,单击此处编辑母版标题样式,*,*,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,*,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,*,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,*,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,*,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,*,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,*,校园网络安全,段运生,安徽大学网络中心,校园网络安全段运生,暴力破解,利用系统自身安全漏洞,木马程序,拒绝服务攻击,蠕虫病毒,ARP,欺骗攻击,嗅探,sniffer,网络钓鱼,WEB,攻击,常见的安全攻击方法,暴力破解常见的安全攻击方法,采用穷举法，破译密码：从口令候选器中选取单词或用枚举法选取，然后用各种同样的加密算法进行加密再比较，一致则猜测成功，否则再尝试。,暴力破解,采用穷举法，破译密码：从口令候选器中选取单词或用枚举法选取，,微软安全公告,bugtraq,利用已知漏洞攻击,微软安全公告利用已知漏洞攻击,木马是指表面上是有用的软件、实际目的却是危害计算机安全并导致严重破坏的计算机程序。,具有隐蔽性的可执行程序，通常在点击后生效,可读取各种密码，下载、上传文件,可对局域网其它信息进行嗅探,木马程序,木马是指表面上是有用的软件、实际目的却是危害计算机安全并导致,通过向服务器发送大量的虚假请求，服务器由于不断应付这些无用信息而无法对合法的用户提供服务。,Botnet,：由,Bot,工具组成的可通信、可被攻击者远程控制的网络。,拒绝服务攻击,通过向服务器发送大量的虚假请求，服务器由于不断应付这些无用信,ARP,欺骗攻击,ARPAddress Resolution Protocol,地址解释协议,帧,类型,0 x0806,ARP,欺骗都是通过填写错误的源,MAC-IP,对应关系来实现的,通过伪造虚假源,IP-MAC,对应的,ARP,报文，导致网关或主机无法找到正确的通信对象,利用,ARP,协议本身的缺陷来实现,可以利用帧类型来识别,ARP,报文,ARP欺骗攻击 ARPAddress Resolutio,ARP,攻击仿冒网关,攻击者发送伪造的网关,ARP,报文，欺骗同网段内的其它主机。,主机访问网关的流量，被重定向到一个错误的,MAC,地址，导致该用户无法正常访问外网。,正常用户,A,网关,G,网关,MAC,更新了,网关,ARP,表项已更新,攻击者,B,IP Address G,MAC G,1.1.1.1,1-1-1,IP Address,MAC,Type,1.1.1.1(,网关,),1-1-1,Dynamic,IP Address,MAC,Type,1.1.1.1,（网关）,2-2-2,Dynamic,ARP,表项更新为,这种攻击为最为常见的攻击类型,访问外网数据发向错误的网关,ARP攻击仿冒网关攻击者发送伪造的网关ARP报文，欺骗同网,ARP,攻击欺骗网关,攻击者伪造虚假的,ARP,报文，欺骗网关相同网段内的某一合法用户的,MAC,地址已经更新,网关发给该用户的所有数据全部重定向到一个错误的,MAC,地址，导致该用户无法正常访问外网,正常用户,A,网关,G,用户,A,的,MAC,更新了,用户,A,的,ARP,表项已更新,发送伪造,ARP,信息,攻击者,B,IP Address,MAC,Type,1.1.1.5,3-3-3,Dynamic,IP Address,MAC,Type,1.1.1.5,2-2-2,Dynamic,ARP,表项更新为,IP Address A,MAC