欢迎来到天天文库
浏览记录
ID:24032698
大小:18.76 KB
页数:2页
时间:2018-11-12
《网络安全--radius》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库。
1、RADIUS服务器RADIUS(远程用户据拨号认证服务)服务器提供了3种基本功能:认证、授权和审计,即提供了3A功能。其中审计也称为“记账”或“计费”。RADIUS协议采用了客户机/服务器工作模式。网络接入服务器是RADIUS的客户端,它负责将用户的验证信息传递给指定的RADIUS服务器,然后处理返回的响应。RADIUS服务器负责接收用户的连接请求,并验证用户身份,然后返回所有必须要配置的信息给客户端用户,也可以作为其他RADIUS服务器或者其他类认证服务器的代理客户端。服务器和客户端之间传输的所有数据通过使用共享密钥来验证,客户端和RADIUS服务器之间的
2、用户密码经过加密发送,提供了密码使用的安全性。ARP安全ARP(地址解析协议)用来将IP地址映射到MAC地址,以便设备能够在共享介质的网络(如以太网)中通信。ARP欺骗1.ARP欺骗的概念和现状由于ARP协议在设计中存在的主动发送ARP报文的漏洞,使得主机可以发送虚假的ARP请求报文或相应报文,报文中的源IP地址和源MAC地址均可以进行伪造。在局域网关中,即可以伪造成某一台主机(如服务器)的IP地址和MAC地址的组合,有人可以伪造成网关的IP地址和MAC地址的组合等。这种组合可以根据攻击者的意图进行任意发配,而现有的局域网中却没有相应的机制和协议来防范这种伪
3、造行为。近几年来,局域网中的ARP欺骗已经泛滥成灾,几乎没有一个局域网未遭遇过ARP欺骗的侵害。2.针对计算机的ARP欺骗主机IP地址MAC地址主机A192.168.1.111-11-11-11-11-11主机B192.168.1.222-22-22-22-22-22主机C192.168.1.333-33-33-33-33-33主机D192.168.1.444-44-44-44-44-44主机E192.168.1.1555-55-55-55-55-55如果主机A在ARP缓存表中没有找到目标主机B的IP地址对应的MAC地址,主机A就会在网络上发送一个广播帧,该
4、广播帧的目的MAC地址是FF.FF.FF.FF.FF.FF,表示局域网内的所有主机发出这样的询问:IP地址为192.168.1.2的MAC地址是什么?在局域网中所有的主机都会接收到该广播帧,但在正常情况下因为只有主机B的IP地址是192.168.1.2,所以主机B会对该广播帧进行ARP响应,即向主机A发送一个响应帧:我(IP地址是192.168.1.2)的NAC地址是22-22-22-22-22-22.这样,主机A就知道了主机B的MAC地址,它就可以向主机B发送数据了,同时主机A还会更新自己的ARP缓存表,将主机B的IP地址与MAC地址的对应表关系保存在自己
5、的ARP缓存表中,以供下次通信时直接使用,避免进行广播查询。但是,主机的ARP缓存中并不会保存所有参与过通信的主机的IP地址和MAC地址的对应关系,而是采用了老化机制防止ARP缓存表过于庞大,因为过于庞大的ARP缓存表会影响主机的通信效率。在一段时间内,如果ARP缓存表中的某一条记录没有使用,就会被删除。1.针对交换机的ARP欺骗交换机工作原理是通过主动学习下连接设备的MAC地址,并建立、维护端。及MAC地址的对应表,即交换机中的MAC地址表。通过MAC地址表,实现下连接设备之间的通信。交换机的MAC地址表也称为CAM(内容可寻址存储器)。在进行ARP欺骗时
6、,ARP欺骗者利用工具产生欺骗MAC,并快速填满CAM表。交换机的CAM表被填满后,交换机便以广播方式处理通过交换机的数据帧,这是ARP欺骗者可以利用各种嗅探攻击获取网络信息。CAM表被填满后,流量便以洪泛方式发送到所有端口,其中交换机上连端口上的流量也会发送给所有端口和邻接交换机。这时的交换机其实已成为一台集线器。与集线器不同,由于交换机上有CPU和内存,大量的ARP欺骗流量会给交换机产生流量过载,其结果是下连主机的网络速度慢,并造成数据包丢失,甚至产生网络瘫痪。DHCP安全DHCP(动态主机配置协议)是一个客户机/服务器协议,在TCP/IP网络中对客户机
7、动态分配和管理IP地址等配置信息,以简化网络配置,方便用户使用及管理员的管理。1.DHCP安全问题由于DHCP客户端在获得DHCP服务器的IP地址等信息时,系统没有提供对合法DHCP服务器的认证,所以DHCP客户端从首先得到DHCP响应的DHCP服务器处获得IP地址等信息。为此,不管是人为的网络攻击或破坏,还是无意操作,一旦在网络中接入了一台DHCP服务器,该DHCP服务器就可以为DHCP客户端提供IP地址等信息的服务。其结果是客户端从非法DHCP服务器获得了不正确的IP地址、网关和DNS等参数,无法实现正常的网络连接;或客户端从非法DHCP服务器处获得的I
8、P地址与网络中正常用户使用的IP地址冲突,影响了网络
此文档下载收益归作者所有