校園網(wǎng)絡(luò)安全-

校園網(wǎng)絡(luò)安全段運生安徽大學(xué)網(wǎng)絡(luò)中心校園網(wǎng)絡(luò)安全-全文共45頁，當(dāng)前為第1頁。暴力破解利用系統(tǒng)自身安全漏洞木馬程序拒絕服務(wù)攻擊蠕蟲病毒ARP欺騙攻擊嗅探sniffer網(wǎng)絡(luò)釣魚WEB攻擊常見的安全攻擊方法校園網(wǎng)絡(luò)安全-全文共45頁，當(dāng)前為第2頁。采用窮舉法，破譯密碼：從口令候選器中選取單詞或用枚舉法選取，然后用各種同樣的加密算法進(jìn)行加密再比較，一致則猜測成功，否則再嘗試。暴力破解校園網(wǎng)絡(luò)安全-全文共45頁，當(dāng)前為第3頁。微軟安全公告bugtraq利用已知漏洞攻擊校園網(wǎng)絡(luò)安全-全文共45頁，當(dāng)前為第4頁。木馬是指表面上是有用的軟件、實際目的卻是危害計算機安全并導(dǎo)致嚴(yán)重破壞的計算機程序。具有隱蔽性的可執(zhí)行程序，通常在點擊后生效可讀取各種密碼，下載、上傳文件可對局域網(wǎng)其它信息進(jìn)行嗅探木馬程序校園網(wǎng)絡(luò)安全-全文共45頁，當(dāng)前為第5頁。通過向服務(wù)器發(fā)送大量的虛假請求，服務(wù)器由于不斷應(yīng)付這些無用信息而無法對合法的用戶提供服務(wù)。Botnet：由Bot工具組成的可通信、可被攻擊者遠(yuǎn)程控制的網(wǎng)絡(luò)。拒絕服務(wù)攻擊校園網(wǎng)絡(luò)安全-全文共45頁，當(dāng)前為第6頁。ARP欺騙攻擊

