局域网安全.ppt

网络安全概论 第七讲局域网安全 课程内容 本课程将介绍网络安全的基本概念 算法 协议和技术 内容包括 第一讲网络安全导论第二讲对称密钥加密体制第三讲非对称密钥加密体制第四讲公钥基础设施 PKI第五讲TCP IP网络安全第六讲TCP IP网络安全第七讲局域网安全第八讲网络与信息安全研究现状综述 第七讲局域网安全 7 1局域网环境简介7 2局域网的安全威胁7 3局域网监听与防范7 4局域网ARP攻击与防范7 5局域网病毒入侵与防范 7 1局域网环境简介 计算机网络的分类 按作用范围的大小分广域网 WAN 也叫远程网 作用范围通常为几十到几千公里 是一种可跨越国家及地区的遍布全球的计算机网络城域网 MAN 也叫市域网 它的范围约为几千米到几十千米局域网 LAN 也叫局部网 一般将微机通过高速通信线路相连 范围一般在几百米到几千米 局域网的基本概念LocalAreaNetwork LAN 是计算机网络的一种 一个通信系统范围在一定的地理区域 一个办公室 一幢楼 一家工厂或方圆几公里远的地域等 内功效利用通信线路将众多计算机 一般为微机 及外围设备连接起来 达到数据通信和资源共享的目的 7 1局域网环境简介 局域网最主要的特点覆盖的地理范围较小 几米到几公里 以微机为主要联网对象 通常为某单位或部门所有具有较高的数据传输速率 较低的时延和较小的误码率易于安装 配置和维护简单 造价低 实用性强局域网一般分为令牌网和以太网两种令牌网主要用于广域网及大型局域网的主干部分 其操作系统大多是UNIX 组建和管理非常繁琐 需专业人员胜任以太网是当今世界应用范围最广的一种网络技术 组建较为容易 各设备间的兼容性较好 Windows和Netware都支持它 局域网的组成 局域网由网络硬件和网络软件两部分组成网络硬件用于实现局域网的物理连接为连接在局域网上的计算机之间的通信提供一条物理信道和实现局域网间的资源共享网络软件则主要用于控制并具体实现信息的传送和网络资源的分配与共享这两部分互相依赖 共同完成局域网的通信功能 局域网的拓朴结构 最常见的局域网拓朴结构有星型 环型 总线型和树型 集线器 a 星型网 b 环型网 c 总线网 d 树型网 注 图 a 在物理上是一个星型网 但在逻辑上仍是一个总线网 干线耦合器 匹配电阻 星型拓朴 建网容易 配置方便每个连接的故障容易排除 不影响全网控制协议相对简单 环型拓朴电线长度较短 与总线拓扑类似适于采用光缆连接 从而提高数据速率 总线拓朴与星型拓扑相比 所需电缆长度较短结构简单 可靠性高扩充 如增加站点 延长电缆等 较容易 按网络使用的传输介质分类 按使用的传输介质划分 局域网有双绞线网 光纤网 同轴电缆网 无线局域网 微波网目前小型局域网大都是双绞线网 而较大型局域网则采用光纤和双绞线传输介质的混合型网络近年来 无线网络技术发展迅速 将成为未来局域网的一个重要发展方向 WirelessLAN的优缺点优点 移动性安装安装的灵活性减少用户投入易于扩展缺点 WirelessLAN和有线局域网相比速率较低无线网络的硬件投入会高于有线网络 协议欺骗攻击常见种类 主要欺骗攻击种类 IP欺骗攻击路由欺骗攻击DNS欺骗攻击ARP欺骗攻击 1 IP欺骗攻击 攻击者C选定目标主机A作为攻击对象 并且找到了一个被A信任的主机B A授予B某些特权 C希望获得与B相同的特权 攻击 首先 使B失去工作能力 C利用TCP协议三次握手中的漏洞 向B发送大量的假源IP地址的请求 使B通讯队列充满 无法再接受新的通讯 而忙于与这个虚假的IP进行连接 这样短时间内B无法再与别的主机通讯 为C留出了攻击时间 接着 C发送自己制作的IP数据包 检测 估算出被攻击者的数据序列号 该过程可在短时内完成 最后 C伪装成B的IP地址 这时B仍处于停顿状态 制作相应的TCP IP包 来获得A的信任 如数据序列号猜测正确 A则认为收到的ACK是来自信任主机B 建立起连接 此时 X即获得主机B在主机A上所享有的特权 开始对A实施攻击 防止IP地址欺骗 放弃以地址为基础的验证使用加密方法对进行数据进行加密 它将保证数据的完整性 真实性和保密性 进行包过滤可以配置路由器使其能够拒绝网络外部与本网内具有相同IP地址的连接请求 而且 当包的IP地址不在本网内时 路由器不应该把本网主机的包发送出去 