网络安全协议分析与案例实践00

网络安全协议分析与案例实践授课：蒋浪QQ：846516087电话：1本书简要概述以及学习目的1.本书总共分为七大章节，分别说明了网络当中相关的网络协议所对应的层次关系。2.学习内容大多属于理论和一些思科模拟器实验拓扑的命令行操作。2为什么要学习网络安全？主要目的：保护计算机、网络系统的硬件、软件及其系统中的数据，使之不因偶然的或者恶意的原因而遭到破坏、更改、泄露，确保系统能连续可靠正常地运行，使网络服务不中断。之所以提出网络安全，缘于网络攻击的普遍就比如上有政策下有对策，现在的互联网存在很多安全威胁。网络安全攻击会在它们的复杂性和威胁水平上具有不同程度的改变，这也是网络安全的复杂性之根本。一些常见的攻击：3应用层攻击：这些攻击通常瞄准运行在服务器上的软件漏洞，而这些漏洞都是很熟知的。各种目标包括FTP，发送邮件，HTTP。Autorooters：恶意者使用某种叫做rootkit的东西探测，扫描并从目标主机上捕获数据，使得用户数据变得透明，它可以监视着整个系统。后门程序：通往一个计算机或网络的简洁的路径。经过简单入侵或是精心设计的木马，恶意者可使用植入攻击进入一台指定的主机或是一个网络。DoS和DDoS攻击：最常见的网络攻击，却形式多样，而且非常让人厌烦。IP欺骗：黑客以你的内部网络可信地址范围中的IP地址呈现或者使用一个核准的，可信的外部IP地址，来伪装成一台可信的主机。中间人攻击：简单说就是使用工具拦截你要发送的数据。网络侦查：针对待攻击的网络收集相关的信息，做更深入的了解，便于实施攻击。包嗅探：他通过网络适配卡开始工作与混杂模式，它发送的所有包都可以被一个特殊的应用程序从网络物理层获取，并进行查看积分类。口令攻击：通过多种方式发现用户口令，伪装成合法用户，访问用户的特许操作及资源。强暴攻击：是一种面向软件的攻击。端口重定向攻击：这种方法要求黑客已经侵入主机，并经由防火墙得到被改变的流量。病毒攻击：常见，难防。时效性。信任利用攻击：这种攻击发生在内网之中，有某些人利用内网中的可信关系来实施。综上所述，简单来说，正是由于各种网络威胁的盛行，才使得网络安全与维护显得尤为重要。4第1章：基础知识与物理安全5内容提要2016年全球十大网络安全事故信息安全三要素OSI模型以及TCP/IP概要讲解常用基本概念物理安全建议简要提及维护网络安全的方法6No.1：俄罗斯央行遭黑客攻击3100万美元不翼而飞12月，俄罗斯中央银行官员瑟乔夫证实，该行电脑系统遭到了黑客入侵，犯罪分子从银行的代理账户中窃走了20亿卢布(约合3100万美元)的资金。瑟乔夫透露，黑客是通过伪造一名用户的证书进入的这些账户。紧接着，俄罗斯第二大银行VTB再遭黑客攻击，幸运的是，银行方面的防御体系成功击退了指向其业务系统的DDoS攻击，未造成资金损失。No.2：德国90万家庭断网遭黑客蓄意入侵11月，德国电信遭遇一次大范围的网络故障。2000万固定网络用户中的大约90万路由器发生故障(约4.5%)，并由此导致大面积网络访问受限。德国电信进一步确认了问题是由于路由设备的维护界面被暴露在互联网上、并且互联网上正在发生针对性的攻击而导致。No.3：旧金山地铁被勒索软件攻击乘客免费乘坐地铁11月，旧金山的Municipal地的电脑票价系统遭到黑客攻击，黑客索要100比特币作为赎金。尽管旧金山地铁没有公布案件调查进展信息，但我们能从中看出这是一次恶意的黑客勒索软件攻击事件，若要恢复地铁票价系统就需要进行比特币赎金交易。尽管黑客已经开设好比特币钱包等待旧金山地铁的支付，但旧金山地铁并未向黑客支付任何费用，在所有地铁购票机器工作失常后，旧金山地铁干脆开放地铁，允许乘客免费乘坐。7No.4：美国遭史上最大规模DDoS攻击、东海岸网站集体瘫痪10月，恶意软件Mirai控制的僵尸网络对美国域名服务器管理服务供应商Dyn发起DDoS攻击，从而导致许多网站在美国东海岸地区宕机，如GitHub、Twitter、PayPal等，用户无法通过域名访问这些站点。事件发生后，360与全球安全社区一起参与了这次事件的追踪、分析、溯源和响应处置，利用360公司的恶意扫描源数据，率先发现并持续追踪溯源了这个由摄像头等智能设备组成的僵尸网站。360也是唯一参与全球协同处置该事件的中国机构No.5：希拉里邮件门事件2015年年初，邮件门事件首次被曝光，希拉里在2009年至2013年担任美国国务卿期间，违规使用私人电子邮箱和位于家中的私人服务器收发大量涉密的邮件.涉嫌违反美国《联邦档案法》，面临调查时又匆匆删除。2016年夏季，美国民主党全国委员会、筹款委员会、竞选团队被黑客组织入侵，近2万封邮件被维基解密披露。邮件显示，希拉里涉嫌抹黑竞争对手，以及可能涉嫌洗钱等财务问题。10月28日，大胖子黑客KimDotcom翻出了被希拉里删除的邮件，导致FBI重新开始调查希拉里邮件门事件，这对于大选前夕的希拉里来说，频发传出的负面消息导致曾人气领先的希拉里惜败。No.6：雅虎曝史上最大规模信息泄露5亿用户资料被窃9月，雅虎突然宣称其至少5亿条用户信息被黑客盗取，其中包括用户姓名、电子邮箱、电话号码、出生日期和部分登录密码。并建议所有雅虎用户及时更改密码。此次雅虎信息泄漏事件被称为史上最大规模互联网信息泄露事件，也让正在出售核心业务的雅虎再受重创。11月，在提交给SEC(美国证券交易委员会)的文件显示，雅虎提醒投资者注意，Verizon可能会因为大规模电子邮件被黑事件而放弃48亿美元收购雅虎的交易。8No.7：美国国家安全局陷入斯诺登之后最大泄密风波继斯诺登泄密风波之后，美国国家安全局(NSA)再次敲响内部威胁警钟。NSA承包商哈罗德?马丁于8月27日因窃取国安局数据被捕，马丁与曾揭露美国政府大规模监听行动的斯诺登受雇于同一家公司，马丁还被怀疑掌握了NSA的“源代码”，这些源代码通常被用来入侵俄罗斯、中国、伊朗等国的网络系统。调查人员在马丁家中和车内搜出美国政府高度机密文件的复印文本和数字文档，其中数字文档至少有几TB，还包括6份“敏感情报”。美国司法部检察官说，如果在未经授权的情况下泄露这些高度机密文件，美国国家安全将遭受“极为严重”的损害。No.8：全球银行业使用的恐怖嫌疑人数据库被泄露6月，一个包含约220万条恐怖分子与“高风险个人及实体”记录的数据库被泄露在互联网上。研究人员ChrisVickery在Reddit上称他成功获取到了一份2014版的World-Check的机密数据库，银行、政府及情报机构使用该数据库进行全球范围的风险扫描，数据库信息包括了恐怖分子嫌疑人。据World-Check的经营者ThomsonReuters称，他为约4500所机构提供服务，其中包括世界50大银行中的49家，以及超过300个政府、情报机构以及律师事务所。虽然欧洲隐私法所强烈限制了访问World-Check的数据库的行为，但是Reuters称有未知第三方在网上曝光了该数据库的老版本数据。No.9：德国核电站检测出恶意程序被迫关闭4月，德国Gundremmingen核电站的计算机系统，在常规安全检测中发现了恶意程序。核电站的操作员RWE为防不测，关闭了发电厂，虽然仍然对外表示，并没有发生什么严重的问题。Gundremmingen核电站官方发布的新闻稿称，此恶意程序是在核电站负责燃料装卸系统的BlockBIT网络中发现的。据说该恶意程序仅感染了计算机的IT系统，而没有涉及到与核燃料交互的ICS/SCADA设备。核电站表示，此设施的角色是装载和卸下核电站BlockB的核燃料，随后将旧燃料转至存储池9No.10：SWIFT黑客事件爆发多家银行损失巨款2月，孟加拉国中央银行在美国纽约联邦储备银行开设的账户2月初遭黑客攻击，失窃8100万美元。据相关执法部门调查，赃款几经分批中转，最终流入菲律宾两家赌场和一名赌团中介商的账户，随后很可能变成一堆筹码，就此消失无踪。而孟加拉央行并非个案，2015年1月，黑客攻击了厄瓜多尔南方银行，利用SWIFT系统转移了1200万美元;2015年底越南先锋商业股份银行也被曝出黑客攻击未遂案件。10要求信息网络具有：可用性、完整性、私密性；私密性：保障通信私密性的常见方法为数据加密.完整性：信息传输过程中没有遭到篡改.可用性：让合法的用户可以访问到相应的资源.黑客（外）黑客（内）Internet实体安全信息安全运行安全11

