江蘇省高校圖情工委.ppt

1、恭祝江蘇省高校圖情工委現(xiàn)代技術(shù)專業(yè)委員會年會順利召開,局域網(wǎng)的網(wǎng)絡(luò)安全防范與技術(shù),孫國梓 博士 南京郵電大學(xué)計算機學(xué)院,主要內(nèi)容,局域網(wǎng)環(huán)境簡介 局域網(wǎng)的安全威脅 局域網(wǎng)監(jiān)聽與防范 局域網(wǎng)ARP攻擊與防范 局域網(wǎng)病毒入侵與防范 快速關(guān)閉端口防止入侵 局域網(wǎng)共享資源安全防范 無線局域網(wǎng)嗅探與防范 局域網(wǎng)上網(wǎng)的安全防范與技巧,局域網(wǎng)環(huán)境簡介,計算機網(wǎng)絡(luò)的分類按作用范圍的大小分 廣域網(wǎng)（WAN） 也叫遠程網(wǎng)。作用范圍通常為幾十到幾千公里，是一種可跨越國家及地區(qū)的遍布全球的計算機網(wǎng)絡(luò) 城域網(wǎng)（MAN） 也叫市域網(wǎng)。它的范圍約為幾千米到幾十千米 局域網(wǎng)（LAN） 也叫局部網(wǎng)。一般將微機通過高速通信線路相

2、連，范圍一般在幾百米到幾千米,局域網(wǎng)環(huán)境簡介,局域網(wǎng)的基本概念 Local Area Network (LAN) 是計算機網(wǎng)絡(luò)的一種一個通信系統(tǒng) 范圍 在一定的地理區(qū)域(一個辦公室、一幢樓、一家工廠或方圓幾公里遠的地域等)內(nèi) 功效 利用通信線路將眾多計算機(一般為微機)及外圍設(shè)備連接起來，達到數(shù)據(jù)通信和資源共享的目的,局域網(wǎng)環(huán)境簡介,局域網(wǎng)最主要的特點 覆蓋的地理范圍較小，幾米到幾公里 以微機為主要聯(lián)網(wǎng)對象 通常為某個單位或部門所有 具有較高的數(shù)據(jù)傳輸速率、較低的時延和較小的誤碼率 易于安裝、配置和維護簡單，造價低 實用性強，已經(jīng)成為計算機網(wǎng)絡(luò)中使用最廣的形式 局域網(wǎng)一般分為令牌網(wǎng)和以太網(wǎng)兩種

3、 令牌網(wǎng)主要用于廣域網(wǎng)及大型局域網(wǎng)的主干部分，其操作系統(tǒng)大多是UNIX。組建和管理非常繁瑣，需專業(yè)人員勝任 以太網(wǎng)是當(dāng)今世界應(yīng)用范圍最廣的一種網(wǎng)絡(luò)技術(shù)，組建較為容易，各設(shè)備之間的兼容性較好，Windows和Netware都支持它,局域網(wǎng)的組成,局域網(wǎng)由網(wǎng)絡(luò)硬件和網(wǎng)絡(luò)軟件兩部分組成 網(wǎng)絡(luò)硬件用于實現(xiàn)局域網(wǎng)的物理連接 為連接在局域網(wǎng)上的計算機之間的通信提供一條物理信道和實現(xiàn)局域網(wǎng)間的資源共享 網(wǎng)絡(luò)軟件則主要用于控制 并具體實現(xiàn)信息的傳送和網(wǎng)絡(luò)資源的分配與共享 這兩部分互相依賴,共同完成局域網(wǎng)的通信功能,局域網(wǎng)的拓樸結(jié)構(gòu),最常見的局域網(wǎng)拓樸結(jié)構(gòu)有星型、環(huán)型、總線型和樹型,集線器,(a) 星型網(wǎng)*,(

