51cto下载-演示常用网络设备的攻击与防御.pdf

第 2章 网络设备的工作原理与安全威胁 本章关键价值： 本章将详细讲述各种网络设备的工作原理，包括：集线器、网桥、二层交换机、路由器、 防火墙等，并演示各种网络设备所面临的安全威胁。其中包括如下知识点： ? 集线器的工作原理与安全威胁。 ? 网桥、二层交换机的工作原理与安全威胁。 ? 路由器的工作原理与安全威胁。 ? 防火墙的工作原理与安全威胁。 网络设备是企业网络整体安全的第一步，如果网络设备的安全都无法得到保障，那么企 业网络其他部分的安全加固即便做得再完善，也相当于是徒有虚名的“马其诺防线”。黑客 将很容易地穿过它。所以保障网络设备的安全成为至关重要的问题。 2.1 集线器的工作原理与安全威胁 集线器又称 Hub，是一种用于组建物理结构、形状为星形的网络设备。它具备中继器的 信号放大功能，所以它有延长物理线路距离的特性。但是集线器在放大正常信号的同时也放 大噪声信号，噪声信号是网络上的干扰信号，它将对正常的网络通信造成影响。集线器的端 口比中继器密集，所以在某种情况下人们把集线器叫做“多端口的中继器”。集线器转发数 据的原理如图 2.1 所示，当主机Ａ要给主机Ｄ发送数据时，主机Ａ会把数据广播到除源端口 以外的所有端口上。此时Ｂ主机解开广播包，看到目标的 IP 不是 B 主机 NIC（网卡）上的 IP地址，所以将数据帧丢弃。Ｃ主机解开广播包，看到目标的 IP不是 C主机 NIC上的 IP地 址，也将数据帧丢弃。Ｄ主机解开广播包，看到目标的 IP是 D主机 NIC上的 IP地址，它会 将数据帧从 NIC复制到内存中，然后内存再将其交给 CPU作处理。 集线器 A B C D 1 2 3 4 图 2.1 集线器转发数据的原理 企业网络整体安全—攻防技术内幕大剖析 （授权51cto做技术交流共享） 版权所有 不得复制 集线器的特性：集线器是一个半双工冲突设备。如图 2.2 所示，集线器所有端口连接的 主机全部处于一个冲突域内，不能有多个主机同时发送数据。集线器不能隔离广播，如图 2.3 所示，所以集线器不能连接成环路。否则广播会在环路上一直循环，直到 TTL值被减为 0。 集线器属于共享带宽式设备。如果集线器的总体带宽是 10MB，共有 4个端口，那么每个端 口的理论带宽是 2.5MB。集线器的安全性很差，因为集线器的数据发送是利用广播数据报文 到所有端口的，而且这个广播是带上真实负荷（用户数据）的广播，容易被他人监听，所以 安全性得不到保障，如图 2.4所示。 A B C D 集线器 1 2 3 4 广播风暴 集线器 1 集线器 2 集线器 3 图 2.2 多个主机不能同时发送数据 图 2.3 集线器不能连接成环路 协议分析器A C D 1 2 3 4 图 2.4 集线器的转发过程容易被监听 注意：集线器安全威胁的重要提示：只要在集线器的任意端口接入协议分析器， 或安装了协议分析软件的计算机都可以成功地监听集线器上其他端口的所有流 进流和出的数据，当然这些数据中也包括比较重要和敏感的机密信息，如密码、 账号等。 演示：理解集线器的工作原理。 企业网络整体安全—攻防技术内幕大剖析 （授权51cto做技术交流共享） 版权所有 不得复制 2.2 演示：集线器的入侵与防御 演示目标：分析集线器的工作过程造成数据泄密事件。 演示环境：如图 2.5所示。 演示步骤：可参看教学视频“集线器的安全威胁”。 远程管理主机 /24 协议分析器 /24 E0/0 /24 1 2 3 思科路由器 集线器 图 2.5 集线器的入侵与防御实验环境 背景说明：通过该演示过程证明集线器的工作原理是将数据包广播到设备的每一个端口 （除发送端口），如果远程管理主机（）Telnet 思科路由器（），那么 的协议分析器应该能成功地捕获到 Telnet的密码。 防御方案：由于集线器的安全威胁是设备工作原理上的天生缺陷，无法避免，所以没有 更有效的防御措施，唯一的办法是选用智能的设备，如用二层交换机去替代集线器。 演示：集线器的入侵与防御。 2.3 网桥、二层交换机的工作原理与安全威胁 学习网桥工作原理之前必须先理解一个重要的网络理论：“星形结构的网络”。虽然前面 提到集线器组织的是一个“星形结构的网络”，但是这个所谓的“星形网络”，实际上只是 一个物理连接环境的星形，并不是访问介质协议（以太网的访问介质协议 CSMA/CD）上 的星形。从访问介质的逻辑角度理解：所有利用集线器组织的网络都应该是冲突型的网络， 如图 2.6所示。