创建高级交换型互联网第10章 多层交换网络安全技术.ppt

单击此处编辑母版标题样式 * * * * * * 这里指出，交换机防止局域网的洪泛攻击时，通用的做法是：1、避免向外转发广播数据。2、对特定的控制报文限制一段时间内的上限，从而避免交换机本身遭受攻击后无法转发正常数据。 * 详细内容参考第九章内容 * * 大纲 安全隐患的存在 安全技术综述 利用多层交换机加强局域网安全设置 MAC地址端口验证 防止DOS（Denial of Service）攻击 ACL列表 MAC攻击 攻击者生成大量数据包，数据包的源MAC地址都不相同，会充满交换机的MAC地址表空间 真正的数据流到达交换机时被广播出去 导致交换机的查表速度下降 生成树攻击 用一台PC机模拟生成树协议，不断发布BPDU包 会导致一定范围内的生成树拓扑结构定期地发生变化 由于生成树不稳定，会导致整个网络不断发生动荡 蠕虫病毒攻击网络设备 冲击形式主要有两种 堵塞带宽，导致服务不可用 占用CPU资源，导致宕机 蠕虫病毒最重要的攻击手段就是不停地发送数据流，这对于采用流转发模式的网络设备是致命的 Slammer病毒拥塞三层交换机之间链路带宽，导致路由协议的数据包（如Hello包）丢失，导致整个网络的路由震荡 Slammer作用下导致大量ARP请求发生，也会耗尽CPU资源 安全技术综述 流量控制技术 访问控制列表(ACL)技术 交换机与IDS联动? 多层交换机局域网安全设置 MAC地址端口验证 在多层交换机的一个端口上配置有限数量的“安全”MAC地址，这样交换机只转发源地址与安全MAC地址匹配的包 防范Smurf攻击 防止成为Smurf攻击的中间媒介（Intermediary） DCRS-7500（config）#no ip directed-broadcast 避免成为Smurf攻击的被攻击者 DCRS-7500（config）# ip icmp burst-normal 5000 burst-max 10000 lockup 300 防范TCP SYN攻击 DCRS-7500（config）# ip tcp burst-normal 10 burst-max 100 lockup 300 ACL列表 标准IP访问表 access-list [list number][permit|deny][host/any][sourceaddress][wildcard-mask][log] 扩展的IP访问控制列表 Access-list [list number] [permit/deny] [protocol] [source address] [source-wildcard] [source port] [destination address] [destination-wildcard] [destination port] [log] [option] 单击此处编辑母版标题样式 * * * * * * 这里指出，交换机防止局域网的洪泛攻击时，通用的做法是：1、避免向外转发广播数据。2、对特定的控制报文限制一段时间内的上限，从而避免交换机本身遭受攻击后无法转发正常数据。 * 详细内容参考第九章内容 * *