系統(tǒng)管理員網(wǎng)絡(luò)安全培訓(xùn)課程教材-WLAN

WLAN系統(tǒng)管理員培訓(xùn)教材編者：李小雪單位：重慶移動電話箱：lixiaoxue@培訓(xùn)對象與人員能力要求：WLAN系統(tǒng)維護(hù)人員已掌握TCP/IP基礎(chǔ)知識、WLAN基礎(chǔ)知識、網(wǎng)絡(luò)設(shè)備配置基礎(chǔ)知識課時安排：培訓(xùn)目標(biāo)：目錄WLAN系統(tǒng)的網(wǎng)絡(luò)安全管理要求2相關(guān)技術(shù)及安全標(biāo)準(zhǔn)介紹4WLAN系統(tǒng)日常安全檢查33WLAN系統(tǒng)面臨的安全風(fēng)險及防護(hù)手段31◆WLAN認(rèn)證過程-WEB認(rèn)證方式APWLANACPortalServerRadiusInternetIP城域網(wǎng)APAP2.發(fā)起HTTP請求訪問Internet業(yè)務(wù)應(yīng)用

1.關(guān)聯(lián)WLAN，獲取IP地址3.第一次訪問，AC強制到Portal，推送登錄頁面4.認(rèn)證成功，返回認(rèn)證結(jié)果，AC將IP/MAC地址與MSISDN對應(yīng)關(guān)系加入會話列表5.推送認(rèn)證成功頁面拒絕服務(wù)攻擊-物理層和鏈路層RF干擾主要對2.4GHz頻段進(jìn)行干擾微波爐、無繩電話等也可能造成無意干擾Duration攻擊利用802.11的沖突避免機制，攻擊者通過修改無線報文參數(shù)（NAV，Duration字段），大量搶占空口時間，使正常AP/終端無法收發(fā)報文BeaconFlood向無線信道中發(fā)送大量虛假的SSID，來充斥客戶端的無線信號列表，使客戶端找不到真實的AP,這樣即影響到了正常的無線業(yè)務(wù)的運行拒絕服務(wù)攻擊-物理層和鏈路層-防護(hù)手段無有效手段預(yù)防加強巡檢和故障響應(yīng)，遭受攻擊時通過儀器儀表儀表等手段快速定位攻擊源拒絕服務(wù)攻擊-ARP廣播包攻擊者發(fā)起洪泛ARP廣播請求，致使AC向各AP轉(zhuǎn)發(fā)大量數(shù)據(jù)，造成網(wǎng)絡(luò)擁塞拒絕服務(wù)攻擊-ARP廣播包-防護(hù)手段AC嚴(yán)格劃分VLAN，減小廣播域，并嚴(yán)禁VLAN間互通開啟AC的用戶隔離功能禁止AP向與其關(guān)聯(lián)的所有終端廣播ARP報文開啟接入交換機的端口隔離功能開啟網(wǎng)絡(luò)設(shè)備DHCPSnooping功能拒絕服務(wù)攻擊-ARP廣播包-防護(hù)手段Internet…AP無線控制器有線接入網(wǎng)AP隔離，防止不同AP下用戶互通用戶隔離，防止同AP下用戶互通安全管理中心（secCenter）拒絕服務(wù)攻擊-針對APSTA與AP連接過程發(fā)生在用戶身份認(rèn)證開始之前STA的三個狀態(tài)拒絕服務(wù)攻擊-針對AP攻擊方式AuthenticationFlood&AssociationFlood認(rèn)證洪水攻擊和關(guān)聯(lián)洪水攻擊偽裝客戶端向AP發(fā)送大量的認(rèn)證或者關(guān)聯(lián)請求，使目標(biāo)AP過載或者關(guān)聯(lián)表填滿，無法響應(yīng)正常請求，也可能導(dǎo)致已連接用戶斷線De-authenticationFlood&De-associationFlood取消認(rèn)證洪水攻擊和取消關(guān)聯(lián)洪水攻擊發(fā)送大量取消認(rèn)證或者取消關(guān)聯(lián)請求，使