包过滤技术只能拒绝外部主机伪装成内部主机IP 而无法拒绝伪装成其它可信任外部主机IP的外部主机 2 路由欺骗攻击 网络上的两台主机通讯时 发送的数据包要经过防火墙和层层路由器转发的 这种工作原理节省资源 有利于传输 但带来了安全性的问题 路由欺骗攻击该原理 通过改变某主机或路由器上的路由表 破坏正常的路由寻址 以达到攻击目的 主要方法包括 源路由攻击 通过指定路由 以假冒身份与其他主机进行合法通信或发送假报文 攻击者事先确定一条攻击路由 通过设置IP源路由选项 使目标主机的ICMP或TCP数据包按照源路由 指定路由 返回 路由信息协议攻击 路由信息协议 RIP 在局域网中用来广播路由信息 接收到该协议数据包的主机不做任何检测 攻击者可以向到达目标主机的所有网关发送伪路由信息 以便进行源地址假冒时 能收到目标机的回应信息 攻击者也可以将其主机声明为到某主机或网络的路由器 以截获所有目的地址的数据包 并继续发动更进一步的攻击 在通常情况下 信息包从起点到终点走过的路径是由位于此两点间的路由器决定的 数据包本身只知道去往何处 但不知道该如何去 源路由可使信息包的发送者将此数据包要经过的路径写在数据包里 3 DNS欺骗攻击 DNS欺骗即域名信息欺骗是最常见的DNS安全问题 DNS欺骗会使那些易受攻击的DNS服务器产生许多安全问题 例如 将用户引导到错误的互联网站点 或者发送一个电子邮件到一个未经授权的邮件服务器 缓存感染DNS信息劫持DNS重定向防范DNS欺骗攻击可采取如下措施直接用IP访问重要的服务 这样至少可以避开DNS欺骗攻击 但这要记住要访问的IP地址 加密所有对外的数据流 这也不容易做到 7 2局域网安全威胁 局域网技术将网络资源共享的特性体现得淋漓尽致不仅能提供软件资源 硬件资源共享还提供Internet连接共享等各种网络共享服务越来越多的局域网被应用在学校 写字楼 办公区目前绝大多数的局域网使用的协议都是和Internet一样的TCP IP协议各种黑客工具一样适用于局域网局域网中的计算机更多体现的是共享和服务因此局域网的安全隐患较之于Internet有过之而无不及 7 2局域网的安全威胁 目前的局域网基本上都采用以广播为技术基础的以太网任何两个节点之间的通信数据包 不仅为这两个节点的网卡所接收 也同时为处在同一以太网上的任何一个节点的网卡所截取黑客只要接入以太网上的任一节点进行侦听就可以捕获发生在这个以太网上的所有数据包 对其进行解包分析 从而窃取关键信息 这就是以太网所固有的安全隐患 安全无内 外之分通常认为信息安全问题主要源于外面因素 都希望在互联网接入处 把病毒和攻击挡在门外就可安全无忧有许多重大的网络安全问题正是由于内部员工引起一些间谍软件 木马程序等恶意软件会不知不觉地被下载到电脑中恶意软件会在内部网络中传播 产生安全隐患 甚至影响到网络的使用机密资料 数据等信息可能会由于恶意软件的存在 不知不觉被盗取 局域网内的安全误区 局域网中无需单机防火墙攻击无处不在没有人会针对我攻击跳板安装杀毒软件和病毒防火墙就不怕病毒安装了SP2的WindowsXP就安全了 7 3局域网监听与防范以太网协议工作方式 将要发送的数据包发往连接在一起的所有主机包中包含着应该接收数据包主机的正确地址只有与数据包中目标地址一致的那台主机才能接收当主机网卡设置为混杂模式时 监听模式 经过自己网络接口的那些数据包无论数据包中的目标地址是什么 主机都将接收 监听 现在网络中使用的大部分协议都是很早设计的许多协议的实现都是基于一种非常友好的 通信的双方充分信任的基础之上许多信息以明文发送 7 3局域网监听与防范以太网协议工作方式 网络监听技术本来是提供给网络安全管理人员进行管理的工具 可以用来监视网络的状态 数据流动情况以及网络上传输的信息等局域网中采用广播方式将网卡接口设置成监听模式 便可以源源不断地将信息截获 从而监听到某广播域中所有的包当信息以明文的形式网内传输时 通过对信息包进行分析 就能获取重要信息网络监听可以在网上的任一位置实施 如局域网中的一台主机 网关上或远程网的调制解调器之间等很多黑客入侵时都把局域网扫描和侦听作为其最基本的步骤和手段 原因是想用这种方法获取其想要的密码等信息 7 3局域网监听与防范网络监听的应用场景 如果用户的账户名和口令等信息也以明文的方式在网上传输只要具有初步的网络和TCP