CISP網(wǎng)絡(luò)與通信安全

1、信息安全技術(shù)網(wǎng)絡(luò)安全2003-12今天的主題第一章 網(wǎng)絡(luò)安全基礎(chǔ)(模型,基礎(chǔ)知識(shí))第二章 網(wǎng)絡(luò)設(shè)備安全管理(物理上安全,設(shè)置上安全等)第三章 網(wǎng)絡(luò)中面臨的威脅 針對(duì)網(wǎng)絡(luò)設(shè)備的攻擊(不同的設(shè)備,不同的漏洞) 拒絕服務(wù)（DoS）攻擊(DOS,DDOS) 欺騙攻擊(IP地址欺騙等) 網(wǎng)絡(luò)嗅探(協(xié)議,端口)第四章 網(wǎng)絡(luò)設(shè)備的安全配置第五章 對(duì)網(wǎng)絡(luò)威脅采取的策略第六章 IPSec與VPN技術(shù)2 第一章 網(wǎng) 絡(luò) 安 全 基 礎(chǔ)3INTERNET的美妙之處在于你和每個(gè)人都能互相連接(工作,學(xué)習(xí),電子商務(wù)等)INTERNET的可怕之處在于每個(gè)人都能和你互相連接(面臨著威脅,例如:病毒)4網(wǎng)絡(luò)基礎(chǔ)5OSI參考模

2、型ISO/OSI網(wǎng)絡(luò)體系結(jié)構(gòu) 即開放系統(tǒng)互聯(lián)參考模型（Open System Interconnect Reference Model）。是ISO（國(guó)際標(biāo)準(zhǔn)化組織）根據(jù)整個(gè)計(jì)算機(jī)網(wǎng)絡(luò)功能劃分七層. 網(wǎng)絡(luò)體系結(jié)構(gòu)分層的目的 (為了更好的規(guī)劃網(wǎng)絡(luò),更好的達(dá)到網(wǎng)絡(luò)的互聯(lián)性,更好的解決問(wèn)題, 更好的構(gòu)架網(wǎng)絡(luò)而建立)OSI參考模型的層次劃分 應(yīng)用層表示層 會(huì)話層 傳輸層網(wǎng)絡(luò)層 數(shù)據(jù)鏈路層物理層 6OSI層次劃分原則 層次分明性應(yīng)該把層次分成理論上需要的不同等級(jí)，減少過(guò)多的層次；當(dāng)在數(shù)據(jù)處理過(guò)程中需要不同級(jí)別抽象時(shí)，則設(shè)立一個(gè)層次；在需要不同的通信服務(wù)時(shí)，可在同一層內(nèi)再形成子層次，不需要時(shí)也可繞過(guò)該子層次

3、。 獨(dú)立性一個(gè)層次內(nèi)的功能或協(xié)議更改時(shí)不影響其它各層； 互聯(lián)性只為每一層建立與其相鄰的上一層和下一層的接口；7OSI層次劃分原則 功能模塊化性每一層都應(yīng)該較好地履行其特定的功能； 成熟性每一層的功能選定都基于已有成功經(jīng)驗(yàn)的國(guó)際標(biāo)準(zhǔn)協(xié)議； 簡(jiǎn)明性每一層的界面都應(yīng)該選在服務(wù)描述最少、通過(guò)接口的信息流量最少的地方； 把類似的功能集中在同一層內(nèi)，使之易于局部化； 8TCP/IP協(xié)議層次模型TCP/IP協(xié)議分層并不完全對(duì)應(yīng)OSI模型應(yīng)用層 Telnet SMTP傳輸層TCP UDP 網(wǎng)絡(luò)層IP ICMP ARP RARP網(wǎng)絡(luò)接口層X(jué).25 ARPnet9TelnetSMTPDNSFTPUDPTCPIP以

4、太網(wǎng)無(wú)線網(wǎng)絡(luò)令牌網(wǎng)ARPNETTCP/IP模型與潛在風(fēng)險(xiǎn)應(yīng)用程序攻擊拒絕服務(wù)攻擊數(shù)據(jù)監(jiān)聽(tīng)和竊取硬件設(shè)備破壞10常見(jiàn)黑客攻擊方式應(yīng)用層：應(yīng)用程序和操作系統(tǒng)的攻擊與破壞傳輸層：拒絕服務(wù)攻擊網(wǎng)絡(luò)層：拒絕服務(wù)攻擊和數(shù)據(jù)竊聽(tīng)風(fēng)險(xiǎn)硬件設(shè)備與數(shù)據(jù)鏈路：物理竊聽(tīng)與破壞 (物理維護(hù), 介質(zhì)保護(hù),OPENBOOT)11網(wǎng)絡(luò)安全的語(yǔ)義范圍保密性 完整性可用性(CIA三元組基本安全法則)可控性 12 第二章 網(wǎng)絡(luò)設(shè)備安全管理13局域網(wǎng)的特性 局域網(wǎng)典型特性高數(shù)據(jù)傳輸率短距離低誤碼率(廣域網(wǎng)絡(luò)高誤碼率)常用的局域網(wǎng)介質(zhì)訪問(wèn)控制技術(shù)載波監(jiān)聽(tīng)多路訪問(wèn)/沖突檢測(cè)(CSMA/CD)技術(shù)令牌控制技術(shù)光纖分布數(shù)據(jù)接口(FDDI)技

