实训4-4_配置交换机保护功能.pptVIP

第4章 交换机安全配置 实训4-4：配置交换机保护功能 实训目的 掌握交换机的系统保护功能阻止扫描攻击 掌握微软的网络监视器的使用 学会对捕获数据包的分析 实训背景 某企业网络管理员发现网络中出现了扫描攻击。由于扫描攻击是任何后续攻击的第一步，为了消除安全隐患，避免由于扫描攻击给网络设备（如交换机）造成的资源消耗，需要阻止扫描攻击。 由于网络中的扫描攻击导致的带宽浪费、系统资源消耗以及安全问题等现象，可以使用交换机的系统保护功能解决这一问题。 实训拓扑 实训设备 设备 数量 服务器 （安装windows2000/2003操作系统） 1台 计算机 （安装windows操作系统） 1台 交换机 1台 Portscan端口扫描工具 1套 实训步骤 1.按照实训拓扑连接网络 2.配置计算机和服务器IP地址 3.安装windows自带的网络监视器 4.监听黑客与服务器的通信 5.配置系统保护 6.验证配置 1.按照实训拓扑连接网络 2.配置计算机和服务器IP地址 3.安装windows自带的网络监视器 3.安装windows自带的网络监视器 （1）选择【开始】→【控制面板】→【添加或删除程序】菜单，在打开的对话框中选择“添加/删除Windows组件”，如所示。 3.安装windows自带的网络监视器 （2）选择“管理和监视工具”组件，单击 按钮，打开“管理和监视工具”对话框，如所示。 3.安装windows自带的网络监视器 （3）选中“网络监视工具”子组件，单击 按钮，然后单击 按钮进行安装。 4.监听黑客与服务器的通信 4.监听黑客与服务器的通信 （1）安装完成后，选择【开始】→【管理工具】→【网络监视器】菜单，打开“网络监视器”窗口，如所示。 4.监听黑客与服务器的通信 （2）单击工具栏上的 按钮开始进行数据捕获。 （3）在黑客的计算机上运行端口扫描软件，输入扫描的开始和结束IP地址，如所示。 4.监听黑客与服务器的通信 （4）在端口扫描软件的主窗口，单击 按钮开始进行扫描，扫描结果如所示。 4.监听黑客与服务器的通信 （5）在“网络监视器”窗口，捕获到大量的数据包，如所示。 4.监听黑客与服务器的通信 （6）单击 按钮，停止捕获，显示出捕获数据包的详细窗口，如所示。 4.监听黑客与服务器的通信 （7）在窗口中可以看到黑客（192.168.1.1）发往服务器（192.168.1.100）的大量数据包。 5.配置系统保护 5.配置系统保护 （1）配置针对目的 IP地址变化的扫描的检测阈值为每秒50个不同目的 IP的报文 Switch(config)#interface fastEthernet f0/1 Switch(config-if)#system-guard enable Switch(config-if)#system-guard scan-dest-ip-attack-packets 50 （2）配置隔离时间为 1000s Switch(config-if)#system-guard isolate-time 1000 6.验证配置 6.验证配置 （1）重行执行第4步让黑客对服务器的端口进行扫描 （2）在黑客计算机上上捕获的报文，可以看到 PC1 正在以大约每秒 100多个报文的速率进行扫描： （3）在交换机上可以看到已经检测出攻击，并将 IP 地址 192.168.1.1 隔离，并显示日志信息： Nov 30 02:54:49 Switch %7:ip 192.168.1.1 is isolated !! （4）通过命令查看被隔离的 IP地址及其状态： Switch#show system-guard isolate-ip interface ip-address isolate reason remain-time(second) --------- ---------------- ---------------- ------------------ Fa0/1 192.168.1.1 scan ip attack 990 可以看到隔离的原因为目的IP变化的扫描攻击，并且隔离剩余时间为 990s。 * *