网络安全培训课程课件

单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,*,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,*,LOGO,网络安全培训课程,重庆网安计算机技术服务中心,LOGO 网络安全培训课程 重庆网安计算机技术服务中心,目录,认识信息安全等级保护,1,2,了解网络基础及安全防护,学习网络故障排查,-,实例,3,Page,2,目录 认识信息安全等级保护 1 2 了解网络基础及安全防,信息安全等级保护简介,我国计算机信息系统安全保护等级划分细则于,1999,年,9,月,13,日经国家质量技术监督局审查通过并正,式批准发布，根据细则将计算机信息系统安全保护能力划分为五个安全保护等级：,第一级：用户自主保护级。用户自主保护级通过身份鉴别，自主访问控制机制，要求系统提供每一个,用户具有对自身所创造的数据进行安全保护的能力。适用于普通内联网用户。,第二级：系统审计保护级。在用户自主保护级的基础上，重点强调系统的审计功能，要求通过审计、,资源隔离等安全机帛，使每一个用户对自己的行为负责。适用于内联,/,国际互联网需要保密商务活动的用户,。,第三级：安全标记保护级。在系统审计保护的基础上，从安全功能的设置和安全强度的要求方面均有,明显的提高。首先，增加了标记和强制访问控制功能。同时，对身份鉴别、审计、数据完整性等安全功能,均有更进一步的要求。如要求使用完整性敏感性标记，确保信息在网络传输的完整性。一般党政机关、金,融机构、大型商业工业用户。,第四级：结构化保护级。在安全标记保护级的基础上，重点强调通过结构化设计方法使得所具有的安,全功能具有更高的安全要求。适用于国家机关、中央金融机构、尖端科技和国防应用系统单位。,第五级：访问控制保护级。访问验证保护级重点强调”访问“监控器本身的可验证性，也是从安全功,能的设计和实现方面提出更高要求。适用于国防关键应用以及国家特殊隔离信息系统使用单位。,Page,3,信息安全等级保护简介 我国计算机信息系统安全,信息安全等级保护,Page,4,信息安全等级保护 Page 4,信息安全系统定级,定级是等级保护工作的首要环节，是开展信息系统建设、整改、测评、备案、监督检查,等后续工作的重要基础。信息系统安全级别定不准，系统建设、整改、备案、等级测评等后续,工作都失去了针对性。,信息系统的安全保护等级是信息系统的客观属性，不以已采取或将采取什么安全保护,措施为依据，也不以风险评估为依据，而是以信息系统的重要性和信息系统遭到破坏后对国家,安全、社会稳定、人民群众合法权益的危害程度为依据，确定信息系统的安全等级。,Page,5,信息安全系统定级 定级是等级保护工作的首要,系统定级一般流程,Page,6,保信息系统内信息的保密性、完整性和可用性等，系统服务安全是指确,信息系统安全包括业务信息安全和系统服务安全。信息安全是指确,保信息系统可以及时、有效地提供服务，以完成预定的业务目标。,的侵害程度可能不同，因此，信息系统定级也应由业务信息安全和系,业务信息安全和系统服务安全，与之相关的受侵害客体和对客体,统服务安全两方面确定。从业务信息安全角度反映的信息系统安全保,护等级称业务信息安全等级。从系统服务安全角度反映的信息系统安,全保护等级称系统服务安全等级。,对象的安全保护等级。,由业务信息安全等级和系统服务安全等级的较高者确定定级,系统定级一般流程 Page 6 保信息系统,系统定级一般流程,1,、确定定级对象,Page,7,2,侵害的客体,、确定业务信息安全受到破坏时所,5,侵害的客体,、确定系统服务安全受到破坏时所,3,、综合评定对客体的侵害程度,6,、综合评定对客体的侵害程度,4,、业务信息安全保护等级,7,、系统服务安全保护等级,8,、定级对象的安全保护等级,系统定级一般流程 1、确定定级对象 Page 7 2侵害的,信息安全等级保护工作的重要意义,Page,8,保障的基本制度、基本策略、基本方法,信息安全等级保护制度是国家信息安全,是当今发达国家的通行做法，也是我国多年,；,来信息安全工作经验的总结,。,同步建设,开展信息安全等级保护工作：有利于,障重点；有利于明确责任,；有利于指导和服务；有利于保,展。