已連接的用戶強制斷線拒絕服務(wù)攻擊-針對AP-防護(hù)手段協(xié)議弱點，無有效手段預(yù)防開啟無線拒絕服務(wù)攻擊檢測告警功能加強巡檢和故障響應(yīng)，遭受攻擊時通過儀器儀表儀表等手段快速定位攻擊源拒絕服務(wù)攻擊-針對ACDHCP地址耗盡攻擊攻擊者發(fā)送大量虛假的DHCP請求，耗盡地址池中地址，導(dǎo)致AC無法為新合法用戶分配IP合法終端因為IP地址耗盡所以無法正常接入AC給所有實現(xiàn)無線關(guān)聯(lián)的終端分配IP地址發(fā)送大量虛假DHCP請求AC上的IP地址池中地址很快被非法終端耗盡拒絕服務(wù)攻擊-針對ACWEB服務(wù)攻擊AC多采用WEB方式管理，自身運行httpd等web服務(wù)，可能遭受針對WEB服務(wù)的DoS攻擊，造成設(shè)備負(fù)荷過高案例：2011年某省公司AC遭受SYNFLOOD攻擊，造成CPU負(fù)荷過高，業(yè)務(wù)中斷攻擊者拒絕服務(wù)WLANAC拒絕服務(wù)攻擊-針對AC-防護(hù)手段DHCP地址耗盡攻擊開啟網(wǎng)絡(luò)設(shè)備DHCPSnooping功能WEB服務(wù)攻擊AC上配置ACL等手段，限制有限地址作為訪問源，拒絕非授權(quán)IP訪問AC拒絕服務(wù)攻擊-其它Portal風(fēng)險Portal完全暴露在公網(wǎng)提供WEB服務(wù)，存在遭受DOS/DDOS攻擊的風(fēng)險Radius風(fēng)險Portal、Radius多存在于一個安全域內(nèi)，而且WebPortal必須對所有用戶可見，因此Radius的安全性很低，存在遭受DoS及DDoS攻擊的風(fēng)險拒絕服務(wù)攻擊-其它-防護(hù)手段WLAN系統(tǒng)嚴(yán)格劃分安全區(qū)域Portal與Radius隔離在兩個不同等級安全域內(nèi)，且Radius安全域等級應(yīng)高于WebPortal域安全等級

在Portal前部署防火墻、防DDOS、網(wǎng)頁防篡改等安全防護(hù)系統(tǒng)，確保高安全強度攻擊者網(wǎng)站防篡改DDOS防護(hù)WLANPortal網(wǎng)絡(luò)濫用-DNS漏洞繞開計費WLAN認(rèn)證過程回顧1.用戶連接CMCC的無線接入點2.終端分配到IP地址，進(jìn)入WLAN的認(rèn)證前域。此時認(rèn)證前域配置了訪問控制策略，用戶只能訪問AC、DNS和Portal等地址3.用戶隨意在瀏覽器中輸入一個URL，由DNS解析到網(wǎng)站實際IP地址4.WLANAC將用戶對該網(wǎng)站的請求修改為對Portal服務(wù)器的訪問請求，要求用戶強制認(rèn)證5.用戶在Portal上通過認(rèn)證，由AC配置進(jìn)入認(rèn)證后域網(wǎng)絡(luò)濫用-DNS漏洞繞開計費漏洞原理AC在認(rèn)證過程第3步時未對用戶終端發(fā)起的域名解析請求作目的地址限制，用戶終端不僅可以訪問AC通過DHCP分配的DNS服務(wù)器的UDP53端口，也可以訪問其它外網(wǎng)IP地址的相同端口漏洞利用方法惡意人員可以在公網(wǎng)建立一臺VPN服務(wù)器，使用UDP53端口提供VPN服務(wù)。用戶終端不經(jīng)過用戶身份認(rèn)證，就可以通過VPN軟件客戶端建立起與外網(wǎng)VPN服務(wù)器的VPN連接，將該VPN服務(wù)器作為代理服務(wù)器，將正常的上網(wǎng)流量封裝在DNS協(xié)議報文中發(fā)送到互聯(lián)網(wǎng)上，實現(xiàn)對公網(wǎng)的訪問。