4、b) 環(huán)型網(wǎng),(c) 總線網(wǎng),(d) 樹型網(wǎng),注：圖(a)在物理上是一個星型網(wǎng)，但在邏輯上仍是一個總線網(wǎng),干線耦合器,匹配電阻,(1) 星型拓樸,每一個站點通過點-點鏈路連至中心節(jié)點，所有的通信都由中心節(jié)點控制，一般采用線路交換。中心節(jié)點也可以有數(shù)據(jù)處理能力并提供共享資源 近年來由于集線器(hub)的出現(xiàn)和雙絞線大量用于局域網(wǎng)中,星形網(wǎng)以及多級結(jié)構(gòu)的星形網(wǎng)獲得了非常廣泛的應(yīng)用,基本特性,優(yōu)點,建網(wǎng)容易，配置方便 每個連接的故障容易排除，不影響全網(wǎng) 控制協(xié)議相對簡單,缺點,在同樣覆蓋面積內(nèi)；所用電纜量較大 擴展不方便，需要預(yù)留或增設(shè)電纜 對中心節(jié)點要求非常高，一旦中心節(jié)點產(chǎn)生故障,全網(wǎng)將不能工作

5、,集線器,或交換機,(2) 環(huán)型拓樸,由一些中繼器通過點到點鏈路連成的一個閉合環(huán)。入網(wǎng)設(shè)備連到中繼器上。中繼器是較簡單的設(shè)備，無存儲轉(zhuǎn)發(fā)功能。它從一條鏈路上接收數(shù)據(jù),以相同速率在另一條鏈路上輸出。數(shù)據(jù)在環(huán)上是單向傳輸?shù)?由于所有站點共享一個環(huán)，因此要對站點對環(huán)的訪問進行控制?？刂撇捎梅植嫉霓k法，即每個站都有控制發(fā)送和接收的訪問邏輯,基本特性,優(yōu)點,電線長度較短，與總線拓?fù)漕愃?適于采用光纜連接，從而提高數(shù)據(jù)速率,缺點,某段鏈路或某個中繼器有故障會使全網(wǎng)不能工作 站點離網(wǎng)、入網(wǎng)都較困難,(3) 總線拓樸,將所有站點通過硬件接口連接到單根傳輸介質(zhì)共享總線上。在IEEE802標(biāo)準(zhǔn)中IEEE802.3

6、(即以太網(wǎng))和IEEE802.4(令牌總線)都是總線拓?fù)?基本特性,優(yōu)點,與星型拓?fù)湎啾?，所需電纜長度較短 結(jié)構(gòu)簡單，可靠性高 擴充(如增加站點、延長電纜等)較容易,缺點,故障檢測不很容易，如總線有故障需分段查找，如站點有故障需一個一個查 站點需要提供訪問控制功能,按網(wǎng)絡(luò)使用的傳輸介質(zhì)分類,局域網(wǎng)使用的傳輸介質(zhì)有雙絞線,光纖,同軸電纜,無線電波,微波等 對應(yīng)的局域網(wǎng)有雙絞線網(wǎng),光纖網(wǎng),同軸電纜網(wǎng),無線局域網(wǎng),微波網(wǎng) 目前小型局域網(wǎng)大都是雙絞線網(wǎng),而較大型局域網(wǎng)則采用光纖和雙絞線傳輸介質(zhì)的混合型網(wǎng)絡(luò) 近年來,無線網(wǎng)絡(luò)技術(shù)發(fā)展迅速,它將成為未來局域網(wǎng)的一個重要發(fā)展方向,局域網(wǎng)環(huán)境簡介,無線局域網(wǎng)