A,1.1.1.5,3-3-3,外网来的数据流被转发到错误的终端,ARP攻击欺骗网关攻击者伪造虚假的ARP报文，欺骗网关相同,ARP,攻击欺骗终端用户,攻击者以伪造虚假的,ARP,报文，欺骗相同网段内的其他主机，,某一合法用户的,MAC,地址已经更新,网段内的其他主机发给该用户的所有数据都被重定向到错误的,MAC,地址，同网段内的用户无法正常互访,正常用户,A,网关,G,用户,C,的,MAC,更新了,知道了,发送伪造,ARP,信息,攻击者,B,IP Address G,MAC G,1.1.1.1,1-1-1,IP Address,MAC,Type,1.1.1.1,9-9-9,Dynamic,IP Address,MAC,Type,1.1.1.1,2-2-2,Dynamic,用户,C,的,MAC is 2-2-2,ARP,表项更新为,目的,MAC,源,MAC,2-2-2,3-3-3,IP Address A,MAC A,1.1.1.5,3-3-3,数据流被中断,IP Address B,MAC B,1.1.1.20,5-5-5,IP Address C,MAC C,1.1.1.8,9-9-9,正常用户,C,ARP攻击欺骗终端用户攻击者以伪造虚假的ARP报文，欺骗相,ARP,泛洪攻击,攻击者伪造大量不同,ARP,报文在同网段内进行广播，导致网关,ARP,表项被占满，合法用户的,ARP,表项无法正常学习，导致合法用户无法正常访问外网,正常用户,A,网关,G,用户,A,、,A1,、,A2,、,A3,的,MAC,更新了,已更新,发送大量伪造,ARP,信息,攻击者,B,IP Address G,MAC G,1.1.0.1,1-1-1,IP Address,MAC,Type,1.1.0.2,2-2-2,Dynamic,1.1.0.3,2-2-3,Dynamic,1.1.0.4,2-2-4,Dynamic,1.1.0.5,2-2-5,Dynamic,1.1.0.6,2-2-6,Dynamic,.,Dynamic,1.1.0.2 MAC is 2-2-2,ARP,表项被占满,IP Address A,MAC A,1.1.1.103,3-3-3,ARP,表项无法学习,IP Address B,MAC B,1.1.1.20,5-5-5,1.1.0.3 MAC is 2-2-3,1.1.0.4 MAC is 2-2-4,1.1.1.103 MAC is 3-3-3,ARP泛洪攻击攻击者伪造大量不同ARP报文在同网段内进行广播,网络接口只响应两种数据帧：与自己硬件地址相匹配的数据帧；发向所有机器的广播数据帧。,网卡的工作模式：正常模式和混杂模式（在这种模式下的网卡能够接收一切通过它的数据，而不管数据是否是传给它的）,嗅探,Sniffer,攻击,网络接口只响应两种数据帧：与自己硬件地址相匹配的数据帧；发向,通过欺骗性的电子邮件、网页欺诈用户，诱使用户泄露重要信息的诈骗方式。,属于黑客攻击方式中的社会工程学方法，更多的依靠欺骗手段来达到目的。,网络钓鱼,通过欺骗性的电子邮件、网页欺诈用户，诱使用户泄露重要信息的诈,SQL,注入,跨站脚本,远程命令非法执行,Cookie,篡改,敏感信息泄露,WEB,攻击,SQL注入WEB攻击,信息搜集,漏洞利用,窃取、篡改、破坏,进一步渗透其他主机,安装后门,一般的入侵流程,信息搜集一般的入侵流程,找到网络地址范围,找到机器的地址,找到开放端口和入口点,找到系统的制造商和版本,扫描流程：存活性扫描、端口扫描、漏洞扫描、,OS,识别,获取信息,找到网络地址范围获取信息,网络层,系统层,应用层,管理层,常用的安全防范措施,网络层常用的安全防范措施,用户接入,二层安全,流量控制,防火墙,入侵防御,抗拒绝服务攻击,远程安全接入,网络层,用户接入网络层,用户认证,终端准入控制,用户接入,用户认证用户接入,802.1x,：基于端口的访问控制认证。,Portal,：未认证用户上网时，设备强制用户登录到特定站点，用户可以免费访问其中的服务。