,；有利于产业发,信息安全等级保护工作的重要意义 Page 8,网络基础及安全防护,Page,9,1,网络基础与,OSI,模型,2,TCP-IP,编址,3,交换原理和,VLAN,网络基础及安全防护 Page 9 1 网络基础与OSI模,网络基础与,OSI,模型,?,计算机网络定义：通过通信线路和通信设备将不同地理位置,上的计算机系统互连起来的一个计算机系统的集合，通过运,行特定的操作系统和通信协议来实现数据通信和资源共享。,?,计算机网络组成：通信线路、通信设备、计算机系统、操作,系统、通信协议、通信子网、资源子网。,?,计算机网络类型：局域网、广域网。,Page,10,网络基础与OSI模型?计算机网络定义：通过通信线路和通信,计算机网络组成,Page,11,计算机网络组成 Page 11,计算机网络类型,通常指几公里以内的，可以通过某种介质互联的计算机、打印机或其它,设备的集合。目前,大多数网络都使用某些形式的以太网。,距离短、延迟小、,数据速率高、传输可靠,运行在有限的地理区域；允许网络设备同时访问高带宽的介质；,通过局部管理控制网络的权限；提供全时的局部服务；,连接物理上相邻的设备。,Page,12,计算机网络类型 通常指几公里以内的，可以通过某种介质互联的,计算机网络类型,在大范围区域内提供数据通信服务，主要用于互连局域网。,公用电话网：,PSTN,综合业务数字网：,ISDN,数字数据网：专线,帧中继：,Frame Relay,异步传输模式：,ATM,运行在广阔的地理区域；通过低速串行链路进行访问；,网络控制服从公共服务的规则；提供全时的或部分时间的连接；,连接物理上分离的、遥远的、甚至全球的设备,Page,13,计算机网络类型 在大范围区域内提供数据通信服务，主要用于互连,OSI,七层参考模型,?,OSI,模型：,1984,年由国际标准化组织,ISO,国际标准化组织提,出。,?,目的：提供一个大家共同遵守的标准，解决不同网络之间的,兼容性和互操作性问题。,?,分层标准：依据功能来划分。,?,OSI,七层参考模型的优点：,促进标准化工作,允许各个供应商进行开发,.,各层间相互独立,把网络操作分成低复杂性单元,.,灵活性好,某一层变化不会影响到别层,.,各层间通过一个接口在相邻层上下通信,.,Page,14,OSI七层参考模型?OSI模型：1984年由国际标准化组织,OSI,分层结构,应用层,应用层,(,高,),表示层,会话层,传输层,网络层,数据流层,负责主机之间的数据传输,负责网络数据传输,数据链路层,物理层,Page,15,OSI分层结构 应用层 应用层(高)表示层 会话层 传,OSI,分层结构,规定通信设备的机械的、电气,的、功能的和规程的特性。主要涉,及比特的传输，网络接口卡和网络,连接等,.,没有智能性，只能对,bit,流进行,简单的处理。如传输，放大，复制,等。,网线：,bit,流的传输,.,中继器：信号的放大,.,集线器：信号的放大和复制,.,Page,16,OSI分层结构 规定通信设备的机械的、电气的、功,OSI,分层结构,在相邻节点之间建立链路，传,送数据帧。工作在同一个网段。主,要涉及介质访问控制、连接控制、,流量控制和差错控制等。,定义物理地址，标识节点。,将,bit,流组合成数据帧。,交换机：能识别数据帧中的,MAC,地,址信息，在同一网,段转发数据。有,智能，进行定向转发。,Page,17,OSI分层结构 在相邻节点之间建立链路，传送数据,OSI,分层结构,是一座桥梁，将不同规范的网,络互连起来。在不同网段路由数据,包。,定义,IP,地址，由,32bit,的二进制,数组成，点分十进制表示。,路由转发，通过路由表实现三,层寻址,.,MAC,地址（二层）,物理地址,平面结,构,身份,IP,地址,（三层）,逻辑地址,层次结构,位置,Page,18,OSI分层结构 是一座桥梁，将不同规范的网络互连,OSI,分层结构,实现终端用户到终端用户之间,的连接。可以实现流量控制、负载,均衡。,分段，使数据的大小适合在网络上,传递。,区分服务，端口号标识上层的通信,进程。,Page,19,OSI分层结构 实现终端用户到终端用户之间的连接,OSI,分层结构,在两个应用程序之间建立会话，管,理会话，终止会话。一旦建立连接，会,话层的任务就是管理会话。