7、Wireless LAN可提供所有無線局域網(wǎng)的功能，而不需要物理線路連接 數(shù)據(jù)先被調(diào)制到射頻載波中，然后以大氣為載體進行傳輸 典型速率為11Mbps和54Mbps，但實際應(yīng)用中得到的速率通常為此速率的一部分 無線局域網(wǎng)的實現(xiàn)可以非常簡單，只要在計算機上安裝無線網(wǎng)卡即可 如果想和有線網(wǎng)絡(luò)連接在一起需要添加一個無線接入點AP。AP一般位于無線客戶端的中心接入位置,Wireless LAN的優(yōu)缺點,優(yōu)點： 移動性 安裝 安裝的靈活性 減少用戶投入 易于擴展 缺點： Wireless LAN和有線局域網(wǎng)相比速率較低 無線網(wǎng)絡(luò)的硬件投入會高于有線網(wǎng)絡(luò),主要內(nèi)容,局域網(wǎng)環(huán)境簡介 局域網(wǎng)的安全威脅 局域網(wǎng)監(jiān)

8、聽與防范 局域網(wǎng)ARP攻擊與防范 局域網(wǎng)病毒入侵與防范 快速關(guān)閉端口防止入侵 局域網(wǎng)共享資源安全防范 無線局域網(wǎng)嗅探與防范 局域網(wǎng)上網(wǎng)的安全防范與技巧,局域網(wǎng)安全威脅,局域網(wǎng)技術(shù)將網(wǎng)絡(luò)資源共享的特性體現(xiàn)得淋漓盡致 不僅能提供軟件資源、硬件資源共享 還提供Internet連接共享等各種網(wǎng)絡(luò)共享服務(wù) 越來越多的局域網(wǎng)被應(yīng)用在學(xué)校、寫字樓，辦公區(qū),局域網(wǎng)的安全威脅,目前絕大多數(shù)的局域網(wǎng)使用的協(xié)議都是和Internet一樣的TCP/IP協(xié)議 各種黑客工具一樣適用于局域網(wǎng) 局域網(wǎng)中的計算機更多體現(xiàn)的是共享和服務(wù) 因此局域網(wǎng)的安全隱患較之于Internet更是有過之而無不及,局域網(wǎng)的安全威脅,目前的局域網(wǎng)

9、基本上都采用以廣播為技術(shù)基礎(chǔ)的以太網(wǎng) 任何兩個節(jié)點之間的通信數(shù)據(jù)包，不僅為這兩個節(jié)點的網(wǎng)卡所接收，也同時為處在同一以太網(wǎng)上的任何一個節(jié)點的網(wǎng)卡所截取 黑客只要接入以太網(wǎng)上的任一節(jié)點進行偵聽 就可以捕獲發(fā)生在這個以太網(wǎng)上的所有數(shù)據(jù)包，對其進行解包分析，從而竊取關(guān)鍵信息，這就是以太網(wǎng)所固有的安全隱患,安全無內(nèi)、外之分,長期以來，對于信息安全問題，通常認(rèn)為安全問題主要源于外面因素，都希望在互聯(lián)網(wǎng)接入處，把病毒和攻擊擋在門外，就可安全無憂 有許多重大的網(wǎng)絡(luò)安全問題正是由于內(nèi)部員工引起 一些間諜軟件、木馬程序等惡意軟件就會不知不覺地被下載到電腦中 在員工瀏覽色情網(wǎng)站、利用即時通訊和訪問購物網(wǎng)站時 這些惡

10、意軟件還會在企業(yè)內(nèi)部網(wǎng)絡(luò)中進行傳播，不僅會產(chǎn)生安全隱患，而且還會影響到網(wǎng)絡(luò)的使用率 特別值得注意的是，企業(yè)的機密資料、客戶數(shù)據(jù)等信息可能會由于惡意軟件的存在，不知不覺被盜取,局域網(wǎng)內(nèi)的安全誤區(qū),局域網(wǎng)中無需單機防火墻 沒有人會針對我 安裝殺毒軟件和病毒防火墻就不怕病毒 安裝了SP2的Windows XP就安全了,主要內(nèi)容,局域網(wǎng)環(huán)境簡介 局域網(wǎng)的安全威脅 局域網(wǎng)監(jiān)聽與防范 局域網(wǎng)ARP攻擊與防范 局域網(wǎng)病毒入侵與防范 快速關(guān)閉端口防止入侵 局域網(wǎng)共享資源安全防范 無線局域網(wǎng)嗅探與防范 局域網(wǎng)上網(wǎng)的安全防范與技巧,以太網(wǎng)協(xié)議工作方式,將要發(fā)送的數(shù)據(jù)包發(fā)往連接在一起的所有主機 包中包含著應(yīng)該接收數(shù)

