51CTO下载-演示常用网络设备的攻击与防御

第2章网络设备的工作原理与安全威胁本章关键价值：本章将详细讲述各种网络设备的工作原理，包括：集线器、网桥、二层交换机、路由器、防火墙等，并演示各种网络设备所面临的安全威胁。其中包括如下知识点：集线器的工作原理与安全威胁。网桥、二层交换机的工作原理与安全威胁。路由器的工作原理与安全威胁。防火墙的工作原理与安全威胁。网络设备是企业网络整体安全的第一步，如果网络设备的安全都无法得到保障，那么企业网络其他部分的安全加固即便做得再完善，也相当于是徒有虚名的“马其诺防线”。黑客将很容易地穿过它。所以保障网络设备的安全成为至关重要的问题。2.1集线器的工作原理与安全威胁集线器又称Hub，是一种用于组建物理结构、形状为星形的网络设备。它具备中继器的信号放大功能，所以它有延长物理线路距离的特性。但是集线器在放大正常信号的同时也放大噪声信号，噪声信号是网络上的干扰信号，它将对正常的网络通信造成影响。集线器的端口比中继器密集，所以在某种情况下人们把集线器叫做“多端口的中继器”。集线器转发数据的原理如图2.1所示，当主机Ａ要给主机Ｄ发送数据时，主机Ａ会把数据广播到除源端口以外的所有端口上。此时Ｂ主机解开广播包，看到目标的IP不是B主机NIC（网卡）上的IP地址，所以将数据帧丢弃。Ｃ主机解开广播包，看到目标的IP不是C主机NIC上的IP地址，也将数据帧丢弃。Ｄ主机解开广播包，看到目标的IP是D主机NIC上的IP地址，它会将数据帧从NIC复制到内存中，然后内存再将其交给CPU作处理。集线器ABCD1234图2.1集线器转发数据的原理集线器的特性：集线器是一个半双工冲突设备。如图2.2所示，集线器所有端口连接的主机全部处于一个冲突域内，不能有多个主机同时发送数据。集线器不能隔离广播，如图2.3所示，所以集线器不能连接成环路。否则广播会在环路上一直循环，直到TTL值被减为0。集线器属于共享带宽式设备。如果集线器的总体带宽是10MB，共有4个端口，那么每个端口的理论带宽是2.5MB。集线器的安全性很差，因为集线器的数据发送是利用广播数据报文到所有端口的，而且这个广播是带上真实负荷（用户数据）的广播，容易被他人监听，所以安全性得不到保障，如图2.4所示。ABCD集线器1234广播风暴集线器1集线器2集线器3图2.2多个主机不能同时发送数据图2.3集线器不能连接成环路协议分析器ACD1234图2.4集线器的转发过程容易被监听注意：集线器安全威胁的重要提示：只要在集线器的任意端口接入协议分析器，或安装了协议分析软件的计算机都可以成功地监听集线器上其他端口的所有流进流和出的数据，当然这些数据中也包括比较重要和敏感的机密信息，如密码、账号等。演示：理解集线器的工作原理。2.2演示：集线器的入侵与防御演示目标：分析集线器的工作过程造成数据泄密事件。演示环境：如图2.5所示。演示步骤：可参看教学视频“集线器的安全威胁”。远程管理主机192.168.2.4/24协议分析器192.168.2.6/24E0/0192.168.2.5/24123思科路由器集线器图2.5集线器的入侵与防御实验环境背景说明：通过该演示过程证明集线器的工作原理是将数据包广播到设备的每一个端口（除发送端口），如果远程管理主机（192.168.2.4）Telnet思科路由器（192.168.2.5），那么192.168.2.6的协议分析器应该能成功地捕获到Telnet的密码。防御方案：由于集线器的安全威胁是设备工作原理上的天生缺陷，无法避免，所以没有更有效的防御措施，唯一的办法是选用智能的设备，如用二层交换机去替代集线器。演示：集线器的入侵与防御。2.3网桥、二层交换机的工作原理与安全威胁学习网桥工作原理之前必须先理解一个重要的网络理论：“星形结构的网络”。虽然前面提到集线器组织的是一个“星形结构的网络”，但是这个所谓的“星形网络”，实际上只是一个物理连接环境的星形，并不是访问介质协议（以太网的访问介质协议CSMA/CD）上的星形。