“可爱的老鹰”通过精心收集,向本站投稿了6篇局域网面对攻击的安全策略,以下是小编为大家整理后的局域网面对攻击的安全策略,欢迎参阅,希望可以帮助到有需要的朋友。
- 目录
篇1:局域网面对攻击的安全策略
局域网的安全问题经常是面对来自Internet的攻击,因此你必须时刻防范这些恶意攻击,关注你局域网的计算机系统安全,
在这篇文章里我们谈一谈网络攻击的机制,同时也着重讲述一下局域网系统避免遭受攻击的方法。
这里我们使用网络协议分层模式来分析局域网的安全。从图1可以看到,网络的七层在不同程度上会遭受到不同方式的攻击,如果攻击者取得成功,那将是非常危险的。而我们通常听到或见到的攻击往往发生在应用层,这些攻击主要是针对Web服务器、浏览器和他们访问到的信息,比较常见的还有攻击开放的文件系统部分。
下面两个方法从实践上来说被认为是非常有用的防范手段。
1.包过滤
图1 七层模型易遭受的安全攻击
在网络层检查通信数据,观察它的源地址和目的地址。过滤器可以禁止特定的地址或地址范围传出或进入,也可以禁止令人怀疑的地址模式。
2.防火墙
图2 包过滤器的配置
在应用层检查通信数据,检查消息地址中的端口,或检查特定应用的消息内容。测试失败的任何通信数据将被拒绝。
一、路由包过滤
TCP/IP地址由机器地址和标识程序处理消息的端口数字组成。这个地址/端口组合信息对每个TCP/IP消息都是有效的。包过滤与防火墙相比处理的简单一些,它仅是观察TCP/IP地址,而不是端口数字或消息内容。不过包过滤提供给你的是很好的网络安全工具。
包过滤器通常使用的是自顶向下的操作原则,下面是它使用的一个典型规则:
●允许所有传出通信数据通过;
●拒绝建立新的传入连接;
●其它的数据可以全部被接受。
通过这样的使用规则,系统的安全性提高了许多。因为它拒绝了Internet上主动与你的计算机建立新连接的请求。它阻止使用TCP的通信数据进入,从而杜绝了对共享驱动器和文件的未授权访问。
过滤器通常的应用是配置在连接你的计算机和Internet的路由器上,如图2所示。在你的局域网和Internet之间放置过滤器后,就可以保证局域网与Internet所有的通信数据都要经过过滤器。
如果包过滤软件有能力检查源地址子网,从子网物理端口传递消息到路由器,你就可以制定规则来避免虚假的TCP/IP地址,就象图2所示的那样。攻击者欺骗的方法就是把来自Internet的消息伪装成来自你局域网的消息。包过滤通过拒收带有不可能源地址的消息来防御攻击者的攻击,
例如,假定你在一个装有Linux的机器上安装软件,让它作为一个Windows网络文件服务器,你可以配置Linux让它拒收所有来自你的子网以外的通信数据,阻止Internet上的机器看到这个文件服务器。如果攻击者假装是你内部的机器,用过滤器就可以阻止攻击者的攻击。
包过滤虽然对网络的安全防范能起到很好的作用,但包过滤也并不是万能的。它们一般不能防御使用UDP协议的攻击,因为过滤器不能拒收开放的消息。包过滤还不能防御低层攻击,象PING方式的攻击。
二、防火墙
使用防火墙软件可以在一定程度上控制局域网和Internet之间传递的数据。图3所示是一个TCP/IP数据包报头示意图,从它上面可以清楚地看到包过滤和防火墙工作原理的不同之处。防火墙不但检查了包过滤检查内容的所有部分(TCP/IP的源地址和目的地址),还检查了源/目的端口数字和包的内容。
图3 包过滤器和防火墙的信息源
端口和消息内容这些信息使防火墙比包过滤有更强的防范能力,因为这些信息使防火墙控制特定进/出的主机地址。防火墙的功能有以下几个方面:
●允许或禁止特定的应用服务,例如:FTP或Web页面服务;
●允许或禁止访问基于被传递的信息内容的服务。
防火墙最直接的实施就是使用图2所示的结构,仅把局域网和ISP之间的包过滤器换成防火墙就可以了。这是一个防火墙的最安全的应用,因为它保护了防火墙后面的所有计算机。
