返回
Switch&Router-第14课-端口安全.ppt

Switch&Router-第14课-端口安全.ppt

ID:61786401

大小:1.71 MB

页数:42页

时间:2021-03-20

Switch&Router-第14课-端口安全.ppt_第1页
Switch&Router-第14课-端口安全.ppt_第2页
Switch&Router-第14课-端口安全.ppt_第3页
Switch&Router-第14课-端口安全.ppt_第4页
Switch&Router-第14课-端口安全.ppt_第5页
资源描述:

《Switch&Router-第14课-端口安全.ppt》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、路由器交换机安装与调试技术提高课程网络工程系网络技术教研室第6章交换机端口安全学习目标:了解网络安全隐患掌握交换机端口安全技术复杂程度Internet技术的飞速增长InternetEmailWeb浏览Intranet站点电子商务电子政务电子交易时间第一代引导性病毒第二代宏病毒DOS电子邮件有限的黑客攻击第三代网络DOS攻击混合威胁(蠕虫+病毒+特洛伊)广泛的系统黑客攻击下一代网络基础设施黑客攻击瞬间威胁大规模蠕虫DDoS破坏有效负载的病毒和蠕虫波及全球的网络基础架构地区网络多个网络单个网络单台计算机周天分钟秒影响的目标和范围1980s1990s今天未来安全事件对我们的威胁越来越快网络安

2、全的演化大量的攻击工具随手拾来攻击工具更加“人性化”导致的结果:人人都可以说:核心层汇聚层核心设备攻击应用层攻击应用服务器群网络层攻击网络层攻击网络层攻击数据链路层攻击数据链路层攻击数据链路层攻击接入层非法ARP请求、DHCP请求、非法访问交换机需要防范攻击,保证全网安全每秒钟一万个MAC攻击、IP扫描、DoS/DDoS攻击网络攻击对各网络层次的影响在交换机上防范部分网络攻击----交换机端口安全FF.FF.FF.FF.FF.FF广播MAC地址00.d0.f8.00.07.3c前3个字节:IEEE分配给网络设备制造厂商的后3个字节:网络设备制造厂商自行分配的,不重复,生产时写入设备MAC地

3、址:链路层唯一标识接入交换机MACPortA1B2C3MAC地址表:空间有限MAC攻击MAC攻击攻击:交换机内部的MAC地址表空间是有限的,MAC攻击会很快占满交换机内部MAC地址表,使得单播包在交换机内部也变成广播包向同一个VLAN中所有端口转发,每个连在端口上的客户端都可以收到该报文,交换机变成了一个Hub,用户的信息传输也没有安全保障了交换机PCAMACAPCBMACBPCCMACCMACPortA1X2Y3交换机内部的MAC地址表空间很快被不存在的源MAC地址占满。没有空间学习合法的MACB,MACC流量C->B流量C->B流量C->B单播流量在交换机内部以广播包方式在所有端口转发

4、,非法者也能接受到这些报文MAC攻击:每秒发送成千上万个随机源MAC的报文MAC攻击交换机攻击者当端口学习的源MAC地址数量>1个或源MAC地址和端口绑定的不一样,受到的数据帧丢弃/发送警告信息通知网管员/端口可关闭MAC攻击MAC攻击防范:利用交换机端口安全功能下的MAC动态地址锁/端口静态绑定MAC,来限定交换机某个端口上可以学习的源MAC数量或源MAC地址,当该端口学习的MAC数量超过限定数量时,交换机将产生违例动作。DHCP攻击DHCPServerPCClientDHCPDiscover(广播包)DHCPOffer(单播包)DHCPRequest(广播包)DHCPACK(单播包)D

5、HCP:标准请查阅RFC2131DHCP协议DHCP攻击DHCP报文格式ClientIPAddress(CIADDR)(4Bytes)Seconds(2Bytes)Flags(2Bytes)TransactionID(XID)ServerIPAddress(SIADDR)(4Bytes)YourIPAddress(YIADDR)(4Bytes)GatewayIPAddress(GIADDR)(4Bytes)ClientHardwareAddress(CHADDR)(16Bytes)Filename(128Bytes)ServerName(SNAME)(64Bytes)DHCPOptions

6、OPCodeHardwareTypeHardwareLengthHOPSDHCP攻击Filename(128Bytes)DHCPOptionsOP:若是Client送给DHCPServer的报文,设为1,反之为2ClientIPAddress(CIADDR):要是客户端(Client)想继续使用之前取得的IP地址,则列于这个字段YourIPAddress(YIADDR):DHCPServer送回客户端(Client)的DHCPOffer和DHCPACK报文中,此栏填写DHCPServer分配给Client端的IP地址GatewayIPAddress(GIADDR):若需跨网段进行DHCP发

7、放,这个字段则为RelayAgent的IP地址,否则为0;ClientHardwareAddress(CHADDR)(16Bytes):客户端申请IP地址用的MAC地址即在此字段DHCPOptions:允许厂商自定义的选项,以提供更多的设定信息(如子网掩码、Gateway、DNS、用户权限等)。其长度可变,可携带多个选项,每一个选项的第一个byte为信息代码,其后一个byte为该项信息长度,之后为该项信息内容DHCP攻击

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。