欢迎来到天天文库
浏览记录
ID:47648346
大小:1.11 MB
页数:12页
时间:2019-10-16
《【精品】网络安全设计与实施项目二:内网安全设计与实施》由会员上传分享,免费在线阅读,更多相关内容在工程资料-天天文库。
1、项目二内网安全设计与实施一、实训目的1、理解数据包传输过程及在该过程屮会遇到的安全问题。2、能够理解ARP攻击的原理和基本防御配置。3、能够进行个人网络防火墙配置。4、能够使用NAT协议和端口映射进行安全配置。一、实训内容1、数据包传输过程及其安全隐患。2、ARP欺骗的原理。3、ARP配置基本命令。4、数据包传输过程。5、防火墙配置要素。6、NAT和端口映射的概念。7、NAT和端口映射的应用场景。三、实训拓扑任务2-1ARP安全防御机器CInternet任务2-2NAT与端口映射部署oTTC:VXMDOVS32、u・dto=Vj)oor>t;Ar
2、t<1VJdowsaHost;Ncahbo■!•»*>*veaNocioTS/K>o■1PRo«e±r>fif21ZMx•/DM88taf'FixEv>^1<*<1••Kvt«w>»X«»<1.•Ko1I«1nt:和也连按二11y>>>*iclNoH<>1on13、P-MAC条目,造成网络中断或中间人攻击。而对应的ARP攻击防御就冇以下这儿点:1•使用ARP的DOS命令,进行ARP攻击的简单查看与防范;2•使用Sniffer软件排查并找出发动ARP攻击的计算机,进行隔离;3.做好预防,为计算机装上ARP防火墙或者360安全卫士。1、简单使用ARP的DOS命令:①对于机器C攻击机器B,使机器B无法与机器A通信,或者机器B无法上网,可以将ARP的DOS命令将自己所分配的1P与其MAC地址绑定,从4、何使机器C无法宣称自己是机器氏这样机器A就可以正常与A通信并且网关认可机器B。首先进入cmd界面,输入ipconfig/5、all得到机器B的IP地址与MAC地址,如图所示,机器B的IP为:192.168.247.131,MAC为:00-0C-29-31-88-70.Im±0**080Ft;W±O<1OW8C01OHSoot;±oo*"OK>e>o±F±oD«>tso>*l-ofi■•••Iw>t^-Ca1A<1<1>*ono.■I)II<:I>..AtJtC;O<;OfftF±O9>Eft«1>loAl.nVIVIsc:乂专V7T7T■■■■«、::B1H«Cwo»**«Ooe»«t«96、Ct;ionHH—"ZMOK/S7、-ouoFeCo**&>.然后输入arp-s192.168.247.13100-0C-29-31-88-70进行手动绑定,使这个MAC地址绑定丁机器B,从而防止了机器C的欺骗行为。②对于机器C攻击网关,宣称自己为网关,导致所有局域网内的计算机掉线,可以在被攻击的机器上将网关的IP地址与MAC地址进行绑定,从而认定真实的网关而非机器Co需要先知道网关的MAC地址(“00-50-56-E6-B1-7C”)然后输入arp-s192.168.247.200-50-56-E6-B1-7C进行手动8、绑定,使得局域网的机器识别真正网关,但是这种方式只是在ARP攻击的初始阶段奏效,当网络中充斥这大量的ARP攻击时就无法使用这种手动绑定的方式一台一台的去绑定了。否则工作量是非常庞大的。而为了防止机器下一次开机又被ARP攻击,可以编写一个.b览批处理放在计算机启动项中,计算机启动时就进行自己的IP-MAC绑定和网关的IP-MAC绑定。@echooffarp-darp-s192.168.247.13100-0C-29-31-88-70arp-s192.168.247.200-50-56-E6-B1-7C同时需耍将这个批处理拖到“windows-开始-程序9、-启动,冲,以便用户毎次开机后计算机自动加载并执行该批处理文件,对用户起到一个很好的保护作用。