网络培训

网络安全培训课程

  网络安全培训课程_互联网_IT/计算机_专业资料。LOGO 网络安全培训课程 重庆网安计算机技术服务中心 目录 认识信息安全等级保护 1 了解网络基础及安全防护 2 学习网络故障排查-实例 3 Page ?2 信息安全等级保护

  LOGO 网络安全培训课程 重庆网安计算机技术服务中心 目录 认识信息安全等级保护 1 了解网络基础及安全防护 2 学习网络故障排查-实例 3 Page ?2 信息安全等级保护简介 我国《计算机信息系统安全保护等级划分细则》于1999年9月13日经国家质量技术监督局审查通过并正 式批准发布,根据细则将计算机信息系统安全保护能力划分为五个安全保护等级: 第一级:用户自主保护级。用户自主保护级通过身份鉴别,自主访问控制机制,要求系统提供每一个 用户具有对自身所创造的数据进行安全保护的能力。适用于普通内联网用户。 第二级:系统审计保护级。在用户自主保护级的基础上,重点强调系统的审计功能,要求通过审计、 资源隔离等安全机帛,使每一个用户对自己的行为负责。适用于内联/国际互联网需要保密商务活动的用户 。 第三级:安全标记保护级。在系统审计保护的基础上,从安全功能的设置和安全强度的要求方面均有 明显的提高。首先,增加了标记和强制访问控制功能。同时,对身份鉴别、审计、数据完整性等安全功能 均有更进一步的要求。如要求使用完整性敏感性标记,确保信息在网络传输的完整性。一般党政机关、金 融机构、大型商业工业用户。 第四级:结构化保护级。在安全标记保护级的基础上,重点强调通过结构化设计方法使得所具有的安 全功能具有更高的安全要求。适用于国家机关、中央金融机构、尖端科技和国防应用系统单位。 第五级:访问控制保护级。访问验证保护级重点强调”访问“监控器本身的可验证性,也是从安全功 能的设计和实现方面提出更高要求。适用于国防关键应用以及国家特殊隔离信息系统使用单位。 Page ?3 信息安全等级保护 Page ?4 信息安全系统定级 定级是等级保护工作的首要环节,是开展信息系统建设、整改、测评、备案、监督检查 等后续工作的重要基础。信息系统安全级别定不准,系统建设、整改、备案、等级测评等后续 工作都失去了针对性。 信息系统的安全保护等级是信息系统的客观属性,不以已采取或将采取什么安全保护 措施为依据,也不以风险评估为依据,而是以信息系统的重要性和信息系统遭到破坏后对国家 安全、社会稳定、人民群众合法权益的危害程度为依据,确定信息系统的安全等级。 Page ?5 系统定级一般流程 信息系统安全包括业务信息安全和系统服务安全。信息安全是指确 保信息系统内信息的保密性、完整性和可用性等,系统服务安全是指确 保信息系统可以及时、有效地提供服务,以完成预定的业务目标。 业务信息安全和系统服务安全,与之相关的受侵害客体和对客体 的侵害程度可能不同,因此,信息系统定级也应由业务信息安全和系 统服务安全两方面确定。从业务信息安全角度反映的信息系统安全保 护等级称业务信息安全等级。从系统服务安全角度反映的信息系统安 全保护等级称系统服务安全等级。 由业务信息安全等级和系统服务安全等级的较高者确定定级 对象的安全保护等级。 Page ?6 系统定级一般流程 1、确定定级对象 2 、确定业务信息安全受到破坏时所 侵害的客体 5 、确定系统服务安全受到破坏时所 侵害的客体 3、综合评定对客体的侵害程度 6、综合评定对客体的侵害程度 4、业务信息安全保护等级 7、系统服务安全保护等级 8、定级对象的安全保护等级 Page ?7 信息安全等级保护工作的重要意义 信息安全等级保护制度是国家信息安全 保障的基本制度、基本策略、基本方法 ; 是当今发达国家的通行做法,也是我国多年 来信息安全工作经验的总结 。 开展信息安全等级保护工作:有利于 同步建设 ;有利于指导和服务;有利于保 障重点;有利于明确责任 ;有利于产业发 展。 Page ?8 网络基础及安全防护 1 2 网络基础与OSI模型 TCP-IP编址 3 交换原理和VLAN Page ?9 网络基础与OSI模型 ? 计算机网络定义:通过通信线路和通信设备将不同地理位置 上的计算机系统互连起来的一个计算机系统的集合,通过运 行特定的操作系统和通信协议来实现数据通信和资源共享。 ? 计算机网络组成:通信线路、通信设备、计算机系统、操作 系统、通信协议、通信子网、资源子网。 ? 计算机网络类型:局域网、广域网。 Page ?10 计算机网络组成 Page ?11 计算机网络类型 通常指几公里以内的,可以通过某种介质互联的计算机、打印机或其它 设备的集合。目前,大多数网络都使用某些形式的以太网。 距离短、延迟小、 数据速率高、传输可靠 运行在有限的地理区域;允许网络设备同时访问高带宽的介质; 通过局部管理控制网络的权限;提供全时的局部服务; 连接物理上相邻的设备。 Page ?12 计算机网络类型 在大范围区域内提供数据通信服务,主要用于互连局域网。 公用电话网:PSTN 综合业务数字网:ISDN 数字数据网:专线 帧中继:Frame Relay 异步传输模式:ATM 运行在广阔的地理区域;通过低速串行链路进行访问; 网络控制服从公共服务的规则;提供全时的或部分时间的连接; 连接物理上分离的、遥远的、甚至全球的设备 Page ?13 OSI七层参考模型 ? OSI模型:1984年由国际标准化组织ISO国际标准化组织提 出。 ? 目的:提供一个大家共同遵守的标准,解决不同网络之间的 兼容性和互操作性问题。 ? 分层标准:依据功能来划分。 ? OSI七层参考模型的优点: 促进标准化工作,允许各个供应商进行开发. 各层间相互独立,把网络操作分成低复杂性单元. 灵活性好,某一层变化不会影响到别层. 各层间通过一个接口在相邻层上下通信. Page ?14 OSI分层结构 应用层 应用层 (高) 表示层 会话层 传输层 网络层 数据流层 负责主机之间的数据传输 负责网络数据传输 数据链路层 物理层 Page ?15 OSI分层结构 规定通信设备的机械的、电气 的、功能的和规程的特性。主要涉 及比特的传输,网络接口卡和网络 连接等. 没有智能性,只能对bit 流进行 简单的处理。如传输,放大,复制 等。 网线:bit 流的传输. 中继器:信号的放大. 集线器:信号的放大和复制. Page ?16 OSI分层结构 在相邻节点之间建立链路,传 送数据帧。工作在同一个网段。主 要涉及介质访问控制、连接控制、 流量控制和差错控制等。 定义物理地址,标识节点。 将bit流组合成数据帧。 交换机:能识别数据帧中的MAC地 址信息,在同一网 段转发数据。有 智能,进行定向转发。 Page ?17 OSI分层结构 是一座桥梁,将不同规范的网 络互连起来。在不同网段路由数据 包。 定义IP地址,由32bit的二进制 数组成,点分十进制表示。 路由转发,通过路由表实现三 层寻址. MAC地址(二层) 物理地址 平面结 构 身份 IP地址 (三层) 逻辑地址 层次结构 位置 Page ?18 OSI分层结构 实现终端用户到终端用户之间 的连接。可以实现流量控制、负载 均衡。 分段,使数据的大小适合在网络上 传递。 区分服务,端口号标识上层的通信 进程。 Page ?19 OSI分层结构 在两个应用程序之间建立会话,管 理会话,终止会话。一旦建立连接,会 话层的任务就是管理会话。 主要由操作系统来完成,把不同的 应用程序设置内存区间,分配相应的内 存,CPU资源,保持不同的应用程序的 数据独立性。 将数据转换成接收设备可以了解的 格式. 翻译数据格式,加密,压缩. Page ?20 OSI分层结构 为具体的应用程序提供服务,实现 各种网络应用(……)。 我们说某个应用程序的界面是否友 好,就是应用层完成的。应用层为用 户和计算机会话提供一个界面。 计算机有他的语言,人有人的语言, 人要和计算机交流,必须有一个窗口 来把信息传递出来。 Page ?21 数据的封装与解封装 数据要通过网络进行传输,要从高层逐层的向下传送,如果一个主机要传送数据到别的 主机,先把数据装到一个特殊协议报头中,这个过程叫封装。 上述的逆向过程。 