此時AC會將所有VPN隧道內(nèi)的流量視為正常的DNS協(xié)議數(shù)據(jù)予以放行網(wǎng)絡(luò)濫用-DNS漏洞繞開計費實現(xiàn)工具OpenVPN，一款開源的VPN軟件危害免認(rèn)證計費，并且避免了運營商網(wǎng)絡(luò)中的監(jiān)控和審計和溯源措施網(wǎng)絡(luò)濫用-DNS漏洞繞開計費-防護(hù)手段在AC上設(shè)置DNS白名單或?qū)嵤〢CL控制，限定認(rèn)證前域的終端可訪問的DNS為特定地址和特定端口網(wǎng)絡(luò)濫用-DNS漏洞繞開計費更進(jìn)一步如果認(rèn)證前域的配置嚴(yán)格，只明確開放指定的DNS服務(wù)器的地址和服務(wù)，那么用戶只能連接到運營商指定的DNS服務(wù)器，前述漏洞將被封堵另一個思路：將外出流量通過運營商指定的DNS服務(wù)器轉(zhuǎn)發(fā)至外網(wǎng)VPN服務(wù)器實現(xiàn)方式：通過將向外訪問的流量封裝在DNS請求協(xié)議報文中，由DNS服務(wù)器轉(zhuǎn)發(fā)到外網(wǎng)的VPN服務(wù)器，同樣可以逃過AC的訪問控制策略檢查網(wǎng)絡(luò)濫用-DNS漏洞繞開計費更進(jìn)一步VPN建立數(shù)據(jù)封裝網(wǎng)絡(luò)濫用-DNS漏洞繞開計費更進(jìn)一步實際數(shù)據(jù)流——三角模式

發(fā)出的數(shù)據(jù)包接收的數(shù)據(jù)包網(wǎng)絡(luò)濫用-DNS漏洞繞開計費實現(xiàn)工具LoopcVPN危害免認(rèn)證計費，并且避免了運營商網(wǎng)絡(luò)中的監(jiān)控和審計和溯源措施影響DNS服務(wù)器——此種方式的訪問對運營商DNS服務(wù)器的負(fù)荷很大，一般用戶的上網(wǎng)流量中DNS流量只占總流量的不到1%。而此種方式幾乎用戶所有的訪問都是封裝在DNS中。并且運營商本地DNS必須進(jìn)行遞歸查詢，極其消耗資源?？赡苡绊憭煸贒NS上的其他重要業(yè)務(wù)(如WAP)網(wǎng)絡(luò)濫用-IP地址冒用盜用WLAN設(shè)備地址用戶和網(wǎng)絡(luò)設(shè)備在無線側(cè)是通過共同的網(wǎng)絡(luò)設(shè)備向上訪問，兩個地址段屬于不同的VLAN，但可能未作隔離網(wǎng)絡(luò)設(shè)備地址（AP、交換機等）可能為公網(wǎng)地址非法用戶在獲得AP、AC、交換機等WLAN系統(tǒng)設(shè)備地址后，可將自己的終端設(shè)置為相同地址段IP，則可能實現(xiàn)免費上網(wǎng)網(wǎng)絡(luò)濫用-IP地址冒用盜用合法用戶IP地址原理APWLANACPortalServerRadiusInternetIP城域網(wǎng)APAP用戶認(rèn)證通過后AC維護(hù)會話狀態(tài)表，后續(xù)會話訪問只通過IP地址進(jìn)行識別，留下安全隱患！網(wǎng)絡(luò)濫用-IP地址冒用盜用合法用戶IP地址攻擊者掃描無線網(wǎng)絡(luò)中在線的用戶，將通過認(rèn)證的用戶踢出無線網(wǎng)絡(luò)中（DOS攻擊）手工更改本機IP為通過驗證用戶的IP地址，訪問互聯(lián)網(wǎng)網(wǎng)絡(luò)濫用-IP地址冒用-防護(hù)手段盜用WLAN設(shè)備地址配置AP、交換機等設(shè)備管理地址為私網(wǎng)地址，斷絕用戶地址與設(shè)備地址路由嚴(yán)格劃分管理VLAN和業(yè)務(wù)VLAN設(shè)定ACL，限制WLAN設(shè)備地址段訪問互聯(lián)網(wǎng)盜用合法用戶IP地址設