图4 防火墙中使用DMZ
如果我们把图2改为图4所示的结构,就可以很好地解决这个问题。图4的结构中有3个端口。第三个端口连接的是另一个局域网,通常叫做DMZ(非军事区)。DMZ中的计算机与安全局域网中的计算机相比安全性要差一些,但是这些计算机可以接受来自Internet的访问。你可以把Web和FTP服务器放在DMZ,从而可以保护其它的计算机。防火墙上的规则设定为阻止进入安全局域网的通信数据,仅允许传出连接的建立。
如果你想增强DMZ局域网的安全性,可以使用过滤器,限制局域网中服务器使用的端口,禁止那些来自攻击站点的访问。
为了安全还可以给你的局域网分段,每段设置一个防火墙,每个防火墙使用不同的安全规则。需要记住的一点是,防火墙本身并没有保障安全的能力,你需要定期的检查防火墙对可疑事件做出的日志记录,还需要去发现和使用软件的安全补丁。
如果你使用Windows 98第二版的Internet共享连接功能,让你的一台计算机通过Modem把局域网连接上Internet。在这种情况下,你的网络是很不安全的,仍需要改善网络的安全性。最大的威胁就是你的电脑直接连接在了Internet上,你应该直接在这台电脑上安装包过滤器或防火墙产品,或让你的ISP安装包过滤器或防火墙来保护你的访问。
篇2: 攻击方法与安全策略的订制
一旦 定位了你的网络,他通常会选定一个目标进行渗透,
攻击方法与安全策略的订制
。通常这个目标会是安全漏洞最多或是他拥有最多攻击工具的主机。非法入侵系统的方法有很多,你应当对这些方法引起注意。
常见攻击类型和特征
攻击特征是攻击的特定指纹。入侵监测系统和网络扫描器就是根据这些特征来识别和防范攻击的。下面简要回顾一些特定地攻击渗透网络和主机的方法。
常见的攻击方法
你也许知道许多常见的攻击方法,下面列出了一些:
字典攻击: 利用一些自动执行的程序猜测用户命和密码,审计这类攻击通常需要做全面的日志记录和入侵监测系统(IDS)。
Man-in-the-middle攻击: 从合法的传输过程中嗅探到密码和信息。防范这类攻击的有效方法是应用强壮的加密。
劫持攻击:在双方进行会话时被第三方( )入侵, 黑掉其中一方,并冒充他继续与另一方进行会话。虽然不是个完全的解决方案,但强的验证方法将有助于防范这种攻击。
病毒攻击:病毒是能够自我复制和传播的小程序,消耗系统资源。在审计过程中,你应当安装最新的反病毒程序,并对用户进行防病毒教育。
非法服务:非法服务是任何未经同意便运行在你的操作系统上的进程或服务。你会在接下来的课程中学到这种攻击。
拒绝服务攻击:利用各种程序(包括病毒和包发生器)使系统崩溃或消耗带宽。
容易遭受攻击的目标
最常遭受攻击的目标包括路由器、数据库、Web和FTP服务器,和与协议相关的服务,如DNS、WINS和SMB。本课将讨论这些通常遭受攻击的目标。
路由器
连接公网的路由器由于被暴露在外,通常成为被攻击的对象。许多路由器为便于管理使用SNMP协议,尤其是SNMPv1,成为潜在的问题,
许多网络管理员未关闭或加密Telnet会话,若明文传输的口令被截取, 就可以重新配置路由器,这种配置包括关闭接口,重新配置路由跳计数等等。物理安全同样值得考虑。必须保证路由器不能被外人物理接触到进行终端会话。
过滤Telnet
为了避免未授权的路由器访问,你应利用防火墙过滤掉路由器外网的telnet端口和SNMP[161,162]端口
技术提示:许多网络管理员习惯于在配置完路由器后将Telnet服务禁止掉,因为路由器并不需要过多的维护工作。如果需要额外的配置,你可以建立物理连接。
路由器和消耗带宽攻击
最近对Yahoo、e-Bay等电子商务网站的攻击表明迅速重新配置路由器的重要性。这些攻击是由下列分布式拒绝服务攻击工具发起的:
Tribal Flood Network(TFN)
Tribal Flood Network(TFN2k)
