物理網(wǎng)絡層技術簡介

1、物理網(wǎng)絡層技術簡介針對物理網(wǎng)絡層常見的攻擊方法硬件地址欺騙網(wǎng)絡嗅探物理攻擊以太網(wǎng)CSMACD載波偵聽多路訪問沖突檢測先聽后說，邊說邊聽改善：以太網(wǎng)交換機，端口表Q：接收方如何知道幀的長度？針對有線網(wǎng)絡協(xié)議的攻擊？基于頭部的攻擊（有限）源地址與目標地址設成相同過短或過長數(shù)據(jù)包（1500B, 46B）依靠設備自身安全基于協(xié)議的攻擊（無）網(wǎng)絡控制器故障基于驗證的攻擊（較難）ARP攻擊填滿交換機地址表源地址與其中一臺設備相同對策：網(wǎng)絡訪問控制NAC驗證連接ISP的設備基于流量的攻擊（容易）流量嗅探用大類的流量造成網(wǎng)絡崩潰對策：加密，VLAN無線以太網(wǎng)協(xié)議？802.11（az）Wifi 802.11a或

2、802.11b 11Mbps54Mbps 100m網(wǎng)絡嗅探AP (Access Point)訪問接入點產(chǎn)生網(wǎng)絡提供對有線網(wǎng)絡的訪問SSID：Service Set ID發(fā)現(xiàn)AP接入網(wǎng)絡發(fā)送流量CSMACA 介質空閑，等待隨機時間片無線以太網(wǎng) VS 有線以太網(wǎng)協(xié)議更復雜幀格式更復雜漏洞更多攻擊更常見基于頭部的攻擊無線以太網(wǎng)幀頭部大多數(shù)域由硬件控制器控制基于頭部的攻擊有限導致攻擊設備不能正常通信基于協(xié)議的攻擊協(xié)議主要由硬件實現(xiàn)，實施攻擊較復雜攻擊：將數(shù)據(jù)包嵌入介質中探測釣魚發(fā)送大量信號引起阻塞減少探測的方法：加密NAC（Network Access Control）避免使用人名、公司名、家庭地址作

3、為SSID基于驗證的攻擊設備驗證：無線設備與AP互相驗證AP配置驗證：訪問配置菜單，試圖修改AP的網(wǎng)絡安全特性惡意接入點：合法用戶擅自安裝AP并隱瞞AP有安全隱患，為攻擊者埋下伏筆允許用戶繞過內部安全網(wǎng)絡，降低整體安全性對策：NAC，防止未授權用戶訪問有線網(wǎng)絡；掃描發(fā)現(xiàn)惡意AP非法接入點：攻擊者將自己的AP偽裝成有效AP不加密AP獲取AP訪問控制權對策：修改AP默認密碼，加密基于流量的攻擊無線網(wǎng)絡流量嗅探對策：加密WEP：Wired Equivalent Privacy有線等效保密。對在兩臺設備之間無線傳輸?shù)臄?shù)據(jù)進行加密，防止竊聽或入侵WPA：Wi-Fi Protect Access, Wi-Fi訪問保護協(xié)議，同時使用驗證和加密，為家庭或企業(yè)設計驗證密鑰會話密鑰對抗流量嗅探常用對策VLAN虛擬局域網(wǎng)VLAN靜態(tài)VLAN基于固定端口對抗ARP攻擊防止端口映射表攻擊動態(tài)VLAN基于設備的硬件地址根據(jù)硬件地址驗證設備常用對策NAC網(wǎng)絡訪問控制NAC驗證每一臺設備使用動態(tài)VLAN強制通過基于策略分割的設備執(zhí)行策略如果為授權則不允許訪