IP协议知识 便能轻易地从监听到的信息中提取出感兴趣的部分黑客或网络攻击者会利用此方法进行网络监听正确使用网络监听技术也可以发现入侵并对入侵者进行追踪定位在对网络犯罪进行侦查取证时获取有关犯罪行为的重要信息 成为打击网络犯罪的有力手段 7 3局域网监听与防范使用snifferpro进行监听 获取邮箱密码通过对用监听工具捕获的数据帧进行分析 可以很容易的发现敏感信息和重要信息对一些明码传输的邮箱用户名和口令可以直接显示出来 7 3局域网监听与防范网络监听的相关软件 密码监听器 7 3局域网监听与防范如何检测并防范网络监听 网络监听是很难被发现的 特点隐蔽性强运行网络监听的主机只是被动地接收在局域局上传输的信息不主动的与其他主机交换信息 也没有修改在网上传输的数据包手段灵活网络监听可以在网上的任何位置实施可以是网上的一台主机 路由器 也可以是调制解调器网络监听效果最好的地方是在网络中某些具有战略意义的位置如网关 路由器 防火墙之类的设备或重要网段 而使用最方便的地方是在网中的一台主机上 7 3局域网监听与防范对可能存在的网络监听的检测 1 对于怀疑运行监听程序的主机 可用正确的IP地址和错误的物理地址去探测 如Ping 运行监听程序的主机会有响应这是因为正常的机器不接收错误的物理地址处于监听状态的机器能接收2 可向网上发送大量目的地址根本不存在的数据包由于监听程序要分析和处理大量的数据包会占用很多的CPU资源 这将导致性能下降通过比较前后该机器性能加以判断这种方法难度比较大3 使用反监听工具如antisniffer等进行检测 7 3局域网监听与防范对网络监听的检测 当前两个较可行的办法搜索网上所有主机运行的进程网络管理员使用UNIX或WindowsNT的主机 可以很容易地得到当前进程的清单确定是否有一个进程被从管理员主机上启动搜查监听程序现在监听程序只有有限的几种 管理员可以检查目录 找出监听程序 还有两个方法较有效 缺点也是难度较大检查被怀疑主机中是否有一个随时间不断增长的文件存在因为网络监听输出的文件通常很大 且随时间不断增长通过运行ipconfig命令 检查网卡是否被设置成了监听模式或使用Ifstatus工具 定期检测网络接口是否处于监听状态当网络接口处于监听状态时 可能是入侵者侵入了系统 并正在运行一个监听程序 就要有所注意 7 3局域网监听与防范对网络监听的防范措施 从逻辑或物理上对网络分段划分VLAN 运用VLAN 虚拟局域网 技术 将以太网通信变为点到点通信 可以防止大部分基于网络监听的入侵以交换式集线器代替共享式集线器控制单播包而无法控制广播包和多播包一次性口令技术 口令并不在网络上传输而是在两端进行字符串匹配 客户端利用从服务器上得到的Challenge和自身的口令计算出一个新字符串并将之返回给服务器 在服务器上用比较算法进行匹配 如匹配 连接就允许建立 所有Challenge和字符串都只使用一次 使用加密技术禁用杂错节点安装不支持杂错的网卡 通常可以防止IBM兼容机进行嗅探 7 4局域网ARP攻击与防范ARP协议原理 在局域网中 网络中实际传输的是 帧 帧里面是有目标主机的MAC地址的在以太网中 一个主机要和另一个主机进行直接通信 必须要知道目标主机的MAC地址这个目标MAC地址是如何获得 通过地址解析协议 AddressResolutionProtocol 获得在局域网中 通过ARP协议来完成IP地址转换为第二层物理地址 即MAC地址 所谓 地址解析 就是主机在发送帧前将目标IP地址转换成目标MAC地址的过程ARP协议的基本功能就是通过目标设备的IP地址 查询目标设备的MAC地址 以保证通信的顺利进行 7 4局域网ARP攻击与防范ARP协议 地址解析协议ARP AddressResolutionProtocol 将网络层 IP层 地址解析为数据连接层 MAC层 的MAC地址 IP数据包常通过以太网发送 以太网设备并不识别32位IP地址 它们是以48位以太网地址传输以太网数据包的 必须把IP目的地址转换成以太网地址 网卡地址 MAC地址 在这两种地址之间存在着某种静态的或动态算法的映射 常常需要查看一张表 ARP表 地址解析协议就是用来确定这些映射的协议 图以太网上的ARP报文格式 硬件类型字段 发送方想知道的硬件接口类型 以太网的值为1 