11、據(jù)包主機的正確地址 只有與數(shù)據(jù)包中目標(biāo)地址一致的那臺主機才能接收 當(dāng)主機網(wǎng)卡設(shè)置為混雜模式時(監(jiān)聽模式) 經(jīng)過自己網(wǎng)絡(luò)接口的那些數(shù)據(jù)包 無論數(shù)據(jù)包中的目標(biāo)地址是什么，主機都將接收（監(jiān)聽）,以太網(wǎng)協(xié)議工作方式,現(xiàn)在網(wǎng)絡(luò)中使用的大部分協(xié)議都是很早設(shè)計的 許多協(xié)議的實現(xiàn)都是基于一種非常友好的、通信的雙方充分信任的基礎(chǔ)之上 許多信息以明文發(fā)送,局域網(wǎng)監(jiān)聽與防范,局域網(wǎng)中采用廣播方式 在某個廣播域中可以監(jiān)聽到所有的信息包 黑客通過對信息包進行分析，就能獲取局域網(wǎng)上傳輸?shù)囊恍┲匾畔?很多黑客入侵時都把局域網(wǎng)掃描和偵聽作為其最基本的步驟和手段，原因是想用這種方法獲取其想要的密碼等信息 對黑客入侵活動和其它

12、網(wǎng)絡(luò)犯罪進行偵查、取證時，也可以使用網(wǎng)絡(luò)監(jiān)聽技術(shù)來獲取必要的信息 因此，了解以太網(wǎng)監(jiān)聽技術(shù)的原理、實現(xiàn)方法和防范措施就顯得尤為重要,網(wǎng)絡(luò)監(jiān)聽,網(wǎng)絡(luò)監(jiān)聽技術(shù)本來是提供給網(wǎng)絡(luò)安全管理人員進行管理的工具，可以用來監(jiān)視網(wǎng)絡(luò)的狀態(tài)、數(shù)據(jù)流動情況以及網(wǎng)絡(luò)上傳輸?shù)男畔⒌?當(dāng)信息以明文的形式在網(wǎng)絡(luò)上傳輸時，使用監(jiān)聽技術(shù)進行攻擊并不是一件難事，只要將網(wǎng)絡(luò)接口設(shè)置成監(jiān)聽模式，便可以源源不斷地將網(wǎng)上傳輸?shù)男畔⒔孬@ 網(wǎng)絡(luò)監(jiān)聽可以在網(wǎng)上的任何一個位置實施，如局域網(wǎng)中的一臺主機、網(wǎng)關(guān)上或遠程網(wǎng)的調(diào)制解調(diào)器之間等,網(wǎng)絡(luò)監(jiān)聽的應(yīng)用場景,如果用戶的賬戶名和口令等信息也以明文的方式在網(wǎng)上傳輸 只要具有初步的網(wǎng)絡(luò)和TCP/IP協(xié)議

