常见网络安全攻击与防范.doc

常见网络安全攻击与防范 --利用思科技术阻止网络二层的攻击 目 录 1 概述 2 1.1 网络安全威胁发展趋势 2 1.2 局域网安全存在的普遍问题 2 1.3 阻止来自网络第二层攻击的重要性 5 2 MAC地址泛滥攻击的防范 7 2.1 MAC泛滥攻击的原理和危害 7 2.2 攻击实例 7 2.3 防范方法 8 2.4 配置示例 10 3 DHCP欺骗攻击的防范 11 3.1 采用DHCP管理的常见问题 11 3.2 DHCP Snooping技术概述 12 3.3 基本防范 12 3.4 高级防范 14 4 ARP欺骗攻击原理和防范 15 4.1 ARP欺骗攻击原理 15 4.2 攻击实例 17 4.3 防范方法 17 4.4 配置示例 18 4.5 配置DAI后的效果 19 5 IP/MAC欺骗的防范 20 5.1 常见的欺骗攻击的种类和目的 20 5.2 攻击实例 20 5.3 IP/MAC欺骗的防范 21 5.4 配置示例 21 6 IP地址管理和病毒防范的新思路 23 6.1 IP地址管理 23 6.2 解决有关病毒问题 23 7 Cisco Catalyst交换机硬件和操作系统要求 24  摘要：在诸多的局域网安全问题中，令网络管理员感到最头痛的问题就是IP地址的管理；最担心的问题就是账号、密码的盗取以及信息的失窃和篡改；而最棘手的问题就是木马、蠕虫病毒爆发对网络造成的危害。本文将详细阐述如何利用Cisco Catalyst交换机内部集成的安全特性，采用创新的方式在局域网上有效地进行IP的地址管理、阻止网络的攻击并减少病毒的危害。 关键词：Port Security、DHCP Snooping、Dynamic ARP Inspection（DAI）、IP Source Guard。 概述 网络安全威胁发展趋势 由于历史的原因企业内部网络都被设计成一个公用设施，其结果就是使今天所有企业网络的端口对于内部都处于“开放”状态。“开放”的网络和共享的资源可以很轻易地得到访问，只需要将一台电脑插入一个网络接口并获取一个IP地址。 CSI/FBI计算机犯罪与安全调查显示，信息失窃已经成为当前最主要的犯罪。在造成经济损失的所有攻击中，有75％都是来自于公司内部。这样，企业网络内部就必须采用更多创新方式来防止攻击，如果我们将网络中的所有端口看成潜在敌对实体获取通道的“端口防线”，网络管理员就必须知道这些潜在威胁都有那些，以及需要设置哪些安全功能来锁定这些端口并防止这些潜在的来自网络第二层的安全攻击。 局域网安全存在的普遍问题 任何对网络安全的破坏都会扰乱企业的正常运转，伤害合作伙伴和用户的信心，并给企业带来不可弥补的损失。 目前企业在内部局域网中遇到的问题主要有以下几种： IP地址的管理问题，包括IP地址非法使用、IP地址冲突和IP地址欺骗 利用ARP欺骗获取账号、密码、信息，甚至恶意篡改信息内容、嫁祸他人问题 木马、蠕虫病毒攻击导致的信息失窃、网络瘫痪问题 攻击或病毒源机器的快速定位、隔离问题 IP的地址管理一直是长期困扰企业局域网安全稳定运行的首要问题。在局域网上任何用户使用未经授权的IP地址都应视为IP非法使用。由于终端用户可以自由修改IP地址，从而产生了IP地址非法使用问题。改动后的IP地址在局域网中运行时可能出现以下情况。 非法的IP地址即IP地址不在规划的局域网范围内 重复的IP地址与已经分配且正在局域网运行的合法的IP地址发生资源冲突，使合法用户无法上网 冒用合法用户的IP地址当合法用户不在线时，冒用其IP地址联网，使合法用户的权益受到侵害 无论是有意或无意地使用非法IP地址都可能会给企业带来严重的后果，如重复的IP地址会干扰、破坏网络服务器和网络设备的正常运行，甚至导致网络的不稳定，从而影响业务；拥有被非法使用的IP地址所拥有的特权，威胁网络安全；利用欺骗性的IP地址进行网络攻击，如富有侵略性的TCP SYN洪泛攻击来源于一个欺骗性的IP地址，它是利用TCP三次握手会话对服务器进行颠覆的一种攻击方式，一个IP地址欺骗攻击者可以通过手动修改地址或者运行一个实施地址欺骗的程序来假冒一个合法地址。 为了防止非法使用IP地址，增强网络安全，最常见的方法是采用静态的ARP命令捆绑IP地址和MAC地址，从而阻止非法用户在不修改MAC地址的情况下冒用IP地址进行的访问，同时借助交换机的端口安全即MAC地址绑定功能可以解决非法用户修改MAC地址以适应静态ARP表的问题。但这种方法由于要事先收集所有机器的MAC地址及相应的IP地址，然后还要通过人工输入方法来建立IP地址和MAC地址的捆绑表，不仅工作量繁重，