[NCPE售前工程师认证培训课程].03.VPN.Firewall.pptVIP

课程安排 1.TCP/IP基础知识 2.目前常见的DoS攻击手段 3.防火墙基础知识 4. 基于状态检测包过滤技术工作原理 5. VPN虚拟专用网络技术介绍 6. IPSec VPN之 P—Privacy 保密技术介绍 7. IPSec VPN之V—Tunneling 隧道技术介绍 8. NETGEAR VPN防火墙产品 9. NETGEAR VPN产品先进特性 10. NETGEAR VPN灵活的应用组网方案 11. NETGEAR VPN防火墙的安装与配置(实验) 端口扫描 黑客可以采用”端口扫描”的方法来发现一些开放端口 有超过 130,000 IP 端口已有明确的定义使用 –比其它端口更具危险性! Telnet – Port 23 HTTP – Port 80 POP3 – Port 110 这就好像一个”夜贼”通过没有锁定的门和窗进入邻居的家 端口扫描程序可以免费地从互联网上获得! IP 哄骗 许多黑客采用”IP哄骗”的这个技术来隐藏他自己的真实身份 这可以通过修改IP包中的源IP地址就可以轻松实现 ”IP哄骗” 也可以被用于访问未授权的电脑 一种DoS攻击，IP欺骗就是伪造某台主机的IP地址的技术.通过IP地址的伪装使得某台主机能够伪装另外的一台主机,而这台主机往往具有某种特权或者被另外的主机所信任。防止IP Spoofing 防火墙通过状态包过滤，记录每一个会话的连接状态，以保证通讯的安全性。 破坏你的系统让你不能访问你自己的系统! Blue Screen Windows Machines Crash Servers Crash Routers and Firewalls Cause major disruption on the Network DoS拒绝服务攻击 能够非常简单地实现. 三种常见的 DoS 拒绝服务攻击: Those that exploit bugs in the TCP/IP implementation Those that exploit weaknesses in the implementation of TCP/IP Those that use brute-force to flood the network with useless data. 利用 TCP/IP 协议 的缺陷: “Ping of Death” “Tear Drop” “Bonk” “Nestea” Ping of Death (死亡之Ping),利用IP报文分段重组的弱点 这程序将建立一连串具有重叠偏移量字段的IP报文 . 当IP报文分段在另外一端重新组合时,它将引起设备运行中止,当机或重启! Ping of Death攻击通过发送一个包长超过65536的Ping报文,使被攻击设备的内存分配产生错误. 另外,这些畸形报文也将耗费网络设备的大量的处理能力 利用 TCP/IP 协议 的弱点: SYN Flood 俗称洪水攻击,利用TCP协议三次握手的机制 发送大量的源地址不达的连续的SYN请求报文. 每个报文都会引起服务器去做SYN-ACK回应 被攻击设备回应SYN-ACK报文后,就会等待那些不可达的ACK确认报文 从而造成系统资源的大量占用,系统会忽视任何进入的SYN请求 利用 TCP/IP 协议 的弱点: LAND Attack “陆地”攻击将 SYN 攻击和 IP 欺骗结合在了一起，当攻击者发送含有受害方 IP 地址的欺骗性 SYN 封包，这些报文的源IP地址和TCP端口号和目的IP地址和TCP端口号相同，就发生了陆地攻击。接收系统通过向自己发送 SYN-ACK 封包来进行响应，同时创建一个空的连接，该连接将会一直保持到达到空闲超时值为止。向系统堆积过多的这种空连接会耗尽系统资源，导致DDoS。通过将 SYN 泛滥防御机制和 IP 欺骗保护措施结合在一起，防火墙将会封锁任何此类性质的企图。 TCP/IP Weaknesses: WinNuke 也叫” 死亡蓝屏”(the blue screen of death) 或”蓝色炸弹”(blue bomb) WinNuke 是一种可以令Windows机器突然当机的攻击方法! 发送Windows根本不能执行的数据到Windows PC 可通过任何IP端口,通常端口139 (NetBIOS) 是最常用的 当PC有被WinNuked, 这下面就是”蓝屏”会显示的信息: 大多发生在 Windows 95 或 NT OS操作系统 Brute-Force Attacks Distributed Denial of Service (DDoS) attacks – Smurf 如“Smurf”攻击，利用IP标准中的直接或