ARP——AddressResolutionProtocol地址解釋協(xié)議幀類型—0x0806 ARP欺騙都是通過填寫錯誤的源MAC-IP對應(yīng)關(guān)系來實現(xiàn)的通過偽造虛假源IP-MAC對應(yīng)的ARP報文，導(dǎo)致網(wǎng)關(guān)或主機無法找到正確的通信對象利用ARP協(xié)議本身的缺陷來實現(xiàn)可以利用幀類型來識別ARP報文校園網(wǎng)絡(luò)安全-全文共45頁，當(dāng)前為第7頁。ARP攻擊－仿冒網(wǎng)關(guān)攻擊者發(fā)送偽造的網(wǎng)關(guān)ARP報文，欺騙同網(wǎng)段內(nèi)的其它主機。主機訪問網(wǎng)關(guān)的流量，被重定向到一個錯誤的MAC地址，導(dǎo)致該用戶無法正常訪問外網(wǎng)。正常用戶A網(wǎng)關(guān)G網(wǎng)關(guān)MAC更新了網(wǎng)關(guān)ARP表項已更新攻擊者BIPAddressGMACG1-1-1IPAddressMACType(網(wǎng)關(guān))1-1-1DynamicIPAddressMACType（網(wǎng)關(guān)）2-2-2DynamicARP表項更新為這種攻擊為最為常見的攻擊類型訪問外網(wǎng)數(shù)據(jù)發(fā)向錯誤的網(wǎng)關(guān)校園網(wǎng)絡(luò)安全-全文共45頁，當(dāng)前為第8頁。ARP攻擊－欺騙網(wǎng)關(guān)攻擊者偽造虛假的ARP報文，欺騙網(wǎng)關(guān)相同網(wǎng)段內(nèi)的某一合法用戶的MAC地址已經(jīng)更新網(wǎng)關(guān)發(fā)給該用戶的所有數(shù)據(jù)全部重定向到一個錯誤的MAC地址，導(dǎo)致該用戶無法正常訪問外網(wǎng)正常用戶A網(wǎng)關(guān)G用戶A的MAC更新了用戶A的ARP表項已更新發(fā)送偽造ARP信息攻擊者BIPAddressMACType3-3-3DynamicIPAddressMACType2-2-2DynamicARP表項更新為IPAddressAMACA3-3-3外網(wǎng)來的數(shù)據(jù)流被轉(zhuǎn)發(fā)到錯誤的終端校園網(wǎng)絡(luò)安全-全文共45頁，當(dāng)前為第9頁。ARP攻擊－欺騙終端用戶攻擊者以偽造虛假的ARP報文，欺騙相同網(wǎng)段內(nèi)的其他主機，某一合法用戶的MAC地址已經(jīng)更新網(wǎng)段內(nèi)的其他主機發(fā)給該用戶的所有數(shù)據(jù)都被重定向到錯誤的MAC地址，同網(wǎng)段內(nèi)的用戶無法正?；ピL正常用戶A網(wǎng)關(guān)G用戶C的MAC更新了知道了發(fā)送偽造ARP信息攻擊者BIPAddressGMACG1-1-1IPAddressMACType9-9-9DynamicIPAddressMACType2-2-2Dynamic用戶C的MACis2-2-2ARP表項更新為目的MAC源MAC…2-2-23-3-3…IPAddressAMACA3-3-3數(shù)據(jù)流被中斷IPAddressBMACB05-5-5IPAddressCMACC9-9-9正常用戶C校園網(wǎng)絡(luò)安全-全文共45頁，當(dāng)前為第10頁。