Stacheldraht(TFN的一个变种)
Trinoo(这类攻击工具中最早为人所知的)
因为许多公司都由ISP提供服务,所以他们并不能直接访问路由器。在你对系统进行审计时,要确保网络对这类消耗带宽式攻击的反映速度。你将在后面的课程中学习如何利用路由器防范拒绝服务攻击。
数据库
最想得到的是公司或部门的数据库。现在公司普遍将重要数据存储在关系型或面向对象的数据库中,这些信息包括:
雇员数据,如个人信息和薪金情况。
市场和销售情况。
重要的研发信息。
货运情况。
可以识别并攻击数据库。每种数据库都有它的特征。如SQL Server使用1433/1434端口,你应该确保防火墙能够对该种数据库进行保护。你会发现,很少有站点应用这种保护,尤其在网络内部。
篇3:局域网安全HSRP攻击和防范
HSRP的工作原理在这就不介绍了,相信大家都知道,
这是只讲一下HSRP 的特点:
1 HSRP 虚拟出一个全新的IP 和MAC地址。
2 HSRP的主播地址版本1是224.0.0.2(所有局域网的路由器),版本2的主播地址是 224.0.0.102(所有HSRP路由器)。
HSRP的TTL为1,所以不可能实现跨网攻击。
默认的验证密码是明文“cisco”
IPV4使用UDP的1985端口,IPV6使用的是UDP的2029端口。
虚拟MAC的构成方法:
下面通过抓包验证上面的正确性:
一 MAC 我设置的是10
二 明文密钥的验证:
三 TTL验证
通过上面的我们可以看出其实攻击一个HSRP很容易,我们用笔记本安装一个假路由器 ,先用抓包软件分析一下是不是用了HSRP,然后将假路由器 priority为255,然后丢弃收到的所有数据包就能实现一个DOS攻击,
当然HSRP 也是一个网关,用中间人攻击也可用轻松实现攻击。
防范:
1采用强认证
key chain hsrp
key 1
key-string root
standby 10 authentication md5 key-chain hsrp
验证:
存在的问题:
这种方法对重放攻击是没有办法的 我们可以采取VLAN MAP和IOS ACL
限制只允许合法的HSRP协议,和端口安全等。
说明 由于我抓包软件的原因HSRP 的版本显示错误的 。本人由于水平有限难免出现错误希望朋友能指出错误
配置如下:up./2012/0511/20120511102848619.rar
摘自 wenlf136 的BLOG
篇4:dos攻击局域网的简易教程
一, ping
用来检查网络是否通畅或者网络连接速度的命令,作为一个生 活在网络上的管理员或者 来说,ping 命令是第一个必须掌握的DOS 命令,所利用的原理是这样的网络上的机器都有唯一确定的 IP 地址,给目标 IP 地址发送一个数据包,对方就要返回一个同样大小的数据包,根据返回的数据包我可以确定目标主机的存在可以初步判断目标主机的操作系 统等。下面就来看看它一些常用的操作。先看看协助吧,DOS 窗口中键入:ping /? 回车,所示的协助画面。此,只掌握一些基本的很有用的参数就可以了下同)
-t 表示将不间断向目标 IP 发送数据包,直到强迫其停止。试想,如果你使用 100M 宽带接入,而目标 IP 56K 小猫,那么要不了多久,目标 IP 就因为接受不了这么多的数据而掉线,呵呵,一次攻 击就这么简单的实现了
-l 定义发送数据包的大小,默认为 32 字节,利用它可以最大定义到 65500 字节。结合上面介绍的 -t 参数一起使用,会有更好的效果哦。
-n 定义向目标 IP 发送数据包的次数,默认为 3 次。如果网络速度比较慢, 3 次对我来说也浪费了不少时间,因为现在目的仅仅是判断目标 IP 否存在那么就定义为一次吧。