13、知識，便能輕易地從監(jiān)聽到的信息中提取出感興趣的部分 黑客或網(wǎng)絡(luò)攻擊者會利用此方法進行網(wǎng)絡(luò)監(jiān)聽 正確使用網(wǎng)絡(luò)監(jiān)聽技術(shù)也可以發(fā)現(xiàn)入侵并對入侵者進行追蹤定位 在對網(wǎng)絡(luò)犯罪進行偵查取證時獲取有關(guān)犯罪行為的重要信息，成為打擊網(wǎng)絡(luò)犯罪的有力手段,使用sniffer pro進行監(jiān)聽,獲取郵箱密碼 通過對用監(jiān)聽工具捕獲的數(shù)據(jù)幀進行分析，可以很容易的發(fā)現(xiàn)敏感信息和重要信息 對一些明碼傳輸?shù)泥]箱用戶名和口令可以直接顯示出來,網(wǎng)絡(luò)監(jiān)聽的相關(guān)軟件,密碼監(jiān)聽器(01) 用于監(jiān)聽網(wǎng)頁的密碼，包括網(wǎng)頁上的郵箱、論壇、聊天室等 只需在一臺電腦上運行，就可以監(jiān)聽整個局域網(wǎng)內(nèi)任意一臺電腦登錄的賬號和密碼，并將密碼顯示、保存，或發(fā)

14、送到用戶指定的郵箱,如何檢測并防范網(wǎng)絡(luò)監(jiān)聽,網(wǎng)絡(luò)監(jiān)聽是很難被發(fā)現(xiàn)的，特點 隱蔽性強 運行網(wǎng)絡(luò)監(jiān)聽的主機只是被動地接收在局域局上傳輸?shù)男畔?不主動的與其他主機交換信息，也沒有修改在網(wǎng)上傳輸?shù)臄?shù)據(jù)包 手段靈活 網(wǎng)絡(luò)監(jiān)聽可以在網(wǎng)上的任何位置實施 可以是網(wǎng)上的一臺主機、路由器，也可以是調(diào)制解調(diào)器 網(wǎng)絡(luò)監(jiān)聽效果最好的地方是在網(wǎng)絡(luò)中某些具有戰(zhàn)略意義的位置 如網(wǎng)關(guān)、路由器、防火墻之類的設(shè)備或重要網(wǎng)段；而使用最方便的地方是在網(wǎng)中的一臺主機上,對可能存在的網(wǎng)絡(luò)監(jiān)聽的檢測,1) 對于懷疑運行監(jiān)聽程序的主機，可用正確的IP地址和錯誤的物理地址去探測(如Ping)，運行監(jiān)聽程序的主機會有響應(yīng) 這是因為正常的機器不接收

15、錯誤的物理地址 處理監(jiān)聽狀態(tài)的機器能接收 如果他的IP stack不再次反向檢查的話，就會響應(yīng),對可能存在的網(wǎng)絡(luò)監(jiān)聽的檢測,2) 可向網(wǎng)上發(fā)送大量目的地址根本不存在的數(shù)據(jù)包 由于監(jiān)聽程序要分析和處理大量的數(shù)據(jù)包會占用很多的CPU資源，這將導(dǎo)致性能下降 通過比較前后該機器性能加以判斷 這種方法難度比較大 3) 使用反監(jiān)聽工具如antisniffer等進行檢測,對網(wǎng)絡(luò)監(jiān)聽的檢測,當(dāng)前，有兩個比較可行的辦法 搜索網(wǎng)上所有主機運行的進程 網(wǎng)絡(luò)管理員使用UNIX或Windows NT的主機，可以很容易地得到當(dāng)前進程的清單 確定是否有一個進程被從管理員主機上啟動 搜查監(jiān)聽程序 現(xiàn)在監(jiān)聽程序只有有限的幾種，