Page ?22 封装过程 应用层 表示层 会话层 传输层 TCP 头 上层数据 上层数据 TCP+上层数据 IP + TCP +上层数据 LLC 头 + IP + TCP + 上层数据 网络层 IP 头 LLC 头 MAC 头 数据链路层 FCS FCS 物理层 0010 Page ?23 解封装过程 应用层 表示层 会话层 传输层 网络层 上层数据 上层数据 TCP+上层数据 IP + TCP +上层数据 LLC 头 + IP + TCP + 上层数据 数据链路层 物理层 0010 Page ?24 数据传输过程 协议 应用层 应用层 表示层 表示层 会话层 会话层 传输层 传输层 网络层 网络层 网络层 数据连路层 数据连路层 数据连路层 物理层 物理层 物理层 通 信 介 质 通 信 介 质 端系统A 端系统B Page ?25 冲突域和广播域 冲突:在以太网中,当两个节点同时传输数据时,从两个设备发出的帧将会碰撞, 在物理介质上相遇,彼此数据都会被破坏。 冲突域:一个支持共享介质的网段。 广播域:广播帧传输的网络范围,一般是路由器来设定边界 (因为router不转发广播)。 Page ?26 OSI模型的缺陷及意义 许多功能在多个层次重复,有冗余感(如流2.3.4层都有,差错控制等,数据链路层有流控)。 各层功能分配不均匀(链路、网络层任务重,会话层任务轻)。 功能和服务定义复杂,很难产品化。 提供了网络间互连的参考模型。 成为实际网络建模、设计的重要参考工具和理论依据。 为我们提供了进行网络设计与分析的方法。 Page ?27 TCP/IP与OSI TCP/IP与OSI的比较: ? TCP/IP 分四层,OSI分的是七层。 ? TCP/IP网络实践上的标准,OSI网络理论的标准。 ? TCP/IP定义每一层功能如何实现,OSI定义每一层做什么。 ? TCO/IP的每一层都可以映射到OSI模型中去。 Page ?28 TCP/IP与OSI 应用层 表示层 会话层 传输层 网络层 数据链路层 物理层 传输层 网络层 网络接口层 应用层 Page ?29 TCP/IP应用层 应用层 传输层 网络层 网络接口层 文件传输 - TFTP * - FTP * E-Mail - SMTP 远程登陆 - Telnet * - SSH* 网络管理 - SNMP * 名称管理 - DNS* Page ?30 TCP/IP传输层 应用层 传输控制协议(TCP) 面向连接 传输层 网络层 网络接口层 用户数据报协议(UDP) 非面向连接 Page ?31 端口号 应用层 F T P T E L N E T 23 TCP S M T P D N S T F T P S N M P R I P 21 传输层 25 53 69 UDP 161 520 端口号 Page ?32 端口号作用 Telnet Z Host A 源端口 目标端口 … Host Z SP 1028 DP 23 … 目标端口 = 23. 端口号标识上层通信进程。 小于1024 为周知端口、1024-5000为临时端口、大于5000 为其他服务预留。 Page ?33 TCP 确认机制 发送方 发送 1 接收 1 发送 ACK 2 接收方 发送 2 接收 2 发送 ACK 3 发送 3 接收 3 接收 ACK 4 滑动窗口 = 1 Page ?34 TCP 三次握手 Host A Host B 1 发送 SYN (seq=100 ctl=SYN) 接收 SYN 接收 SYN 发送 SYN, ACK (seq=300 ack=101 ctl=syn,ack) 2 3 建立会线 ctl=ack) TCP连接建立 Page ?35 IP地址组成 IP地址为32Bit二进制数组成, 用点分十进制表示。 (例如:192.168.1.1/24) IP地址=网络位+主机位 用来标识一个IP地址哪些是网 络位, 哪些是主机位。 用1 标识网络为,用0标识主 机位。 Page ?36 IP地址分类 A类 (1-126) B类 (128-191) C类 (192-223) D类 (224-239) E类 (240-255) 前8位表示网络位, 前16位表示网络位, 前24位表示网络位, 后24位表示主机位。 后16位表示主机位。 后8位表示主机位。 用于组播地址。 科研使用。 Page ?37 特殊IP地址 本地回环 (loopback)测试地 址 广播地址 255.255.2 55.255 127.0.0.1 0.0.0.0 主机位全为1: 代表该网段的所有主机。 