空间学习合法的MACB，MACC单播流量在交换机内部以广播包方式在所有端口转发，非法者也能接受到这些报文MAC攻击：每秒发送成千上万个随机源MAC的报文MAC攻击交换机攻击者FTP服务器PCC用户名、密码用户名：unit密码：qy7ttvj7vgSniffer截取数据包利用MAC地址洪泛攻击截获客户信息MAC攻击MAC攻击防范：1、MAC静态地址锁2、802.1x自动绑定MAC地址3、限定交换机某个端口上可以学习的MAC数量MAC攻击交换机攻击者当端口学习的源MAC地址数量大于一定的数量（这个值可以自己设定）或源MAC地址和端口绑定的不一样，受到的数据帧丢弃/发送警告信息通知网管员/端口可关闭MAC攻击防范数据链路层安全防范•MAC攻击•ARP攻击•DHCP攻击•STP攻击ARP攻击ARP协议在以太网中传输的数据包是以太包，而以太包的寻址是依据其首部的物理地址（MAC地址）。仅仅知道某主机的逻辑地址（IP地址）并不能让内核发送一帧数据给此主机，内核必须知道目的主机的物理地址才能发送数据。ARP协议的作用就是在于把逻辑地址变换成物理地址，也既是把32bit的IP地址变换成48bit的以太地址。32位IP地址：202.103.24.10548位MAC地址：00-d0-f8-fb-29-e3ARPARP攻击每一个主机都有一个ARP高速缓存，此缓存中记录了最近一段时间内其它IP地址与其MAC地址的对应关系。如果本机想与某台主机通信，则首先在ARP高速缓存中查找此台主机的IP和MAC信息，如果存在，则直接利用此MAC地址构造以太包；如果不存在，则向本网络上每一个主机广播一个ARP请求包，其意义是如果你有此IP地址，请告诉我你的MAC地址“，目的主机收到此请求包后，发送一个ARP响应包，本机收到此响应包后，把相关信息记录在ARP高速缓存中。ARP攻击•局域网中两台PC通讯，一台PCB要和另一台PCA通讯，首先需要知道PCA的MAC地址，因为在广域网靠IP来寻址，而在局域网中是靠MAC地址来寻址的。•PCB先查找机器缓存中存贮的ARP表（IP和MAC对应关系表），该表为动态刷新的。如何没有必须先发出一个ARP请求的广播报文，询问大家：IP地址是PCA的MAC地址是多少？•局域网里的PC都会收到ARP请求报文，并查看自己的IP是否是PCA，如果是则响应，反馈ARP响应报文，响应报文中有PCA的MAC地址：MACA。PCAPCBPCCPCDARP请求：IPA－?ARP响应：IPA－MACAARP攻击•按照RFC的规定，PC在发ARP响应时，不需要一定要先收到ARP请求报文，局域网中任何一台PC都可以向网络内其它PC通告：自己就是PCA和MACA的对应关系，这就给攻击者带来可乘人之危的漏洞！ARP协议的缺陷PCAPCBPCCPCD非法ARP响应：IPA－MACCARP攻击ARP攻击之一：ARP欺骗ARP欺骗：利用上页讲到的ARP漏洞，发送虚假的ARP请求报文和响应报文，报文中的源IP和源MAC均为虚假的，扰乱局域网中被攻击PC中保存的ARP表，使得网络中被攻击PC的流量都可流入到攻击者手中。ARP攻击PCB攻击者：发送ARP欺骗192.168.10.1MACA192.168.10.3MACC192.168.10.2MACB发送ARP响应，告诉：192.168.10.1对应的MAC是MACCARP表刷新，192.168.10.1对应的是MACC发送到PCA的流量均到攻击者手中MACC发送ARP响应，告诉：192.168.10.2对应的MAC是MACCARP表刷新，192.168.10.2对应的是MACCPCAARP攻击ARP攻击之二：ARP恶作剧ARP恶作剧：和ARP欺骗的原理一样，报文中的源IP和源MAC均为虚假的，或错误的网关IP和网关MAC对应关系。它的主要目的不是窃取报文，而是扰乱局域网中合法PC中保存的ARP表，使得网络中的合法PC无法正常上网、通讯中断。ARP攻击PCB攻击者：发送ARP欺骗192.168.10.1MACA192.168.10.3MACC192.168.10.2MACB发送ARP响应，告诉：192.168.10.1对应的MAC是MACXARP表刷新，192.168.10.1对应的是MACX正常的网络访问数据包，、QQ、FTP网关找不到正确的网关，所有访问外网的数据都无法得到回应ARP攻击发包工具TouchStoneARP攻击ARP攻击之三：ARP洪泛ARP洪泛：网络病毒利用ARP协议，在网络中大量发送伪造ARP报文，扰乱网络中主机和设备的ARP缓存，导致无法正常访问网络的攻击行为。相关病毒：TrojanDropper.Win32.Juntador.cWin32.Troj.Mir2Win32.Troj.Zypsw.33952ARP攻击思考：使用交换机的IP、MAC、端口绑定可以进行控制吗？ARP攻击ARP数据包ARP攻击防范：需要使用专用的交换机端口ARPCheck功能ARP攻击PCB攻击者：发送ARP欺骗192.168.10.3MACC192.168.10.2MACB发送ARP响应，说：PCA对应的MAC是MACC发送ARP响应，说：PCB对应的MAC是MACCARP攻击防范192.168.10.1MACAPCA数据链路层安全防范•MAC攻击•ARP攻击•DHCP攻击•STP攻击DHCP攻击什么是DHCP？DHCP是DynamicHostConfigurationProtocol之缩写，即动态主机配置协议，它能够自动地给网络中的主机分配IP地址和设置相关网络属性。DHCP协议被广泛的应用在局域网环境里来动态分配IP地址。使用了DHCP服务后，网络的管理和配置是集中化和自动化的，能够把手工IP地址配置所导致的配置错误减少到最低程度，比如手工设置IP所造成的IP地址冲突、网关和DNS设置错误等，大大减少网络的管理难度和管理时间。DHCP攻击DHCPServerPCClientDHCPDiscover(广播包)DHCPOffer(单播包)DHCPRequest(广播包)DHCPACK(单播包)•DHCP：标准请查阅RFC2131DHCP协议DHCP攻击DHCP报文格式ClientIPAddress(CIADDR)（4Bytes）Seconds（2Bytes）Flags（2Bytes）TransactionID(XID)ServerIPAddress(SIADDR)（4Bytes）YourIPAddress(YIADDR)（4Bytes）GatewayIPAddress(GIADDR)（4Bytes）ClientHardwareAddress(CHADDR)（16Bytes）Filename（128Bytes）ServerName(SNAME)（64Bytes）DHCPOptionsOPCodeHardwareTypeHardwareLengthHOPSDHCP攻击Filename（128Bytes）DHCPOptionsOP：若是Client送给DHCPServer的报文，设为1，反之为2ClientIPAddress(CIADDR)：要是客户端（Client）想继续使用之前取得的IP地址，则列于这个字段YourIPAddress(YIADDR)：DHCPServer送回客户端（Client）的DHCPOffer和DHCPACK报文中，此栏填写DHCPServer分配给Client端的IP地址GatewayIPAddress(GIADDR)：若需跨网段进行DHCP发放，这个字段则为RelayAgent的IP地址，否则为0；ClientHardwareAd