16、管理員可以檢查目錄，找出監(jiān)聽程序,對網(wǎng)絡(luò)監(jiān)聽的檢測,還有兩個方法比較有效，缺點也是難度較大 檢查被懷疑主機中是否有一個隨時間不斷增長的文件存在 因為網(wǎng)絡(luò)監(jiān)聽輸出的文件通常很大，且隨時間不斷增長 通過運行ipconfig命令，檢查網(wǎng)卡是否被設(shè)置成了監(jiān)聽模式 或使用Ifstatus工具，定期檢測網(wǎng)絡(luò)接口是否處于監(jiān)聽狀態(tài) 當(dāng)網(wǎng)絡(luò)接口處于監(jiān)聽狀態(tài)時，可能是入侵者侵入了系統(tǒng)，并正在運行一個監(jiān)聽程序，就要有所注意,對網(wǎng)絡(luò)監(jiān)聽的防范措施,從邏輯或物理上對網(wǎng)絡(luò)分段 以交換式集線器代替共享式集線器 控制單播包而無法控制廣播包和多播包 使用加密技術(shù) 劃分VLAN 運用VLAN（虛擬局域網(wǎng)）技術(shù)，將以太網(wǎng)通信變?yōu)辄c

17、到點通信，可以防止大部分基于網(wǎng)絡(luò)監(jiān)聽的入侵,主要內(nèi)容,局域網(wǎng)環(huán)境簡介 局域網(wǎng)的安全威脅 局域網(wǎng)監(jiān)聽與防范 局域網(wǎng)ARP攻擊與防范 局域網(wǎng)病毒入侵與防范 快速關(guān)閉端口防止入侵 局域網(wǎng)共享資源安全防范 無線局域網(wǎng)嗅探與防范 局域網(wǎng)上網(wǎng)的安全防范與技巧,ARP協(xié)議,Address Resolution Protocol (地址解析協(xié)議) 在局域網(wǎng)中，網(wǎng)絡(luò)中實際傳輸?shù)氖恰皫?幀里面是有目標(biāo)主機的MAC地址的 在以太網(wǎng)中，一個主機要和另一個主機進行直接通信，必須要知道目標(biāo)主機的MAC地址 但這個目標(biāo)MAC地址是如何獲得的呢 通過地址解析協(xié)議獲得,ARP協(xié)議原理,所謂“地址解析”就是主機在發(fā)送幀前將目標(biāo)

18、IP地址轉(zhuǎn)換成目標(biāo)MAC地址的過程 ARP協(xié)議的基本功能就是通過目標(biāo)設(shè)備的IP地址，查詢目標(biāo)設(shè)備的MAC地址，以保證通信的順利進行 在局域網(wǎng)中，通過ARP協(xié)議來完成IP地址轉(zhuǎn)換為第二層物理地址 (即MAC地址) 的 ARP協(xié)議對網(wǎng)絡(luò)安全具有重要的意義 通過偽造IP地址和MAC地址實現(xiàn)ARP欺騙，能夠在網(wǎng)絡(luò)中產(chǎn)生大量的ARP通信量使網(wǎng)絡(luò)阻塞,局域網(wǎng)內(nèi)部的ARP攻擊,ARP協(xié)議的基本功能就是通過目標(biāo)設(shè)備的IP地址，查詢目標(biāo)設(shè)備的MAC地址，以保證通信的進行 基于ARP協(xié)議的這一工作特性，黑客向?qū)Ψ接嬎銠C不斷發(fā)送有欺詐性質(zhì)的ARP數(shù)據(jù)包 數(shù)據(jù)包內(nèi)包含有與當(dāng)前設(shè)備重復(fù)的Mac地址 使對方在回應(yīng)報文時，由于簡單的地址重復(fù)錯誤而導(dǎo)致不能進行正常的網(wǎng)絡(luò)通信,受ARP攻擊可能出現(xiàn)的現(xiàn)象,1) 不斷彈出“本機的XXX段硬件地址與網(wǎng)絡(luò)中的XXX段地址沖突”的對話框 2) 計算機不能正常上網(wǎng)，出現(xiàn)網(wǎng)絡(luò)中斷的癥狀 因為這種攻擊是利用ARP請求報文進行“欺騙”的，所以防火墻會誤以為是正常的請求數(shù)據(jù)包，不予攔截 普通的防火墻很難抵擋這種攻擊,ARP 病毒攻擊癥狀,現(xiàn)