5、術(shù)14局域網(wǎng)安全管理良好的網(wǎng)絡(luò)拓?fù)湟?guī)劃(IP地址規(guī)劃,路由區(qū)域設(shè)計(jì)等)對(duì)網(wǎng)絡(luò)設(shè)備進(jìn)行基本安全配置(口令和不必要的服務(wù)關(guān)閉)合理的劃分VLAN(防一端口屬多VLAN)分離數(shù)據(jù)廣播域(不同部門)綁定IP地址與Mac地址(防止盜用IP)配置防火墻和IDS設(shè)備使用內(nèi)容監(jiān)控(NETFLOW)與病毒過(guò)濾15良好的網(wǎng)絡(luò)規(guī)劃網(wǎng)絡(luò)安全規(guī)劃原則合理的分配地址(規(guī)劃表)合理的網(wǎng)絡(luò)邏輯結(jié)構(gòu)(拓?fù)浼皡f(xié)議的選擇)通過(guò)VLAN分隔邏輯網(wǎng)絡(luò)通過(guò)域或工作組確定用戶權(quán)限(操作系統(tǒng))建立良好的網(wǎng)絡(luò)安全制度 (文檔等)16網(wǎng)絡(luò)設(shè)備安全配置關(guān)閉不必要的設(shè)備服務(wù)(STP,CDP等)使用強(qiáng)口令或密碼加強(qiáng)設(shè)備訪問(wèn)的認(rèn)證與授權(quán)(AAA口令)升

6、級(jí)設(shè)備固件(對(duì)功能的提升)或OS(補(bǔ)丁)使用訪問(wèn)控制列表限制訪問(wèn)(名稱,擴(kuò)展,基本)使用訪問(wèn)控制表限制數(shù)據(jù)包類型(二層)17廣域網(wǎng)的概念和特性廣域網(wǎng)是覆蓋地理范圍相對(duì)較廣的數(shù)據(jù)通信網(wǎng)絡(luò)。網(wǎng)絡(luò)的規(guī)模和分類：局域網(wǎng)(LAN，local area network)可覆蓋一個(gè)建筑物或一所學(xué)校;城域網(wǎng)(MAN，metropolitan area network)可覆蓋一座城市;(WAN，wide area network)可覆蓋多座城市、多個(gè)國(guó)家或洲。18廣域網(wǎng)的構(gòu)成和種類廣域網(wǎng)的構(gòu)成(設(shè)備及基本構(gòu)架)廣域網(wǎng)的種類X.25 幀中繼 ATM19廣域網(wǎng)安全管理良好的網(wǎng)絡(luò)拓?fù)湟?guī)劃(協(xié)議選擇等)對(duì)網(wǎng)絡(luò)設(shè)備進(jìn)行基

7、本安全配置(口令,加密)確保路由協(xié)議安全(路由協(xié)議加密,防惡意路由信息介入)使用ACL進(jìn)行數(shù)據(jù)過(guò)濾使用AAA加強(qiáng)訪問(wèn)控制和認(rèn)證20交換機(jī)-Vlan穿越對(duì)策將所有user-end端口都從vlan1中排除 (缺省VLAN的有很多服務(wù)沒(méi)有關(guān)掉.)將trunk接口劃分到一個(gè)單獨(dú)的vlan中，該vlan中不應(yīng)包含任何user-end接口21交換機(jī)-針對(duì)CDP攻擊說(shuō)明Cisco專用協(xié)議，用來(lái)發(fā)現(xiàn)周邊相鄰的網(wǎng)絡(luò)設(shè)備鏈路層幀，30s發(fā)送一次，目標(biāo)MAC：01:00:0C:CC:CC:CC可以得到相鄰設(shè)備名稱，操作系統(tǒng)版本，接口數(shù)量和類型，接口IP地址等關(guān)鍵信息在所有接口上默認(rèn)打開危害任何人可以輕松得到整個(gè)網(wǎng)絡(luò)