说明一下,如果 -t 参数和 -n 参数一起使用, ping 命令就以放在后面的参数为标准,比方 “ ping IP -t -n 3 虽然使用了 -t 参数,但并不是一直 ping 下去,而是只 ping 3 次。另外, ping 命令不一定非得 ping IP 也可以直接 ping 主机域名,这样就可以得到主机的 IP
下面我举个例子来说明一下具体用法。
这里 time=2 表示从发出数据包到接受到返回数据包所用的时间是 2 秒,从这里可以判断网络连接速度的大小 从 TTL 返回值可以初步判断被 ping 主机的操作系统,之所以说 “ 初步判断 ” 因为这个值是可以修改的这里 TTL=32 表示操作系统可能是 win98
小知识:如果 TTL=128 则表示目标主机可能是 Win2000 如果 TTL=250 则目标主机可能是 Unix
至于利用 ping 命令可以快速查找局 域网故障,可以快速搜索最快的 QQ 服 务器,可以对别人进行 ping 攻击 … 这些就靠大家自己发挥了
二, nbtstat
该命令使用 TCP/IP 上的 NetBIOS 显示协议统计和当前 TCP/IP 连接,使用这个命令你可以得到远程主机的 NETBIOS 信息,比如用户名、所属的工作组、网卡的 MAC 地址等。此我就有必要了解几个基本的参数。
-a 使用这个参数,只要你知道了远程主机的机器名称,就可以得到 NETBIOS 信息(下同)
-A 这个参数也可以得到远程主机的 NETBIOS 信息,但需要你知道它 IP
-n 列出外地机器的 NETBIOS 信息。
当得到对方的 IP 或者机器名的时候,就可以使用 nbtstat 命令来进一步得到对方的信息了这又增加了入 侵的平安系数。
三, netstat
这是一个用来检查网络状态的命令,操作简便功能强大。
-a 检查外地机器的所有开放端 口,可以有效发现和预防木 马,可以知道机器所开的服务等信息,
这里可以看出外地机器开放有 FTP 服务、Telnet 服务、邮件服务、WEB 服务等。用法: netstat -a IP
-r 列出当前的路由信息,告诉我外地机器的网关、子网掩码等信息,
用法: netstat -r IP
四, tracert
跟踪路由信息,使用此命令可以查出数据从外地机器传输到目标主机所经过的所有途径,这对我解网络布局和结构很有帮助。
这里说明数据从外地机器传输到 192.168.0.1 机器上,中间没有经过任何中转,说明这两台机器是同一段局域网内。用法: tracert IP
五, net
这个命令是网络命令中最重要的一个,必需透彻掌握它每一个子命令的用法,因为它功能实在太强大了这简直就是微软为我提供的最好的入侵工 具。首先让我来看一看它都有那些子命令,键入 net /? 回车
这里,重点掌握几个入侵常用的子命令。
net view
使用此命令检查远程主机的所以共享资源。命令格式为 net view “”IP
net use
把远程主机的某个共享资源影射为本地盘符,图形界面方便使用,呵呵。命令格式为 net us x: “”IP“sharename 上面一个表示把 192.168.0.5IP 共享名为 magic 目录影射为本地的 Z 盘。下面表示和 192.168.0.7 建立 IPC$ 连接( net us ”“IP”IPC$ “password” /user:“name”
建立了 IPC$ 连接后,呵呵,就可以上传文 件了 copi nc.ex “”192.168.0.7“admin$ 表示把外地目录下的 nc.ex 传到远程主机,结合后面要介绍到其他 DOS 命令就可以实现入侵了
net start
使用它来启动远程主机上的服务。当你和远程主机建立连接后,如果发现它什么服务没有启动,而你又想利用此服务怎么办?就使用这个命令来启动吧。用法: net start servernam 胜利启动了 telnet 服务。
net stop
入侵后发现远程主机的某个服务碍手碍脚,怎么办?利用这个命令停掉就 ok 用法和 net start 同。
