亚洲免费av电影一区二区三区,日韩爱爱视频,51精品视频一区二区三区,91视频爱爱,日韩欧美在线播放视频,中文字幕少妇AV,亚洲电影中文字幕,久久久久亚洲av成人网址,久久综合视频网站,国产在线不卡免费播放

        ?

        局域網(wǎng)接入層安全解決方案

        2012-08-15 00:52:53夏衛(wèi)虎李元旦
        科技傳播 2012年16期
        關(guān)鍵詞:層交換機(jī)攻擊者網(wǎng)關(guān)

        夏衛(wèi)虎,李元旦

        浙江省煙草公司臺州市公司,浙江臺州 318000

        隨著時代的發(fā)展,網(wǎng)絡(luò)上信息傳遞的信息量和重要程度都在急劇增加,本文總結(jié)了網(wǎng)絡(luò)中幾種嚴(yán)重的攻擊方式,根據(jù)大部分網(wǎng)絡(luò)攻擊特點(diǎn),將攻擊終結(jié)在接入層,大大減少了上層核心網(wǎng)絡(luò)被攻擊的風(fēng)險和業(yè)務(wù)處理負(fù)擔(dān)。

        1 攻擊方式概述

        1.1 MAC地址泛洪

        二層交換機(jī)是基于MAC地址去轉(zhuǎn)發(fā)數(shù)據(jù)幀的,轉(zhuǎn)發(fā)過程中依靠對CAM表的查詢來確定正確的轉(zhuǎn)發(fā)接口,一旦在查詢過程中無法找到相關(guān)目的MAC對應(yīng)的條目,此數(shù)據(jù)幀將作為廣播幀從交換機(jī)的所有端口發(fā)送出去。MAC/CAM泛洪攻擊就是利用了交換機(jī)的這個特點(diǎn),短時間內(nèi)產(chǎn)生大量去往未知目的地的數(shù)據(jù)幀,這些欺騙MAC地址將迅速填滿交換機(jī)的CAM表。CAM表被填滿后,流量在所有端口廣播,這時攻擊者可以利用各種嗅探攻擊獲取網(wǎng)絡(luò)信息。同時流量以方波方式發(fā)送到鄰接交換機(jī),造成交換機(jī)負(fù)載過大,網(wǎng)絡(luò)緩慢和丟包甚至癱瘓。

        1.2 ARP欺騙攻擊

        在以太網(wǎng)等局域網(wǎng)上,使用ARP協(xié)議來實(shí)現(xiàn)lP地址到MAC地址的動態(tài)轉(zhuǎn)換。在每臺安裝有TCP/IP協(xié)議的電腦里都有一個ARP緩存表,表里的lP地址與MAC地址是一一對應(yīng)的。ARP欺騙攻擊就是利用ARP協(xié)議漏洞,通過偽造IP地址和MAC地址實(shí)現(xiàn)ARP欺騙的攻擊技術(shù),并能夠在網(wǎng)絡(luò)中產(chǎn)生大量的ARP通信量使網(wǎng)絡(luò)阻塞,攻擊者只要持續(xù)不斷的發(fā)出偽造的ARP 響應(yīng)包就能更改目標(biāo)主機(jī)ARP緩存中的IP—MAC條目,造成網(wǎng)絡(luò)中斷或中間人攻擊。

        從影響網(wǎng)絡(luò)連接通暢的方式來看,ARP欺騙分為二種,一種是對交換機(jī)ARP表的欺騙:另一種是對內(nèi)網(wǎng)PC的網(wǎng)關(guān)欺騙。第一種ARP欺騙的原理是向交換機(jī)不斷發(fā)送錯誤的MAC地址以填滿交換機(jī)ARP表,而真實(shí)內(nèi)網(wǎng)終端地址信息無法通過更新保存在ARP表中,結(jié)果交換機(jī)的所有數(shù)據(jù)只能發(fā)送給錯誤的MAC地址,造成正常PC無法收到信息。第二種ARP欺騙的原理是偽造網(wǎng)關(guān):攻擊者首先會偽造網(wǎng)關(guān)地址,使得局域網(wǎng)計算機(jī)中所有的計算機(jī)發(fā)給網(wǎng)關(guān)的數(shù)據(jù)全部發(fā)給攻擊者,在收到這些數(shù)據(jù)之后,攻擊者會將這些數(shù)據(jù)發(fā)往網(wǎng)關(guān),通過網(wǎng)關(guān)發(fā)送到外部網(wǎng)絡(luò),外部網(wǎng)絡(luò)會返回數(shù)據(jù)給攻擊者,攻擊者再將這些返回的數(shù)據(jù)發(fā)送給內(nèi)網(wǎng)計算機(jī)。攻擊者就這樣成為了計算機(jī)與外部網(wǎng)絡(luò)數(shù)據(jù)傳輸?shù)闹修D(zhuǎn)站,從而竊取到計算機(jī)與外部網(wǎng)絡(luò)交互的所有信息,而計算機(jī)卻全不知情。

