江蘇省高校圖情工委.ppt

1、恭祝江蘇省高校圖情工委現代技術專業(yè)委員會年會順利召開,局域網的網絡安全防范與技術,孫國梓 博士 南京郵電大學計算機學院,主要內容,局域網環(huán)境簡介 局域網的安全威脅 局域網監(jiān)聽與防范 局域網ARP攻擊與防范 局域網病毒入侵與防范 快速關閉端口防止入侵 局域網共享資源安全防范 無線局域網嗅探與防范 局域網上網的安全防范與技巧,局域網環(huán)境簡介,計算機網絡的分類按作用范圍的大小分 廣域網（WAN） 也叫遠程網。作用范圍通常為幾十到幾千公里，是一種可跨越國家及地區(qū)的遍布全球的計算機網絡 城域網（MAN） 也叫市域網。它的范圍約為幾千米到幾十千米 局域網（LAN） 也叫局部網。一般將微機通過高速通信線路相

2、連，范圍一般在幾百米到幾千米,局域網環(huán)境簡介,局域網的基本概念 Local Area Network (LAN) 是計算機網絡的一種一個通信系統(tǒng) 范圍 在一定的地理區(qū)域(一個辦公室、一幢樓、一家工廠或方圓幾公里遠的地域等)內 功效 利用通信線路將眾多計算機(一般為微機)及外圍設備連接起來，達到數據通信和資源共享的目的,局域網環(huán)境簡介,局域網最主要的特點 覆蓋的地理范圍較小，幾米到幾公里 以微機為主要聯網對象 通常為某個單位或部門所有 具有較高的數據傳輸速率、較低的時延和較小的誤碼率 易于安裝、配置和維護簡單，造價低 實用性強，已經成為計算機網絡中使用最廣的形式 局域網一般分為令牌網和以太網兩種

3、 令牌網主要用于廣域網及大型局域網的主干部分，其操作系統(tǒng)大多是UNIX。組建和管理非常繁瑣，需專業(yè)人員勝任 以太網是當今世界應用范圍最廣的一種網絡技術，組建較為容易，各設備之間的兼容性較好，Windows和Netware都支持它,局域網的組成,局域網由網絡硬件和網絡軟件兩部分組成 網絡硬件用于實現局域網的物理連接 為連接在局域網上的計算機之間的通信提供一條物理信道和實現局域網間的資源共享 網絡軟件則主要用于控制 并具體實現信息的傳送和網絡資源的分配與共享 這兩部分互相依賴,共同完成局域網的通信功能,局域網的拓樸結構,最常見的局域網拓樸結構有星型、環(huán)型、總線型和樹型,集線器,(a) 星型網*,(

4、b) 環(huán)型網,(c) 總線網,(d) 樹型網,注：圖(a)在物理上是一個星型網，但在邏輯上仍是一個總線網,干線耦合器,匹配電阻,(1) 星型拓樸,每一個站點通過點-點鏈路連至中心節(jié)點，所有的通信都由中心節(jié)點控制，一般采用線路交換。中心節(jié)點也可以有數據處理能力并提供共享資源 近年來由于集線器(hub)的出現和雙絞線大量用于局域網中,星形網以及多級結構的星形網獲得了非常廣泛的應用,基本特性,優(yōu)點,建網容易，配置方便 每個連接的故障容易排除，不影響全網 控制協議相對簡單,缺點,在同樣覆蓋面積內；所用電纜量較大 擴展不方便，需要預留或增設電纜 對中心節(jié)點要求非常高，一旦中心節(jié)點產生故障,全網將不能工作

5、,集線器,或交換機,(2) 環(huán)型拓樸,由一些中繼器通過點到點鏈路連成的一個閉合環(huán)。入網設備連到中繼器上。中繼器是較簡單的設備，無存儲轉發(fā)功能。它從一條鏈路上接收數據,以相同速率在另一條鏈路上輸出。數據在環(huán)上是單向傳輸的 由于所有站點共享一個環(huán)，因此要對站點對環(huán)的訪問進行控制?？刂撇捎梅植嫉霓k法，即每個站都有控制發(fā)送和接收的訪問邏輯,基本特性,優(yōu)點,電線長度較短，與總線拓撲類似 適于采用光纜連接，從而提高數據速率,缺點,某段鏈路或某個中繼器有故障會使全網不能工作 站點離網、入網都較困難,(3) 總線拓樸,將所有站點通過硬件接口連接到單根傳輸介質共享總線上。在IEEE802標準中IEEE802.3

