江苏省高校图情工委.ppt_第1页
江苏省高校图情工委.ppt_第2页
江苏省高校图情工委.ppt_第3页
江苏省高校图情工委.ppt_第4页
江苏省高校图情工委.ppt_第5页
已阅读5页,还剩133页未读 继续免费阅读

下载本文档

版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领

文档简介

1、恭祝江苏省高校图情工委现代技术专业委员会年会顺利召开,局域网的网络安全防范与技术,孙国梓 博士 南京邮电大学计算机学院,主要内容,局域网环境简介 局域网的安全威胁 局域网监听与防范 局域网ARP攻击与防范 局域网病毒入侵与防范 快速关闭端口防止入侵 局域网共享资源安全防范 无线局域网嗅探与防范 局域网上网的安全防范与技巧,局域网环境简介,计算机网络的分类按作用范围的大小分 广域网(WAN) 也叫远程网。作用范围通常为几十到几千公里,是一种可跨越国家及地区的遍布全球的计算机网络 城域网(MAN) 也叫市域网。它的范围约为几千米到几十千米 局域网(LAN) 也叫局部网。一般将微机通过高速通信线路相

2、连,范围一般在几百米到几千米,局域网环境简介,局域网的基本概念 Local Area Network (LAN) 是计算机网络的一种一个通信系统 范围 在一定的地理区域(一个办公室、一幢楼、一家工厂或方圆几公里远的地域等)内 功效 利用通信线路将众多计算机(一般为微机)及外围设备连接起来,达到数据通信和资源共享的目的,局域网环境简介,局域网最主要的特点 覆盖的地理范围较小,几米到几公里 以微机为主要联网对象 通常为某个单位或部门所有 具有较高的数据传输速率、较低的时延和较小的误码率 易于安装、配置和维护简单,造价低 实用性强,已经成为计算机网络中使用最广的形式 局域网一般分为令牌网和以太网两种

3、 令牌网主要用于广域网及大型局域网的主干部分,其操作系统大多是UNIX。组建和管理非常繁琐,需专业人员胜任 以太网是当今世界应用范围最广的一种网络技术,组建较为容易,各设备之间的兼容性较好,Windows和Netware都支持它,局域网的组成,局域网由网络硬件和网络软件两部分组成 网络硬件用于实现局域网的物理连接 为连接在局域网上的计算机之间的通信提供一条物理信道和实现局域网间的资源共享 网络软件则主要用于控制 并具体实现信息的传送和网络资源的分配与共享 这两部分互相依赖,共同完成局域网的通信功能,局域网的拓朴结构,最常见的局域网拓朴结构有星型、环型、总线型和树型,集线器,(a) 星型网*,(

4、b) 环型网,(c) 总线网,(d) 树型网,注:图(a)在物理上是一个星型网,但在逻辑上仍是一个总线网,干线耦合器,匹配电阻,(1) 星型拓朴,每一个站点通过点-点链路连至中心节点,所有的通信都由中心节点控制,一般采用线路交换。中心节点也可以有数据处理能力并提供共享资源 近年来由于集线器(hub)的出现和双绞线大量用于局域网中,星形网以及多级结构的星形网获得了非常广泛的应用,基本特性,优点,建网容易,配置方便 每个连接的故障容易排除,不影响全网 控制协议相对简单,缺点,在同样覆盖面积内;所用电缆量较大 扩展不方便,需要预留或增设电缆 对中心节点要求非常高,一旦中心节点产生故障,全网将不能工作

5、,集线器,或交换机,(2) 环型拓朴,由一些中继器通过点到点链路连成的一个闭合环。入网设备连到中继器上。中继器是较简单的设备,无存储转发功能。它从一条链路上接收数据,以相同速率在另一条链路上输出。数据在环上是单向传输的 由于所有站点共享一个环,因此要对站点对环的访问进行控制。控制采用分布的办法,即每个站都有控制发送和接收的访问逻辑,基本特性,优点,电线长度较短,与总线拓扑类似 适于采用光缆连接,从而提高数据速率,缺点,某段链路或某个中继器有故障会使全网不能工作 站点离网、入网都较困难,(3) 总线拓朴,将所有站点通过硬件接口连接到单根传输介质共享总线上。在IEEE802标准中IEEE802.3

6、(即以太网)和IEEE802.4(令牌总线)都是总线拓扑,基本特性,优点,与星型拓扑相比,所需电缆长度较短 结构简单,可靠性高 扩充(如增加站点、延长电缆等)较容易,缺点,故障检测不很容易,如总线有故障需分段查找,如站点有故障需一个一个查 站点需要提供访问控制功能,按网络使用的传输介质分类,局域网使用的传输介质有双绞线,光纤,同轴电缆,无线电波,微波等 对应的局域网有双绞线网,光纤网,同轴电缆网,无线局域网,微波网 目前小型局域网大都是双绞线网,而较大型局域网则采用光纤和双绞线传输介质的混合型网络 近年来,无线网络技术发展迅速,它将成为未来局域网的一个重要发展方向,局域网环境简介,无线局域网