,主要由操作系统来完成，把不同的,应用程序设置内存区间，分配相应的内,存，,CPU,资源，保持不同的应用程序的,数据独立性。,将数据转换成接收设备可以了解的,格式,.,翻译数据格式，加密，压缩,.,Page,20,OSI分层结构 在两个应用程序之间建立会话，管理,OSI,分层结构,为具体的应用程序提供服务，实现,各种网络应用（,WWW FTP QQ,SMTP POP3,）。,我们说某个应用程序的界面是否友,好，就是应用层完成的。应用层为用,户和计算机会话提供一个界面。,计算机有他的语言，人有人的语言，,人要和计算机交流，必须有一个窗口,来把信息传递出来。,Page,21,OSI分层结构 为具体的应用程序提供服务，实现各,数据的封装与解封装,数据要通过网络进行传输，要从高层逐层的向下传送，如果一个主机要传送数据到别的,主机，先把数据装到一个特殊协议报头中，这个过程叫封装。,上述的逆向过程。,Page,22,数据的封装与解封装 数据要通过网络进行传输,封装过程,Page,23,应用层,表示层,会话层,传输层,网络层,数据链路层,物理层,上层数据,TCP,头,上层数据,IP,头,TCP+,上层数据,LLC,头,IP+TCP+,上层数据,FCS,MAC,头,LLC,头,+IP+TCP+,上层数据,FCS,0101110101001000010,封装过程 Page 23 应用层 表示层 会话层 传输层,解封装过程,Page,24,应用层,表示层,会话层,传输层,网络层,数据链路层,物理层,上层数据,上层数据,TCP+,上层数据,IP+TCP+,上层数据,LLC,头,+IP+TCP+,上层数据,0101110101001000010,解封装过程 Page 24 应用层 表示层 会话层 传输层,数据传输过程,协议,应用层,应用层,表示层,表示层,会话层,会话层,传输层,传输层,网络层,网络层,网络层,数据连路层,数据连路层,数据连路层,物理层,物理层,物理层,通,信,介,质,通,信,介,质,端系统,A,端系统,B,Page,25,数据传输过程 协议 应用层 应用层 表示层 表示层 会话层,冲突域和广播域,冲突：在以太网中，当两个节点同时传输数据时，从两个设备发出的帧将会碰撞，,在物理介质上相遇，彼此数据都会被破坏。,冲突域：一个支持共享介质的网段。,广播域：广播帧传输的网络范围，一般是路由器来设定边界,（因为,router,不转发广播）。,Page,26,冲突域和广播域 冲突：在以太网中，当两个节点同时传输数据时,OSI,模型的缺陷及意义,许多功能在多个层次重复，有冗余感（如流,2.3.4,层都有，差错控制等，数据链路层有流控）。,各层功能分配不均匀（链路、网络层任务重，会话层任务轻）。,功能和服务定义复杂，很难产品化。,提供了网络间互连的参考模型。,成为实际网络建模、设计的重要参考工具和理论依据。,为我们提供了进行网络设计与分析的方法。,Page,27,OSI模型的缺陷及意义 许多功能在多个层次重,TCP/IP,与,OSI,TCP/IP,与,OSI,的比较,:,?,TCP/IP,分四层，,OSI,分的是七层。,?,TCP/IP,网络实践上的标准，,OSI,网络理论的标准。,?,TCP/IP,定义每一层功能如何实现,OSI,定义每一层做什么。,?,TCO/IP,的每一层都可以映射到,OSI,模型中去。,Page,28,TCP/IP与OSI TCP/IP与OSI的比较:?,TCP/IP,与,OSI,Page,29,应用层,表示层,应用层,会话层,传输层,传输层,网络层,网络层,数据链路层,网络接口层,物理层,TCP/IP与OSI Page 29 应用层 表示层 应用,TCP/IP,应用层,Page,30,应用层,传输层,网络层,网络接口层,文件传输,-TFTP*,-FTP*,E-Mail,远程登陆,-SMTP,-Telnet*,网络管理,-SSH*,名称管理,-SNMP*,-DNS*,TCP/IP应用层 Page 30 应用层 传输层 网络层,TCP/IP,传输层,应用层,传输层,网络层,网络接口层,Page,31,传输控制协议,(TCP),面向连接,用户数据报协议,(UDP),非面向连接,TCP/IP传输层 应用层 传输层 网络层 网络接口层 Pa,端口号,应用层,F,T,P,T,E,L,N,E,T,23,TCP,S,M,T,P,D,N,S,T,F,T,P,S,N,M,P,R,I,P,21,25,53,69,161,520,端口号,传输层,UDP,Page,32,端口号 应用层 F T P T E L N E T 23 T,端口号作用,Telnet Z,Host A,源端口,目标端口,Host Z,SP,1028,DP,23,目标端口,=23.,端口号标识上层通信进程。