ARP泛洪攻擊攻擊者偽造大量不同ARP報文在同網(wǎng)段內(nèi)進(jìn)行廣播，導(dǎo)致網(wǎng)關(guān)ARP表項被占滿，合法用戶的ARP表項無法正常學(xué)習(xí)，導(dǎo)致合法用戶無法正常訪問外網(wǎng)正常用戶A網(wǎng)關(guān)G用戶A、A1、A2、A3…的MAC更新了已更新發(fā)送大量偽造ARP信息攻擊者BIPAddressGMACG1-1-1IPAddressMACType2-2-2Dynamic2-2-3Dynamic2-2-4Dynamic2-2-5Dynamic2-2-6Dynamic………….DynamicMACis2-2-2ARP表項被占滿IPAddressAMACA033-3-3ARP表項無法學(xué)習(xí)IPAddressBMACB05-5-5MACis2-2-3MACis2-2-4……03MACis3-3-3校園網(wǎng)絡(luò)安全-全文共45頁，當(dāng)前為第11頁。網(wǎng)絡(luò)接口只響應(yīng)兩種數(shù)據(jù)幀：與自己硬件地址相匹配的數(shù)據(jù)幀；發(fā)向所有機器的廣播數(shù)據(jù)幀。網(wǎng)卡的工作模式：正常模式和混雜模式（在這種模式下的網(wǎng)卡能夠接收一切通過它的數(shù)據(jù)，而不管數(shù)據(jù)是否是傳給它的）嗅探Sniffer攻擊校園網(wǎng)絡(luò)安全-全文共45頁，當(dāng)前為第12頁。通過欺騙性的電子郵件、網(wǎng)頁欺詐用戶，誘使用戶泄露重要信息的詐騙方式。屬于黑客攻擊方式中的社會工程學(xué)方法，更多的依靠欺騙手段來達(dá)到目的。網(wǎng)絡(luò)釣魚校園網(wǎng)絡(luò)安全-全文共45頁，當(dāng)前為第13頁。SQL注入跨站腳本遠(yuǎn)程命令非法執(zhí)行Cookie篡改敏感信息泄露WEB攻擊校園網(wǎng)絡(luò)安全-全文共45頁，當(dāng)前為第14頁。信息搜集漏洞利用竊取、篡改、破壞進(jìn)一步滲透其他主機安裝后門一般的入侵流程校園網(wǎng)絡(luò)安全-全文共45頁，當(dāng)前為第15頁。找到網(wǎng)絡(luò)地址范圍找到機器的地址找到開放端口和入口點找到系統(tǒng)的制造商和版本掃描流程：存活性掃描、端口掃描、漏洞掃描、OS識別獲取信息校園網(wǎng)絡(luò)安全-全文共45頁，當(dāng)前為第16頁。網(wǎng)絡(luò)層系統(tǒng)層應(yīng)用層管理層常用的安全防范措施校園網(wǎng)絡(luò)安全-全文共45頁，當(dāng)前為第17頁。用戶接入二層安全流量控制防火墻入侵防御抗拒絕服務(wù)攻擊遠(yuǎn)程安全接入網(wǎng)絡(luò)層校園網(wǎng)絡(luò)安全-全文共45頁，當(dāng)前為第18頁。用戶認(rèn)證終端準(zhǔn)入控制用戶接入校園網(wǎng)絡(luò)安全-全文共45頁，當(dāng)前為第19頁。802.1x：基于端口的訪問控制認(rèn)證。Portal：未認(rèn)證用戶上網(wǎng)時，設(shè)備強制用戶登錄到特定站點，用戶可以免費訪問其中的服務(wù)。當(dāng)用戶使用互聯(lián)網(wǎng)中的其他信息時，必須在門戶網(wǎng)站通過認(rèn)證才可以使用。用戶認(rèn)證校園網(wǎng)絡(luò)安全-全文共45頁，當(dāng)前為第20頁。對接入網(wǎng)絡(luò)的終端實施安全準(zhǔn)入策略集成了網(wǎng)絡(luò)準(zhǔn)入、終端安全、桌面管理功能。終端準(zhǔn)入控制校園網(wǎng)絡(luò)安全-全文共45頁，當(dāng)前為第21頁。校園網(wǎng)絡(luò)安全-全文共45頁，當(dāng)前為第22頁。VLANARP攻擊DHCPSNOOPING二層安全校園網(wǎng)絡(luò)安全-全文共45頁，當(dāng)前為第23頁。ARP攻擊控制點網(wǎng)關(guān)G用戶接入設(shè)備