(shè)定DHCP租期大于用戶超時下線時間（現(xiàn)在要求DHCP租期大于30分鐘，用戶超時下線時間為15分鐘）AC判斷是否放行用戶訪問時，同時判斷IP地址和MAC地址，增加攻擊者的利用難度敏感信息泄露-網(wǎng)絡(luò)竊聽在WLAN環(huán)境中，由于其開放的傳輸介質(zhì)，使得攻擊者可以非常容易地實施竊聽攻擊明文協(xié)議(HTTP,POP3和FTP等)都可以被竊聽可能泄露用戶在網(wǎng)站、郵箱以及BBS上的帳號口令以及訪問記錄敏感信息泄露-網(wǎng)絡(luò)竊聽-防護(hù)手段Portal認(rèn)證中，賬號密碼傳輸采用SSL加密，泄露可能性較低數(shù)據(jù)加密空口加密：WPA2VPN應(yīng)用層加密：HTTPS/FTPS…敏感信息泄露-偽AP私設(shè)SSID為CMCC/CMCC-EDU的AP，誘使用戶連接到此AP，收集用戶的WLAN賬號密碼攻擊者在偽AP后自設(shè)WEB服務(wù)器，偽造出登錄頁面記錄用戶輸入的賬號密碼信息合法AP

假CMCCAP

用戶（終端）攻擊者Radius服務(wù)器敏感信息泄露-偽AP-防護(hù)手段開啟非法AP檢測和定位功能，及時發(fā)現(xiàn)偽CMCCAP取消WLAN手機用戶的靜態(tài)密碼登錄方式，采用動態(tài)密碼下發(fā)方式敏感信息泄露-偽DHCP服務(wù)器攻擊步驟發(fā)動DHCP地址耗盡攻擊，使AC地址池耗盡，無法向合法用戶分配IP攻擊者冒充DHCP服務(wù)器，響應(yīng)用戶DHCP請求并分配偽IP地址給用戶網(wǎng)關(guān)一般設(shè)置為攻擊者的地址，從而竊聽用戶流量，獲得未加密的敏感信息敏感信息泄露-偽DHCP服務(wù)器更進(jìn)一步偽DHCP服務(wù)器下發(fā)的DHCP配置中，DNS服務(wù)器地址設(shè)置為攻擊者控制的虛假DNS服務(wù)器收到用戶對重要網(wǎng)站（銀行、證券系統(tǒng)等）的域名解析請求，返回釣魚網(wǎng)站IP地址用戶被定向到釣魚網(wǎng)站，泄露帳號密碼等敏感信息敏感信息泄露-偽DHCP服務(wù)器-防護(hù)手段開啟網(wǎng)絡(luò)設(shè)備DHCPSnooping功能開啟接入交換機的端口隔離功能開啟AC的用戶隔離功能敏感信息泄露-ARP欺騙同一VLAN下的用戶，如果可以互相訪問，則攻擊者可以使用ARP嗅探的方式截獲其它用戶數(shù)據(jù)攻擊者廣播虛假ARP包，將合法用戶的網(wǎng)關(guān)指定為攻擊者本身用戶流量全部經(jīng)過攻擊者，數(shù)據(jù)被竊聽敏感信息泄露-ARP欺騙-防護(hù)手段AC嚴(yán)格劃分VLAN，減小廣播域，并嚴(yán)禁VLAN間互通開啟AC的用戶隔離功能禁止AP向與其關(guān)聯(lián)的所有終端廣播ARP報文開啟接入交換機的端口隔離功能敏感信息泄露-WLAN用戶密碼生成機制問題WLAN用戶在遺忘登錄密碼后，可通過發(fā)送短信CZWLANMM至10086，系統(tǒng)重置并返回一個新的密碼現(xiàn)網(wǎng)中部分省市將重置密碼設(shè)置為默認(rèn)密碼，因此每次客戶重置密碼，返回的密碼均為“111111”惡意用戶針對號段進(jìn)行默認(rèn)密碼嘗試，可能發(fā)現(xiàn)可用賬號，盜用后免費上網(wǎng)敏感信息泄露-WLAN用戶密碼生成機制問題-防護(hù)手段增強WLAN用戶密碼生成機制的安全性，避免WLAN系統(tǒng)重置密碼是默認(rèn)弱口令設(shè)備被攻擊利用-網(wǎng)絡(luò)設(shè)備網(wǎng)絡(luò)設(shè)備（特別是AC）暴露在公網(wǎng)，