除以上绑定外,还可以网管交换机端绑定(在核心交换机上将所有局域网用户的IP地址与其网卡MAC地址一一对应进行全部绑定,将用户计算机网卡的MAC地址和交换机端口绑定),还冇就是采用VLAN技术隔离端口,当一个端I」内的计算机遭到ARP病毒攻击后可以封闭端口隔离此计算机以防病毒扩大化。建立ARP缓存表和禁止ARP也不为是一个不错的办法。2、计算机装上ARP防火墙或者360安全卫士通过360安全卫士开启ARP攻击防御,提而对ARP攻击进行防御36(辰全卫士9.1B10、eta全性縫住检自电期手SE法瑕金头手机助手电陌专赢53室匕信手机卫士任务言理器s^»ii?ae3TtnA0
3、P-MAC条目,造成网络中断或中间人攻击。而对应的ARP攻击防御就冇以下这儿点:1•使用ARP的DOS命令,进行ARP攻击的简单查看与防范;2•使用Sniffer软件排查并找出发动ARP攻击的计算机,进行隔离;3.做好预防,为计算机装上ARP防火墙或者360安全卫士。1、简单使用ARP的DOS命令:①对于机器C攻击机器B,使机器B无法与机器A通信,或者机器B无法上网,可以将ARP的DOS命令将自己所分配的1P与其MAC地址绑定,从
4、何使机器C无法宣称自己是机器氏这样机器A就可以正常与A通信并且网关认可机器B。首先进入cmd界面,输入ipconfig/
5、all得到机器B的IP地址与MAC地址,如图所示,机器B的IP为:192.168.247.131,MAC为:00-0C-29-31-88-70.Im±0**080Ft;W±O<1OW8C01OHSoot;±oo*"OK>e>o±F±oD«>tso>*l-ofi■•••Iw>t^-Ca1A<1<1>*ono.■I)II<:I>..AtJtC;O<;OfftF±O9>Eft«1>loAl.nVIVIsc:乂专V7T7T■■■■«、::B1H«Cwo»**«Ooe»«t«9
6、Ct;ionHH—"ZMOK/S
7、-ouoFeCo**&>.然后输入arp-s192.168.247.13100-0C-29-31-88-70进行手动绑定,使这个MAC地址绑定丁机器B,从而防止了机器C的欺骗行为。②对于机器C攻击网关,宣称自己为网关,导致所有局域网内的计算机掉线,可以在被攻击的机器上将网关的IP地址与MAC地址进行绑定,从而认定真实的网关而非机器Co需要先知道网关的MAC地址(“00-50-56-E6-B1-7C”)然后输入arp-s192.168.247.200-50-56-E6-B1-7C进行手动
8、绑定,使得局域网的机器识别真正网关,但是这种方式只是在ARP攻击的初始阶段奏效,当网络中充斥这大量的ARP攻击时就无法使用这种手动绑定的方式一台一台的去绑定了。否则工作量是非常庞大的。而为了防止机器下一次开机又被ARP攻击,可以编写一个.b览批处理放在计算机启动项中,计算机启动时就进行自己的IP-MAC绑定和网关的IP-MAC绑定。@echooffarp-darp-s192.168.247.13100-0C-29-31-88-70arp-s192.168.247.200-50-56-E6-B1-7C同时需耍将这个批处理拖到“windows-开始-程序
9、-启动,冲,以便用户毎次开机后计算机自动加载并执行该批处理文件,对用户起到一个很好的保护作用。除以上绑定外,还可以网管交换机端绑定(在核心交换机上将所有局域网用户的IP地址与其网卡MAC地址一一对应进行全部绑定,将用户计算机网卡的MAC地址和交换机端口绑定),还冇就是采用VLAN技术隔离端口,当一个端I」内的计算机遭到ARP病毒攻击后可以封闭端口隔离此计算机以防病毒扩大化。建立ARP缓存表和禁止ARP也不为是一个不错的办法。2、计算机装上ARP防火墙或者360安全卫士通过360安全卫士开启ARP攻击防御,提而对ARP攻击进行防御36(辰全卫士9.1B
10、eta全性縫住检自电期手SE法瑕金头手机助手电陌专赢53室匕信手机卫士任务言理器s^»ii?ae3TtnA0
此文档下载收益归作者所有