8、信息可以被利用發(fā)起DoS攻擊：對(duì)策如不需要，禁止CDP禁止User-End端口的CDP22交換機(jī)-針對(duì)STP攻擊說(shuō)明Spanning Tree Protocol防止交換網(wǎng)絡(luò)產(chǎn)生回路Root BridgeBPDU-bridge ID, path cost, interface攻擊強(qiáng)制接管root bridge，導(dǎo)致網(wǎng)絡(luò)邏輯結(jié)構(gòu)改變，在重新生成STP時(shí)，可以導(dǎo)致某些端口暫時(shí)失效，可以監(jiān)聽(tīng)大部份網(wǎng)絡(luò)流量。BPDU Flood：消耗帶寬，拒絕服務(wù)(間隔時(shí)間)對(duì)策對(duì)User-End端口，禁止發(fā)送BPDU(或用參數(shù)進(jìn)行控制)23交換機(jī)-針對(duì)VTP攻擊作用Vlan Trunking Protocol統(tǒng)一了整

9、個(gè)網(wǎng)絡(luò)的VLAN配置和管理可以將VLAN配置信息傳遞到其它交換機(jī)動(dòng)態(tài)添加刪除VLAN(通過(guò)VTP更新信息)準(zhǔn)確跟蹤和監(jiān)測(cè)VLAN變化模式Server, Client, Transparent24交換機(jī)-針對(duì)VTP攻擊脆弱性Domain：只有屬于同一個(gè)Domain的交換機(jī)才能交換Vlan信息 set vtp domain netpowerPassword：同一domain可以相互通過(guò)經(jīng)MD5加密的password驗(yàn)證，但password設(shè)置非必需的，如果未設(shè)置password，入侵者惡意添加或者刪除Vlan。對(duì)策設(shè)置password盡量將交換機(jī)的vtp設(shè)置為Transparent模式：set v

10、tp domain netpower mode transparent password sercetvty(不去管VTP信息,只是轉(zhuǎn)發(fā))25路由器-發(fā)現(xiàn)路由通過(guò)tracertroute命令最后一個(gè)路由容易成為DoS攻擊目標(biāo)(產(chǎn)生大量的數(shù)據(jù)包,使響應(yīng)者消耗資源)26路由器-猜測(cè)路由器類型端口掃描CDP其它特征：如Cisco路由器1999端口的ack分組信息，會(huì)有cisco字樣提示 (給入侵者帶來(lái)有用信息)27路由器-缺省帳號(hào)設(shè)備用戶名密碼級(jí)別bay路由器user空用戶Manager空管理員bay 350T交換機(jī)NetlCs無(wú)關(guān)管理員bay superStack IIsecuritysecuri

11、ty管理員3com交換機(jī)adminsynnet管理員readsynnet用戶writesynnet管理員debugsynnet管理員techtech28路由器-缺省帳號(hào)monitormonitor用戶managermanager管理員securitysecurity管理員cisco路由器(telnet)c(Cisco 2600s)管理員(telnet)cisco用戶enablecisco管理員(telnet)cisco routersshivaroot空管理員Guest空用戶Webrampwradmintrancell管理員Motorola CableRoutercablecomrouter管

12、理員29路由器-密碼Cisco路由器的密碼(選擇手工安裝模式就可以沒(méi)有缺省密碼)弱加密MD5加密Enable secret 530路由器-SNMPSNMP版本 SNMPv1,SNMPv2,SNMPv3Snmp AgentMIBSnmp網(wǎng)管軟件讀寫權(quán)限關(guān)掉不必要的服務(wù) SNMP對(duì)管理人員有用,同時(shí)也為黑客提供方便.31路由器-針對(duì)snmp攻擊利用讀、寫口令字下載配置文件針對(duì)SNMP的暴力破解程序CISCO SNMP越權(quán)訪問(wèn)可寫口令字32 第三章 網(wǎng)絡(luò)存在的威脅33網(wǎng)絡(luò)中面臨的威脅34拒絕服務(wù)攻擊定義DoS （Denial of Service ） 拒絕服務(wù)攻擊是用來(lái)顯著降低系統(tǒng)提供服務(wù)的質(zhì)量或可