網(wǎng)關(guān)防御合法ARP綁定，防御網(wǎng)關(guān)被欺騙

VLAN內(nèi)的ARP學(xué)習(xí)數(shù)量限制，防御ARP泛洪攻擊1

接入設(shè)備防御將合法網(wǎng)關(guān)IP/MAC進(jìn)行綁定，防御仿冒網(wǎng)關(guān)攻擊合法用戶IP/MAC綁定，過濾掉仿冒報文

ARP限速綁定用戶的靜態(tài)MAC2

客戶端防御合法ARP綁定，防御網(wǎng)關(guān)被欺騙3校園網(wǎng)絡(luò)安全-全文共45頁，當(dāng)前為第24頁。流量攻擊攻擊原理廣播報文或者組播報文在網(wǎng)絡(luò)中泛濫，或者同時發(fā)送大量單播報文至同一目的網(wǎng)絡(luò)，導(dǎo)致帶寬資源耗盡，整個網(wǎng)絡(luò)癱瘓攻擊危害從一個帶寬足夠大的網(wǎng)絡(luò)向一個帶寬較小的網(wǎng)絡(luò)發(fā)送大量數(shù)據(jù)，導(dǎo)致被攻擊網(wǎng)絡(luò)由于流量過大使正常的傳輸失敗調(diào)動網(wǎng)絡(luò)中多個主機或設(shè)備同時向同一個設(shè)備發(fā)送大量流量，導(dǎo)致網(wǎng)絡(luò)擁塞校園網(wǎng)絡(luò)安全-全文共45頁，當(dāng)前為第25頁。流量控制訪問頻度較大的業(yè)務(wù)：Internet、Mail、DNS帶寬占用較大的業(yè)務(wù)：迅雷、BT、電驢、QQ、MSN…領(lǐng)導(dǎo)關(guān)注的業(yè)務(wù)：Netmeeting、VoIP、Oracle、VPN…內(nèi)部員工因為各種IM即時通訊軟件、網(wǎng)絡(luò)在線游戲、P2P下載軟件、在線視頻、瀏覽工作無關(guān)網(wǎng)站導(dǎo)致企業(yè)網(wǎng)絡(luò)資源濫用、Internet出口網(wǎng)絡(luò)性能下降先到先得帶寬資源嚴(yán)重失控校園網(wǎng)絡(luò)安全-全文共45頁，當(dāng)前為第26頁。內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)的邊界，嚴(yán)格限制外部網(wǎng)絡(luò)對內(nèi)部網(wǎng)絡(luò)的訪問，也可有效地監(jiān)視內(nèi)部網(wǎng)絡(luò)對外部網(wǎng)絡(luò)訪問。包過濾防火墻基于狀態(tài)監(jiān)測的包過濾防火墻防火墻校園網(wǎng)絡(luò)安全-全文共45頁，當(dāng)前為第27頁。防火墻的選擇——單向訪問的需求財務(wù)部門防火墻辦公室主管領(lǐng)導(dǎo)市場部門單向訪問——交換機和路由器的ACL都沒辦法實現(xiàn)的需求校園網(wǎng)絡(luò)安全-全文共45頁，當(dāng)前為第28頁。防火墻的局限Webservices防火墻lWebenabledappsHTTP載荷中的病毒、木馬、蠕蟲等惡意代碼80端口服務(wù)器被攻破8/scripts/..%c0%af.cmd.exe?/c+dir+c:\防火墻可被應(yīng)用層的攻擊穿透，而目前90％以上的攻擊是基于應(yīng)用層的攻擊。校園網(wǎng)絡(luò)安全-全文共45頁，當(dāng)前為第29頁。防火墻不能有效檢測并阻斷夾雜在正常流量中的攻擊代碼。入侵檢測由于旁路部署，不能第一時間阻斷所有攻擊，側(cè)重安全狀態(tài)監(jiān)控入侵防御在線部署，主動防御，實時阻斷攻擊。入侵防御系統(tǒng)校園網(wǎng)絡(luò)安全-全文共45頁，當(dāng)前為第30頁。入侵防御系統(tǒng)作用應(yīng)用層攻擊抵御：蠕蟲、木馬、間諜軟件的實時防護。全球漏洞特征升級：設(shè)備自動完成升級，實現(xiàn)實時防護初始事件標(biāo)準(zhǔn)化規(guī)則過濾特征匹配WEBE-MailDownLoader掐斷非法或受控應(yīng)用發(fā)現(xiàn)和阻斷濫用誤用制止應(yīng)用系統(tǒng)的漏洞利用殺除病毒、木馬非法或受控應(yīng)用濫用誤用應(yīng)用系統(tǒng)的漏洞病毒、木馬深度過濾用戶網(wǎng)絡(luò)內(nèi)部多種應(yīng)用潛藏各類威脅inside校園網(wǎng)絡(luò)安全-全文共45頁，當(dāng)前為第31頁?？咕芙^服務(wù)攻擊校園網(wǎng)絡(luò)安全-全文共45頁，當(dāng)前為第32頁。禁止對主機非公開服務(wù)的訪問限制特定IP地址的訪問啟用設(shè)備的DDOS屬性抗拒絕服務(wù)攻擊校園網(wǎng)絡(luò)安全-全文共45頁，當(dāng)前為第33頁。遠(yuǎn)程安全接入公有基礎(chǔ)網(wǎng)絡(luò)分支機構(gòu)網(wǎng)絡(luò)企業(yè)內(nèi)部網(wǎng)絡(luò)IPsecVPN網(wǎng)關(guān)IPsecVPN網(wǎng)關(guān)SSLVPN網(wǎng)關(guān)業(yè)務(wù)提供區(qū)類型應(yīng)用場景核心關(guān)注點技術(shù)要求MPLSVPN專網(wǎng)，縱向互聯(lián)區(qū)分業(yè)務(wù)，不加密沿途設(shè)備支持MPLSIPSECVPNInternet，分支網(wǎng)絡(luò)間互聯(lián)安全傳輸，加密兩端網(wǎng)關(guān)支持IPSECSSLVPNInternet，移動終端接入安全傳輸，加密中心網(wǎng)關(guān)支持SSLVPN校園網(wǎng)絡(luò)安全-全文共45頁，當(dāng)前為第34頁。漏洞掃描系統(tǒng)安全加固補丁安全管理系統(tǒng)層校園網(wǎng)絡(luò)安全-全文共45頁，當(dāng)前為第35頁。對計算機系統(tǒng)或其它網(wǎng)絡(luò)設(shè)備進(jìn)行相關(guān)安全檢測，以查找安全隱患和可能被攻擊者利用的漏洞。既是攻擊者攻擊系統(tǒng)的技術(shù)手段之一，也是保證計算機系統(tǒng)和網(wǎng)絡(luò)安全必不可少的技術(shù)方法。漏洞掃描校園網(wǎng)絡(luò)安全-全文共45頁，當(dāng)前為第36頁。Windows系統(tǒng)：注冊表和系統(tǒng)文件監(jiān)控，帳號安全策略，系統(tǒng)服務(wù)安全設(shè)置，系統(tǒng)進(jìn)程和端口檢查分析，IIS安全設(shè)置Linux系統(tǒng)：例如密碼長度，root用戶遠(yuǎn)程登錄，是否存在其他uid=0的用戶，重要目錄和文件權(quán)限設(shè)置，查找任何人都有寫權(quán)限的目錄和文件，syslog配置。系統(tǒng)安全加固校園網(wǎng)絡(luò)安全-全文共45頁，當(dāng)前為第37頁。限時修補系統(tǒng)進(jìn)行自動補丁補丁安全管理校園網(wǎng)絡(luò)安全-全文共45頁，當(dāng)前為第38頁。防病毒W(wǎng)EB防火墻內(nèi)容安全安全審計