OSI模型简述图12OSI模型详解：

1.OSI七层模型背景：1983年由ISO提出并标准化

2.各层作用：

~1.应用层

a功能：提供用户接入的借口。b软件：QQ/微信/浏览器/迅雷/阿里巴巴等C协议：http、https、OICQ、Telnet/SSH

~2.表示层

a功能：提供数据显示。主要包括三点数据的格式、压缩、加密。其中数据的格式又包括*1图片格式：jpg、png、gif。*2视频格式：flv、rmvb、mkv、avi、wmv。*3文件格式：doc、ppt、kls等。

~3.会话层

功能：提供会话管理，主要包含三点。建立会话、保持会话、删除会话

~4.传输层

a功能:提供了可靠的端到端连接。b协议：TCP和UDP协议，如何区分TCP和UDP协议

可以用简单的两个例子：

UDP协议例子*飞鸽传书：协议不可靠；不可控、不可重传、无反馈信息。

TCP协议例子*网购/电子商务：协议可靠；可追踪、可数据重发、可调控。

13~5.网络层a功能：提供了三层寻址、三层数据转发功能b协议：IP协议c设备：路由器~6.链路层a功能：提供了二层寻址、二层数据转发功能b协议：Ethernet/TokenRing（令牌网）~7.物理层a功能：提供物理规范。主要包括：1线缆设备；同轴电缆、光纤、无线2接口标准：RJ45用双绞线，RJ11用于电话线——目前属于淘汰的接口OSI功能总结1.分层分工2.标准化（流程化）<兼容性>3.物理框架（易于问题分析、排错）14TCP/IP协议：TransmissionControlProtocol/InternetProtocol的简写，中译名为传输控制协议/因特网互联协议，又名网络通讯协议，是Internet最基本的协议、Internet国际互联网络的基础，由网络层的IP协议和传输层的TCP协议组成。TCP/IP定义了电子设备如何连入因特网，以及数据如何在它们之间传输的标准。协议采用了4层的层级结构，每一层都呼叫它的下一层所提供的协议来完成自己的需求。通俗而言：TCP负责发现传输的问题，一有问题就发出信号，要求重新传输，直到所有数据安全正确地传输到目的地。而IP是给因特网的每一台联网设备规定一个地址。IP：IP层接收由更低层（网络接口层例如以太网设备驱动程序）发来的数据包，并把该数据包发送到更高层---TCP或UDP层；相反，IP层也把从TCP或UDP层接收来的数据包传送到更低层。IP数据包是不可靠的，因为IP并没有做任何事情来确认数据包是否按顺序发送的或者有没有被破坏，IP数据包中含有发送它的主机的地址（源地址）和接收它的主机的地址（目的地址）15高层的TCP和UDP服务在接收数据包时，通常假设包中的源地址是有效的。也可以这样说，IP地址形成了许多服务的认证基础，这些服务相信数据包是从一个有效的主机发送来的。IP确认包含一个选项，叫作IPsourcerouting，可以用来指定一条源地址和目的地址之间的直接路径。对于一些TCP和UDP的服务来说，使用了该选项的IP包好像是从路径上的最后一个系统传递过来的，而不是来自于它的真实地点。这个选项是为了测试而存在的，说明了它可以被用来欺骗系统来进行平常是被禁止的连接。那么，许多依靠IP源地址做确认的服务将产生问题并且会被非法入侵。TCP：TCP是面向连接的通信协议，通过三次握手建立连接，通讯完成时要拆除连接，由于TCP是面向连接的所以只能用于端到端的通讯。TCP提供的是一种可靠的数据流服务，采用“带重传的肯定确认”技术来实现传输的可靠性。TCP还采用一种称为“滑动窗口”的方式进行流量控制，所谓窗口实际表示接收能力，用以限制发送方的发送速度。如果IP数据包中有已经封好的TCP数据包，那么IP将把它们向‘上’传送到TCP层。TCP将包排序并进行错误检查，同时实现虚电路间的连接。TCP数据包中包括序号和确认，所以未按照顺序收到的包可以被排序，而损坏的包可以被重传。16TCP将它的信息送到更高层的应用程序，例如Telnet的服务程序和客户程序。应用程序轮流将信息送回TCP层，TCP层便将它们向下传送到IP层，设备驱动程序和物理介质，最后到接收方。面向连接的服务（例如Telnet、FTP、rlogin、XWindows和SMTP）需要高度的可靠性，所以它们使用了TCP。DNS在某些情况下使用TCP（发送和接收域名数据库），但使用UDP传送有关单个主机的信息。UDP：UDP是面向无连接的通讯协议，UDP数据包括目的端口号和源端口号信息，由于通讯不需要连接，所以可以实现广播发送。UDP通讯时不需要接收方确认，属于不可靠的传输，可能会出现丢包现象，实际应用中要求程序员编程验证。UDP与TCP位于同一层，但它不管数据包的顺序、错误或重发。因此，UDP不被应用于那些使用虚电路的面向连接的服务，UDP主要用于那些面向查询---应答的服务，例如NFS。相对于FTP或Telnet，这些服务需要交换的信息量较小。使用UDP的服务包括NTP（网络时间协议）和DNS（DNS也使用TCP）。欺骗UDP包比欺骗TCP包更容易，因为UDP没有建立初始化连接（也可以称为握手）（因为在两个系统间没有虚电路），也就是说，与UDP相关的服务面临着更大的危险。17通讯端口：TCP和UDP服务通常有一个客户/服务器的关系，例如，一个Telnet服务进程开始在系统上处于空闲状态，等待着连接。用户使用Telnet客户程序与服务进程建立一个连接。客户程序向服务进程写入信息，服务进程读出信息并发出响应，客户程序读出响应并向用户报告。因而，这个连接是双工的，可以用来进行读写。两个系统间的多重Telnet连接是如何相互确认并协调一致呢？TCP或UDP连接唯一地使用每个信息中的如下四项进行确认：源IP地址发送包的IP地址。目的IP地址接收包的IP地址。源端口源系统上的连接的端口。目的端口目的系统上的连接的端口。端口是一个软件结构，被客户程序或服务进程用来发送和接收信息。一个端口对应一个16比特的数。服务进程通常使用一个固定的端口，例如，SMTP使用25、Xwindows使用6000。这些端口号是‘广为人知’的，因为在建立与特定的主机或服务的连接时，需要这些地址和目的地址进行通讯。18数据格式：数据帧：帧头+IP数据包+帧尾（帧头包括源和目标主机MAC初步地址及类型，帧尾是校验字）IP数据包：IP头部+TCP数据信息（IP头包括源和目标主机IP地址、类型、生存期等）TCP数据信息：TCP头部+实际数据(TCP头包括源和目标主机端口号、顺序号、确认号、校验字等）IP地址：在Internet上连接的所有计算机，从大型机到微型计算机都是以独立的身份出现，我们称它为主机。为了实现各主机间的通信，每台主机都必须有一个唯一的网络地址。就好像每一个住宅都有唯一的门牌一样，才不至于在传输资料时出现混乱。Internet的网络地址是指连入Internet网络的计算机的地址编号。所以，在Internet网络中，网络地址唯一地标识一台计算机。IP地址是一个32位的二进制地址，为了便于记忆，将它们分为4组，每组8位，由小数点分开，用四个字节来表示，而且，用点分开的每个字节的数值范围是0~25519IPV4:IPv4，是互联网协议（InternetProtocol，IP）的第四版，也是第一个被广泛使用，构成现今互联网技术的基石的协议。1981年JonPostel在RFC791中定义了IP，Ipv4可以运行在各种各样的底层网络上，比如端对端的串行数据链路（PPP协议和SLIP协议)，卫星链路等等。局域网中最常用的是以太网。传统的TCP/IP协议基于IPV4属于第二代互联网技术，核心技术属于美国。它的最大问题是网络地址资源有限，从理论上讲，编址1600万个网络、40亿台主机。但采用A、B、C三类编址方式后，可用的网络地址和主机地址的数目大打折扣，以至IP地址已经枯竭。