13、用性的一種有目的行為。 DDoS （Distributed Denial of service） 分布式拒絕服務(wù)攻擊使用了分布式客戶服務(wù)器功能，加密技術(shù)及其它類的功能，它能被用于控制任意數(shù)量的遠(yuǎn)程機(jī)器，以產(chǎn)生 隨機(jī)匿名 的拒絕服務(wù)攻擊和遠(yuǎn)程訪問(wèn)。35DDoS攻擊示意圖分布式拒絕服務(wù)攻擊示意圖36DoS攻擊舉例Syn FloodUdp FloodIcmp Ping Flood37Syn FloodSYN Flood是當(dāng)前最流行的DoS（拒絕服務(wù)攻擊）與DDoS（分布式拒絕服務(wù)攻擊），是利用TCP協(xié)議缺陷，發(fā)送大量偽造的TCP連接請(qǐng)求，從而使得被攻擊方資源耗盡（CPU滿負(fù)荷或內(nèi)存不足）的一種攻擊方

14、式。38Syn FloodSYN （我可以連接嗎？）ACK （可以）/SYN（請(qǐng)確認(rèn)?。〢CK （確認(rèn)連接）發(fā)起方應(yīng)答方正常的三次握手建立通訊的過(guò)程39Syn FloodSYN （我可以連接嗎？）ACK （可以）/SYN（請(qǐng)確認(rèn)?。┕粽呤芎φ邆卧斓刂愤M(jìn)行SYN請(qǐng)求為何還沒(méi)回應(yīng)就是讓你白等不能建立正常的連接40Udp FloodUDP攻擊的原理是使兩個(gè)或兩個(gè)以上的系統(tǒng)之間產(chǎn)生巨大的UDP數(shù)據(jù)包。首先使這兩種UDP服務(wù)都產(chǎn)生輸出，然后讓這兩種UDP服務(wù)之間互相通信，使一方的輸出成為另一方的輸入。這樣會(huì)形成很大的數(shù)據(jù)流量。當(dāng)多個(gè)系統(tǒng)之間互相產(chǎn)生UDP數(shù)據(jù)包時(shí)，最終將導(dǎo)致整個(gè)網(wǎng)絡(luò)癱瘓。如果涉及的主機(jī)

15、數(shù)目少，那么只有這幾臺(tái)主機(jī)會(huì)癱瘓41Udp Flood禁止相關(guān)服務(wù)(RIP禁止對(duì)所有端口轉(zhuǎn)發(fā))與網(wǎng)絡(luò)設(shè)備配合(FW ACL)42Icmp Ping FloodPing是通過(guò)發(fā)送ICMP報(bào)文,不能很好處理過(guò)大的Ping包，導(dǎo)致出現(xiàn):占去許多帶寬,塞滿網(wǎng)絡(luò).如TFN2K會(huì)產(chǎn)生大量的進(jìn)程，每個(gè)進(jìn)程都不停地發(fā)送PING包，從而導(dǎo)致被攻擊目標(biāo)的無(wú)法正常工作。43Icmp Flood禁止相關(guān)服務(wù)與網(wǎng)絡(luò)設(shè)備配合(CISCO設(shè)備最新功能用命令去禁止)44應(yīng)用級(jí)別的拒絕服務(wù)包含在操作系統(tǒng)或應(yīng)用程序中與安全相關(guān)的系統(tǒng)缺陷而引起的拒絕服務(wù)問(wèn)題，這些缺陷大多是由于錯(cuò)誤的程序編制，粗心的源代碼審核.典型代表是pcany

16、where的拒絕服務(wù)問(wèn)題45應(yīng)用級(jí)別的拒絕服務(wù)PCAnywhere 存在因端口掃描導(dǎo)致的 DoS 攻擊描述:在遭受到nmap 2.30BETA21的TCP SYN 掃描之后, PcAnyWhere將停止響應(yīng)，只有重新啟動(dòng)服務(wù)才能正常運(yùn)行。46應(yīng)用級(jí)別的拒絕服務(wù)升級(jí)相關(guān)軟件(補(bǔ)漏洞)與安全產(chǎn)品配合(IDS,FW,ACL,ROUTE-MAP策略控制)47Trinoo介紹影響平臺(tái): Linux, Solaris, Unix 風(fēng)險(xiǎn)級(jí)別: 高攻擊類型: 基于網(wǎng)絡(luò)，基于主機(jī)的 Trin00 是一種分布式拒絕服務(wù)的工具。攻擊者使用該工具可以控制多個(gè)主機(jī)，利用這些主機(jī)向其他主機(jī)發(fā)送UDP flood。Trin