协议类型字段 发送方提供的高层协议类型 IP为0806 16进制 操作字段 表示这个报文的目的 ARP请求为1 ARP响应为2 RARP请求为3 RARP响应为4 发出ARP请求时 发送方填好发送方首部和发送方IP地址 还要填写目标IP地址 当目标机器收到这个ARP广播包时 就会在响应报文中填上自己的48位主机地址 7 4局域网ARP攻击与防范ARP的工作流程 首先 每台主机都会在自己的ARP缓冲区 ARPCache 中建立一个ARP列表 以表示IP MAC IP地址和MAC地址的对应关系 当源主机要将一个数据包发送到目的主机时 先检查自己ARP列表中是否存在该IP MAC 如有就将数据包发送到这个MAC地址 如没有就向本地网段发一个ARP请求的广播包 查询此目的主机对应的MAC地址 网络中所有主机收到该ARP请求后 会检查数据包中的目的IP是否和自己的IP一致 如不同就忽略此数据包 如相同 该主机首先将发送端的IP MAC添加到自己的ARP列表中 如ARP表中已存在该IP的信息 则覆盖 然后给源主机发一个ARP响应数据包 填上自己的48位mac地址 源主机收到这个ARP响应数据包后 将得到的目的主机的IP MAC添加到自己的ARP列表中 并利用此信息开始数据的传输 如源主机一直没有收到ARP响应数据包 表示ARP查询失败 7 4局域网ARP攻击与防范ARP的工作流程 实际上LAN中机器比较了目标IP发现不是同一网络号当源和目标的网络号是一样时 ARP查询包的目的IP就是目标IP 如学校机房内部的ARP查询如果目标IP不是同一网络号 比如 这时ARP查询的目标IP不是sina的IP61 172 201 222 而是网关的IP 于是就对网关做出ARP查询 网关返回ARP应答 而不是对SINAIP61 172 201 222发出查询 发送数据报时目的MAC地址内写的网关的MAC 7 4局域网ARP攻击与防范ARP欺骗 为了减少网络流量 当一台主机的ARP处理机制中接收到一个ARP应答的时候 该主机不进行验证 即使该主机从未发出任何的ARP请求 仍然会把接收的MAC地址 网卡地址 映射信息放入ARP缓冲去 欺骗的产生一台主机从网上接收到的任何ARP应答都会更新自己的地址映射表 而不管其是否真实 基于ARP协议的这一工作特性 黑客向对方计算机不断发送有欺诈性质的ARP数据包数据包内包含有与当前设备重复的Mac地址使对方在回应报文时 由于简单的地址重复错误而导致不能进行正常的网络通信 受ARP攻击可能出现的现象不断弹出 本机的XXX段硬件地址与网络中的XXX段地址冲突 的对话框计算机不能正常上网 出现网络中断的症状因为这种攻击是利用ARP请求报文进行 欺骗 的 所以防火墙会误以为是正常的请求数据包 不予拦截 7 4局域网ARP攻击与防范ARP欺骗 主机C发送ARP的应答给主机A IP地址 192 168 0 2 MAC地址 030303030303 这是主机C自己主动发给A的 此前 主机A并没向主机C发送过ARP的请求信息 这显然是在欺骗 主机A接收到该ARP应答后 不验证 直接修改自己的ARP映射表 同样 B接收到后也修改自己的ARP映射表 这样 B想要发送给A的数据实际上却发送给了C 就达到了嗅探的目的 在嗅探到数据后 还必须将此数据转发给A 这样就可以保证B A的通信不被中断 这就是基于ARP欺骗的嗅探基本原理 其中 嗅探者A实际上是插入到了B C中 B的数据先发送给了A 然后再由A转发给C 于是A就成功于截获到了它B发给C的数据 7 4局域网ARP攻击与防范ARP欺骗 ARP欺骗攻击有两种可能 一种是对路由器ARP表的欺骗 另一种是对内网电脑ARP表的欺骗 也可能两种攻击同时进行 欺骗发送后 电脑和路由器之间发送的数据可能就被送到错误的MAC地址上 ARP欺骗的原理明了 但对其防范措施却不是很有效 因为地址解析表通常在各自的主机上 通过网络软件 防火墙 监控起来较麻烦 7 4局域网ARP攻击与防范ARP欺骗 现在有网络管理工具比如网络执法官 P2P终结者也会使用同样的方式来伪装成网关 欺骗客户端对网关的访问会获取发到网关的流量 从而实现网络流量管理和网络监控等功能会对网络管理带来潜在的危害 可以很容易的获取用户的密码等相关敏感信息WinArpAttackerARP攻