鸿鹄论坛_中小型网络设计与安全部署案例分析.pptVIP

1. IP 地址欺骗（IP Spoofing）攻击 为了获得访问权，入侵者生成一个带有伪造源地址的报文。对于使用基于IP 地址验 证的应用来说，此攻击方法可以导致未被授权的用户可以访问目的系统，甚至是以 root 权限来访问。 2. Land 攻击 所谓 Land 攻击，就是把TCP SYN 包的源地址和目标地址都配置成受害者的IP 地 址。这将导致受害者向它自己的地址发送SYN-ACK 消息，结果这个地址又返回ACK 消息并创建一个空连接，每一个这样的连接都将保留直到超时掉。各种受害者对 Land 攻击反应不同，许多UNIX 主机将崩溃，Windows NT 主机会变的极其缓慢。 3. Smurf 攻击 简单的 Smurf 攻击，用来攻击一个网络。方法是发ICMP 应答请求，该请求包的目 标地址配置为受害网络的广播地址，这样该网络的所有主机都对此ICMP 应答请求 作出答复，导致网络阻塞。 高级的 Smurf 攻击主要用来攻击目标主机。方法是将上述ICMP 应答请求包的源地 址改为受害主机的地址，最终导致受害主机接收到大量的ICMP 应答消息而崩溃。 攻击报文的发送需要一定的流量和持续时间，才能真正构成攻击。理论上讲，网络 的主机越多，攻击的效果越明显。Smurf 攻击的另一个变体为Fraggle 攻击。 4. WinNuke 攻击 WinNuke 攻击通常向装有Windows 系统的特定目标的NetBIOS 端口（139）发送OOB（out-of-band）数据包，引起一个NetBIOS 片断重叠，致使目标主机崩溃。 还有一种是IGMP 分片报文，一般情况下，IGMP 报文是不会分片的，所以，不少系统对IGMP 分片报文的处理有问题。如果收到IGMP 分片报文，则基本可判定受到了攻击。 5. SYN Flood 攻击 由于资源的限制，TCP/IP 栈只能允许有限个TCP 连接。而SYN Flood 攻击正是利用这一点，它伪造一个SYN 报文，其源地址是伪造的或者是一个不存在的地址，向服务器发起连接，服务器在收到报文后用SYN-ACK 应答，而此应答发出去后，不会收到ACK 报文，造成一个半连接。如果攻击者发送大量这样的报文，会在被攻击主机上出现大量的半连接，消耗尽其资源，使正常的用户无法访问。直到半连接超时。在一些创建连接不受限制的实现里，SYN Flood 具有类似的影响，它会消耗掉系统的内存等资源。 6. ICMP 和UDP Flood 攻击 这种攻击短时间内用大量的 ICMP 消息（如ping）和UDP 报文向特定目标不断请求回应，致使目标系统负担过重而不能处理合法的传输任务。 7. 地址扫描与端口扫描攻击 运用扫描工具探测目标地址和端口，对此作出响应的表示其存在，用来确定哪些目标系统确实存活着并且连接在目标网络上，这些主机使用哪些端口提供服务，为后续的攻击做准备。 8. Ping of Death 攻击 所谓 Ping of Death，就是利用一些尺寸超大的ICMP 报文对系统进行的一种攻击。 IP 报文的长度字段为16 位，这表明一个IP 报文的最大长度为65535。对于ICMP 回应请求报文，如果数据长度大于65507，就会使ICMP 数据＋IP 头长度(20)＋ICMP头长度（8） 65535。对于有些路由器或系统，在接收到一个这样的报文后，由于处理不当，会造成系统崩溃、死机或重启。 PC作为LAC， 直接发起L2TP隧道 undo tunnel authentication allow l2tp virtual-template 0 {取消隧道验证。默认启用，这时LAC和LNS必须配置隧道验证字。 } allow l2tp virtual-template 0 {在虚接口0上启用L2TP } 3）L2tp vpn 设置 l2tp enable {使能L2TP } local-user vpnuser@ password simple vpnuser {L2TP用户名和密码 } ip pool 1 0 0 {给L2TP分配的地址池 } interface Virtual-Template0 {使能L2TP的虚接口 } ip address remote address pool 1 {给L2TP客户分配地址池1中的地址 } l2tp-group 1 {创建L2TP组} 4）出口优化设计 acl number 2100 match-order auto rule 0 permit source 55 rule 1 deny acl number 2600 match-