        2 接入層解決方案

        接入層交換機(jī)處在網(wǎng)絡(luò)的邊緣,是整個網(wǎng)絡(luò)的大門,也是抵御惡意攻擊的第一道防線。以下以思科接入層交換機(jī)為例,提出針對以上攻擊的解決方案。

        2.1 基于802.1X

        802.1 X是IEEE制定的關(guān)于用戶接入網(wǎng)絡(luò)的認(rèn)證標(biāo)準(zhǔn),它的全稱是“基于端口的網(wǎng)絡(luò)接人控制”802.1X協(xié)議是基于C/S的訪問控制和認(rèn)證協(xié)議。它可以限制未經(jīng)授權(quán)的用戶或設(shè)備通過接入端口訪問網(wǎng)絡(luò)系統(tǒng)。當(dāng)流量到達(dá)啟用了802.1X的端口后,需要和驗證服務(wù)器交互,認(rèn)證通過后得到授權(quán),才可以訪問網(wǎng)絡(luò)。以下為配置實(shí)例:

        switch(config)#aaa new-model //啟用交換機(jī)aaa認(rèn)證功能

        switch(config)#aaa authentication dot1x default group radius

        //指定802.1X認(rèn)證的方式為radius

        switch(config)#radius-server host 【ip address】 key 【password】

        //配置驗證服務(wù)器和密鑰

        switch(config)#dot1x system-auth-control 全局啟用802.1x認(rèn)證

        switch(config)#interface F0/0

        switch (config-if)#dot1x port-control auto 將F0/0端口開啟802.1x認(rèn)證

        2.2 基于端口安全(Port-Secirity)

        在企業(yè),連接到接入層交換機(jī)端口的工作站的MAC地址基本保持不變??梢愿鶕?jù)MAC地址控制對端口的訪問,首先使用接口配置命令啟用,接下來指定一組允許的MAC地址并設(shè)置最大MAC地址數(shù)目,最后,指定使用端口安全的接口在遇到MAC地址違規(guī)時的處理方式。通過這樣設(shè)置任何來自非指定的MAC地址的數(shù)據(jù)包都將被丟棄而無法訪問內(nèi)網(wǎng)。 以下為配置實(shí)例:

        switch (config)#interface F0/2

        switch(config-if)#switchport mode access//配置端口模式為接入

        switch(config-if)#switchport port-security//接口下開啟portsecurity

        switch(config-if)# switchport port-security maximum 1

        //配置接口允許MAC地址的最大數(shù)量

        switch(config-if)#switchport port-security mac-address 5337. E6B5.B5CA

        //定義允許向此接口發(fā)送數(shù)據(jù)幀的MAC地址

        switch(config-if)# switchport port-security violation shutdown

        //定義當(dāng)有非法MAC地址接入后所采取的動作,以上配置為沖突后關(guān)閉端口

        端口接收到非指定的MAC地址后,將Shutdown,并進(jìn)入err-disable狀態(tài),所有連接在交換機(jī)這個端口的終端都將斷開。此外,還能設(shè)置交換機(jī)丟棄來自該MAC地址的數(shù)據(jù)包,端口狀態(tài)不受影響。

        2.3 動態(tài)ARP檢查(DAI)