其中北美占有3/4，约30亿个，而人口最多的亚洲只有不到4亿个，中国截止2010年6月IPv4地址数量达到2.5亿，落后于4.2亿网民的需求。虽然用动态IP及Nat地址转换等技术实现了一些缓冲，但IPV4地址枯竭已经成为不争的事实。在此，专家提出IPV6的互联网技术，也正在推行，但IPV4的使用过过渡到IPV6需要很长的一段过渡期。中国主要用的就是ip4，在win7中已经有了ipv6的协议不过对于中国的用户们来说可能很久以后才会用到吧。传统的TCP/IP协议基于电话宽带以及以太网的电器特性而制定的，其分包原则与检验占用了数据包很大的一部分比例造成了传输效率低，网络正向着全光纤网络高速以太网方向发展，TCP/IP协议不能满足其发展需要。20IPv6:IPv6是InternetProtocolVersion6的缩写，其中InternetProtocol译为“互联网协议”。IPv6是IETF（互联网工程任务组，InternetEngineeringTaskForce）设计的用于替代现版本IP协议（IPv4）的下一代IP协议。与IPV4相比，IPV6具有以下几个优势：一、IPv6具有更大的地址空间。IPv4中规定IP地址长度为32，即有2^32-1（符号^表示升幂，下同）个地址；而IPv6中IP地址的长度为128，即有2^128-1个地址二、IPv6使用更小的路由表。IPv6的地址分配一开始就遵循聚类（Aggregation）的原则，这使得路由器能在路由表中用一条记录（Entry）表示一片子网，大大减小了路由器中路由表的长度，提高了路由器转发数据包的速度。三、IPv6增加了增强的组播（Multicast）支持以及对流的控制（FlowControl），这使得网络上的多媒体应用有了长足发展的机会，为服务质量（QoS，QualityofService）控制提供了良好的网络平台四、IPv6加入了对自动配置（AutoConfiguration）的支持。这是对DHCP协议的改进和扩展，使得网络（尤其是局域网）的管理更加方便和快捷。五、IPv6具有更高的安全性。在使用IPv6网络中用户可以对网络层的数据进行加密并对IP报文进行校验，极大的增强了网络的安全性。21TCP/IP协议层次从协议分层模型方面来讲，TCP/IP由四个层次组成：网络接口层、网络层、传输层、应用层。TCP/IP协议并不完全符合OSI的七层参考模型，OSI（OpenSystemInterconnect）是传统的开放式系统互连参考模型，是一种通信协议的7层抽象的参考模型，其中每一层执行某一特定任务。该模型的目的是使各种硬件在相同的层次上相互通信。这7层是：物理层、数据链路层（网络接口层）、网络层（网络层）、传输层（传输层）、会话层、表示层和应用层（应用层）。而TCP/IP通讯协议采用了4层的层级结构，每一层都呼叫它的下一层所提供的网络来完成自己的需求。由于ARPANET的设计者注重的是网络互联，允许通信子网（网络接口层）采用已有的或是将来有的各种协议，所以这个层次中没有提供专门的协议。实际上，TCP/IP协议可以通过网络接口层连接到任何网络上，例如X.25交换网或IEEE802局域网。注意TCP本身不具有数据传输中噪音导致的错误检测功能,但是有实现超时的错误重传功能;22网络接口层物理层是定义物理介质的各种特性：1、机械特性；2、电子特性；3、功能特性；4、规程特性。数据链路层是负责接收IP数据包并通过网络发送，或者从网络上接收物理帧，抽出IP数据包，交给IP层。ARP是正向地址解析协议，通过已知的IP，寻找对应主机的MAC地址。RARP是反向地址解析协议，通过MAC地址确定IP地址。比如无盘工作站还有DHCP服务。常见的接口层协议有：Ethernet802.3、TokenRing802.5、X.25、Framerelay、HDLC、PPPATM等。23网络层负责相邻计算机之间的通信。其功能包括三方面。1.处理来自传输层的分组发送请求，收到请求后，将分组装入IP数据报，填充报头，选择去往信宿机的路径，然后将数据报发往适当的网络接口。2.处理输入数据报：首先检查其合法性，然后进行寻径--假如该数据报已到达信宿机，则去掉报头，将剩下部分交给适当的传输协议；假如该数据报尚未到达信宿，则转发该数据报。3.处理路径、流控、拥塞等问题。网络层包括：IP(InternetProtocol）协议、ICMP(InternetControlMessageProtocol)控制报文协议、ARP(AddressResolutionProtocol）地址转换协议、RARP(ReverseARP)反向地址转换协议。IP是网络层的核心，通过路由选择将下一条IP封装后交给接口层。IP数据报是无连接服务。ICMP是网络层的补充，可以回送报文。用来检测网络是否通畅。Ping命令就是发送ICMP的echo包，通过回送的echorelay进行网络测试24传输层提供应用程序间的通信。其功能包括：一、格式化信息流；二、提供可靠传输。为实现后者，传输层协议规定接收端必须发回确认，并且假如分组丢失，必须重新发送，即耳熟能详的“三次握手”过程，从而提供可靠的数据传输。传输层协议主要是：传输控制协议TCP(TransmissionControlProtocol）和用户数据报协议UDP(UserDatagramprotocol）。25应用层向用户提供一组常用的应用程序，比如电子邮件、文件传输访问、远程登录等。远程登录TELNET使用TELNET协议提供在网络其它主机上注册的接口。TELNET会话提供了基于字符的虚拟终端。文件传输访问FTP使用FTP协议来提供网络内机器间的文件拷贝功能。应用层协议主要包括如下几个：FTP、TELNET、DNS、SMTP、NFS、HTTP。TransferProtocol）是文件传输协议，一般上传下载用FTP服务，数据端口是20H，控制端口是21H。Telnet服务是用户远程登录服务，使用23H端口，使用明码传送，保密性差、简单方便。DNS(DomainNameService）是域名解析服务，提供域名到IP地址之间的转换，使用端口53。SMTP(SimpleMailTransferProtocol）是简单邮件传输协议，用来控制信件的发送、中转，使用端口25。NFS（Network）是网络文件系统，用于网络中不同主机间的文件共享。HTTP(HypertextTransferProtocol）是超文本传输协议，用于实现互联网中的WWW服务，使用端口80。26TCP/IP协议的优缺点：主要优点（1）TCP/IP协议不依赖于任何特定的计算机硬件或操作系统，提供开放的协议标准，即使不考虑Internet，TCP/IP协议也获得了广泛的支持。所以TCP/IP协议成为一种联合各种硬件和软件的实用系统。（2）TCP/IP协议并不依赖于特定的网络传输硬件，所以TCP/IP协议能够集成各种各样的网络。用户能够使用以太网（Ethernet）、令牌环网（TokenRingNetwork）、拨号线路（Dial-upline）、X.25网以及所有的网络传输硬件。（3）统一的网络地址分配方案，使得整个TCP/IP设备在网中都具有惟一的地址（4）标准化的高层协议，可以提供多种可靠的用户服务。主要缺点第一，它在服务、接口与协议的区别上就不是很清楚。一个好的软件工程应该将功能与实现方法区分开来，TCP/IP恰恰没有很好地做到这点，就使得TCP/IP参考模型对于使用新的技术的指导意义是不够的。TCP/IP参考模型不适合于其他非TCP/IP协议簇。第二，主机-网络层本身并不是实际的一层，它定义了网络层与数据链路层的接口。物理层与数据链路层的划分是必要和合理的，一个好的参考模型应该将它们区分开，而TCP/IP参考模型却没有做到这点。27Telnet、SMTP、HTTP、FTP、DNS等TCP、UDP、IP、ARP、ICMPEthernet应用层