net user
检查和帐户有关的情况,包括新建帐户、删 除帐户、检查特定帐户、激活帐户、帐户禁用等。这对我入侵是很有利的最重要的为我克隆帐户提供了前提。键入不带参数的 net user 可以检查所有用户,包括已经禁用的下面分别讲解。
1 net user abcd 1234 /add 新建一个用户名为 abcd 密 码为 1234 帐户,默认为 user 组成员。
2 net user abcd /del 将用户名为 abcd 用户删除。
3 net user abcd /active:no 将用户名为 abcd 用户禁用。
4 net user abcd /active:y 激活用户名为 abcd 用户。
5 net user abcd 检查用户名为 abcd 用户的情况
net localgroup
检查所有和用户组有关的信息和进行相关操作。键入不带参数的 net localgroup 即列出当前所有的用户组。入侵过程中,一般利用它来把某个帐户提升为 administr 组帐户,这样我利用这个帐户就可以控制整个远程主机了用法: net localgroup groupnam usernam /add
现在把刚才新建的用户 abcd 加到 administr 组里去了这时候 abcd 用户已经是超级管理员了呵呵,可以再使用 net user abcd 来查看他状态。但这样太明显了网管一看用户情况就能漏出破绽,所以这种方法只能对付菜鸟网管,但我还得知道。现在手段都是利用其他工具和手段克隆一个让网管看不出来的超级管理员,这是后话。
篇5:局域网内部的ARP攻击是指什么
ARP协议的基本功能就是通过目标设备的IP地址,查询目标设备的MAC地址,以保证通信的进行, 那么局域网内部的ARP攻击是指什么?基于ARP协议的这一工作特性, 向对方计算机不断发送有欺诈性质的ARP数据包,数据包内包含有与当前设备重复的Mac地址,使对方在回应报文时,由于简单的地址重复错误而导致不能进行正常的网络通信,
一般情况下,受到ARP攻击的计算机会出现两种现象: 1.不断弹出本机的XXX段硬件地址与网络中的XXX段地址冲突的对话框。 2.计算机不能正常上网,出现网络中断的症状。 因为这种攻击是利用ARP请求报文进行欺骗的,所以防火墙会误以为是正常的请求数据包,不予拦截。因此普通的防火墙很难抵挡这种攻击。
篇6:排除无线局域网路由器ARP攻击故障
随着现在社会信息技术的飞速发展,如今企业网络办公化也正式步入了无线网的领域中。构建无线网最大的好处就是组网无需布线,使用便捷,经济。所以对多数企业来说,无疑是组网方案的最佳选择。大量的无线路由器被用于企业中,使得针对无线网络的故障诊断和安全保障变得与有线网络一样重要。
在企业无线网办公中经常会出现一些使用手册上未涉及到疑难和故障,有时难以应付,无法解决。下面笔者就无线网络中由路由器引发的典型故障进行分析,并提供解决方案。
连接错误 线路不通
网络线路不通有很多原因造成,但首先要检查的是连接配置上有无错误。
在确保路由器电源正常的前提下首先查看宽带接入端。路由器上的指示灯可以说明宽带线路接入端是否正常,由说明书上可以辨认哪一个亮灯为宽带接入端及用户端,观察其灯闪亮状态,连续闪烁为正常,不亮或长亮不闪烁为故障。我们可以换一根宽带胶线代替原来的线路进行连接。
如果故障依旧,请查看路由器的摆放位置与接收电脑的距离是否过远或中间有大型障碍物阻隔。这时请重新放置路由器,使无线路由器与接收电脑不要间隔太多障碍物,并使接收电脑在无线路由器的信号发射范围之内即可。
无线网卡的检查也必不可少,可以更换新的网卡并重新安装驱动程序进行调试,再网卡中点击“查看可用的无线连接”刷新“网络列表”后设置网卡参数,并再“属性”中查看有无数据发送和接收情况,排除故障。