从访问介质的逻辑角度理解：所有利用集线器组织的网络都应该是冲突型的网络，如图2.6所示。4台主机共享1个冲突域集线器ABCDACBDCSMA/CDCSMA/CD1234图2.6使用集线器组织的网络都应该是冲突型的网络1．理解冲突域（碰撞域）一种基于以太制式算法产生的问题。只要是以太网，不管是10Mb/s、100Mb/s、1000Mb/s，甚至万兆以太网都会有冲突的存在。那是因为只要是以太网都必须遵守CSMA/CD（载波侦听）协议。它是以太网的访问介质协议，载波侦听协议的工作原理如图2.7所示。如果A、B、C、D这4个主机都处于一个冲突域内，且都连接在一个集线器上，如果B主机要发送数据给C主机，那么B主机会在正式发送数据之前向网络中发送一个载波侦听信号，查看网络总线是否繁忙。如果繁忙，如A主机正在给D主机发数据，B主机就不能发送数据给C主机，否则，就会产生一个冲突。因此得出一个结论：以太网上的多个主机在一个冲突域内，同一时刻只能有一个主机向另一个主机发送数据，如果违反了该原则就会有冲突产生。B在发送数据前，先向以太网制式的总线发送一个CSMA/CD，查看总线是否繁忙CSMA/CDABCD图2.7CSMA/CD（载波侦听）协议注意：使用过集线器后会发现，在集线器上连接4个主机后，在“同一时间内”所有计算机都可以相互复制文件，并没有等待某个主机将文件传递完成后，另外的主机再传递数据，视觉上多台连接到一台集线器的主机是同时在发送数据。所以会质疑上述对CSMA/CD的定义。事实上这是因为人类的视觉器官对真相的理解永远是有限的，在“同一个时刻”只有一台主机向另一台主机发送数据。如图2.8所示，当主机A发送数据给主机C时，如果该数据报文很大，发送的延时（从源主机传送数据到目标主机所使用时间的总和）就很大，占用以太总线的时间就会很长。而其他的主机比如：主机B与主机D等待发送的时间就会很长。如果主机A要利用10分钟来完成与主机C的数据传递，那么主机B与主机D发送数据之前，需要等待10分钟才能进行，这显然是一种不科学的方法。所以，OSI传输层将主机A发送给主机C的较大数据报文分割成若干个小块的数据报文进行发送，主机B给主机D发送数据时也使用相同的方式。所以，真实的情况是：主机A发送一小块数据报文，主机B再发一小块数据报文，然后如此交替进行。而这一小块数据报文发送延时是基于微秒级别进行计算的。所以人们的视觉感受是主机A与主机B同时进行发送，但事实上在同一时刻只有一个主机发送数据报文。1．3．2．4．大报文A大报文B被分割成较小的报文被分割成较小的报文A1A2A3B1B2B3CSMA/CD图2.8分割数据报文的过程现在开始介绍网桥：网桥在OSI的第二层（数据链路层）划分或减小冲突域，性能比集线器良好；能够基于MAC地址进行数据链路层选路；能够基于自学习构造MAC地址表；不能隔离广播，所以不能让网桥形成环路。网桥的工作原理如图2.9所示，如果主机A发送数据给主机D，当数据从网桥的1号接口进入时，网桥不会像集线器那样将数据广播到所有接口上。因为在网桥内部有一张MAC表，该表记录着网桥物理接口所连接的主机MAC地址。当数据进入网桥时，网桥通过查询MAC地址表得知主机D对应的物理接口是4号接口，所以网桥就将数据直接转发到4号接口，而不再需要将数据广播到所有接口。此时网桥的2和3号接口就没有受到冲突的影响，所以主机A在发送数据给主机D时，主机B可以同时发送数据给主机C。这样得出一个结论：网桥将冲突域划分得更小，转发性能比集线器更高。可以形象地理解成网桥的每个接口就是一个冲突域，而集线器是4个接口在一个冲突域。集线器与网桥的性能对照如图2.10所示。端口MAC地址1234MAC_AMAC_BMAC_CMAC_D1234ABCD图2.9网桥基于MAC地址选路的工作原理集线器网桥ABCDCSMA/CDABCDCSMA/CDCSMA/CDCSMA/CDCSMA/CD４个端口在一个冲突域每个端口一个冲突域图2.10集线器与网桥的性能对照2．