校园网络安全

《校园网络安全》由会员分享，可在线阅读，更多相关《校园网络安全（45页珍藏版）》请在装配图网上搜索。

1、校园网络安全段运生安徽大学网络中心暴力破解利用系统自身安全漏洞木马程序拒绝服务攻击蠕虫病毒ARP欺骗攻击嗅探sniffer网络钓鱼WEB攻击常见的安全攻击方法采用穷举法，破译密码：从口令候选器中选取单词或用枚举法选取，然后用各种同样的加密算法进行加密再比较，一致则猜测成功，否则再尝试。暴力破解微软安全公告bugtraq利用已知漏洞攻击木马是指表面上是有用的软件、实际目的却是危害计算机安全并导致严重破坏的计算机程序。具有隐蔽性的可执行程序，通常在点击后生效可读取各种密码，下载、上传文件可对局域网其它信息进行嗅探木马程序通过向服务器发送大量的虚假请求，服务器由于不断应付这些无用信息而无法对合法的用

2、户提供服务。Botnet：由Bot工具组成的可通信、可被攻击者远程控制的网络。拒绝服务攻击ARP欺骗攻击n ARPAddress Resolution Protocol地址解释协议帧类型0 x0806ARP欺骗都是通过填写错误的源MAC-IP对应关系来实现的n通过伪造虚假源IP-MAC对应的ARP报文，导致网关或主机无法找到正确的通信对象n利用ARP协议本身的缺陷来实现可以利用帧类型来识别ARP报文ARP攻击仿冒网关n攻击者发送伪造的网关ARP报文，欺骗同网段内的其它主机。n主机访问网关的流量，被重定向到一个错误的MAC地址，导致该用户无法正常访问外网。正常用户A网关G网关网关MACMAC更新

3、更新了了网关网关ARPARP表项已表项已更新更新攻击者BIP Address GIP Address GMAC GMAC G1.1.1.11.1.1.11-1-11-1-1IP AddressIP AddressMACMACTypeType1.1.1.1(1.1.1.1(网关网关)1-1-11-1-1DynamicDynamicIP AddressIP AddressMACMACTypeType1.1.1.11.1.1.1（网关）（网关）2-2-22-2-2DynamicDynamicARP表项更新为这种攻击为最为常见的攻击类型这种攻击为最为常见的攻击类型访问外网数据访问外网数据发向错误的网发

4、向错误的网关关ARP攻击欺骗网关n攻击者伪造虚假的ARP报文，欺骗网关相同网段内的某一合法用户的MAC地址已经更新n网关发给该用户的所有数据全部重定向到一个错误的MAC地址，导致该用户无法正常访问外网正常用户A网关G用户用户A A的的MACMAC更新了更新了用户用户A A的的ARPARP表项已更新表项已更新发送伪造ARP信息攻击者BIP AddressIP AddressMACMACTypeType1.1.1.51.1.1.53-3-33-3-3DynamicDynamicIP AddressIP AddressMACMACTypeType1.1.1.51.1.1.52-2-22-2-2Dyn

5、amicDynamicARP表项更新为IP Address AIP Address AMAC AMAC A1.1.1.51.1.1.53-3-33-3-3外网来的数据流外网来的数据流被转发到错误的被转发到错误的终端终端ARP攻击欺骗终端用户n攻击者以伪造虚假的ARP报文，欺骗相同网段内的其他主机，某一合法用户的MAC地址已经更新n网段内的其他主机发给该用户的所有数据都被重定向到错误的MAC地址，同网段内的用户无法正常互访正常用户A网关G用户C的MAC更新了知道了发送伪造ARP信息攻击者BIP Address GIP Address GMAC GMAC G1.1.1.11.1.1.11-1-11

6、-1-1IP AddressIP AddressMACMACTypeType1.1.1.11.1.1.19-9-99-9-9DynamicDynamicIP AddressIP AddressMACMACTypeType1.1.1.11.1.1.12-2-22-2-2DynamicDynamic用户用户CC的的MAC is 2-2-2MAC is 2-2-2ARP表项更新为目的目的MACMAC源源MACMAC2-2-22-2-23-3-33-3-3IP Address AIP Address AMAC AMAC A1.1.1.51.1.1.53-3-33-3-3数据流被中断IP Address

