XXXX局域网安全ppt课件

1、网络平安概论第七讲 局域网平安课程内容本课程将引见网络平安的根本概念、算法、协议和技术。内容包括：第一讲网络平安导论第二讲对称密钥加密体制 第三讲 非对称密钥加密体制第四讲公钥根底设备PKI第五讲 TCP/IP网络平安第六讲TCP/IP网络平安第七讲 局域网平安第八讲 网络与信息平安研讨现状综述第七讲 局域网平安7.1 局域网环境简介7.2 局域网的平安要挟7.3 局域网监听与防备7.4 局域网ARP攻击与防备7.5 局域网病毒入侵与防备7.1 局域网环境简介计算机网络的分类按作用范围的大小分广域网WAN也叫远程网。作用范围通常为几十到几千公里，是一种可跨越国家及地域的遍及全球的计算机网络城域

2、网MAN也叫市域网。它的范围约为几千米到几十千米局域网LAN也叫部分网。普通将微机经过高速通讯线路相连，范围普通在几百米到几千米局域网的根本概念Local Area Network (LAN)是计算机网络的一种一个通讯系统范围在一定的地理区域(一个办公室、一幢楼、一家工厂或方圆几公里远的地域等)内效果利用通讯线路将众多计算机(普通为微机)及外围设备衔接起来，到达数据通讯和资源共享的目的7.1 局域网环境简介局域网最主要的特点覆盖的地理范围较小，几米到几公里；以微机为主要联网对象；通常为某单位或部门一切具有较高的数据传输速率、较低的时延和较小的误码率易于安装、配置和维护简单，造价低，适用性强局域

3、网普通分为令牌网和以太网两种令牌网主要用于广域网及大型局域网的主干部分，其操作系统大多是UNIX。组建和管理非常繁琐，需专业人员胜任以太网是当今世界运用范围最广的一种网络技术，组建较为容易，各设备间的兼容性较好，Windows和Netware都支持它局域网的组成局域网由网络硬件和网络软件两部分组成网络硬件用于实现局域网的物理衔接为衔接在局域网上的计算机之间的通讯提供一条物理信道和实现局域网间的资源共享网络软件那么主要用于控制并详细实现信息的传送和网络资源的分配与共享这两部分相互依赖,共同完成局域网的通讯功能局域网的拓朴构造最常见的局域网拓朴构造有星型、环型、总线型和树型集线器(a) 星型网*(

4、b) 环型网(c) 总线网(d) 树型网注：图(a)在物理上是一个星型网，但在逻辑上仍是一个总线网干线耦合器匹配电阻星型拓朴：建网容易，配置方便每个衔接的缺点容易排除，不影响全网控制协议相对简单环型拓朴电线长度较短，与总线拓扑类似适于采用光缆衔接，从而提高数据速率总线拓朴与星型拓扑相比，所需电缆长度较短构造简单，可靠性高扩展(如添加站点、延伸电缆等)较容易按网络运用的传输介质分类按运用的传输介质划分，局域网有双绞线网,光纤网,同轴电缆网,无线局域网,微波网目前小型局域网大都是双绞线网,而较大型局域网那么采用光纤和双绞线传输介质的混合型网络近年来,无线网络技术开展迅速, 将成为未来局域网的一个重

5、要开展方向Wireless LAN的优缺陷优点：挪动性安装安装的灵敏性减少用户投入易于扩展缺陷：Wireless LAN和有线局域网相比速率较低无线网络的硬件投入会高于有线网络协议欺骗攻击常见种类 主要欺骗攻击种类：IP欺骗攻击路由欺骗攻击DNS欺骗攻击 ARP欺骗攻击1IP欺骗攻击攻击者C选定目的主机A作为攻击对象，并且找到了一个被A信任的主机B。 A授予B某些特权，C 希望获得与B一样的特权，攻击：首先，使B失去任务才干。C利用TCP协议三次握手中的破绽，向B发送大量的假源IP地址的恳求，使B通讯队列充溢，无法再接受新的通讯，而忙于与这个虚伪的IP进展衔接。这样短时间内B无法再与别的主机通