传输层

网络层网络接口层281.2.2网络拓扑与物理连接在实施和维护网络时，必须使用相应网络的拓扑来展开工作如本书图1-6.使用的就是星型网络拓扑。此外还有多种相应的拓扑结构如下图所示。29话虽如此，我们最常见的基本网络就好比家用宽带，一台台式机或者笔记本，通过猫调试，配置路由，来达到访问Internet中的游戏、QQ、HTTP的一大堆数据。301.网络拓扑结构

：网络拓扑是指网络形状，或者是它在物理上的连通性。网络的拓扑结构主要有：星型拓扑、总线拓扑、环型拓扑、树型拓扑、混合拓扑及网型拓扑。

2.传输媒体

：

传输媒体是通信网络中发送方和接收方之间的物理通路，计算机网络中采用的传输媒体分有线和无线两大类。（1）有线传输媒体：同轴电缆→有线电视、视频线313233电信→办理光纤宽带账号→工作人员施工→光纤盒（分光器）→安装人员布线，拉线到终端设备（路由器，光猫）→联网

34常用分光器示意图35串口：可以接打印机、扫描仪、游戏手柄、通过专业串口线还可以访问专用设备如交换机路由器。36CONSOLE线CONSOLE接口是用来配置交换机的，所以只有网管型交换机才有。而且还要注意，并不是所有网管型交换机都有，那是因为交换机的配置方法有多种，如通过Telnet命令行方式、Web方式、TFTP方式等。37注：无论交换机采用DB-9或DB-25串行接口，还是采用RJ-45接口，都需要通过专门的Console线连接至配置方计算机的串行口。串行线串行线，即两端均为串行接口(两端均为母头)，两端可以分别插入至计算机的串口和交换机的Console端口;RJ-45两端均为RJ-45接头(RJ-45toRJ-45)的扁平线。由于扁平线两端均为RJ-45接口，无法直接与计算机串口进行连接。因此，还必须同时使用一个RJ-45toDB-9(或RJ-45toDB-25)的适配器。通常情况下，在交换机的包装箱中都会随机赠送这么一条Console线和相应的DB-9或DB-25适配器。38超级终端就必须要用到CONSlOE线，它的配置图如下39

一般采用CSMD/CD(带冲突检测的载波监听多路访问技术)来防止冲突域4041（2）无线传输媒体：（a）微波通信：载波频率为2GHZ~40GHZ,频率高，可同时传送大量信息；由于微波是沿直线传播的，故在地面的传播距离有限。（b）卫星通信：是利用地球同步卫星作为中继来转发微波信号的一种特殊微波通信形式。卫星通信可以克服地面微波通信距离的限制，三个同步卫星可以覆盖地球上全部通信区域。42

（c）红外通信和激光通信：

和微波通信一样，有很强的方向性，都是沿直线传播的。但红外通信

和激光通信要把传输的信号分别转换为红外光信号和激光信号后才能直接在空间沿直线传播。

3网络管理协议：

目前较为流行的两种网络管理协议为：SNMP（简单网络管理协议）和CMIP（通用管理协议）。SNMP由一整套简单的网络通讯规范组成，可以完成所有基本的网络管理任务，对网络资源的需求量少；CMIP是一种设计非常全面的网络管理系统，改进了SNMP存在的诸多不足。但是，正是因为CMIP修正了SNMP的错误，使得自身变得大而全，对网络基础性能提出了相当严格的要求。

4交换机和集线器集线器（HUB）可以看成是一种多端口的中继器，是共享带宽式的，其带宽由它的端口平均分配，如总带宽为10Mb/s的集线器，连接4台工作站同时上网时，每台工作站平均带宽仅为10/4=2.5Mb/s。交换机又叫交换式集线器，每一端口都有其专用的带宽，如10Mb/s的交换式集线器，每个端口都有10Mb/s的带宽。交换机和集线器都遵循IEEE802.3或IEEE802.3u，其介质访问方式均为CSMA/CD。它们之间的区别为：

集线器为共享方式，即同一网段的机器共享固有的带宽，传输通过碰撞检测进行，同一网段计算机越多，传输碰撞也越多，传输速率会变慢；交换机每个端口为固定带宽，有独特的传输方式，传输速率不受计算机增加影响，其独特的NWAY、全双工功能增加了交换机的使用范围和传输速度。简单的来说，四台电脑连接集线器，如果有100M的带宽，每台电脑就只能分到100/4M的带宽也就是25M的带宽。而交换机就可以达到每人100M的带宽，一个是均分一个是同用。