,小于,1024,为周知端口、,1024-5000,为临时端口、大于,5000,为其他服务预留。,Page,33,端口号作用 Telnet Z Host A 源端口 目标端口,TCP,确认机制,发送方,发送,1,接收,1,接收方,发送,ACK 2,发送,2,接收,2,发送,ACK 3,发送,3,接收,3,接收,ACK 4,滑动窗口,=1,Page,34,TCP 确认机制 发送方 发送 1 接收 1 接收方 发送,TCP,三次握手,Host A,Host B,1,发送,SYN,(seq=100 ctl=SYN),接收,SYN,接收,SYN,2,发送,SYN,ACK,(seq=300 ack=101 ctl=syn,ack),3,建立会话,(seq=101 ack=301 ctl=ack),TCP,连接建立,Page,35,TCP 三次握手 Host A Host B 1 发送 SY,IP,地址组成,IP,地址为,32Bit,二进制数组成，,用点分十进制表示。,（例如：,192.168.1.1/24,）,IP,地址,=,网络位,+,主机位,用来标识一个,IP,地址哪些是网,络位,哪些是主机位。,用,1,标识网络为，用,0,标识主,机位。,Page,36,IP地址组成 IP地址为32Bit二进制数组成，,IP,地址分类,A,类,（,1-126,）,B,类,（,128-191,）,C,类,（,192-223,）,前,8,位表示网络位，,前,16,位表示网络位，,前,24,位表示网络位，,后,24,位表示主机位。,后,16,位表示主机位。,后,8,位表示主机位。,D,类,（,224-239,）,用于组播地址。,E,类,（,240-255,）,科研使用。,Page,37,IP地址分类 A类（1-126）B类（128-19,特殊,IP,地址,本地回环,(loopback),测试地,址,广播地址,255.255.2,55.255,127.0.0.1,0.0.0.0,主机位全为,1:,代表该网段的所有主机。,代表任何网络,Page,38,特殊IP地址 本地回环(loopback)测试地址 广播地址,私有,IP,地址,A,类,1,个：,10.0.0.0/8,C,类,256,个：,192.168.0.0/24-,192.168.255.0/24,B,类,16,个：,172.16.0.0/16-,172.31.0.0/16,Page,39,私有IP地址 A类1个：10.0.0.0/8 C类256个：,子网划分的核心思想,?,“,借用”主机位来“制造”新的“网络”,网络,172.16.2.160,255.255.,255,.0,子网（借位）,主机,00000010,10100000,11111111,00000000,00000010,00000000,1,2,8,1,9,2,2,2,4,2,4,0,2,4,8,2,5,2,2,5,4,2,5,5,10101100,11111111,10101100,00010000,11111111,00010000,网络号,172,16,2,0,Page,40,子网划分的核心思想?“借用”主机位来“制造”新的“网络”,划分子网方法,?,所选择的子网掩码将会产生多少个子网,?:,?,2,的,x,次方,(x,代表借掩码位数,),。,?,每个子网能有多少主机,?:,?,2,的,y,次方,-2(y,代表当前主机位数,),。,?,每个子网的广播地址是,?:,?,广播地址,=,下个子网号,-1,?,每个子网的有效主机分别是,?:,?,忽略全为,0,和全为,1,的地址，剩下的就是有效主机地,址。,Page,41,划分子网方法?所选择的子网掩码将会产生多少个子网?:?2,子网划分优点,?,子网划分可以解决,IP,地址紧缺的问题。,?,子网划分可以解决广播问题，分割广播域。,?,例如：一个,C,类网络，有,254,台主机可以用。