当然路由器自身的硬件故障也是导致线路不通的直接原因,但这并不是我们所能解决的范围,应及时联系厂商进行维修或更换。
设置不当 无法连接
“设置”可以分为计算机设置和路由器设置两个方面。
计算机的设置相对简单,点击进入“网上邻居”属性,开启“无线网络连接”,然后设置“IP地址”“子网掩码”及“网关”,只要使计算机的IP地址与无线路由器的IP地址在同一网段即可。“网关”的设置可以参见网卡说明说中所述,一般情况下与路由器IP地址相同。
路由器的设置相对较为专业,复杂些。首先在系统浏览器中输入无线路由器IP地址,在弹出的登录界面中输入路由器的管理员登录名及密码即可进入设置界面。此时需要检查网络服务商所给你的宽带帐号及口令是否正确,如不正确,更正后尝试连接,如果连接后仍无法打开页面请点击进入路由器中的“安全设置”选项,查看是否开启“网络防火墙”,“IP地址过滤”以及“MAC地址过滤”选项,并做更正和设置,排除无法开启网络的故障。
网络攻击导致联网异常
ARP攻击以及非法入侵未设防的无线局域网已经是现在导致联网异常的典型案例了。由于安全设置的疏忽以及后期安全防护的不足,导致少数具有恶意的黑客对企业的重要信息及保密数据造成了极大的危害。
ARP攻击会造成网络IP冲突,数据的丢失及溢出,更有甚者会导致网络瘫痪。这些现象对企业组网的威胁都是很大的。
首先进入“带有网络的安全模式”,在无线网卡属性处更换电脑的IP地址,之后查看是否可以联网。另外购买安装专业的杀毒软件及网络防火墙是比较捷径的方法之一。
其次进入路由器“安全设置”选项进行高级设置。现在的大部分无线路由器都具有WEP的密码编码功能,用最长128bit的密码键对数据进行编码,在无线路由器上进行通信,密码键长度可以选择40bit或128bit,利用MAC地址和预设的网络ID来限制哪些无线网卡和接入点可以进入网络,完全可以确保网络安全,对于非法的接收这来说,截听无线网的信号是非常困难的,从而可以有效的防范黑客的入侵破坏和非法用户恶意的网络攻击。
最后要注意,在没有特殊需要或不具有专业技能的情况下禁止开启路由器中的“远程WEB管理”,功能选项。
路由器部分功能失灵无法使用
这个问题大多存在于一些老款的无线路由器中,当我们在配置路由器高级功能选项的时候,在反复确认连接无误的情况下就是有部分功能无法开启使用,这时你也许第一想到是否是硬件出了故障,其实不然。
首先我们要查看下路由器系统的版本,在查阅无线路由器说明书后,看该功能是否支持这个版本的路由器系统。路由器的系统通常有许多版本,每个版本支持不同的功能。如果你当前的软件版本不支持这个功能,那就应该找到相应的软件,先进行升级。
点击进入无线路由器的“系统工具”选项,进入后选择“软件升级”,此时在对话界面中会显示出当前的软件版本和硬件版本,在弹出的对话框中输入“文件名”(即系统升级的文件名)和“TFTP服务器IP”后点击“升级”即可。
升级时要注意:选择与当前硬件版本一致的软件进行升级,在升级过程中千万不要关闭路由器的电源,否则将导致路由器损坏而无法使用,在网络稳定的情况下升级过程很短整个过程不会超过一分钟。当你发现路由器在升级完毕后重启,请不要担心这是正常的。一般升级过后,路由器工作情况会更加稳定,并增加一些适用于此版本更多的新功能。
结语
企业在巨大的市场面前,信息和数据的保密及安全可谓是头等大事,在其使用的无线组网中,局域网的安全问题就显得尤为重要了,不少的人们可能要问:通过不可见的无线电波进行数据传输的无线局域网安全性有保障吗?其实无线局域网比大多数有线局域网的安全性还要高。无线局域网内在的安全特性,使许多注重商业机密的行业应用无线局域网成为了可能,但无线局域网再怎么安全也逃不过故障的发生,只要定期检查,升级;及时的更换和维修就可以避免由于网络故障所带来的重大损失了。
★ 局域网常见问题
★ 解析网络过载攻击
★ 学会面对 范文
★ 一起面对作文
局域网面对攻击的安全策略(精选6篇)