6、讯，为C留出了攻击时间。接着， C发送本人制造的IP数据包，检测/估算出被攻击者的数据序列号。该过程可在短时内完成。最后， C伪装成B的IP地址，这时B仍处于停顿形状，制造相应的TCP/IP包，来获得A的信任如数据序列号猜测正确，A那么以为收到的ACK是来自信任主机B，建立起衔接。此时，X即获得主机B在主机A上所享有的特权，开场对A实施攻击防止IP地址欺骗放弃以地址为根底的验证运用加密方法对进展数据进展加密。它将保证数据的完好性、真实性和严密性。进展包过滤 可以配置路由器使其可以回绝网络外部与本网内具有一样IP地址的衔接恳求。而且，当包的IP地址不在本网内时，路由器不应该把本网主机的包发送出去

7、。包过滤技术只能回绝外部主机伪装成内部主机IP，而无法回绝伪装成其它可信任外部主机IP的外部主机。 2路由欺骗攻击 网络上的两台主机通讯时，发送的数据包要经过防火墙和层层路由器转发的，这种任务原理节省资源，有利于传输，但带来了平安性的问题。路由欺骗攻击该原理，经过改动某主机或路由器上的路由表，破坏正常的路由寻址，以到达攻击目的。主要方法包括：源路由攻击：经过指定路由，以冒充身份与其他主机进展合法通讯或发送假报文。攻击者事先确定一条攻击路由，经过设置IP源路由选项，使目的主机的ICMP或TCP数据包按照源路由指定路由前往。路由信息协议攻击：路由信息协议RIP在局域网中用来广播路由信息。接纳到该协

8、议数据包的主机不做任何检测。攻击者可以向到达目的主机的一切网关发送伪路由信息，以便进展源地址冒充时，能收到目的机的回应信息；攻击者也可以将其主机声明为到某主机或网络的路由器，以截获一切目的地址的数据包，并继续发动更进一步的攻击在通常情况下，信息包从起点到终点走过的途径是由位于此两点间的路由器决议的，数据包本身只知道去往何处，但不知道该如何去。源路由可使信息包的发送者将此数据包要经过的途径写在数据包里 3DNS欺骗攻击 DNS欺骗即域名信息欺骗是最常见的DNS平安问题。DNS欺骗会使那些易受攻击的DNS效力器产生许多平安问题，例如：将用户引导到错误的互联网站点，或者发送一个电子邮件到一个未经授权

9、的邮件效力器。 缓存感染 DNS信息劫持 DNS重定向 防备DNS欺骗攻击可采取如下措施 直接用IP访问重要的效力，这样至少可以避开DNS欺骗攻击。但这要记住要访问的IP地址。 加密一切对外的数据流。这也不容易做到。 7.2 局域网平安要挟局域网技术将网络资源共享的特性表达得淋漓尽致不仅能提供软件资源、硬件资源共享还提供Internet衔接共享等各种网络共享效力越来越多的局域网被运用在学校、写字楼，办公区 目前绝大多数的局域网运用的协议都是和Internet一样的TCP/IP协议各种黑客工具一样适用于局域网局域网中的计算机更多表达的是共享和效力因此局域网的平安隐患较之于Internet有过之而

10、无不及7.2 局域网的平安要挟目前的局域网根本上都采用以广播为技术根底的以太网任何两个节点之间的通讯数据包，不仅为这两个节点的网卡所接纳，也同时为处在同一以太网上的任何一个节点的网卡所截取 黑客只需接入以太网上的任一节点进展侦听就可以捕获发生在这个以太网上的一切数据包，对其进展解包分析，从而窃取关键信息，这就是以太网所固有的平安隐患平安无内、外之分通常以为信息平安问题主要源于外面要素，都希望在互联网接入处，把病毒和攻击挡在门外就可平安无忧有许多艰苦的网络平安问题正是由于内部员工引起一些间谍软件、木马程序等恶意软件会不知不觉地被下载到电脑中恶意软件会在内部网络中传播，产生平安隐患，甚至影响到网络