7、 BIP Address BMAC BMAC B1.1.1.201.1.1.205-5-55-5-5IP Address CIP Address CMAC CMAC C1.1.1.81.1.1.89-9-99-9-9正常用户CARP泛洪攻击n攻击者伪造大量不同ARP报文在同网段内进行广播，导致网关ARP表项被占满，合法用户的ARP表项无法正常学习，导致合法用户无法正常访问外网正常用户A网关G用户A、A1、A2、A3的MAC更新了已更新发送大量伪造ARP信息攻击者BIP Address GIP Address GMAC GMAC G1.1.0.11.1.0.11-1-11-1-1IP Addre

8、ssIP AddressMACMACTypeType1.1.0.21.1.0.22-2-22-2-2DynamicDynamic1.1.0.31.1.0.32-2-32-2-3DynamicDynamic1.1.0.41.1.0.42-2-42-2-4DynamicDynamic1.1.0.51.1.0.52-2-52-2-5DynamicDynamic1.1.0.61.1.0.62-2-62-2-6DynamicDynamic.DynamicDynamic1.1.0.2 MAC is 2-2-21.1.0.2 MAC is 2-2-2ARP表项被占满IP Address AIP Addres

9、s AMAC AMAC A1.1.1.1031.1.1.1033-3-33-3-3ARP表项无法学习IP Address BIP Address BMAC BMAC B1.1.1.201.1.1.205-5-55-5-51.1.0.3 MAC is 2-2-31.1.0.3 MAC is 2-2-31.1.0.4 MAC is 2-2-41.1.0.4 MAC is 2-2-41.1.1.103 MAC is 3-3-31.1.1.103 MAC is 3-3-3网络接口只响应两种数据帧：与自己硬件地址相匹配的数据帧；发向所有机器的广播数据帧。网卡的工作模式：正常模式和混杂模式（在这种模式下的

10、网卡能够接收一切通过它的数据，而不管数据是否是传给它的）嗅探Sniffer攻击通过欺骗性的电子邮件、网页欺诈用户，诱使用户泄露重要信息的诈骗方式。属于黑客攻击方式中的社会工程学方法，更多的依靠欺骗手段来达到目的。网络钓鱼SQL注入跨站脚本远程命令非法执行Cookie篡改敏感信息泄露WEB攻击信息搜集漏洞利用窃取、篡改、破坏进一步渗透其他主机安装后门一般的入侵流程找到网络地址范围找到机器的地址找到开放端口和入口点找到系统的制造商和版本扫描流程：存活性扫描、端口扫描、漏洞扫描、OS识别获取信息网络层系统层应用层管理层常用的安全防范措施用户接入二层安全流量控制防火墙入侵防御抗拒绝服务攻击远程安全接入

11、网络层用户认证终端准入控制用户接入802.1x：基于端口的访问控制认证。Portal：未认证用户上网时，设备强制用户登录到特定站点，用户可以免费访问其中的服务。当用户使用互联网中的其他信息时，必须在门户网站通过认证才可以使用。用户认证对接入网络的终端实施安全准入策略集成了网络准入、终端安全、桌面管理功能。终端准入控制VLANARP攻击DHCP SNOOPING二层安全ARP攻击控制点网关G用户接入设备n 网关防御网关防御n 合法ARP绑定，防御网关被欺骗n VLAN内的ARP学习数量限制，防御ARP泛洪攻击1 1 接入设备防御接入设备防御n 将合法网关IP/MAC进行绑定，防御仿冒网关攻击n

12、合法用户IP/MAC绑定，过滤掉仿冒报文n ARP限速n 绑定用户的静态MAC2 2n 客户端防御客户端防御n 合法ARP绑定，防御网关被欺骗3 3流量攻击l攻击原理攻击原理广播报文或者组播报文在网络中泛滥，或者同时发送大量单播报文至同一目的网络，导致带宽资源耗尽，整个网络瘫痪l攻击危害攻击危害从一个带宽足够大的网络向一个带宽较小的网络发送大量数据，导致被攻击网络由于流量过大使正常的传输失败调动网络中多个主机或设备同时向同一个设备发送大量流量，导致网络拥塞流量控制访问访问频度较大的业务：频度较大的业务：Internet Internet、MailMail、DNSDNS带宽占用较大的业务：迅雷、