        DAI的工作原理是將交換機(jī)端口劃分為可信和不可信的,交換機(jī)攔截并檢查所有經(jīng)不可信端口到達(dá)的ARP分組,但在可信端口上不執(zhí)行這樣的檢查。在不可信端口上收到ARP應(yīng)答后,交換機(jī)根據(jù)已知的可信值對其中的MAC和IP地址進(jìn)行檢查。交換機(jī)通過靜態(tài)配置的條目或者DHCP探測數(shù)據(jù)庫中的動態(tài)條目來收集可信的ARP信息。如果ARP應(yīng)答中包含與可信數(shù)據(jù)庫中的條目沖突的非法信息或值,交換機(jī)就將丟棄ARP應(yīng)答,并生成一條日志信息。這種措施可防止非法(偽造)的ARP條目被傳輸給其他機(jī)器并加入到其ARP緩存中。以下為配置實(shí)例:

        switch(config)#ip arp inspection vlan 104// 在vlan104上啟用DAI

        switch(config)#arp access-list staticarp//配置一個ARP訪問列表

        switch(config-acl)#permit ip host 192.168.1.10 mac host 0003.4b55.a184

        //指定允許的MAC-IP地址綁定switch(config-acl)#exit

        switch(config)ip arp inspect //將ARP訪問列表應(yīng)用于DAI

        3 結(jié)論

        本文詳細(xì)分析了幾種攻擊手段的原理和危害,給出基于接入層的解決方案,實(shí)現(xiàn)對用戶終端接入的有效控制,從而保證企業(yè)內(nèi)網(wǎng)信息的安全訪問。

        [1]David Hucaby.CCNP SWITCH(642-813)認(rèn)證考試指南[M].人民郵電出版社,2010.

        [2]吳世忠,江常青,彭勇.信息安全保障基礎(chǔ)[M].航空工業(yè)出版社,2009.

        [3]徐勝利,孫開云,聶金.加強(qiáng)接入層交換機(jī)安全[J].網(wǎng)管員世界,2011(11).

        猜你喜歡
        層交換機(jī)攻擊者網(wǎng)關(guān)
        基于微分博弈的追逃問題最優(yōu)策略設(shè)計
        基于改進(jìn)RPS技術(shù)的IPSEC VPN網(wǎng)關(guān)設(shè)計
        正面迎接批判
        愛你(2018年16期)2018-06-21 03:28:44
        應(yīng)用與配置實(shí)例
        巧用批處理查找端口
        交換機(jī)級聯(lián)端口被綁之后
        基于不同版本的Cisco Packet Tracer實(shí)驗結(jié)果比較
        有限次重復(fù)博弈下的網(wǎng)絡(luò)攻擊行為研究
        LTE Small Cell網(wǎng)關(guān)及虛擬網(wǎng)關(guān)技術(shù)研究
        移動通信(2015年18期)2015-08-24 07:45:08
        應(yīng)對氣候變化需要打通“網(wǎng)關(guān)”
        太陽能(2015年7期)2015-04-12 06:49:50
        日本老年人精品久久中文字幕| 大地资源中文第三页| 日本一区二区啪啪视频| 国产啪啪视频在线观看| 美丽的小蜜桃在线观看| 一本久道综合在线无码人妻 | 久久无码人妻精品一区二区三区| 日韩欧美国产自由二区| 一区二区三区精品亚洲视频| 少妇人妻综合久久中文字幕| 国产精品亚洲一区二区在线观看| 亚洲欧美中文在线观看4| 冲田杏梨av天堂一区二区三区| 亚洲综合精品亚洲国产成人| 日日婷婷夜日日天干| 日本污视频| 少妇又色又爽又刺激的视频| 揄拍成人国产精品视频| 国产成人综合色在线观看网站| 99久久久无码国产精品动漫| 日本精品少妇一区二区| 成 人片 黄 色 大 片| 播放灌醉水嫩大学生国内精品| 无码一区二区三区久久精品| 国产一级黄色录像大片| 国产精品亚洲αv天堂无码| 国产美女在线一区二区三区| 亚洲男人在线天堂av| 久久99亚洲精品久久久久 | 国产成人久久综合热| 亚洲高清av一区二区| 欧美亅性猛交内射| 亚洲av无码国产剧情| 色窝综合网| 久久免费看的少妇一级特黄片| 色综合色狠狠天天综合色| 国产精品无码一区二区在线国| 黄色中文字幕视频网站| 一边捏奶头一边高潮视频| 亚洲永久精品ww47| 精品国产福利一区二区三区|