11、的运用资料/数据等信息能够会由于恶意软件的存在，不知不觉被盗取局域网内的平安误区局域网中无需单机防火墙攻击无处不在没有人会针对我攻击跳板安装杀毒软件和病毒防火墙就不怕病毒安装了SP2的Windows XP就平安了7.3 局域网监听与防备以太网协议任务方式将要发送的数据包发往衔接在一同的一切主机包中包含着应该接纳数据包主机的正确地址只需与数据包中目的地址一致的那台主机才干接纳当主机网卡设置为混杂方式时(监听方式)经过本人网络接口的那些数据包无论数据包中的目的地址是什么，主机都将接纳监听如今网络中运用的大部分协议都是很早设计的许多协议的实现都是基于一种非常友好的、通讯的双方充分信任的根底之上许多信

12、息以明文发送7.3 局域网监听与防备以太网协议任务方式网络监听技术本来是提供应网络平安管理人员进展管理的工具，可以用来监视网络的形状、数据流动情况以及网络上传输的信息等局域网中采用广播方式将网卡接口设置成监听方式，便可以源源不断地将信息截获，从而监听到某广播域中一切的包当信息以明文的方式网内传输时，经过对信息包进展分析，就能获取重要信息网络监听可以在网上的任一位置实施，如局域网中的一台主机、网关上或远程网的调制解调器之间等很多黑客入侵时都把局域网扫描和侦听作为其最根本的步骤和手段，缘由是想用这种方法获取其想要的密码等信息7.3 局域网监听与防备网络监听的运用场景假设用户的账户名和口令等信息也以

13、明文的方式在网上传输只需具有初步的网络和TCP/IP协议知识，便能随便地从监听到的信息中提取出感兴趣的部分黑客或网络攻击者会利用此方法进展网络监听正确运用网络监听技术也可以发现入侵并对入侵者进展追踪定位在对网络犯罪进展侦查取证时获取有关犯罪行为的重要信息，成为打击网络犯罪的有力手段7.3 局域网监听与防备运用sniffer pro进展监听获取邮箱密码经过对用监听工具捕获的数据帧进展分析，可以很容易的发现敏感信息和重要信息对一些明码传输的邮箱用户名和口令可以直接显示出来7.3 局域网监听与防备网络监听的相关软件密码监听器httpdownload.enet/html/010722005083001

14、.html硅谷动力网站密码监听器阐明信息用于监听网页的密码，包括网页上的邮箱、论坛、聊天室等只需在一台电脑上运转，就可以监听整个局域网内恣意一台电脑登录的账号和密码，并将密码显示、保管，或发送到用户指定的邮箱7.3 局域网监听与防备如何检测并防备网络监听网络监听是很难被发现的，特点隐蔽性强运转网络监听的主机只是被动地接纳在局域局上传输的信息不自动的与其他主机交换信息，也没有修正在网上传输的数据包手段灵敏网络监听可以在网上的任何位置实施可以是网上的一台主机、路由器，也可以是调制解调器网络监听效果最好的地方是在网络中某些具有战略意义的位置如网关、路由器、防火墙之类的设备或重要网段；而运用最方便的地

15、方是在网中的一台主机上7.3 局域网监听与防备对能够存在的网络监听的检测1) 对于疑心运转监听程序的主机，可用正确的IP地址和错误的物理地址去探测(如Ping)，运转监听程序的主时机有呼应这是由于正常的机器不接纳错误的物理地址处于监听形状的机器能接纳2) 可向网上发送大量目的地址根本不存在的数据包由于监听程序要分析和处置大量的数据包会占用很多的CPU资源，这将导致性能下降经过比较前后该机器性能加以判别这种方法难度比较大3) 运用反监听工具如antisniffer等进展检测7.3 局域网监听与防备对网络监听的检测当前两个较可行的方法搜索网上一切主机运转的进程网络管理员运用UNIX或Windows