13、带宽占用较大的业务：迅雷、BTBT、电驴、电驴、QQQQ、MSNMSN领导关注的业务：领导关注的业务：NetmeetingNetmeeting、VoIPVoIP、OracleOracle、VPNVPNl内部员工因为各种IM即时通讯软件、网络在线游戏、P2P下载软件、在线视频、浏览工作无关网站导致企业网络资源滥用、Internet出口网络性能下降 先到先得 带宽资源严重失控内部网络与外部网络的边界，严格限制外部网络对内部网络的访问，也可有效地监视内部网络对外部网络访问。包过滤防火墙基于状态监测的包过滤防火墙防火墙防火墙的选择单向访问的需求财务部门防火墙办公室主管领导市场部门单向访问交换机和路由器

14、的ACL都没办法实现的需求防火墙的局限Web servicesWeb enabled appsHTTP载荷中的病毒、木马、蠕虫等恶意代码80端口服务器被攻破http:/10.74.16.88/scripts/.%c0%af.cmd.exe?/c+dir+c:防火墙可被应用层的攻击穿透，而目前90以上的攻击是基于应用层的攻击。防火墙不能有效检测并阻断夹杂在正常流量中的攻击代码。入侵检测由于旁路部署，不能第一时间阻断所有攻击，侧重安全状态监控入侵防御在线部署，主动防御，实时阻断攻击。入侵防御系统入侵防御系统作用n应用层攻击抵御：蠕虫、木马、间谍软件的实时防护。n全球漏洞特征升级：设备自动完成升级，

15、实现实时防护初始事件标准化规则过滤特征匹配WEBE-MailDownLoader掐断非法或受控应用发现和阻断滥用误用制止应用系统的漏洞利用杀除病毒、木马非法或受控应用滥用误用应用系统的漏洞病毒、木马u深度过滤u用户网络内部多种应用潜藏各类威胁inside抗拒绝服务攻击禁止对主机非公开服务的访问限制特定IP地址的访问启用设备的DDOS属性抗拒绝服务攻击远程安全接入公有基础网络公有基础网络分支机构网络分支机构网络企业内部网络企业内部网络IPsecVPNIPsecVPN网关网关IPsecVPNIPsecVPN网关网关SSL VPNSSL VPN网关网关业务业务提供区提供区类型应用场景核心关注点技术要

16、求MPLS VPN专网，纵向互联区分业务，不加密沿途设备支持MPLSIPSEC VPNInternet，分支网络间互联 安全传输，加密两端网关支持IPSECSSL VPNInternet，移动终端接入安全传输，加密中心网关支持SSL VPN漏洞扫描系统安全加固补丁安全管理系统层对计算机系统或其它网络设备进行相关安全检测，以查找安全隐患和可能被攻击者利用的漏洞。既是攻击者攻击系统的技术手段之一，也是保证计算机系统和网络安全必不可少的技术方法。漏洞扫描Windows系统：注册表和系统文件监控，帐号安全策略，系统服务安全设置，系统进程和端口检查分析，IIS安全设置Linux系统：例如密码长度，roo

17、t用户远程登录，是否存在其他uid=0的用户，重要目录和文件权限设置，查找任何人都有写权限的目录和文件，syslog配置。系统安全加固限时修补 系统进行自动补丁补丁安全管理防病毒WEB防火墙内容安全安全审计应用层有效检测通过HTTP、FTP、IM、SMTP、POP3、IMAP等协议传输的病毒，如网络木马病毒、蠕虫病毒、宏病毒、脚本病毒等。防病毒HTTP请求数据进站时接受并经过HTTP规则化筛选每个请求穿过通信层，并匹配最好的安全检查组安全对象包括虚拟主机和虚拟目录，将在安全对象上运行的具体要求验证。只有过滤器充分验证的请求，才会最终通过并被转发到Web服务器。WEB防火墙采用URL网页过滤数据库和内容关键字技术，对网络中各类高风险、不良、反动网站及敏感信息进行告警、过滤；监控网站访问、邮件收发、论坛、即时通讯等网络应用行为；不良敏感信息扫描，网站挂马扫描内容安全有针对性地对运行状态和过程进行记录、跟踪和审查。对网站访问、邮件收发、远程终端访问、数据库访问、论坛发帖等进行关键信息监测、还原。安全审计管理策略安全制度管理层