代表任何网络 Page ?38 私有IP地址 A类1个:10.0.0.0/8 C类256个: 192.168.0.0/24 --192.168.255.0/24 B类16个: 172.16.0.0/16 --172.31.0.0/16 Page ?39 子网划分的核心思想 ? “借用”主机位来“制造”新的“网络” 网络 172.16.2.160 255.255.255.0 子网(借位) 主机 10101100 11111111 10101100 00010000 11111111 00010000 00000010 11111111 00000010 128 192 224 240 248 252 254 255 10100000 00000000 00000000 网络号 172 16 2 0 Page ?40 划分子网方法 ? 所选择的子网掩码将会产生多少个子网?: ? 2的x 次方(x代表借掩码位数)。 ? 每个子网能有多少主机?: ? 2的y 次方-2(y代表当前主机位数)。 ? 每个子网的广播地址是?: ? 广播地址=下个子网号-1 ? 每个子网的有效主机分别是?: ? 忽略全为0和全为1的地址,剩下的就是有效主机地 址。 Page ?41 子网划分优点 ? 子网划分可以解决IP地址紧缺的问题。 ? 子网划分可以解决广播问题,分割广播域。 ? 例如:一个C类网络,有254台主机可以用。 当我们分给一个公司,但是该公司没有这么 多主机,地址就有很大的浪费。通过子网划 分可以节省IP地址。 Page ?42 交换机概述 是全双工,可发可收。能识别数据帧中的MAC信息,根据地址信息把数据交换到特定的 接口。 交换机是根据数据帧中的封装的目的MAC地址来做出转发数据的决定。 是目的MAC和交换机接口的映射,交换机根据MAC表把数据发送到相应的接口。 Page ?43 交换机的三个功能 地址学习 帧的转发/过滤 环路防止 Page ?44 交换机地址学习 MAC地址表 0260.8c01.1111 A B 0260.8c01.3333 E0 0260.8c01.2222 C E1 E3 D E2 0260.8c01.4444 Page ?45 ? 最初开机时MAC地址表是空的 ? Mac地址表条目默认老化时间是300秒,以下命 令可改变老化时间: sw(config)#mac-address-table aging-time ? 10-1000000 Aging time value 交换机地址学习 0260.8c01.1111 A MAC地址表 E0: 0260.8c01.1111 B 0260.8c01.3333 E0 0260.8c01.2222 C E1 E3 D E2 0260.8c01.4444 ? 主机A发送数据帧给主机C ? 交换机通过学习数据帧的源MAC地址,记录下 主机A的MAC地址对应端口E0 ? 该数据帧转发到除端口E0以外的其它所有端口 (不清楚目标主机的单点传送用泛洪方式) Page ?46 帧的转发 MAC地址表 0260.8c01.1111 A E0: E2: E1: E3: 0260.8c01.1111 0260.8c01.2222 0260.8c01.3333 0260.8c01.4444 B 0260.8c01.3333 E0 0260.8c01.2222 C E1 E3 D E2 0260.8c01.4444 ? 主机C发送数据给B:交换机发现目的B的MAC对 应E1接口,就把数据从这里发送出去。 ? 主机D发送广播帧或多点帧:广播帧或多点帧 泛洪到除源端口外的所有端口。 Page ?47 防止环路 x ? 运行STP协议防止环路。 阻塞 ? 某些端口置于阻塞状态就能防止冗余结构的网 络拓扑中产生回路。 Page ?48 交换机配置 ? 配置命名:Switch(config)# hostname Sw1 ? 配置管理IP: Sw1(config)# int vlan 1 Sw1(config-if)# ip add 172.16.1.210 255.255.255.0 Sw1(config-if)# no shut ? 配置网关 : Sw1(config)# ip default-gateway 172.16.1.201 ? 