6、(即以太網)和IEEE802.4(令牌總線)都是總線拓撲,基本特性,優(yōu)點,與星型拓撲相比，所需電纜長度較短 結構簡單，可靠性高 擴充(如增加站點、延長電纜等)較容易,缺點,故障檢測不很容易，如總線有故障需分段查找，如站點有故障需一個一個查 站點需要提供訪問控制功能,按網絡使用的傳輸介質分類,局域網使用的傳輸介質有雙絞線,光纖,同軸電纜,無線電波,微波等 對應的局域網有雙絞線網,光纖網,同軸電纜網,無線局域網,微波網 目前小型局域網大都是雙絞線網,而較大型局域網則采用光纖和雙絞線傳輸介質的混合型網絡 近年來,無線網絡技術發(fā)展迅速,它將成為未來局域網的一個重要發(fā)展方向,局域網環(huán)境簡介,無線局域網

7、Wireless LAN可提供所有無線局域網的功能，而不需要物理線路連接 數據先被調制到射頻載波中，然后以大氣為載體進行傳輸 典型速率為11Mbps和54Mbps，但實際應用中得到的速率通常為此速率的一部分 無線局域網的實現可以非常簡單，只要在計算機上安裝無線網卡即可 如果想和有線網絡連接在一起需要添加一個無線接入點AP。AP一般位于無線客戶端的中心接入位置,Wireless LAN的優(yōu)缺點,優(yōu)點： 移動性 安裝 安裝的靈活性 減少用戶投入 易于擴展 缺點： Wireless LAN和有線局域網相比速率較低 無線網絡的硬件投入會高于有線網絡,主要內容,局域網環(huán)境簡介 局域網的安全威脅 局域網監(jiān)

8、聽與防范 局域網ARP攻擊與防范 局域網病毒入侵與防范 快速關閉端口防止入侵 局域網共享資源安全防范 無線局域網嗅探與防范 局域網上網的安全防范與技巧,局域網安全威脅,局域網技術將網絡資源共享的特性體現得淋漓盡致 不僅能提供軟件資源、硬件資源共享 還提供Internet連接共享等各種網絡共享服務 越來越多的局域網被應用在學校、寫字樓，辦公區(qū),局域網的安全威脅,目前絕大多數的局域網使用的協議都是和Internet一樣的TCP/IP協議 各種黑客工具一樣適用于局域網 局域網中的計算機更多體現的是共享和服務 因此局域網的安全隱患較之于Internet更是有過之而無不及,局域網的安全威脅,目前的局域網

9、基本上都采用以廣播為技術基礎的以太網 任何兩個節(jié)點之間的通信數據包，不僅為這兩個節(jié)點的網卡所接收，也同時為處在同一以太網上的任何一個節(jié)點的網卡所截取 黑客只要接入以太網上的任一節(jié)點進行偵聽 就可以捕獲發(fā)生在這個以太網上的所有數據包，對其進行解包分析，從而竊取關鍵信息，這就是以太網所固有的安全隱患,安全無內、外之分,長期以來，對于信息安全問題，通常認為安全問題主要源于外面因素，都希望在互聯網接入處，把病毒和攻擊擋在門外，就可安全無憂 有許多重大的網絡安全問題正是由于內部員工引起 一些間諜軟件、木馬程序等惡意軟件就會不知不覺地被下載到電腦中 在員工瀏覽色情網站、利用即時通訊和訪問購物網站時 這些惡

10、意軟件還會在企業(yè)內部網絡中進行傳播，不僅會產生安全隱患，而且還會影響到網絡的使用率 特別值得注意的是，企業(yè)的機密資料、客戶數據等信息可能會由于惡意軟件的存在，不知不覺被盜取,局域網內的安全誤區(qū),局域網中無需單機防火墻 沒有人會針對我 安裝殺毒軟件和病毒防火墻就不怕病毒 安裝了SP2的Windows XP就安全了,主要內容,局域網環(huán)境簡介 局域網的安全威脅 局域網監(jiān)聽與防范 局域網ARP攻擊與防范 局域網病毒入侵與防范 快速關閉端口防止入侵 局域網共享資源安全防范 無線局域網嗅探與防范 局域網上網的安全防范與技巧,以太網協議工作方式,將要發(fā)送的數據包發(fā)往連接在一起的所有主機 包中包含著應該接收數