5路由器

路由器是网络中进行网间连接的关键设备。作为不同网络之间互相连接的枢纽，路由器系统构成了基于TCP/IP的国际互连网络Internet

的主体脉络。它的处理速度是网络通信的主要瓶颈之一，它的可靠性则直接影响着网络互连的质量。因此，在园区网、地区网、乃至43整个Internet

研究领域中，路由器技术始终处于核心地位。路由器之所以在互连网络中处于关键地位，是因为它处于网络层，一方面能够跨越不同的物理网络类型（DDN、FDDI、以太网等等），另一方面在逻辑上将整个互连网络分割成逻辑上独立的网络单位，使网络具有一定的逻辑结构。路由器的基本功能是把数据（IP包）传送到正确的网络，具体包括：IP数据包的转发，包括数据包的寻径和传送；子网隔离，抑制广播风暴；维护路由表，并与其它路由器交换路由信息，这是IP包转发的基础；IP数据包的差错处理及简单的拥塞控制实现对IP数据包的过滤和记忆等功能。441.2.3设备的管理方式远程管理：远程管理是指通过远程管理协议对设备发起管理访问，最常用的协议是Telnet协议。由于Telnet的安全性没有SSH高，我们通常都用SSH来实现，后期会说。本地管理：管理员能直接的在物理上接触到网络设备如手动使用Consloe线连接笔记本电脑或者台式电脑到交换机上来进行管理。注：如今大多数用户都已是光纤接入用户，越来越多的用户都开始使用智能路由器，本地管理宽带要比以前管理简单便捷的多，在网上多学习路由的管理还能避免自己家里宽带连接的问题，从而节省了等待其他电信通信维护员的上门维修等待时间。

一、基础知识与物理安全451.3物理安全建议家用网络的安全建议：无论是非屏蔽双绞线或者是屏蔽双绞线和光纤线都应该保护好，不能让其他人谁随便的盗窃或者破坏，路由或者分光器等设备也不能让人强行的破坏拆散。机房网络的安全建议：应对设备所在的机房安装指纹认证系统，如果不具备安装指纹系统的条件至少选择安装门禁卡，还需加强对管理员的安全意识的培养。46*简要提及如何维护网络安全1基础设施管理（1）确保网络通信传输畅通；（2）掌控主干设备的配置情况及配置参数变更情况，备份各个设备的配置文档；（3）对运行关键业务网络的主干设备配备相应的备份设备，并配置为热后备设备；（4）负责网络布线配线架的管理，确保配线的合理有序；（5）掌控用户端设备接入网络的情况，以便发现问题时可迅速定位；（6）采取技术措施，对网络内经常出现的用户需要变更位置和部门的情况进行管；（7）掌控和外部网络的连接配置，监督网络通信状况，发现问题后和有关机构及时联系；（8）实时监控整个局域网的运转和网络通信流量情况；（9）定制、发布网络基础设施使用管理办法并监督执行情况。2操作系统管理（1）在网络操作系统配置完成并投入正常运行后，为了确保网络操作系统工作正常，网络管理员首先应该能够熟练的利用系统提供的各种管理工具软件，实时监督系统的运转情况，及时发现故障征兆并进行处理。（2）在网络运行过程中，网络管理员应随时掌控网络系统配置情况及配置参数变更情况，对配置参数进行备份。网络管理员还应该做到随着系统环境的变化、业务发展需要和用户需求，动态调整系统配置参数，优化系统性能。（3）网络管理员应为关键的网络操作系统服务器建立热备份系统，做好防灾准备。473应用系统管理（1）确保各种网络应用服务运行的不间断性和工作性能的良好性，出现故障时应将故障造成的损失和影响控制在最小范围内。（2）对于需要不可中断的关键型网络应用系统，除了在软件手段上要掌控、备份系统参数和定期备份系统业务数据外，必要时在硬件手段上还要建立和配置系统的热备份。（3）对于用户访问频率高、系统负荷的网络应用服务，必要时网络管理员还应该采取分担的技术措施。484用户服务和管理（1）用户的开户和撤销；（2）用户组的配置和管理；（3）用户可用服务和资源的的权限管理和配额管理；（4）用户计费管理；（5）包括用户桌面连网电脑的技术支持服务和用户技术培训服务的用户端支持服务。5安全保密管理（1）安全和保密是个问题的两个方面，安全主要指防止外部对网络的攻击和入侵，保密主要指防止网络内部信息的泄漏。（2）对于普通级别的网络，网络管理员的任务主要是配置管理好系统防火墙。为了能够及时发现和阻止网络黑客的攻击，能够加配入侵检测系统对关键服务提供安全保护。（3）对于安全保密级别需要高的网络，网络管理员除了应该采取上述措施外，还应该配备网络安全漏洞扫描系统，并对关键的网络服务器采取容灾的技术手段。（4）更严格的涉密电脑网络，还需要在物理上和外部公共电脑网络绝对隔离，对安置涉密网络电脑和网络主干设备的房间要采取安全措施，管理和控制人员的进出，对涉密网络用户的工作情况要进行全面的管理和监控。496信息存储备份管理（1）采取一切可能的技术手段和管理措施，保护网络中的信息安全。（2）对于实时工作级别需要不高的系统和数据，最低限度网络管理员也应该进行定期手工操作备份。（3）对于关键业务服务系统和实时性需要高的数据和信息，网络管理员应该建立存储备份系统，进行集中式的备份管理。（4）最后将备份数据随时保存在安全地点更是很重要。7机房管理（1）掌控机房数据通信电缆布线情况，在增减设备时确保布线合理，管理维护方便；（2）掌管机房设备供电线路安排，在增减设备时注意负载的合理配置；（3）管理网络机房的温度、湿度和通风状况，提供适合的工作环境；（4）确保网络机房内各种设备的正常运转；（5）确保网络机房符合防火安全需要，火警监测系统工作正常，灭火措施有效；（6）采取措施，在外部供电意外中断和恢复时，实现在无人值守情况下确保网络设备安全运行；（7）保持机房整洁有序，按时记录网络机房运行日志，定制网络机房管理制度并监督执行。50企业：1、外网要有必要的防护设备（防火墙、网络版杀毒软件、入侵防御系统、vpn等）2、内网要及时安装安全更新补丁3、对重要服务器或终端进行必要的优化（关闭无用的端口和服务）4、补丁是对内、外网进行安全扫描。个人：1、最关键的是及时安装更新补丁，2、应用可及时升级的杀毒软件（含防火墙和web监控），3、对系统进行必要的优化。51附：IP编址IP地址是一个32位的二进制数，通常被分割为4个“8位二进制数”（也就是4个字节）。IP地址通常用“点分十进制”表示成（a.b.c.d）的形式，其中，a,b,c,d都是0~255之间的十进制整数。例：点分十进IP地址（）52535455565758怎样了解主机处于不同网段？5960616263如何区分IP地址、网段、和网关IP地址就像一个人的身份证，（电话号码，门牌号），你想去找另外一个人，意思就是去和别人通讯，那么就需要知道她的电话，或者身份证，你知道了后，去找他，但是网络那么大，路改怎么走呢？谁又知道你要找的人住在哪里？这样，你就需要去问别人了，就是去问网关，网关的IP地址，也就是别人说的路由器，你去找路由器，然后路由器再去找另外一个路由器，反正总有一个路由器知道路。最后你就找到了。再说掩码，如果你的IP是，掩码是那么你的广播地址就是55.当你要找一个在-55IP地址内的电脑时，是不用找路由器的，是直接发广播，就是只要在同一个网段内的电脑都会知道你在找人，如果是你找的那个人，他就会回答你，如果不是，就不会回答，当然有冒充的，这个就涉及到攻击什么的。64网络中常见的命令：

