网络安全技术介绍详解.pptVIP

RFCs RFC 2196 “Site Security Handbook” /rfc/rfc2196.txt RFC 1918 “Address Allocation for Private Internets” /rfc/rfc1918.txt RFC 2827 “Network Ingress Filtering: Defeating Denial of Service Attacks which employ IP Source Address Spoofing” /rfc/rfc2827.txt 参考资料 Miscellaneous References “Denial of Service Attacks” /tech_tips/denial_of_service.html “Computer Emergency Response Team” “Improving Security on Cisco Routers” /warp/customer/707/21.html “VLAN Security Test Report” /newlook/resources/IDFAQ/vlan.htm 参考资料 谢 谢 大 家 * 死亡之ping(ping of death)—DoS 网络安全攻击 减轻危害的方法： 现在所有的标准TCP/IP都已实现对付超大尺寸的包，并且大多数防火墙能够自动过滤这些攻击。 对操作系统进行升级和打补丁 泪滴(teardrop)—DoS 网络安全攻击 利用那些在TCP/IP堆栈实现中信任IP分片中的IP协议首部所包含的信息来实现攻击。 IP分片含有指示该分片所包含的是原数据报文的哪一段信息，某些设备在收到重叠IP分段报文时会崩溃或严重异常。 泪滴(teardrop)—DoS 网络安全攻击 泪滴(teardrop)—DoS 网络安全攻击 减轻危害的方法 服务器应用最新的服务包，或者在设置防火墙时对分片进行重组，而不是转发它们。 网络安全攻击 各种各样的假冒攻击利用简单的TCP/IP服务，如Chargen和Echo来传送毫无用处的数据。 通过伪造与主机的Chargen服务的一次的UDP连接，回复地址指向开着Echo服务的一台主机，这样就生成在两台设备之间的足够多的无用数据流，从而导致带宽不足的严重问题。 UDP洪水(UDP flood)—DoS UDP洪水(UDP flood)—DoS 网络安全攻击 减轻危害的方法 关掉不必要的TCP/IP服务 对防火墙进行配置阻断来自Internet的对这些服务的请求 在路由器或防火墙上进行源地址过滤 网络安全攻击 TCP SYN flood —DoS 网络安全攻击 在TCP协议中，SYN置位的报文表示请求建立一个连接。当服务器端收到SYN置位的报文时，将预留资源并向客户端回应一个报文，表示连接请求被允许。按照正常的流程，客户端应当返回一个报文表示连接已经建立。SYN flooding攻击一方面伪造源地址，另一方面即使不伪造源地址，也不给予响应。而一个TCP连接在发送报文到目的地址失败的情况下，会试图再进行多次重传，这样越发加重了网络的负担。 SYN flooding攻击采用伪造源地址并创建许多的SYN报文的方式，在很短的时间内将特定目标的内存或其他资源消耗殆尽。这种攻击使得特定网络上的HTTP或FTP服务器保持大量的会话连接，从而让合法的用户不能访问该资源。 TCP SYN flood —DoS TCP SYN flood —DoS 网络安全攻击 防御：在防火墙上过滤来自同一主机的后续连接。 Land攻击—DoS 网络安全攻击 一个伪造的SYN包它的源地址和目标地址都被设置成某一个网络设备的地址，此举将导致接受的网络设备向它自己的地址发送SYN-ACK消息，结果这个地址又发回ACK消息并创建一个空连接，每一个这样的连接都将保留直到超时掉，这样就会产生大量的空TCP连接。 防御：打最新的补丁，或者在防火墙进行配置，将那些在外部接口上入站的含有内部源地址滤掉。 Smurf攻击—DoS 网络安全攻击 将回复地址设置成被攻击方的广播地址的ICMP应答请求（ping）数据包，最终导致该网络的所有主机都对此ICMP应答请求作出答复，造成网络阻塞，比ping of death洪水的流量高出一或两个数量级。 防御：为了防止黑客利用你的网络攻击他人，关闭外部路由器或防火墙的广播地址特性。为防止被攻击，在防火墙上设置规则，丢弃掉ICMP包。 减弱DoS攻击的方法 网络安全攻击 防IP地址欺骗特性——RFC 2827过滤 防DoS特性——在路由器上或防火墙上进行相关配置 流量比率限制——对某些流量类型进行