查看MAC表。 Sw1#sh mac-add ? 设置双工和速率。 Sw1(config)# int f0/1 Sw1(config-if)#speed 10 / 100 / auto Sw1(config-if)#duplex half / full / auto Page ?49 VLAN概述 第三层 第二层 第一层 销售部 人力资源部 工程部 一个VLAN =一个广播域 = 逻辑网段 (子网) Page ?50 VLAN的优点及分类 隔离二层广播,优化网性能。 优点 VLAN可以跨越交换机,简化布线,方便管理。 每个VLAN是一个独立的子网,VLNA间的通信要通过三层设备实现, 可以通过访问控制列表对VLNA间的通信进行安全控制。 静态VLAN:基于交换机接口。 动态VLAN:基于主机MAC地址,不常用, 需要在交换 中建立一张VMPS表,来标明哪些MAC属于哪个VLAN. 效 率低。 分类 Page ?51 VLAN运行 交换机 A 红色 VLAN 黑色 VLAN 绿色 VLAN ? 每个逻辑的VLAN就象一个独立的物理桥 ? 交换机上的每一个端口都可以分配给不同的VLAN ? 默认的情况下,所有的端口都属于VLAN1(Cisco) Page ?52 VLAN运作 交换机A 交换机B 红色 VLAN 黑色 VLAN 绿色 VLAN 红色 VLAN 黑色 VLAN 绿色 VLAN ? 同一个VLAN可以跨越多个交换机 Page ?53 VLAN运作 干道连接 快速以太网 红色 VLAN 黑色 VLAN 绿色 VLAN 红色 VLAN 黑色 VLAN 绿色 VLAN ? 主干功能支持多个VLAN的数据 ? 主干使用了特殊的封装格式支持不同的VLAN ? 只有快速以太网端口可以配置为主干端口 Page ?54 VLAN的配置 ? 全局模式 Switch# configure terminal Switch(config)# vlan 3 Switch(config-vlan)# name Vlan3 Switch(config-vlan)# exit Switch(config)# end ? 数据库模式 Switch# vlan database Switch(vlan)# vlan 3 VLAN 3 added: Name: VLAN0003 Switch(vlan)# exit APPLY completed. Exiting.... Page ?55 VLAN的接入端口 ? 接入交换机端口在一个单一的数据的VLAN Page ?56 VLAN执行的命令 ? 配置VLAN -vlan 101 -switchport mode access -switchport access vlan 101 ? 验证VLAN -show interfaces -show vlan Page ?57 配置VLAN的接入 Switch(config)# vlan vlan_id 配置一个VLAN. Switch(config-vlan)# name vlan_name 给VLAN命名. Switch(config-if)# switchport mode access 配置交换机的端口为接入模式. Switch(config-if)# switchport access vlan vlan_id 把接入端口划分到vlan中. Page ?58 查看VLAN Switch#show vlan VLAN Name Status Ports ---- -------------------------------- --------- --------------------------1 default active Fa0/1, Fa0/2, Fa0/3, Fa0/4 Fa0/5, Fa0/7, Fa0/9 11 asw11_data active 12 asw12_data active 95 VLAN0095 active Fa0/8 99 Trunk_Native active 100 Internal_Access active 111 voice-for-group-11 active 112 voice-for-group-12 