17、00控制者可以給Trin00主機(jī)守護(hù)程序制造多種請(qǐng)求。使用UDP包開始flood主機(jī)使用UDP包終止flood主機(jī)修改主機(jī)主流程序的UDP flood配置48Trinoo介紹Trinoo的攻擊方法是向被攻擊目標(biāo)主機(jī)的隨機(jī)端口發(fā)出全零的4字節(jié)UDP包，在處理這些超出其處理能力的垃圾數(shù)據(jù)包的過(guò)程中，被攻擊主機(jī)的網(wǎng)絡(luò)性能不斷下降，直到不能提供正常服務(wù)，乃至崩潰。它對(duì)IP地址不做假.通訊端口是：(要在相應(yīng)策略控制里封掉) 攻擊者主機(jī)到主控端主機(jī)：27665/TCP 主控端主機(jī)到代理端主機(jī)：27444/UDP代理端主機(jī)到主服務(wù)器主機(jī)：31335/UDP49TFN介紹影響平臺(tái): Linux, Solari

18、s, Unix 風(fēng)險(xiǎn)級(jí)別: 高攻擊類型: 基于網(wǎng)絡(luò)，基于主機(jī)的Tribe Flood Network, TFN,是一種分布式拒絕服務(wù)的工具，使用該工具可以使攻擊者利用多個(gè)主機(jī)，一次flood一個(gè)目標(biāo)。有三種不同類型的flood：ICMP Echo floodUDP FloodSYN Flood50TFN介紹TFN客戶機(jī)和服務(wù)器使用ICMP echo 互相發(fā)送響應(yīng)包進(jìn)行通訊。TFN由主控端程序和代理端程序兩部分組成，具有偽造數(shù)據(jù)包的能力。51TFN2K介紹影響平臺(tái): Linux, Solaris, Unix 風(fēng)險(xiǎn)級(jí)別: 高攻擊類型: 基于網(wǎng)絡(luò)，基于主機(jī)的Tribe Flood Network 2

19、000 (TFN2k) 是一種分布式拒絕服務(wù)的工具，可以實(shí)施多種類型的flood攻擊一個(gè)主機(jī)。TFN2k由客戶端和主機(jī)駐留程序組成?？蛻舳丝刂埔粋€(gè)多個(gè)主機(jī)主流程序，主機(jī)主流程序?qū)δ繕?biāo)主機(jī)進(jìn)行flood?？蛻舳丝梢允褂肬DP、 TCP或ICMP與主機(jī)主流程序進(jìn)行通訊，并可以隱藏欺騙發(fā)包的源IP地址。52TFN2K介紹TFN2K是由TFN發(fā)展而來(lái)的，在TFN所具有的特性上，TFN2K又新增一些特性，它的主控端和代理端的網(wǎng)絡(luò)通訊是經(jīng)過(guò)加密的，中間還可能混雜了許多虛假數(shù)據(jù)包，而TFN對(duì)ICMP的通訊沒(méi)有加密。并且TFN2K可配置的代理端進(jìn)程端口。53DDoS攻擊特性DDoS攻擊將越來(lái)越多地采用IP欺騙

20、的技術(shù)； DDoS攻擊呈現(xiàn)由單一攻擊源發(fā)起進(jìn)攻，轉(zhuǎn)變?yōu)橛啥鄠€(gè)攻擊源對(duì)單一目標(biāo)進(jìn)攻的趨勢(shì); DDoS攻擊將會(huì)變得越來(lái)越智能化，試圖躲過(guò)網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)的檢測(cè)跟蹤，并試圖繞過(guò)防火墻防御體系; 針對(duì)路由器的弱點(diǎn)的DDoS攻擊將會(huì)增多; DDoS攻擊利用路由器的多點(diǎn)傳送功能可以將攻擊效果擴(kuò)大若干倍; 基于不同協(xié)議的攻擊: -采用半連接技術(shù)SYN攻擊，和針對(duì)TCP/IP協(xié)議先天缺陷的的ACK攻擊。 -采用ICMP攻擊。 -采用UDP攻擊。54IP欺騙原理IP是網(wǎng)絡(luò)層的一個(gè)非面向連接的協(xié)議，偽造IP地址相對(duì)容易。TCP三次握手DoS攻擊序列號(hào)取樣和猜測(cè)預(yù)防拋棄基于地址的信任策略進(jìn)行包過(guò)濾加密使用隨機(jī)化初始