7、Wireless LAN可提供所有无线局域网的功能,而不需要物理线路连接 数据先被调制到射频载波中,然后以大气为载体进行传输 典型速率为11Mbps和54Mbps,但实际应用中得到的速率通常为此速率的一部分 无线局域网的实现可以非常简单,只要在计算机上安装无线网卡即可 如果想和有线网络连接在一起需要添加一个无线接入点AP。AP一般位于无线客户端的中心接入位置,Wireless LAN的优缺点,优点: 移动性 安装 安装的灵活性 减少用户投入 易于扩展 缺点: Wireless LAN和有线局域网相比速率较低 无线网络的硬件投入会高于有线网络,主要内容,局域网环境简介 局域网的安全威胁 局域网监

8、听与防范 局域网ARP攻击与防范 局域网病毒入侵与防范 快速关闭端口防止入侵 局域网共享资源安全防范 无线局域网嗅探与防范 局域网上网的安全防范与技巧,局域网安全威胁,局域网技术将网络资源共享的特性体现得淋漓尽致 不仅能提供软件资源、硬件资源共享 还提供Internet连接共享等各种网络共享服务 越来越多的局域网被应用在学校、写字楼,办公区,局域网的安全威胁,目前绝大多数的局域网使用的协议都是和Internet一样的TCP/IP协议 各种黑客工具一样适用于局域网 局域网中的计算机更多体现的是共享和服务 因此局域网的安全隐患较之于Internet更是有过之而无不及,局域网的安全威胁,目前的局域网

9、基本上都采用以广播为技术基础的以太网 任何两个节点之间的通信数据包,不仅为这两个节点的网卡所接收,也同时为处在同一以太网上的任何一个节点的网卡所截取 黑客只要接入以太网上的任一节点进行侦听 就可以捕获发生在这个以太网上的所有数据包,对其进行解包分析,从而窃取关键信息,这就是以太网所固有的安全隐患,安全无内、外之分,长期以来,对于信息安全问题,通常认为安全问题主要源于外面因素,都希望在互联网接入处,把病毒和攻击挡在门外,就可安全无忧 有许多重大的网络安全问题正是由于内部员工引起 一些间谍软件、木马程序等恶意软件就会不知不觉地被下载到电脑中 在员工浏览色情网站、利用即时通讯和访问购物网站时 这些恶

10、意软件还会在企业内部网络中进行传播,不仅会产生安全隐患,而且还会影响到网络的使用率 特别值得注意的是,企业的机密资料、客户数据等信息可能会由于恶意软件的存在,不知不觉被盗取,局域网内的安全误区,局域网中无需单机防火墙 没有人会针对我 安装杀毒软件和病毒防火墙就不怕病毒 安装了SP2的Windows XP就安全了,主要内容,局域网环境简介 局域网的安全威胁 局域网监听与防范 局域网ARP攻击与防范 局域网病毒入侵与防范 快速关闭端口防止入侵 局域网共享资源安全防范 无线局域网嗅探与防范 局域网上网的安全防范与技巧,以太网协议工作方式,将要发送的数据包发往连接在一起的所有主机 包中包含着应该接收数

11、据包主机的正确地址 只有与数据包中目标地址一致的那台主机才能接收 当主机网卡设置为混杂模式时(监听模式) 经过自己网络接口的那些数据包 无论数据包中的目标地址是什么,主机都将接收(监听),以太网协议工作方式,现在网络中使用的大部分协议都是很早设计的 许多协议的实现都是基于一种非常友好的、通信的双方充分信任的基础之上 许多信息以明文发送,局域网监听与防范,局域网中采用广播方式 在某个广播域中可以监听到所有的信息包 黑客通过对信息包进行分析,就能获取局域网上传输的一些重要信息 很多黑客入侵时都把局域网扫描和侦听作为其最基本的步骤和手段,原因是想用这种方法获取其想要的密码等信息 对黑客入侵活动和其它

12、网络犯罪进行侦查、取证时,也可以使用网络监听技术来获取必要的信息 因此,了解以太网监听技术的原理、实现方法和防范措施就显得尤为重要,网络监听,网络监听技术本来是提供给网络安全管理人员进行管理的工具,可以用来监视网络的状态、数据流动情况以及网络上传输的信息等 当信息以明文的形式在网络上传输时,使用监听技术进行攻击并不是一件难事,只要将网络接口设置成监听模式,便可以源源不断地将网上传输的信息截获 网络监听可以在网上的任何一个位置实施,如局域网中的一台主机、网关上或远程网的调制解调器之间等,网络监听的应用场景,如果用户的账户名和口令等信息也以明文的方式在网上传输 只要具有初步的网络和TCP/IP协议