16、 NT的主机，可以很容易地得到当前进程的清单确定能否有一个进程被从管理员主机上启动搜索监听程序如今监听程序只需有限的几种，管理员可以检查目录，找出监听程序还有两个方法较有效，缺陷也是难度较大检查被疑心主机中能否有一个随时间不断增长的文件存在由于网络监听输出的文件通常很大，且随时间不断增长经过运转ipconfig命令，检查网卡能否被设置成了监听方式或运用Ifstatus工具，定期检测网络接口能否处于监听形状当网络接口处于监听形状时，能够是入侵者侵入了系统，并正在运转一个监听程序，就要有所留意7.3 局域网监听与防备对网络监听的防备措施从逻辑或物理上对网络分段划分VLAN:运用VLAN虚拟局域网技

17、术，将以太网通讯变为点到点通讯，可以防止大部分基于网络监听的入侵以交换式集线器替代共享式集线器控制单播包而无法控制广播包和多播包一次性口令技术。口令并不在网络上传输而是在两端进展字符串匹配，客户端利用从效力器上得到的Challenge和本身的口令计算出一个新字符串并将之前往给效力器。在效力器上用比较算法进展匹配,如匹配,衔接就允许建立,一切Challenge和字符串都只运用一次。运用加密技术禁用杂错节点 安装不支持杂错的网卡，通常可以防止IBM兼容机进展嗅探。7.4 局域网ARP攻击与防备 ARP协议原理在局域网中，网络中实践传输的是“帧帧里面是有目的主机的MAC地址的在以太网中，一个主机要和

18、另一个主机进展直接通讯，必需求知道目的主机的MAC地址这个目的MAC地址是如何获得?经过地址解析协议(Address Resolution Protocol)获得在局域网中，经过ARP协议来完成IP地址转换为第二层物理地址 (即MAC地址) 所谓“地址解析就是主机在发送帧前将目的IP地址转换成目的MAC地址的过程ARP协议的根本功能就是经过目的设备的IP地址，查询目的设备的MAC地址，以保证通讯的顺利进展7.4 局域网ARP攻击与防备 ARP协议地址解析协议ARP(Address Resolution Protocol)，将网络层IP层地址解析为数据衔接层MAC层的MAC地址。 IP数据包常经

19、过以太网发送。以太网设备并不识别32位IP地址：它们是以48位以太网地址传输以太网数据包的。必需把IP目的地址转换成以太网地址网卡地址， MAC地址。在这两种地址之间存在着某种静态的或动态算法的映射，经常需求查看一张表(ARP表)。地址解析协议就是用来确定这些映射的协议。图 以太网上的ARP报文格式硬件类型字段：发送方想知道的硬件接口类型，以太网的值为1。协议类型字段：发送方提供的高层协议类型，IP为080616进制。操作字段：表示这个报文的目的，ARP恳求为1，ARP呼应为2，RARP恳求为3，RARP呼应为4。发出ARP恳求时，发送方填好发送方首部和发送方IP地址，还要填写目的IP地址。当

20、目的机器收到这个ARP广播包时，就会在呼应报文中填上本人的48位主机地址。 7.4 局域网ARP攻击与防备ARP的任务流程首先，每台主机都会在本人的ARP缓冲区 (ARP Cache)中建立一个ARP列表，以表示IP=MAC(IP地址和MAC地址的对应关系) 。当源主机要将一个数据包发送到目的主机时，先检查本人ARP列表中能否存在该IP=MAC，如有就将数据包发送到这个MAC地址；如没有就向本地网段发一个ARP恳求的广播包，查询此目的主机对应的MAC地址。网络中一切主机收到该ARP恳求后，会检查数据包中的目的IP能否和本人的IP一致。如不同就忽略此数据包；如一样，该主机首先将发送端的IP=MA