易遭受各種攻擊如果AC設(shè)備被攻擊者控制，可能存在以下安全風(fēng)險攻擊者獲取AC設(shè)備root權(quán)限后，可停止業(yè)務(wù)進(jìn)程、關(guān)閉端口，甚至關(guān)閉設(shè)備，導(dǎo)致用戶無法使用WLAN，影響客戶感知如攻擊者對WLAN業(yè)務(wù)較為熟悉，可在AC設(shè)備上獲取客戶使用WLAN業(yè)務(wù)的帳號名稱、訪問記錄等敏感信息，導(dǎo)致客戶敏感信息泄漏更進(jìn)一步，在攻擊者很熟悉WLAN業(yè)務(wù)流程的情況下，可向上聯(lián)Radius服務(wù)器發(fā)送異常數(shù)據(jù)包，導(dǎo)致認(rèn)證或計費異常，容易引發(fā)客戶投訴，影響公司形象攻擊者在AC設(shè)備上安裝惡意程序，作為攻擊者特定用途使用，如發(fā)送垃圾郵件、發(fā)起拒絕服務(wù)攻擊等（已有案例）WLAN業(yè)務(wù)異常客戶信息泄漏認(rèn)證/計費異常攻擊發(fā)起源設(shè)備被攻擊利用-網(wǎng)絡(luò)設(shè)備SNMP默認(rèn)CommunityString（團(tuán)體字）風(fēng)險WLAN系統(tǒng)中大量的設(shè)備都開啟了SNMP服務(wù)，該服務(wù)默認(rèn)口令字為public、privatePublic為只讀權(quán)限，只能對設(shè)備進(jìn)行查看Private為讀寫權(quán)限，不但能讀取設(shè)備的相關(guān)信息，還可對這些信息進(jìn)行修改相關(guān)工具：SolarWinds等通過Private權(quán)限，可對端口進(jìn)行關(guān)閉操作設(shè)備被攻擊利用-網(wǎng)絡(luò)設(shè)備AC等設(shè)備自身漏洞操作系統(tǒng)漏洞WLAN設(shè)備如AC、Radius等多基于Unix/Linux等通用操作系統(tǒng)。如果設(shè)備自身存在安全漏洞，且互聯(lián)網(wǎng)可達(dá)，則易被攻擊并成為肉雞案例：2010年某省公司的AC地址被國際發(fā)垃圾郵件組織加入SBL列表。經(jīng)排查，屬于AC被攻擊后被植入惡意進(jìn)程，并啟用本地880端口為外部提供代理服務(wù)應(yīng)用服務(wù)漏洞WEB/FTP等服務(wù)存在安全漏洞，造成被入侵案例：某廠家AC存在繞過驗證下載任意配置文件漏洞設(shè)備被攻擊利用-網(wǎng)絡(luò)設(shè)備設(shè)備弱口令對互聯(lián)網(wǎng)開放不必要的端口和服務(wù)AC登陸協(xié)議使用明文傳輸模式部分AC設(shè)備不支持SSH、HTTPS等加密形式登陸，使得維護(hù)過程中賬號、口令在互聯(lián)網(wǎng)明文傳輸，存在被竊聽可能設(shè)備被攻擊利用-網(wǎng)絡(luò)設(shè)備-防護(hù)手段賬號口令和SNMP團(tuán)體字復(fù)雜度需滿足集團(tuán)安全規(guī)范設(shè)備管理端口和業(yè)務(wù)端口分離。在網(wǎng)絡(luò)設(shè)備上配置ACL，限定有限地址段訪問和管理設(shè)備關(guān)閉設(shè)備的HTTP/TELNET等明文協(xié)議管理方式，采用HTTPS/SSH等加密方式檢查WLANAC設(shè)備上進(jìn)程及開放端口列表，確認(rèn)是否存在惡意程序及非法端口，如存在則手工關(guān)閉后清除，并手工恢復(fù)被破壞的系統(tǒng)文件使用安全漏洞掃描設(shè)備對所有WLAN相關(guān)設(shè)備進(jìn)行安全漏洞掃描，檢查有無高中風(fēng)險安全漏洞，如有需盡快修補設(shè)備被攻擊利用-PortalWLAN的WebPortal由于在公網(wǎng)上能夠訪問，存在網(wǎng)頁篡改、拒絕服務(wù)攻擊等網(wǎng)站安全威脅網(wǎng)頁篡改信息竊取拒絕服務(wù)非法入侵攻擊者WLANPortal設(shè)備被攻擊利用-Portal

