常见的网络安全事件攻击原理与检测

数据通信 ,绝对的好资料,大家看看哦

——中国移动.应急培训

杜霖 2006/11/11中联绿盟信息技术(北京)有限公司

数据通信 ,绝对的好资料,大家看看哦

本次探讨的应急事件

12 3 4 5

网络设备的攻击与检测防范

拒绝服务攻击检测与防范

网络欺骗的原理与防御措施

网络嗅探的原理与防御措施 僵尸网络原理与检测防范

数据通信 ,绝对的好资料,大家看看哦

网络设备的攻击与检测防范

数据通信 ,绝对的好资料,大家看看哦

网络设备安全部分

和主机安全相比较，有较低的发生概率 查看系统利用率、设备指示灯状态进行异常分析

容易出现问题的情况：缺省配置、错误配置 关注无线网网络设备安全

数据通信 ,绝对的好资料,大家看看哦

网络设备常见问题

利用协议进行攻击– CDP协议安全分析 – STP协议安全分析 – VTP协议安全分析

针对应用进行攻击– 口令猜测破解 – SNMP的风险 – 设备自身的缺陷

数据通信 ,绝对的好资料,大家看看哦

协议攻击之CDP

Cisco专用协议，用来发现周边相邻的网络设备– 可以得到相邻设备名称、操作系统版本、接口数量和类型、接口IP地址等关键信息

在所有接口上默认打开 危害– 任何人可以轻松得到目标网络的拓扑结构信息

对策

– 如不需要，禁止CDP

数据通信 ,绝对的好资料,大家看看哦

协议攻击之STP

Spanning Tree Protocol

– 防止交换网络产生回路 – Root Bridge – BPDU--bridge ID, path cost, interface 攻击 – 强制接管Root Bridge,导致网络逻辑结构改变，在重

对策

新生成STP时，可以使某些端口暂时失效，可以监听大 部份网络流量。 – BPDU Flood:消耗带宽，拒绝服务(间隔时间)

– 对User-End端口，禁止发送BPDU(或用参数进行控制)

数据通信 ,绝对的好资料,大家看看哦

协议攻击之VTP

Vlan Trunking Protocol– 统一了整个网络的VLAN配置和管理 – 可以将VLAN配置信息传递到其它交换机 – 动态添加删除VLAN – 准确跟踪和监测VLAN变化

模式– Server, Client, Transparent

数据通信 ,绝对的好资料,大家看看哦

协议攻击之VTP

脆弱性– Domain: 只有属于同一个Domain的交换机才能交换Vlan信息 set vtp domain netpower – Password: 同一domain可以相互通过经MD5加密的password验证，但password设置非必需的，如果未设置password,入侵者可 恶意添加或者删除Vlan。

对策– 要设置password – 将交换机的vtp设置为Transparent 模式：sercetvty

set vtp domain netpower mode transparent password

数据通信 ,绝对的好资料,大家看看哦

应用攻击之口令破解

Cisco路由器的密码– 弱加密 – MD5加密 Enable secret 5

数据通信 ,绝对的好资料,大家看看哦

应用攻击之SNMP

SNMP– 版本 SNMPv1、SNMPv2、SNMPv3 – Snmp Agent – MIB

有读写权限之分

非法攻击措施– 针对SNMP口令的暴力破解程序 – 利用读、写口令字获取配置文件、修改配置文件。

数据通信 ,绝对的好资料,大家看看哦

应用攻击之设备缺陷

Cisco的IOS存在缺陷

数据通信 ,绝对的好资料,大家看看哦

网络设备防范措施

良好的网络建设规划– IP分配规划 – 拓扑结构规划

对网络设备进行安全加固配置 确保使用的协议尽可能

的安全 使用AAA加强访问控制和认证

数据通信 ,绝对的好资料,大家看看哦

设备的安全配置

关闭不必要的应用服务 使用强壮的口令 加强设备访问的认证与授权 升级设备固件(功能)或OS 使用访问控制列表 – 限制访问地址 – 限制数据包类型

数据通信 ,绝对的好资料,大家看看哦

Cisco为例的登录管理安全配置

使用加密的强密码– service password-encryption – enable secret pa55w0rd 使用分级密码策略(0~7) – enable secret 6 pa55word – privilege exec 6 show – Debug大量资源 使用用户密码策略 – user name password pass privilege exec 6 show

数据通信 ,绝对的好资料,大家看看哦

Cisco为例的登录管理安全配置

控制网络线路访问– access-list 8 permit 192.168.0.10 – access-list 8 deny any – line vty 0 4 – access-class 8 in 设置网络连接超时 – Exec-timeout 5 0 拨号验证 – CHAP PAP – 回拨验证