11、據包主機的正確地址 只有與數據包中目標地址一致的那臺主機才能接收 當主機網卡設置為混雜模式時(監(jiān)聽模式) 經過自己網絡接口的那些數據包 無論數據包中的目標地址是什么，主機都將接收（監(jiān)聽）,以太網協議工作方式,現在網絡中使用的大部分協議都是很早設計的 許多協議的實現都是基于一種非常友好的、通信的雙方充分信任的基礎之上 許多信息以明文發(fā)送,局域網監(jiān)聽與防范,局域網中采用廣播方式 在某個廣播域中可以監(jiān)聽到所有的信息包 黑客通過對信息包進行分析，就能獲取局域網上傳輸的一些重要信息 很多黑客入侵時都把局域網掃描和偵聽作為其最基本的步驟和手段，原因是想用這種方法獲取其想要的密碼等信息 對黑客入侵活動和其它

12、網絡犯罪進行偵查、取證時，也可以使用網絡監(jiān)聽技術來獲取必要的信息 因此，了解以太網監(jiān)聽技術的原理、實現方法和防范措施就顯得尤為重要,網絡監(jiān)聽,網絡監(jiān)聽技術本來是提供給網絡安全管理人員進行管理的工具，可以用來監(jiān)視網絡的狀態(tài)、數據流動情況以及網絡上傳輸的信息等 當信息以明文的形式在網絡上傳輸時，使用監(jiān)聽技術進行攻擊并不是一件難事，只要將網絡接口設置成監(jiān)聽模式，便可以源源不斷地將網上傳輸的信息截獲 網絡監(jiān)聽可以在網上的任何一個位置實施，如局域網中的一臺主機、網關上或遠程網的調制解調器之間等,網絡監(jiān)聽的應用場景,如果用戶的賬戶名和口令等信息也以明文的方式在網上傳輸 只要具有初步的網絡和TCP/IP協議

13、知識，便能輕易地從監(jiān)聽到的信息中提取出感興趣的部分 黑客或網絡攻擊者會利用此方法進行網絡監(jiān)聽 正確使用網絡監(jiān)聽技術也可以發(fā)現入侵并對入侵者進行追蹤定位 在對網絡犯罪進行偵查取證時獲取有關犯罪行為的重要信息，成為打擊網絡犯罪的有力手段,使用sniffer pro進行監(jiān)聽,獲取郵箱密碼 通過對用監(jiān)聽工具捕獲的數據幀進行分析，可以很容易的發(fā)現敏感信息和重要信息 對一些明碼傳輸的郵箱用戶名和口令可以直接顯示出來,網絡監(jiān)聽的相關軟件,密碼監(jiān)聽器(01) 用于監(jiān)聽網頁的密碼，包括網頁上的郵箱、論壇、聊天室等 只需在一臺電腦上運行，就可以監(jiān)聽整個局域網內任意一臺電腦登錄的賬號和密碼，并將密碼顯示、保存，或發(fā)

14、送到用戶指定的郵箱,如何檢測并防范網絡監(jiān)聽,網絡監(jiān)聽是很難被發(fā)現的，特點 隱蔽性強 運行網絡監(jiān)聽的主機只是被動地接收在局域局上傳輸的信息 不主動的與其他主機交換信息，也沒有修改在網上傳輸的數據包 手段靈活 網絡監(jiān)聽可以在網上的任何位置實施 可以是網上的一臺主機、路由器，也可以是調制解調器 網絡監(jiān)聽效果最好的地方是在網絡中某些具有戰(zhàn)略意義的位置 如網關、路由器、防火墻之類的設備或重要網段；而使用最方便的地方是在網中的一臺主機上,對可能存在的網絡監(jiān)聽的檢測,1) 對于懷疑運行監(jiān)聽程序的主機，可用正確的IP地址和錯誤的物理地址去探測(如Ping)，運行監(jiān)聽程序的主機會有響應 這是因為正常的機器不接收