active 1002 fddi-default act/unsup 1003 token-ring-default act/unsup 1004 fddinet-default act/unsup 1005 trnet-default act/unsup VLAN Type ----1 enet 11 enet . . . . . SAID ---------100001 100011 MTU ----1500 1500 Parent -----RingNo -----BridgeNo -------Stp ---BrdgMode -------Trans1 -----0 0 Page ?59 网络故障排查 ARP及ARP防护 1 2 arp原理 arp攻击方式 3 arp防护 Page ?60 ARP协议原理 ARP协议是“Address Resolution Protocol”(地址解析协议) 的缩写。在局域网中,网络中实际传输的是“帧”,帧里面有目标主 机的MAC地址; 在以太网中,一个主机要和另一个主机进行直接通信,必须要知 道目标主机的MAC地址。但这个目标MAC地址是如何获得的呢?它就是 通过地址解析协议获得的。 ARP协议的基本功能就是主机在发送报文 前将目标主机的IP地址解析成目标主机的MAC地址,以保证通信的顺 利进行。 Page ?61 ARP协议原理 ? Arp request和reply的数据帧长都是42字节(28字节的 arp数据、14字节的以太帧头) 以太网 目的地址 6 以太网 源地址 6 帧 硬件 协议 硬件 协议 OP 发送端 发送端 类型 地址 类型 地址 地址 以太网地址 IP地址 长度 长度 2 2 2 1 6 4 1 2 28字节ARP请求/应答 目的 目的 以太网地址 IP地址 6 4 以太网首部 Page ?62 ARP协议原理 以太网目的地址 以太网目的地址 以太网源地址 以太网源地址 协议类型 操作 硬件类型 硬件地址长 协议地址长 度 度 发送者以太网地址(0-3) 发送者以太网地址(4-5) 发送者协议地址(0-1) 发送者协议地址(2-3) 目的以太网地址(0-1) 目的以太网地址(2-5) 目的协议地址(0-3) Page ?63 ARP协议原理 正常的ARP通讯过程只需ARP Request和ARP Replay两个过程,简 单的说就是一问一答: internet internet gateway ARP Replay ARP Request PC Page ?64 ARP协议原理 网关回应给主机的ARP Reply报文 主机收到网关的ARP Reply报文后,同样会提取报文中的 “Sender’s hardware address”和“Sender’s protocol PC address”生成自己的ARP表项; Page ?65 ARP攻击方式 ? Arp flood arp 泛洪,只要是瞬间发送大量的arp数据包给switch,填满switch的 mac table,导致无法switch工作异常, 提示:这时switch就会象hub一样工作 Page ?66 ARP攻击方式 ? gratuitous arp 免费arp, 原理: 1.gratuitous arp也是arp request的一种,所以是 broadcast,就是群发,就是搞的地球人都知道 2. gratuitous arp的arp报文中,源ip和目的ip是 一样的,就是为了再次确认网络中身份。 ms的ip地址冲突监测机制就是通过 免费arp实现的 Page ?67 ARP攻击方式 ? 免费arp的精髓 前文说到构建arp spoof的简易方式。 这里我有一个疑问,如果攻击者不让其中的1个用户访问 任何地址,是否需要发送整个网段的错误的mac地址给 受 害主机??? 答案是 NO 如果这样劳命伤财,不是好办法! 只要代表受害主机发送错误的gratuitous arp。1个arp报文 足以!当然arp table有老化时间,不过谎话不停的说,说 了多次,就变成“真”di了 这样网络中的其他主机都收到错误的mac地址的arp报文 进行更新自身的arp cache。