ping命令，用来测试网络的连通性，比如当你的电脑与某个ip通讯时，有时会链接失败，可以用ping测试这个地址端口及设备的好坏，如你的路由器的端口地址（网关）是，那么ping，如图，如果没有丢包证明端口及设备没有问题。65常用命令之一：ipconfig/all66nslookup用来解析域名的ip地址，如你想知道某个网站的ip地址，nslookup+回车，在输入网址676869netstat用于查看各种所连接的ip地址的服务端口的的状态，如netstat-n，即现在连接的服务端口状态70tracert命令测试你所想连接的ip地址的经过的跳数，如tracert的跳数71arp命令是测试你的电脑连接过得设备的mac地址，比如你想知道链接的路由器的mac地址时，arp-a即可，如图。72思科模拟器初级配置交换机的口令：交换机口令设置：

switch>：用户模式switch>enable

；进入特权模式

switch#config

terminal

；进入全局配置模式

switch(config)#hostname

<hostname>

；设置交换机的主机名

switch(config)#enable

secret

xxx

；设置特权加密口令

switch(config)#enable

password

xxa

；设置特权非密口令

switch(config)#line

console

0

；进入控制台口

switch(config-line)#line

vty

0

4

；进入虚拟终端

switch(config-line)#login

；允许登录

switch(config-line)#password

xx

；设置登录口令switch#exit

；返回命令，返回上一级

通过演示交换机的基本配置来掌握简单口令：73在讲协议之前先介绍协议基于TCP/IP协议栈来说：应用层：HTTP:用途就是浏览网页，基于TCP端口号80HTTPS：安全的超文本传输协议，用来安全的浏览网页，基于TCP端口号443FTP：文件传输协议，用来告诉的上传和下载大批量数据文件，基于TCP端口号20/21DNS;域名解析服务，用来将PC访问网页的URL转换为IP地址，基于TCP端口号53SMTP：简单邮件传输协议，用来发送email，基于TCP端口号25POP3：邮局协议第三版本，用来接收email，基于UDP端口号110Exchange：既可以用来接收email也可以用来发送email。DHCP：动态主机配置协议，用来让PC和服务器以及网络设备能否自动的接收IP地址，子网掩码，网关地址等，基于UDP端口号6874TFTP：简单文件传输协议，用来传输小批量数据文件，通常用于管理网络设备的IOS操作系统以及配置文件，基于UDP端口号69Telnet：终端仿真协议，用来让网管PC可以通过互联网远程的网管网络设备，基于TCP端口号23SSH：安全外壳，用途和Telnet一样，仅仅是加密网管回话而已，该加密是基于RSA的，基于TCP端口号22SNMP：简单网络管理协议，该协议用来让网管通过PC可以同时网管整个内网的所有网络设备。NTP：网络时间协议，用来让网络设备和NTP服务器同步网络时钟，基于UDP端口号12375传输层/主机到主机层TCP：传输控制协议，面向连接协议，提供可靠的应用程序数据流的转发工作。Window：窗口字段用来防止基于TCP的应用程序数据流的传输的拥塞。Sequnece：序列号，防止传输乱序ACK：确认号，防止数据丢包Checksum：校验和，用来提供完整性检查重传机制：sequence和ACK一起完成的。76UDP：用户数据报协议，该协议是无连接协议ICMP：因特网控制消息协议，该协议包含了一系列配合IPV4所使用的网络工作，其中比较经典的是PINGPING：由两个报文组成一个是echorequest（回声请求），另一个是echoreply（回声应答）RTP：实时传输协议，一般配合UDP并使用VOIP流量提供防乱序功能，因为该协议定义了序列号。77网络层/网际层IPV4：因特网协议版本4，该协议主要用途就是定义了IPV4的地址问题。IPV6：因特网协议版本6，128位地址长度，冒号分十六进制.IPX:IPX/SPXAppltalkNovellDEC78网络接口层LAN：局域网Ethernet：Ethernet2，IEEE802.3，PPPoE：拨号上网Tokenring：令牌环FDDI：光纤分布数据接口WAN：广域网HDLC：高级数据链路控制协议PPP：点到点协议PPPoE：拨号上网Framerelay：帧中继典型例子VPNATM：异步传输模式主要用于QOS（网页服务质量）79局域网（LocalAreaNetwork，LAN）是指在某一区域内由多台计算机互联成的计算机组。一般是方圆几千米以内。局域网可以实现文件管理、应用软件共享、打印机共享、工作组内的日程安排、电子邮件和传真通信服务等功能。局域网是封闭型的，可以由办公室内的两台计算机组成，也可以由一个公司内的上千台计算机组成

广域网（WAN，WideAreaNetwork）也称远程网（longhaulnetwork）。通常跨接很大的物理范围，所覆盖的范围从几十公里到几千公里，它能连接多个城市或国家，或横跨几个洲并能提供远距离通信，形成国际性的远程网络。覆盖的范围比局域网（LAN）和城域网（MAN）都广。广域网的通信子网主要使用分组交换技术。广域网的通信子网可以利用公用分组交换网、卫星通信网和无线分组交换网，它将分布在不同地区的局域网或计算机系统互连起来，达到资源共享的目的。如因特网（Internet）是世界范围内最大的广域网。广域网是由许多交换机组成的，交换机之间采用点到点线路连接，几乎所有的点到点通信方式都可以用来建立广域网，包括租用线路、光纤、微波、卫星信道。而广域网交换机实际上就是一台计算机，有处理器和输入/输出设备进行数据包的收发处理。80真实网络设备图8182路由器和AP的区别

下图是个最常用的无线路由器无线AP，即AccessPoint，也就是无线接入点。简单来说就是无线网络中的无线交换机，它是移动终端用户进入有线网络的接入点，主要用于家庭宽带、企业内部网络部署等，无线覆盖距离为几十米至上百米，主要技术为802.11X系列。一般的无线AP还带有接入点客户端模式，也就是说AP之间可以进行无线链接，从而可以扩大无线网络的覆盖范围。83单纯型AP由于缺少了路由功能，相当于无线交换机，仅仅是提供一个无线信号发射的功能。它的工作原理是将网络信号通过双绞线传送过来，经过无线AP的编译，将电信号转换成为无线电讯号发送出来，形成无线网络的覆盖。根据不同的功率，网络覆盖程度也是不同的，一般无线AP的最大覆盖距离可达400米。

扩展型AP就是我们常说的无线路由器了。无线路由器，顾名思义就是带有无线覆盖功能的路由器，它主要应用于用户上网和无线覆盖。通过路由功能，可以实现家庭无线网络中的Internet连接共享，也能实现ADSL和小区宽带的无线共享接入。值得一提的是，可以通过无线路由器把无线和有线连接的终端都分配到一个子网，使得子网内的各种设备可以方便的交换数据。