-防護(hù)手段WLAN系統(tǒng)嚴(yán)格劃分安全區(qū)域在Portal前部署防火墻、防DDOS、網(wǎng)頁防篡改等安全防護(hù)系統(tǒng)，確保高安全強度攻擊者網(wǎng)站防篡改DDOS防護(hù)WLANPortal目錄WLAN系統(tǒng)的網(wǎng)絡(luò)安全管理要求2相關(guān)技術(shù)及安全標(biāo)準(zhǔn)介紹4WLAN系統(tǒng)日常安全檢查33WLAN系統(tǒng)面臨的安全風(fēng)險及防護(hù)手段31◆WLAN系統(tǒng)安全域劃分WLAN組網(wǎng)安全要求VLAN隔離與安全域劃分要求AP、AC支持VLAN隔離，AC嚴(yán)格劃分VLAN，將AP劃分到不同VLAN中，并嚴(yán)禁VLAN間互通由于WebPortal需向用戶開放且Radius系統(tǒng)的重要性，因此需將WebPortal與Radius隔離在兩個不同等級安全域內(nèi)，且Radius安全域等級應(yīng)高于WebPortal域安全等級二層隔離要求支持AP下的二層隔離功能；支持用戶隔離功能的打開和關(guān)閉地址規(guī)劃要求配置無需訪問公網(wǎng)的設(shè)備（如AP、交換機等）地址為私網(wǎng)地址AP、AC管理端口和業(yè)務(wù)端口分開方式一：管理端口分配私有IP地址，業(yè)務(wù)端口分配公網(wǎng)IP地址方式二：管理端口、業(yè)務(wù)端口分在不同的IP地址段WLAN系統(tǒng)設(shè)備安全驗收要求合理分配IP、劃分VLAN及安全域網(wǎng)絡(luò)設(shè)備地址盡量配置私網(wǎng)地址劃分管理VLAN和業(yè)務(wù)VLAN細(xì)分VLAN，減小廣播域高風(fēng)險區(qū)域部署防火墻、防DDOS、IDS等安全設(shè)備開啟設(shè)備防護(hù)功能端口隔離用戶隔離DHCPSnooping非法AP檢測WLAN系統(tǒng)設(shè)備安全驗收要求嚴(yán)格設(shè)置訪問控制關(guān)閉TELNET/HTTP、僅對維護(hù)需要的IP開放特定端口、設(shè)置AC的DNS白名單...基線配置檢查賬號口令、SNMP團(tuán)體字...安全設(shè)備配置檢查ACL策略、防火墻策略...系統(tǒng)漏洞掃描，及時修補漏洞WLAN系統(tǒng)安全集團(tuán)相關(guān)要求關(guān)于進(jìn)一步強化WLAN系統(tǒng)安全管理的通知目錄WLAN系統(tǒng)的網(wǎng)絡(luò)安全管理要求2相關(guān)技術(shù)及安全標(biāo)準(zhǔn)介紹4WLAN系統(tǒng)日常安全檢查33WLAN系統(tǒng)面臨的安全風(fēng)險及防護(hù)手段31◆WLAN系統(tǒng)日常安全檢查WLAN日常安全維護(hù)作業(yè)系統(tǒng)日志安全檢查安全設(shè)備運行情況檢查木馬和惡意軟件監(jiān)控重要業(yè)務(wù)進(jìn)程及變化監(jiān)控檢查應(yīng)用系統(tǒng)端口、服務(wù)情況檢查各防火墻訪問控制策略病毒代碼更新工作系統(tǒng)配置、賬號、文件系統(tǒng)檢查更改帳號口令、并審計帳號目錄WLAN系統(tǒng)的網(wǎng)絡(luò)安全管理要求2相關(guān)技術(shù)及安全標(biāo)準(zhǔn)介紹4WLAN系統(tǒng)日常安全檢查33WLAN系統(tǒng)面臨的安全風(fēng)險及防護(hù)手段31◆DHCPSnooping技術(shù)介紹DHCPSnooping——DHCP監(jiān)聽允許將設(shè)備某個物理端口設(shè)置為信任（Trust）或不信任（Untrust）防止偽DHCP服務(wù)器攻擊信任端口可以正常接收并轉(zhuǎn)發(fā)DHCPOffer報文，而不信任端口會將接收到的DHCPOffer報文丟棄DHCPSnooping技術(shù)介紹防止DHCP地址耗盡攻擊比較DHCP請求報文的（報文頭里的）源MAC地址和（報文內(nèi)容里的）DHCP客戶機的硬件地址（即CHADDR字段），只有這兩者相同的請求報文才會被轉(zhuǎn)發(fā)，否則將被丟棄防止DHCP廣播泛濫可以對端口的DHCP報文進(jìn)行限速，從而阻止短時間大量發(fā)送DHCP請求報文造成廣播泛濫無線局域網(wǎng)安全標(biāo)準(zhǔn)（1）-WEPWEP——WiredEquivalentPrivacy，有線等效保密協(xié)議是一種可選的鏈路層安全機制，用來提供訪問控制，數(shù)據(jù)加密和安全性檢驗等無線局域網(wǎng)安全標(biāo)準(zhǔn)（1）-WEP認(rèn)證機制兩種身份認(rèn)證方法：開放式——工作站使用MAC地址作為身份證明PSK——Pre-SharedKey，預(yù)共享密鑰，單向認(rèn)證（AP認(rèn)證終端）加密機制RC4流加密算法40位/104位密鑰+24位IV（初始向量）無線局域網(wǎng)安全標(biāo)準(zhǔn)（1）-WEPWEP脆弱性對RC4算法的使用方式不正確，易被破解IV（初始向量）及密鑰長度短，導(dǎo)致IV重復(fù)出現(xiàn)次數(shù)較高，造成RC4算法的加密強度大幅度下降無完整性機制，數(shù)據(jù)易被篡改，容易受到重放攻擊密鑰管理不便，加密、認(rèn)證使用相同密鑰，泄密可能性大無雙向認(rèn)證，可能存在虛假AP無線局域網(wǎng)安全標(biāo)準(zhǔn)（2）-WPAWPA（Wi-FiProtectedAccess）802.11idraft3，為了向下兼容的過渡性解決方案認(rèn)證機制802.1x或WPA-PSK，認(rèn)證的同時協(xié)商本次會話密鑰，將認(rèn)證與加密機制明確分離加密機制TKIP（TemporalKeyIntegrityProtocol），臨時密鑰完整性協(xié)議RC4流加密算法，48位IV，256位密鑰，每幀變換完整性機制Michael信息編碼完整性機制，防止重放攻擊無線局域網(wǎng)安全標(biāo)準(zhǔn)（3）-IEEE802.11iIEEE802.11iWPA2演進(jìn)圖無線局域網(wǎng)安全標(biāo)準(zhǔn)（3）-IEEE802.11i認(rèn)證機制802.1x或WPA2-PSK支持雙向認(rèn)證（用戶和認(rèn)證服務(wù)器之間）認(rèn)證的同時協(xié)商本次會話密鑰，將認(rèn)證與加密機制明確分離加密機制TKIP，保持向下兼容CCMP（Counter-modeCBC-MACProtocol），帶計數(shù)的CBC-MAC協(xié)議基于AES加密算法完整性機制提供無線局域網(wǎng)安全標(biāo)準(zhǔn)（4）-WAPIWAPI（WLANAuthenticationandPrivacyInfrastructure），無線局域網(wǎng)鑒別與保密基礎(chǔ)結(jié)構(gòu)我國2003年