21、序列號(hào)55ARP欺騙實(shí)現(xiàn)簡(jiǎn)易指定ARP包中的源IP、目標(biāo)IP、源MAC、目標(biāo)MAC危害嗅探導(dǎo)致windows 9x、NT IP沖突死機(jī)Flooding導(dǎo)致網(wǎng)絡(luò)異常56共享環(huán)境下的嗅探技術(shù)原理在以太網(wǎng)中是基于廣播方式傳送數(shù)據(jù) 網(wǎng)卡置于混雜模式下可以接收所有經(jīng)的數(shù)據(jù)工具Sniffer pro、IRIS、tcpdump、snoop57 第四章 網(wǎng)絡(luò)設(shè)備的安全配置58路由交換設(shè)備安全配置關(guān)閉不必要的設(shè)備服務(wù)使用強(qiáng)口令或密碼加強(qiáng)設(shè)備訪問(wèn)的認(rèn)證與授權(quán)升級(jí)設(shè)備固件或OS使用訪問(wèn)控制列表限制訪問(wèn)使用訪問(wèn)控制表限制數(shù)據(jù)包類型59Cisco路由交換的安全配置使用加密的強(qiáng)密碼service password-enc

22、ryptionenable secret pa55w0rd使用分級(jí)密碼策略(07)enable secret 6 pa55wordprivilege exec 6 show使用用戶密碼策略u(píng)ser name password pass privilege exec 6 show60Cisco路由交換安全配置控制網(wǎng)絡(luò)線路訪問(wèn)access-list 8 permit 0access-list 8 deny anyline vty 0 4access-class 8 in設(shè)置網(wǎng)絡(luò)連接超時(shí)Exec-timeout 5 0以上措施可以保證路由器的密碼安全61Cisco路由交換安全配置禁用交換機(jī)HTTP服

23、務(wù)器no ip http server禁用CDP發(fā)掘協(xié)議no cdp run禁用交換機(jī)NTP服務(wù)器no ntp enable如果用了,需要驗(yàn)證Ntp authenticate-key 10 md5 ntpkeyNtp server seattle key 10禁用低端口簡(jiǎn)單服務(wù)no service-udp-small-servicesno service-udp-small-services禁用Finger服務(wù)no service finger以上措施可以降低路由器遭受應(yīng)用層攻擊的風(fēng)險(xiǎn)62Cisco路由交換安全配置禁用簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議no snmp-server enable使用SNMPv3加

24、強(qiáng)安全特性snmp-server enable traps snmp auth md5使用強(qiáng)的SNMPv1通訊關(guān)鍵字snmp-server communityname以上三者不可同時(shí)使用，如果必要使用SNMP安全性12363Cisco路由交換安全配置認(rèn)證與日志管理 logging 設(shè)置與不同的服務(wù)相關(guān)聯(lián) logging 的不同級(jí)別使用AAA加強(qiáng)設(shè)備訪問(wèn)控制 AAA概念日志管理logging onlogging server 64Cisco路由交換安全配置禁用IP Unreachable報(bào)文禁用ICMP Redirect報(bào)文no ip redirect禁用定向廣播no ip directed-b

25、roadcast禁用ARP代理no ip proxy-arp使用IP驗(yàn)證Ip verify unicast reverse-path禁用IP源路由選項(xiàng)no ip source-route65Cisco路由交換安全配置啟用TCP截獲特性防止DoS攻擊創(chuàng)建截獲訪問(wèn)控制列表起用TCP截獲特性設(shè)置門限制設(shè)置丟棄模式66Cisco路由交換安全配置使用訪問(wèn)控制列表限制訪問(wèn)地址使用訪問(wèn)控制列表限定訪問(wèn)端口使用訪問(wèn)控制列表過(guò)濾特定類型數(shù)據(jù)包使用訪問(wèn)控制列表限定數(shù)據(jù)流量使用訪問(wèn)控制列表保護(hù)內(nèi)部網(wǎng)絡(luò)67 第五章 對(duì)網(wǎng)絡(luò)威脅采取的策略68拒絕服務(wù)攻擊的防御策略69第一種是縮短SYN Timeout時(shí)間，由于SYN

26、Flood攻擊的效果取決于服務(wù)器上保持的SYN半連接數(shù)，這個(gè)值=SYN攻擊的頻度 x SYN Timeout，所以通過(guò)縮短從接收到SYN報(bào)文到確定這個(gè)報(bào)文無(wú)效并丟棄該連接的時(shí)間，例如設(shè)置為20秒以下（過(guò)低的SYN Timeout設(shè)置可能會(huì)影響客戶的正常訪問(wèn)），可以成倍的降低服務(wù)器的負(fù)荷.第二種方法是設(shè)置SYN Cookie，就是給每一個(gè)請(qǐng)求連接的IP地址分配一個(gè)Cookie，如果短時(shí)間內(nèi)連續(xù)受到某個(gè)IP的重復(fù)SYN報(bào)文，就認(rèn)定是受到了攻擊，以后從這個(gè)IP地址來(lái)的包會(huì)被一概丟棄。 Syn Flood 解決辦法70動(dòng)態(tài)分析受到攻擊時(shí)在線分析TCP SYN報(bào)文的所有細(xì)節(jié)。如源地址、IP首部中的標(biāo)識(shí)、