当用户使用互联网中的其他信息时，必须在门户网站通过认证才可以使用。,用户认证,802.1x：基于端口的访问控制认证。用户认证,对接入网络的终端实施安全准入策略,集成了网络准入、终端安全、桌面管理功能。,终端准入控制,对接入网络的终端实施安全准入策略终端准入控制,校园网络安全课件,VLAN,ARP,攻击,DHCP SNOOPING,二层安全,VLAN二层安全,ARP,攻击控制点,网关,G,用户,接入设备,网关防御,合法,ARP,绑定，防御网关被欺骗,VLAN,内的,ARP,学习数量限制，防御,ARP,泛洪攻击,1,接入设备防御,将合法网关,IP/MAC,进行绑定，防御仿冒网关攻击,合法用户,IP/MAC,绑定，过滤掉仿冒报文,ARP,限速,绑定用户的静态,MAC,2,客户端防御,合法,ARP,绑定，防御网关被欺骗,3,ARP攻击控制点网关G用户接入设备 网关防御1,流量攻击,攻击原理,广播报文或者组播报文在网络中泛滥，或者同时发送大量单播报文至同一目的网络，导致带宽资源耗尽，整个网络瘫痪,攻击危害,从一个带宽足够大的网络向一个带宽较小的网络发送大量数据，导致被攻击网络由于流量过大使正常的传输失败,调动网络中多个主机或设备同时向同一个设备发送大量流量，导致网络拥塞,流量攻击攻击原理,流量控制,访问,频度较大的业务：,Internet,、,Mail,、,DNS,带宽占用较大的业务：迅雷、,BT,、电驴、,QQ,、,MSN,领导关注的业务：,Netmeeting,、,VoIP,、,Oracle,、,VPN,内部员工因为各种,IM,即时通讯软件、网络在线游戏、,P2P,下载软件、在线视频、浏览工作无关网站导致企业网络资源滥用、,Internet,出口网络性能下降,先到先得 带宽资源严重失控,流量控制访问频度较大的业务：带宽占用较大的业务：迅雷、BT、,内部网络与外部网络的边界，严格限制外部网络对内部网络的访问，也可有效地监视内部网络对外部网络访问。,包过滤防火墙,基于状态监测的包过滤防火墙,防火墙,内部网络与外部网络的边界，严格限制外部网络对内部网络的访问，,防火墙的选择,单向访问的需求,财务部门,防火墙,办公室,主管领导,市场部门,单向访问,交换机和路由器的,ACL,都没办法实现的需求,防火墙的选择单向访问的需求财务部门防火墙办公室主管领导市,防火墙的局限,Web services,防火墙,l,Web enabled apps,HTTP,载荷中的病毒、木马、蠕虫等恶意代码,80,端口,服务器被攻破,http:/10.74.16.88/scripts/.%c0%af.cmd.exe?/c+dir+c:,防火墙可被应用层的攻击穿透，而目前,90,以上的攻击是基于应用层的攻击。,防火墙的局限Web services防火墙lWeb enab,防火墙不能有效检测并阻断夹杂在正常流量中的攻击代码。,入侵检测由于旁路部署，不能第一时间阻断所有攻击，侧重安全状态监控,入侵防御在线部署，主动防御，实时阻断攻击。,入侵防御系统,防火墙不能有效检测并阻断夹杂在正常流量中的攻击代码。入侵防御,入侵防御系统作用,应用层攻击抵御,：,蠕虫、木马、间谍软件的实时防护。,全球漏洞特征升级,：,设备自动完成升级，实现实时防护,初始事件,标准化,规则过滤,特征匹,配,WEB,E-Mail,DownLoader,掐断非法或受控应用,发现和阻断滥用误用,制止应用系统的漏洞利用,杀除病毒、木马,非法或受控应用,滥用误用,应用系统的漏洞,病毒、木马,深度过滤,用户网络内部多种应用潜藏各类威胁,inside,入侵防御系统作用应用层攻击抵御：蠕虫、木马、间谍软件的实时防,抗拒绝服务攻击,抗拒绝服务攻击,禁止对主机非公开服务的访问,限制特定,IP,地址的访问,启用设备的,DDOS,属性,抗拒绝服务攻击,禁止对主机非公开服务的访问抗拒绝服务攻击,远程安全接入,公有基础网络,分支机构网络,企业内部网络,IPsecVPN,网关,IPsecVPN,网