15、錯誤的物理地址 處理監(jiān)聽狀態(tài)的機器能接收 如果他的IP stack不再次反向檢查的話，就會響應,對可能存在的網絡監(jiān)聽的檢測,2) 可向網上發(fā)送大量目的地址根本不存在的數據包 由于監(jiān)聽程序要分析和處理大量的數據包會占用很多的CPU資源，這將導致性能下降 通過比較前后該機器性能加以判斷 這種方法難度比較大 3) 使用反監(jiān)聽工具如antisniffer等進行檢測,對網絡監(jiān)聽的檢測,當前，有兩個比較可行的辦法 搜索網上所有主機運行的進程 網絡管理員使用UNIX或Windows NT的主機，可以很容易地得到當前進程的清單 確定是否有一個進程被從管理員主機上啟動 搜查監(jiān)聽程序 現在監(jiān)聽程序只有有限的幾種，

16、管理員可以檢查目錄，找出監(jiān)聽程序,對網絡監(jiān)聽的檢測,還有兩個方法比較有效，缺點也是難度較大 檢查被懷疑主機中是否有一個隨時間不斷增長的文件存在 因為網絡監(jiān)聽輸出的文件通常很大，且隨時間不斷增長 通過運行ipconfig命令，檢查網卡是否被設置成了監(jiān)聽模式 或使用Ifstatus工具，定期檢測網絡接口是否處于監(jiān)聽狀態(tài) 當網絡接口處于監(jiān)聽狀態(tài)時，可能是入侵者侵入了系統(tǒng)，并正在運行一個監(jiān)聽程序，就要有所注意,對網絡監(jiān)聽的防范措施,從邏輯或物理上對網絡分段 以交換式集線器代替共享式集線器 控制單播包而無法控制廣播包和多播包 使用加密技術 劃分VLAN 運用VLAN（虛擬局域網）技術，將以太網通信變?yōu)辄c

17、到點通信，可以防止大部分基于網絡監(jiān)聽的入侵,主要內容,局域網環(huán)境簡介 局域網的安全威脅 局域網監(jiān)聽與防范 局域網ARP攻擊與防范 局域網病毒入侵與防范 快速關閉端口防止入侵 局域網共享資源安全防范 無線局域網嗅探與防范 局域網上網的安全防范與技巧,ARP協議,Address Resolution Protocol (地址解析協議) 在局域網中，網絡中實際傳輸的是“幀” 幀里面是有目標主機的MAC地址的 在以太網中，一個主機要和另一個主機進行直接通信，必須要知道目標主機的MAC地址 但這個目標MAC地址是如何獲得的呢 通過地址解析協議獲得,ARP協議原理,所謂“地址解析”就是主機在發(fā)送幀前將目標

18、IP地址轉換成目標MAC地址的過程 ARP協議的基本功能就是通過目標設備的IP地址，查詢目標設備的MAC地址，以保證通信的順利進行 在局域網中，通過ARP協議來完成IP地址轉換為第二層物理地址 (即MAC地址) 的 ARP協議對網絡安全具有重要的意義 通過偽造IP地址和MAC地址實現ARP欺騙，能夠在網絡中產生大量的ARP通信量使網絡阻塞,局域網內部的ARP攻擊,ARP協議的基本功能就是通過目標設備的IP地址，查詢目標設備的MAC地址，以保證通信的進行 基于ARP協議的這一工作特性，黑客向對方計算機不斷發(fā)送有欺詐性質的ARP數據包 數據包內包含有與當前設備重復的Mac地址 使對方在回應報文時，由于簡單的地址重復錯誤而導致不能進行正常的網絡通信,受ARP攻擊可能出現的現象,1) 不斷彈出“本機的XXX段硬件地址與網絡中的XXX段地址沖突”的對話框 2) 計算機不能正常上網，出現網絡中斷的癥狀 因為這種攻擊是利用ARP請求報文進行“欺騙”的，所以防火墻會誤以為是正常的請求數據包，不予攔截 普通的防火墻很難抵擋這種攻擊,ARP 病毒攻擊癥狀,現