21、C添加到本人的ARP列表中，如ARP表中已存在该IP的信息，那么覆盖；然后给源主机发一个ARP呼应数据包填上本人的48位mac地址源主机收到这个ARP呼应数据包后，将得到的目的主机的IP=MAC添加到本人的ARP列表中，并利用此信息开场数据的传输。如源主机不断没有收到ARP呼应数据包，表示ARP查询失败。7.4 局域网ARP攻击与防备ARP的任务流程实践上LAN中机器比较了目的IP 发现不是同一网络号当源和目的的网络号是一样时，ARP查询包的目的IP 就是目的IP。如学校机房内部的ARP查询假设目的IP不是同一网络号。比如：ping sina，这时ARP查询的目的IP不是sina的IP 22，

22、而是网关的IP；于是就对网关做出ARP查询，网关前往ARP应对，而不是对SINA IP 22 发出查询；发送数据报时目的MAC地址内写的网关的MAC 7.4 局域网ARP攻击与防备 ARP欺骗为了减少网络流量，当一台主机的ARP处置机制中接纳到一个ARP应对的时候，该主机不进展验证，即使该主机从未发出任何的ARP恳求，依然会把接纳的MAC地址网卡地址映射信息放入ARP缓冲去。欺骗的产生一台主机从网上接纳到的任何ARP应对都会更新本人的地址映射表，而不论其能否真实。基于ARP协议的这一任务特性，黑客向对方计算机不断发送有欺诈性质的ARP数据包数据包内包含有与当前设备反复的Mac地址使对方在回应报

23、文时，由于简单的地址反复错误而导致不能进展正常的网络通讯受ARP攻击能够出现的景象不断弹出“本机的XXX段硬件地址与网络中的XXX段地址冲突的对话框计算机不能正常上网，出现网络中断的病症由于这种攻击是利用ARP恳求报文进展“欺骗的，所以防火墙会误以为是正常的恳求数据包，不予拦截7.4 局域网ARP攻击与防备 ARP欺骗主机C发送ARP的应对给主机A “IP地址：，MAC地址：030303030303，这是主机C本人自动发给A的，此前，主机A并没向主机C发送过ARP的恳求信息，这显然是在欺骗。主机A接纳到该ARP应对后，不验证，直接修正本人的ARP映射表。同样，B接纳到后也修正本人的ARP映射表

24、。 AB： ：020202020202C： ：030303030303BA： ：010101010101C： ：030303030303C图1.3 各个主机各自维护本人的ARP地址表AB： ：030303030303C： ：030303030303BA： ：030303030303C： ：030303030303C图1.4 主机C对主机A和主机B进展ARP欺骗后, 主机A,B的ARP地址表这样，B想要发送给A的数据实践上却发送给了C，就到达了嗅探的目的。在嗅探到数据后，还必需将此数据转发给A， 这样就可以保证B,A的通讯不被中断。这就是基于ARP欺骗的嗅探根本原理。其中，嗅探者A实践上是插入到

25、了B-C中， B的数据先发送给了A，然后再由A转发给C。于是A就胜利于截获到了它B发给C的数据。 7.4 局域网ARP攻击与防备 ARP欺骗ARP欺骗攻击有两种能够，一种是对路由器ARP表的欺骗；另一种是对内网电脑ARP表的欺骗，也能够两种攻击同时进展。欺骗发送后，电脑和路由器之间发送的数据能够就被送到错误的MAC地址上。ARP欺骗的原理明了，但对其防备措施却不是很有效，由于地址解析表通常在各自的主机上，经过网络软件防火墙监控起来较费事。7.4 局域网ARP攻击与防备 ARP欺骗如今有网络管理工具比如网络执法官、P2P 终结者也会运用同样的方式来伪装成网关，欺骗客户端对网关的访问会获取发到网关的流量，从而实现网络流量管理和网络监控等功能会对网络管理带来潜在的危害，可以很容易的获取用户的密码等相关敏感信息Win