返回
数据通信网络组建与维护防火墙基础概述

数据通信网络组建与维护防火墙基础概述

ID:45052460

大小:3.30 MB

页数:66页

时间:2019-11-08

数据通信网络组建与维护防火墙基础概述_第1页
数据通信网络组建与维护防火墙基础概述_第2页
数据通信网络组建与维护防火墙基础概述_第3页
数据通信网络组建与维护防火墙基础概述_第4页
数据通信网络组建与维护防火墙基础概述_第5页
资源描述:

《数据通信网络组建与维护防火墙基础概述》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库

1、项目9防火墙基础概述目录1.防火墙技术概述2.防火墙的基本管理方法3.防火墙基本配置方法Page1TCP/IP协议栈-IPV4安全隐患缺乏数据源验证1机制32缺乏机密性缺乏完整性验保障机制证机制Page2TCP/IP协议栈常见安全风险漏洞、缓冲区溢出攻击WEB应用的攻击、病毒及木马、……TCP欺骗、TCP拒绝服务、UDP拒绝服务端口扫描、……IP欺骗、Smurf攻击、ICMP攻击地址扫描、……MAC欺骗、MAC泛洪、ARP欺骗……设备破坏、线路侦听Page3设备破坏物理设备破坏指攻击者直接破坏网络的各种物理设施,比如服务器设施,或者网络的传输通信设施等设

2、备破坏攻击的目的主要是为了中断网络服务设备破坏攻击防范主要靠非技术方面的因素,比如建造坚固的机房,指定严格的安全管理制度,对于需要铺设在外部环境中的通信电缆等,采用各种加强保护措施及安全管理措施Page4线路侦听物理层网络设备集线器中继器无线网络侦听者对线路侦听的防范对于网络中使用集线器,中继器之类的,有条件的话置换设备为交换机等对于无线网络,使用强的认证及加密机制,这样窃听者即使能获取到传输信号,也很难把原始信息还原出来Page5MAC欺骗MAC欺骗是一种非常直观的攻击,攻击者将自己的MAC地址更改为受信任系统的地址。对于MAC攻击的防

3、范措施在交换机上配置静态条目,将特定的MAC地址始终与特定的端口绑定F0-DE-F1-33-7F-DAE0E1我也是:F0-DE-F1-33-7F-DA仿冒者Page6MAC泛洪MAC泛洪攻击利用了:交换机的MAC学习机制MAC表项的数目限制交换机的转发机制MAC泛洪攻击的预防攻击者配置静态MAC转发表配置端口的MAC学习数目限制Page7ARP欺骗ABHacker当A与B需要通讯时:A发送ARPRequest询问B的MAC地址B发送ARPReply告诉A自己的MAC地址Page8IP欺骗攻击(IPSpoofing)节点间的信任关系有时

4、会根据IP地址来建立攻击者使用相同的IP地址可以模仿网络上合法主机,访问关键信息SnifferA:192.168.0.1192.168.0.1B:192.168.0.6攻瘫snifferedrequestPage9Smurf攻击ICMPEchorequest,src=128.100.100.2Attacker192.168.1.2dest=192.168.1.255controlsthishost192.168.1.3192.168.1.1192.168.1.4ICMPEchorepliesVictim:128.100.100.2192.168.1.5Pag

5、e10ICMP重定向和不可达攻击ManyICMPdestunreachablefloodto192.168.1.x,Attacker192.168.1.2src=128.100.100.2controlsthishost192.168.1.3192.168.1.1为什么收不到数据包?192.168.1.4网关收到不到数据包ManyICMP受害主机Redirect128.100.100.2192.168.1.5AttackercontrolsthishostPage11IP地址扫描攻击攻击者运用ICMP报文探测目标地址,或者使用TCP/UDP报文对一定地址发起

6、连接,通过判断是否有应答报文,以确定哪些目标系统确实存活着并且连接在目标网络上。192.168.1.2192.168.1.3192.168.1.4192.168.1.1攻击者192.168.1.5Page12TCP欺骗非授权连接主机A攻击主机CSYNseqack1110000spoofedpacketfromCtoASYNACKseqackACKseqack11540021100111100154003spoofedpacketfromBtoA拒绝服务攻击A信任BfromCtoB主机BPage13TCP拒绝服务——SYNFlood攻击SynServer攻击者

7、SYN报文是TCP连接的第一个报文,攻击者通过大量发送SYN报文,造成大量未完全建立的TCP连接,占用被攻击者的资源。Page14UDP拒绝服务——UDPFlood攻击UDP攻击者Server攻击者通过向服务器发送大量的UDP报文,占用服务器的链路带宽,导致服务器负担过重而不能正常向外提供服务。Page15端口扫描攻击防范PortScan攻击通常使用一些软件,向大范围的主机的一系列TCP/UDP端口发起连接,根据应答报文判断主机是否使用这些端口提供服务。PortScan攻击者Page16缓冲区溢出攻击攻击软件系统的行为中,最常见的一种方法可以从本地实施

8、,也可以从远端实施Stack利用软件

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。