无线路由器其实就是无线AP+路由功能，很多的无线路由器都拥有AP功能。如果你家是ADSL或小区宽带，应该选择无线路由而不是无线AP来共享网络，如果你家有路由器了，买个无线AP就行了，对于一般的家庭用户笔者强烈推荐选择无线路由器。84第二章数据链路层安全与相关特性2.1.1CAM表溢出攻击和端口安全所谓“CAM表”就是指二层交换机上运行的CiscoIOS在内存中维护的一张表，CAM表是交换机在二层转发数据要查找的表，表中有MAC地址，对应的端口号，端口所属的VLAN。交换机的每一个二层端口都有MAC地址自动学习的功能，当交换机收到PC发来的一个帧，就会查看帧中的源MAC地址，并查找CAM表，如果有就什么也不做，开始转发数据。如果没有就存入CAM表，以便当其他人向这个MAC地址上发送数据时，可以决定向哪个端口转发数据。CAM表安全问题：85有一种类型的DOS攻击是这样的：黑客会进入园区网内部（不管是直接进入还是选取内网的一台PC作为跳板）使用黑客软件全速向一台二层的交换机发送帧，这个黑客软件有一个功能就是每发一个帧就会改变一次原始MAC地址。我们知道二层交换机的端口都默认开启了MAC地址自动学习的功能，并且无法关闭。交换机会在它的内存中维护一张CAM表，CAM表中有MAC地址，对应的端口号（也就是进入的端口，代表PC连接在这个端口上）端口所属的VLAN。CAM表就是二层交换机转发数据帧要查找的表。然而交换机的内存不是无穷大的，如果每发个帧就改变一次MAC地址那么很快交换机的CAM表就变得非常的大。当交换机的内存再也没有空间来容纳CAM表的增长时CAM表就停止增长，而这时候用户A接入交换机发送数据帧的时候，交换机没有办法学习到用户A的mac地址，假如用户B也接入了交换机，B向A发送数据，由于交换机不知道A的MAC地址，这个时候交换机会做一件事情，就是把这个数据帧以广播的形式转发给所有的端口，当然也包括黑客的PC，只要黑客在它的PC上开一个抓包软件，不管是密码还是私密信息，统统都可以看到。86CAM表溢出攻击：通信的每一层中都有自己独特的安全问题。数据链路层（第二协议层）的通信连接就安全而言，是较为薄弱的环节。网络安全的问题该在多个协议层针对不同的弱点进行解决。内容寻址存储器（CAM）表格淹没：

交换机中的CAM

表格包含了诸如在指定交换机的物理端口所提供的

MAC

地址和相关的VLAN

参数之类的信息。一个典型的网络侵入者会向该交换机提供大量的无效

MAC

源地址，直到

CAM

表格被添满。当这种情况发生的时候，交换机会将传输进来的信息向所有的端口发送，因为这时交换机不能够从CAM

表格中查找出特定的MAC

地址的端口号。CAM

表格淹没只会导致交换机在本地VLAN

范围内到处发送信息，所以侵入者只能够看到自己所连接到的本地VLAN

中的信息。VLAN

中继：VLAN（虚拟局域网）

中继是一种网络攻击，由一终端系统发出以位于不同

VLAN

上的系统为目标地址的数据包，而该系统不可以采用常规的方法被连接。该信息被附加上不同于该终端系统所属网络

VLAN

ID

的标签。或者发出攻击的系统伪装成交换机并对中继进行处理，以便于攻击者能够收发其它

VLAN

之间的通信。872.1.2操作生成树协议与BPDU防护技术STP（生成树协议）：

若交换机接收到一个数据帧，而其CAM表中没有这个数据帧目的MAC地址的记录，交换机就会通过这个VLAN中的奇遇所有端口来转发这个数据帧。为了防止产生广播风暴或MAC地址翻动问题STP协议应运而生。该协议可应用于在网络中建立树形拓扑，消除网络中的环路，并且可以通过一定的方法实现路径冗余，但不是一定可以实现路径冗余。生成树协议适合所有厂商的网络设背，在配置上和体现功能强度上有所差别，但是在原理和应用效果是一致的。STP工作模式：（1）选举1根网桥（2）选举各非根网桥的根端口（3）选择各个网段的指定端口。简单的说STP协议是通过桥协议数据单元（BPDU）来判断根网桥，根端口和指定端口的。选择根网桥的依据是交换机的网桥优先级，网桥优先级是用来衡量网桥在生成树算法中优先级的十进制数，取值范围是0～65535.默认值是32768，网桥ID=网桥优先级+网桥MAC地址组成的，共有8个字节。由于交换机的网桥优先级都是默认，所以在根网桥的选举中比较的一般是网卡MAC地址的大小，选取MAC地址小的为根网桥。操纵生成树协议：生成树协议可用于交换网络中以防止在以太网拓朴结构中产生桥接循环。通过攻击生成树协议，网络攻击者希望将自己的系统伪装成该拓朴结构中的根网桥。要达到此目的，网络攻击者需要向外广播生成树协议配置/拓朴结构改变网桥协议数据单元（BPDU），企图迫使生成树进行重新计算。网络攻击者系统发出的BPDU

声称发出攻击的网桥优先权较低。如果获得成功，该网络攻击者能够获得各种各样的数据帧。88BPDU:网桥协议数据单元（BridgeProtocolDataUnit)。是一种生成树协议问候数据包，它以可配置的间隔发出，用来在网络的网桥间进行信息交换。BPDU防护：能够防止交换设备意外地连接到启用PortFast特性的端口D如果将交换机连接到启用PortFast特性的端口，那么就可能导致第2层环路或拓扑变更。

BPDU保护仅用在PortFast模式。它被网络设计者用来加强STP域边届.2.1.3DHCP耗竭、DHCP欺骗与DHCPsnoopingDHCP：DHCP（DynamicHostConfigurationProtocol，动态主机配置协议）是一个局域网的网络协议，使用UDP协议工作，主要有两个用途：给内部网络或网络服务供应商自动分配IP地址，给用户或者内部网络管理员作为对所有计算机作中央管理的手段。该协议定义在RFC2131和RFC2132中。DHCP工作原理：（1）客户端发送一个广播消息来寻址（2）DHCP服务器通过DHCPOFFER向客户端提供一些配置参数（如IP地址、MAC地址、域名）（3）客户端为了使用Server反馈的地址IP返回正式请求（4）Server接收请求返回DHCPPACK消息并允许分配IP地址给客户端DHCP耗竭：DHCP

耗竭的攻击通过利用伪造的MAC

地址来广播DHCP

请求的方式来进行。利用诸如gobbler

之类的攻击工具就可以很容易地造成这种情况。如果所发出的请求足够的话，网络攻击者就可以在一段时间内耗竭向DHCP

服务器所提供的地址空间。这是一种比较简单的资源耗竭的攻击手段，就像SYN

泛滥一样。然后网络攻击者可以在自己的系统中建立起虚假的DHCP

服务器来对网络上客户发出的新DHCP

请求作出反应。89DHCP欺骗：（1）一个攻击者将会在VLAN内伪装成一个DHCP服务器（2）这个攻击者会为合法的客户DHCP请求作一个回应（3）这个攻击者可以给客户分配IP地址和网关（攻击者会把自己的IP地址作为网关，推送给我们的客户，这样客户去访问互联网的时候，所有流量都是送给攻击者，这样攻击都就可以捕获所有的流量）（4）攻击者还能对合法DHCP服务器进行泛洪的攻击。90DHCPsnooping