于是灾难就这样发生了! Page ?68 ARP攻击方式 免费arp的工作原理 原来 良民的地址是 4444.4444.4444 发送源ip和目的ip均为受害主机的 ip地址的免费arp报文 普通交换机 GratuitousArp Send mac add=错误的mac地址 Send ip add=受害主机ip Target ip add=受害主机ip 我好毒、 我好毒 这是广播报文哦 为什么整个 网段都ping 不通?! 我真实的mac是 恐怖份子 Page ?69 极品良民 1111.1111.1111 ARP攻击方式 ? Arp proxy arp 代理:arp proxy是arp的攻击之首, “中间人”攻击! 这也是传说的 原理: 双向arp spoof Page ?70 ARP攻击方式 Proxy arp的工作原理 Arp reply to GW Send mac add=恐怖份子mac Send ip add=极品良民ip Target mac add= GW mac地址 Target ip add=GW ip地址 S8610 Gateway 普通交换机 Arp reply to 良民 Send mac add=恐怖份子mac Send ip add=网关ip Target mac add= 良民mac地址 Target ip add=良民 ip地址 IC、IP、IQ卡, 统统告诉我密码 我要和网关通 讯,没钱了, 我要查我的银 行账户 恐怖份子的潜台词: 恐怖份子 Hello,良民,我是网关! Hello,网关,我是良民! Page ?71 极品良民 ARP攻击方式 原来良民的mac 地址是 3333.3333.3333 S8610 Gateway Proxy arp的工作原理 我线 普通交换机 IC、IP、IQ卡, 统统告诉我密码 嘿嘿,俺的线 我要和网关通 讯,没钱了, 我要查我的银 行账户 极品良民 原来网关的mac 地址是 3333.3333.333 3 恐怖份子 Page ?72 恐怖份子的潜台词: Hello,良民,我是网关! Hello,网关,我是良民! ARP攻击方式 S8610 Gateway Arp table 良民ip 恐怖份子mac Proxy arp的工作原理 我线 普通交换机 IC、IP、IQ卡, 统统告诉我密码 嘿嘿,俺的线 后期良民和网关的通讯 路线图; 所有通讯报文都要经过恐怖份子 恐怖份子 恐怖份子的潜台词: Hello,良民,我是网关! Hello,网关,我是良民! Page ?73 极品良民 Arp table 网关ip 恐怖份子mac ARP防护 电脑绑定arp arp -s 157.55.85.212 00-aa-00-62-c609 备注:arp –a arp –d @echo off arp -d a arp –s网关LAN IP网关LAN MAC AntiARP防火墙、瑞星个人防火墙2008、 360ARP防火墙等 原理:拦截ARP的攻击或者是IP冲突,保 障系统不会受ARP攻击的影响 NBR的免费arp NBR的8.41b5后推出免费arp的功能! 当前最新正式发布版本是8.5b9! 目的是通过不断的gratuitous arp的broadcast 宣告自己的正确mac。现在是每秒1个gratuitous arp报文。 Ip和mac的绑定 该功能只是该ip只响应绑定的mac,如果更换 ip,就有可以正常上网,并不是该mac一定只能 使用该ip才能上网,这个是一定要区分清楚的! 除非绑定一个子网 ARP防护 ? DHCP Snooping 监控方式也即DHCP Snooping方式,适合大部分主机为 动态分配IP地址的网络场景。实现原理:接入层交换机监控 用户动态申请IP地址的全过程,记录用户的IP、MAC和端 口信息,并且在接入交换机上做多元素绑定,从而在根本上 阻断非法ARP报文的传播。 另外,ARP泛洪攻击会产生大量的ARP报文,消耗网络 带宽资源和交换机CPU资源,造成网络速度急剧降低。因 此可以在接入交换机部署ARP报文限速,对每个端口单位 时间内接收到的ARP报文数量进行限制,避免ARP泛洪攻 击,保护网络资源。 Page ?75 重庆网安计算机技术服务中心 ()