网桥能够基于自学习构造MAC地址表网桥能够比集线器转发性能更高，是因为网桥内部的MAC表可以进行第二层的选路。但是在网桥刚刚被部署到网络中使用时，一定不知道网桥的某个接口记录的是网络中的某个主机的MAC，如图2.11所示，此时它就需要通过一种叫做“MAC地址自学习”的方式来完成MAC表的构造。网桥“MAC地址自学习”技术的原则是在接口上记录“数据报文的源MAC地址”，如图2.12所示。端口MAC地址12341234ABCD网桥图2.11初始化的网桥MAC地址表1234端口MAC地址记录发送主机的MAC地址ARP请求广播网桥1234MAC_A图2.12MAC地址自学习，记录“数据报文的源MAC地址”当网桥的MAC地址表项不完整时，网桥不能利用MAC地址表进行选路转发，所以网桥只能效仿集线器将数据帧广播到所有的端口（除源端口外）。注意：网桥的这个广播与集线器的广播有很大区别，网桥的这个广播只是一个单纯的ARP广播（将在第3章中详细讲述），它没带真实的数据，所以很小，而且在某种情况下，这种广播报文的大小可以被忽略不计（其重量）。它只广播一次，这次广播的目的是为了构造MAC表，利用网桥的MAC表自学习功能记录计算机的源MAC地址对应的网桥端口，如图2.13所示。当MAC表被成功构造后，网桥将不再进行广播，而是利用MAC表进行快速选路并转发。而集线器每次传输数据都需要依靠广播，而且该广播带有真实数据负载。端口MAC地址1243MAC_AMAC_D以单播方式回应ARP请求1234ABCD记录发送源主机的MAC地址图2.13分析通过ARP构建网桥MAC地址表的过程网桥不能成环主要有两个原因：第一，由于网桥不隔离广播，所以广播不能在桥接环路中发散，从而形成广播风暴，将整个网络的正常通信资源占据，如图2.14所示。第二，由于网桥不能隔离广播，所以会导致MAC地址表自学习错误，如图2.15所示，如果主机B要发送数据给主机A，此时的网桥A与网桥B的MAC表都没有构造完整，那么网桥就必须使用“MAC地址自学习”技术来完善MAC表的构建。假设主机B的ARP请求先送达到网桥B，此时网桥B会记录数据进入端口的源MAC地址，所以网桥B记录MAC_B对应的是网桥B的2号接口。现在看上去完全正常，但是请不要忘了一个很重要的理论，网桥不隔离广播的设备，所以对于ARP的请求广播，网桥B就是一个透明的设备，其桥接环路如图2.16所示。如果网桥B对于广播来说是透明发送，所以现在可设想根本没有网桥B的存在，那么ARP广播会穿过网桥B到达网桥A，由于网桥“MAC地址自学习”技术的原则，记录网桥A的1号端口是主机B的MAC地址MAC_B。此时，地址自学习的错误就产生了，因为网桥A的1号端口事实上接的是主机A，而网桥成环后会将网桥A的1号端口记录为连接的是主机B。网桥A网桥B12广播风暴12AB图2.14广播不能在桥接环路中发散，从而形成广播风暴网桥A网桥B2112ABMAC地址端口12MAC地址端口MAC_B12记录源MAC地址图2.15网桥B记录MAC_B对应的是网桥B的2号端口网桥A网桥BMAC地址端口12MAC_B1221记录源MAC地址记录源MAC地址端口MAC12MAC_BAB图2.16记录网桥A的1号端口是主机B的MAC地址MAC_B注意：在实际工程中，网桥通常又需要将物理链路成环，以提供冗余的路径，但是这又违背网桥不能成环的原则。所以需要一种特殊的技术来解决网桥成环引发的问题，这种特殊的技术叫做STP（生成树）。在第5章中会详细分析STP的原理。二层交换机的工作原理：二层交换机是一种代替网桥的新型产物，也是现在流行的网络组建设备。其实，二层交换机的工作原理与网桥是一样的，都能基于MAC地址表进行转发、划分冲突域、基于MAC地址自学习构造MAC表。但是，网桥的整个过程是利用网桥内自身的软件来完成的，所以会出现瓶颈现象。而二层交换机是基于专用的集成电路（ASIC）来决定交换逻辑的算法的，如MAC表的构