DHCPsnooping(DHCP窥探)技术可以防止DHCP欺骗攻击，它的主要工作原理有四点：（1）它会对DHCP的Discover和Offer这两个报文进行追踪（2）在Untrust接口对Request进行速率的限制，降低对我们DHCP服务器的DOS攻击。

（3）如果在Untrust接口出现Offer，这很有可能是一个恶意的DHCP服务器，在Untrust出现Offer，这个Offer会被丢掉。

（4）一个黑客想对现有DHCP服务器作DOS攻击，比如它发送大量的DHCP请求（Request）想冲垮掉、DOS掉当前DHCP服务器，这也是不可能，因为我们给Untrust接口上作限速，比如每秒只允许发10个请求包，如果超过10个，这个接口可能就会被Down掉。91DHCPsnooping的配置：（1）在全局模式激活DHCP

Snooping

（2）需要把DHCP

Snooping

配置到某一个VLAN上面去

（3）配置Trust接口（默认的都是Untrust）（4）在Untrust接口配置限速922.1.4ARP欺骗与ARP监控ARP定义：ARP（AddressResolutionProtocol）是地址解析协议是一种将IP地址转化成物理地址的协议。从IP地址到物理地址的映射有两种方式：表格方式和非表格方式。ARP具体说来就是将网络层（也就是相当于OSI的第三层）地址解析为数据链路层（也就是相当于OSI的第二层）的物理地址(注:此处物理地址并不一定指MAC地址)。ARP原理：某机器A要向主机B发送报文，会查询本地的ARP缓存表，找到B的IP地址对应的MAC地址后，就会进行数据传输。如果未找到，则A广播一个ARP请求报文（携带主机A的IP地址Ia——物理地址Pa），请求IP地址为Ib的主机B回答物理地址Pb。网上所有主机包括B都收到ARP请求，但只有主机B识别自己的IP地址，于是向A主机发回一个ARP响应报文。其中就包含有B的MAC地址，A接收到B的应答后，就会更新本地的ARP缓存。接着使用这个MAC地址发送数据（由网卡附加MAC地址）。因此，本地高速缓存的这个ARP表是本地网络流通的基础，而且这个缓存是动态的。ARP协议：ARP协议并不只在发送了ARP请求才接收ARP应答。当计算机接收到ARP应答数据包的时候，就会对本地的ARP缓存进行更新，将应答中的IP和MAC地址存储在ARP缓存中。因此，当局域网中的某台机器B向A发送一个自己伪造的ARP应答，而如果这个应答是B冒充C伪造来的，即IP地址为C的IP，而MAC地址是伪造的，则当A接收到B伪造的ARP应答后，就会更新本地的ARP缓存，这样在A看来C的IP地址没有变，而它的MAC地址已经不是原来那个了。93ARP欺骗：ARP欺骗是黑客常用的攻击手段之一，ARP欺骗分为二种，一种是对路由器ARP表的欺骗；另一种是对内网PC的网关欺骗截取网关数据：第一种ARP欺骗的原理是——截获网关数据。它通知路由器一系列错误的内网MAC地址，并按照一定的频率不断进行，使真实的地址信息无法通过更新保存在路由器中，结果路由器的所有数据只能发送给错误的MAC地址，造成正常PC无法收到信息。第二种ARP欺骗的原理是——伪造网关。它的原理是建立假网关，让被它欺骗的PC向假网关发数据，而不是通过正常的路由器途径上网。在PC上看来，就是上不了网了，“网络掉线了”。一般来说，ARP欺骗攻击的后果非常严重，大多数情况下会造成大面积掉线。有些网管员对此不甚了解，出现故障时，认为PC没有问题，交换机没掉线的“本事”，电信也不承认宽带故障。而且如果第一种ARP欺骗发生时，只要重启路由器，网络就能全面恢复，那问题一定是在路由器了。为此，宽带路由器背了不少“黑锅”。动态ARP监控：

动态ARP监控同称ARP检测简称DAI，是三层交换机利用DHCPsnooping特性生产的DHCPsnooping表来监控ARP消息的一种功能如何排查内网的ARP攻击：一、首先诊断是否为ARP病毒攻击1、当发现上网明显变慢，或者突然掉线时，我们可以用arp-a命令来检查ARP表：（点击“开始”按钮-选择“运行”-输入“cmd”点击“确定”按钮，在窗口中输入“arp-a”命令）如果发现网关的MAC地址发生了改变，或者发现有很多IP指向同一个物理地址，那么肯定就是ARP欺骗所致。这时可以通过”arp-d“清除arp列表，重新访问。94二、找出ARP病毒主机1、用“arp-d”命令，只能临时解决上网问题，要从根本上解决问题，就得找到病毒主机。通过上面的arp-a命令，可以判定改变了的网关MAC地址或多个IP指向的物理地址，就是病毒机的MAC地址。哪么对应这个MAC地址的主机又是哪一台呢，windows中有ipconfig/all命令查看每台的信息，但如果电脑数目多话，一台台查下去不是办法，因此可以下载一个叫“NBTSCAN”的软件，它可以扫描到PC的真实IP地址和MAC地址。三、处理病毒主机1、用杀毒软件查毒，杀毒。2、建议重装系统，一了百了。（当然你应注意除系统盘外其他盘有无病毒）四、如何防范ARP病毒攻击1、IP/MAC双向绑定由于ARP病毒的种种网络特性，可以采用一些技术手段进行网络中ARP病毒欺骗数据包免疫。即便网络中有ARP中毒电脑，在发送欺骗的ARP数据包，其它电脑也不会修改自身的ARP缓存表，数据包始终发送给正确的网关，普遍使用的一种方式是“双向绑定法”。双向绑定法，顾名思义，就是要在两端绑定IP-MAC地址，其中一端是在路由器中，绑定下面局域网内部计算机的IP和MAC地址。2、作为网络管理员，应该充分利用一些工具软件，备一些常用的工具，就ARP而言，推荐在手头准备这样几个软件：（1）飞鱼星网关智能绑定精灵，一键绑定。（2）“AntiARPSniffer”（使用AntiARPSniffer可以防止利用ARP技术进行数据包截取以及防止利用ARP技术发送地址冲突数据包，并能查找攻击主机的IP及MAC地址）。（3）“NBTSCAN”（NBTSCAN可以取到PC的真实IP地址和MAC地址，利用它可以知道局域网内每台IP对应的MAC地址）（4）“网络执法官”（一款局域网管理辅助软件，采用网络底层协议，能穿透各客户端防火墙对网络中的每一台主机、交换机等配有IP的网络设备进行监控；采用网卡号（MAC）识别用户，主要功能是依据管理员为各主机限定的权限，实时监控整个局域网，并自动对非法用户进行管理，可将非法用户与网络中某些主机或整个网络隔离，而且无论局域网中的主机运行何种防火墙，都不能逃避监控，也不会引发防火墙警告，提高了网络安全性）953、定时检查局域网病毒，对机器进行病毒扫描，平时给系统安装好补丁程序，最好是局域网内每台电脑保证有杀毒软件（可升级）4