27、TCP首部中的序列號(hào)、TTL值等，特別是TTL值，如果大量的攻擊包似乎來(lái)自不同的IP但是TTL值卻相同，往往能推斷出攻擊者與目標(biāo)之間的路由器距離，至少也可以通過(guò)過(guò)濾特定TTL值的報(bào)文降低被攻擊系統(tǒng)的負(fù)荷（在這種情況下TTL值與攻擊報(bào)文不同的用戶就可以恢復(fù)正常訪問(wèn)）網(wǎng)絡(luò)設(shè)備配合Syn Flood 其它辦法71Syn Flood 其它辦法負(fù)載均衡基于DNS解析的負(fù)載均衡本身就擁有對(duì)SYN Flood的免疫力，基于DNS解析的負(fù)載均衡能將用戶的請(qǐng)求分配到不同IP的服務(wù)器主機(jī)上，SYN Flood程序有兩種攻擊方式，基于IP的和基于域名的，前者是攻擊者自己進(jìn)行域名解析并將IP地址傳遞給攻擊程序，后者是

28、攻擊程序自動(dòng)進(jìn)行域名解析，但是它們有一點(diǎn)是相同的，就是一旦攻擊開始，將不會(huì)再進(jìn)行域名解析。攻擊者攻擊的永遠(yuǎn)只是其中一臺(tái)服務(wù)器。72檢測(cè)DDoS攻擊根據(jù)異常情況分析訪問(wèn)量突然劇增，經(jīng)過(guò)sniffer分析，有大量的非正常的包，如沒(méi)有正常的tcp三次握手，或者是三次握手后沒(méi)有正常的關(guān)閉連接，或者大量的廣播包，或者大量的icmp包，這說(shuō)明極其有可能是遭受DDoS攻擊。外部訪問(wèn)突然變慢，或者訪問(wèn)不到，可是主機(jī)的訪問(wèn)量卻不大，這很有可能是路由器的配置出現(xiàn)問(wèn)題，詢問(wèn)一下是否有人對(duì)路由器等設(shè)備進(jìn)行過(guò)操作，或者你的對(duì)等ISP的線路出現(xiàn)問(wèn)題。主機(jī)突然反應(yīng)很遲鈍。這要經(jīng)過(guò)sniffer進(jìn)行偵聽(tīng)，這有兩種可能，一種是

29、流量確實(shí)很大，有可能是遭受DoS攻擊，還有就是應(yīng)用程序編寫有誤，導(dǎo)致系統(tǒng)資源耗盡。73DDoS攻擊的對(duì)策與網(wǎng)絡(luò)服務(wù)提供商協(xié)作能否與上一級(jí)的網(wǎng)絡(luò)主干服務(wù)提供商進(jìn)行良好的合作是非常重要的事情。DDoS攻擊對(duì)帶寬的使用是非常嚴(yán)格的，無(wú)論使用什么方法都無(wú)法使自己的網(wǎng)絡(luò)對(duì)它的上一級(jí)進(jìn)行控制。最好能夠與網(wǎng)絡(luò)服務(wù)供應(yīng)商進(jìn)行協(xié)商，請(qǐng)求他們幫助實(shí)現(xiàn)路由的訪問(wèn)控制，以實(shí)現(xiàn)對(duì)帶寬總量的限制以及不同的訪問(wèn)地址在同一時(shí)間對(duì)帶寬的占有率。最好請(qǐng)求服務(wù)提供商幫監(jiān)視網(wǎng)絡(luò)流量，并在遭受攻擊時(shí)允許訪問(wèn)他們的路由器。74DDoS攻擊的對(duì)策安裝IDS和監(jiān)控異常流量。在防衛(wèi)攻擊方面，安裝IDS可以發(fā)現(xiàn)是否有入侵行動(dòng)正在進(jìn)行，立即對(duì)入侵

30、行動(dòng)進(jìn)行報(bào)警。以最快時(shí)間內(nèi)對(duì)入侵做成反應(yīng)。此外，也要時(shí)常監(jiān)控網(wǎng)絡(luò)流量，注意是否有異常的流量產(chǎn)生。(IDS操作)優(yōu)化對(duì)外提供服務(wù)的主機(jī)對(duì)于潛在的有可能遭受攻擊的主機(jī)也要同樣進(jìn)行設(shè)置保護(hù)。在服務(wù)器上禁止一切不必要的服務(wù)，打補(bǔ)丁，進(jìn)行安全配置。此外，用防火墻對(duì)提供服務(wù)的主機(jī)進(jìn)行保護(hù)，對(duì)訪問(wèn)量大的主機(jī)進(jìn)行負(fù)載均衡。將網(wǎng)站分布在多個(gè)不同的物理主機(jī)上，這樣每一臺(tái)主機(jī)只包含了網(wǎng)站的一部分，防止了網(wǎng)站在遭受攻擊時(shí)全部癱瘓。75DDoS攻擊的對(duì)策立即啟動(dòng)應(yīng)付策略，盡可能快的向回追蹤攻擊包如果發(fā)現(xiàn)攻擊并非來(lái)自內(nèi)部應(yīng)當(dāng)立即與服務(wù)提供商取得聯(lián)系。由于攻擊包的源地址很有可能是被攻擊者偽裝的，因此不必過(guò)分的相信該地址。應(yīng)

31、當(dāng)迅速的判斷是否遭到了拒絕服務(wù)攻擊，因?yàn)樵诠敉Ｖ购螅挥泻芏痰囊欢螘r(shí)間您可以向回追蹤攻擊包，這最好和安全公司或組織一道來(lái)追查攻擊者。與信息安全監(jiān)察部門聯(lián)系 由于系統(tǒng)日志屬于電子證據(jù)，可以被非法修改。所以一旦攻擊發(fā)生，應(yīng)該及時(shí)與信息安全監(jiān)察部門聯(lián)系，及時(shí)提供系統(tǒng)日志作為證據(jù)保全，以利于追查和起訴攻擊者，便于日后用法律手段追回經(jīng)濟(jì)損失76DDoS預(yù)防方法限制ICMP數(shù)據(jù)包出站速率Interface xxRete-limit output access-group 102 256000 8000 8000 conform-action transmit exceed-action dropAcce

32、ss-list 102 permit icmp any any echoAccess-list 102 permit icmp any any echo-reply77DDoS預(yù)防方法限制SYN數(shù)據(jù)包連接速率Interface xxRete-limit input access-group 103 8000 8000 8000 conform-action transmit exceed-action dropAccess-list 103 deny tcp any host xx.xx.xx.xx established Access-list 103 permit tcp any host

33、 xx.xx.xx.xx78DDoS預(yù)防方法Interface xxIp access-group 101 inAccess-list 101 deny ip 55 anyAccess-list 101 deny ip 55 anyAccess-list 101 deny ip 55 anyAccess-list 101 permit ip any any79DDoS預(yù)防方法入口數(shù)據(jù)包必須來(lái)自客戶地址確保檢查入口數(shù)據(jù)包有效80DDoS預(yù)防方法驗(yàn)證單點(diǎn)傳送反向路徑檢查數(shù)據(jù)包地返回路徑是否使用與到達(dá)相同接口，以緩解某些欺騙數(shù)據(jù)包需要路由CEF（快速向前傳輸）特性 81 第六章 IPSec與VPN技

34、術(shù)82IPSec與VPN技術(shù)83VPN技術(shù)虛擬專用網(wǎng)（Virtual Private Network）：在公眾網(wǎng)絡(luò)上所建立的企業(yè)網(wǎng)絡(luò)，且此企業(yè)網(wǎng)絡(luò)擁有與專用網(wǎng)絡(luò)相同的安全、管理及功能等特點(diǎn)。 84采用VPN的原因費(fèi)用安全性85VPN協(xié)議隧道協(xié)議第二層隧道協(xié)議PPTP(Point-to-Point Tunneling Protocol)L2F(Layer 2 Forwarding)L2TP(Layer2 Tunneling Protocol)第三層隧道協(xié)議GREIPSec86PPTP將其他協(xié)議和數(shù)據(jù)封裝于IP網(wǎng)絡(luò)；該方式用在公共的Internet創(chuàng)建VPN，遠(yuǎn)端用戶能夠透過(guò)任何支持PPTP的ISP訪問(wèn)公司的專用網(wǎng)絡(luò)。此協(xié)議由Microsoft開發(fā)，與Windows95和NT集成很好。在數(shù)據(jù)安全性方面，此協(xié)議使用40bit或128bitRC4的加密算法。87L2TPIETF所制定的在Internet上創(chuàng)建VPN的協(xié)議。它支持非IP的協(xié)議，例如：AppleTalk和IPX,還有非IP的協(xié)議，例如：AppleTalk和IPX，還有非IPSec的安全協(xié)議。這個(gè)協(xié)議是在PPTP和L2F的技術(shù)之上所制定的標(biāo)準(zhǔn)Internet Tunnel