13、知识,便能轻易地从监听到的信息中提取出感兴趣的部分 黑客或网络攻击者会利用此方法进行网络监听 正确使用网络监听技术也可以发现入侵并对入侵者进行追踪定位 在对网络犯罪进行侦查取证时获取有关犯罪行为的重要信息,成为打击网络犯罪的有力手段,使用sniffer pro进行监听,获取邮箱密码 通过对用监听工具捕获的数据帧进行分析,可以很容易的发现敏感信息和重要信息 对一些明码传输的邮箱用户名和口令可以直接显示出来,网络监听的相关软件,密码监听器(01) 用于监听网页的密码,包括网页上的邮箱、论坛、聊天室等 只需在一台电脑上运行,就可以监听整个局域网内任意一台电脑登录的账号和密码,并将密码显示、保存,或发

14、送到用户指定的邮箱,如何检测并防范网络监听,网络监听是很难被发现的,特点 隐蔽性强 运行网络监听的主机只是被动地接收在局域局上传输的信息 不主动的与其他主机交换信息,也没有修改在网上传输的数据包 手段灵活 网络监听可以在网上的任何位置实施 可以是网上的一台主机、路由器,也可以是调制解调器 网络监听效果最好的地方是在网络中某些具有战略意义的位置 如网关、路由器、防火墙之类的设备或重要网段;而使用最方便的地方是在网中的一台主机上,对可能存在的网络监听的检测,1) 对于怀疑运行监听程序的主机,可用正确的IP地址和错误的物理地址去探测(如Ping),运行监听程序的主机会有响应 这是因为正常的机器不接收

15、错误的物理地址 处理监听状态的机器能接收 如果他的IP stack不再次反向检查的话,就会响应,对可能存在的网络监听的检测,2) 可向网上发送大量目的地址根本不存在的数据包 由于监听程序要分析和处理大量的数据包会占用很多的CPU资源,这将导致性能下降 通过比较前后该机器性能加以判断 这种方法难度比较大 3) 使用反监听工具如antisniffer等进行检测,对网络监听的检测,当前,有两个比较可行的办法 搜索网上所有主机运行的进程 网络管理员使用UNIX或Windows NT的主机,可以很容易地得到当前进程的清单 确定是否有一个进程被从管理员主机上启动 搜查监听程序 现在监听程序只有有限的几种,

16、管理员可以检查目录,找出监听程序,对网络监听的检测,还有两个方法比较有效,缺点也是难度较大 检查被怀疑主机中是否有一个随时间不断增长的文件存在 因为网络监听输出的文件通常很大,且随时间不断增长 通过运行ipconfig命令,检查网卡是否被设置成了监听模式 或使用Ifstatus工具,定期检测网络接口是否处于监听状态 当网络接口处于监听状态时,可能是入侵者侵入了系统,并正在运行一个监听程序,就要有所注意,对网络监听的防范措施,从逻辑或物理上对网络分段 以交换式集线器代替共享式集线器 控制单播包而无法控制广播包和多播包 使用加密技术 划分VLAN 运用VLAN(虚拟局域网)技术,将以太网通信变为点

17、到点通信,可以防止大部分基于网络监听的入侵,主要内容,局域网环境简介 局域网的安全威胁 局域网监听与防范 局域网ARP攻击与防范 局域网病毒入侵与防范 快速关闭端口防止入侵 局域网共享资源安全防范 无线局域网嗅探与防范 局域网上网的安全防范与技巧,ARP协议,Address Resolution Protocol (地址解析协议) 在局域网中,网络中实际传输的是“帧” 帧里面是有目标主机的MAC地址的 在以太网中,一个主机要和另一个主机进行直接通信,必须要知道目标主机的MAC地址 但这个目标MAC地址是如何获得的呢 通过地址解析协议获得,ARP协议原理,所谓“地址解析”就是主机在发送帧前将目标

18、IP地址转换成目标MAC地址的过程 ARP协议的基本功能就是通过目标设备的IP地址,查询目标设备的MAC地址,以保证通信的顺利进行 在局域网中,通过ARP协议来完成IP地址转换为第二层物理地址 (即MAC地址) 的 ARP协议对网络安全具有重要的意义 通过伪造IP地址和MAC地址实现ARP欺骗,能够在网络中产生大量的ARP通信量使网络阻塞,局域网内部的ARP攻击,ARP协议的基本功能就是通过目标设备的IP地址,查询目标设备的MAC地址,以保证通信的进行 基于ARP协议的这一工作特性,黑客向对方计算机不断发送有欺诈性质的ARP数据包 数据包内包含有与当前设备重复的Mac地址 使对方在回应报文时,由于简单的地址重复错误而导致不能进行正常的网络通信,受ARP攻击可能出现的现象,1) 不断弹出“本机的XXX段硬件地址与网络中的XXX段地址冲突”的对话框 2) 计算机不能正常上网,出现网络中断的症状 因为这种攻击是利用ARP请求报文进行“欺骗”的,所以防火墙会误以为是正常的请求数据包,不予拦截 普通的防火墙很难抵挡这种攻击,ARP 病毒攻击症状,现

温馨提示

  • 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
  • 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
  • 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
  • 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
  • 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
  • 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
  • 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。

评论

0/150

提交评论