,当我们分给一个公司，但是该公司没有这么,多主机，地址就有很大的浪费。通过子网划,分可以节省,IP,地址。,Page,42,子网划分优点?子网划分可以解决IP地址紧缺的问题。?子,交换机概述,是全双工，可发可收。能识别数据帧中的,MAC,信息，根据地址信息把数据交换到特定的,接口。,交换机是根据数据帧中的封装的目的,MAC,地址来做出转发数据的决定。,是目的,MAC,和交换机接口的映射，交换机根据,MAC,表把数据发送到相应的接口。,Page,43,交换机概述 是全双工，可发可收。能识别数据,交换机的三个功能,Page,44,地址学习,帧的转发,/,过滤,环路防止,交换机的三个功能 Page 44 地址学习 帧的转发/过滤,交换机地址学习,MAC,地址表,0260.8c01.1111,A,B,0260.8c01.3333,E0,0260.8c01.2222,C,E1,E3,D,E2,0260.8c01.4444,Page,45,?,最初开机时,MAC,地址表是空的,?,Mac,地址表条目默认老化时间是,300,秒，以下命,令可改变老化时间,:,sw(config)#mac-address-table aging-,time?,Aging time value,交换机地址学习 MAC地址表 0260.8c01.1111,交换机地址学习,MAC,地址表,0260.8c01.1111,A,E0:0260.8c01.1111,B,0260.8c01.3333,E0,0260.8c01.2222,C,E1,D,E2,E3,0260.8c01.4444,?,主机,A,发送数据帧给主机,C,?,交换机通过学习数据帧的源,MAC,地址，记录下,主机,A,的,MAC,地址对应端口,E0,?,该数据帧转发到除端口,E0,以外的其它所有端口,(,不清楚目标主机的单点传送用泛洪方式,),Page,46,交换机地址学习 MAC地址表 0260.8c01.1111,帧的转发,0260.8c01.1111,A,MAC,地址表,E0:0260.8c01.1111,E2:0260.8c01.2222,E1:0260.8c01.3333,E3:0260.8c01.4444,B,0260.8c01.3333,E0,0260.8c01.2222,C,E1,E3,D,E2,0260.8c01.4444,?,主机,C,发送数据给,B,：交换机发现目的,B,的,MAC,对,应,E1,接口，就把数据从这里发送出去。,?,主机,D,发送广播帧或多点帧：广播帧或多点帧,泛洪到除源端口外的所有端口。,Page,47,帧的转发 0260.8c01.1111 A MAC地址表 E,防止环路,x,阻塞,?,运行,STP,协议防止环路。,?,某些端口置于阻塞状态就能防止冗余结构的网,络拓扑中产生回路。,Page,48,防止环路 x 阻塞?运行STP协议防止环路。?某些端口,交换机配置,?,配置命名：,Switch(config)#hostname Sw1,?,配置管理,IP,：,Sw1(config)#int vlan 1,Sw1(config-if)#ip add 172.16.1.210 255.255.255.0,Sw1(config-if)#no shut,?,配置网关,：,Sw1(config)#ip default-gateway 172.16.1.201,?,查看,MAC,表。,Sw1#sh mac-add,?,设置双工和速率。,Sw1(config)#int f0/1,Sw1(config-if)#speed 10/100/auto,Sw1(config-if)#duplex half/full/auto,Page,49,交换机配置?配置命名：Switch(config)#ho,VLAN,概述,Page,50,第三层,第二层,第一层,销售部,人力资源部,工程部,VLAN=,一个广播域,=,逻辑网段,(,子网,),一个,VLAN概述 Page 50 第三层 第二层 第一层 销,VLAN,的优点及分类,隔离二层广播，优化网性能。,优点,VLAN,可以跨越交换机，简化布线，方便管理。,每个,VLAN,是一个独立的子网，,VLNA,间的通信要通过三层设备实现，,可以通过访问控制列表对,VLNA,间的通信进行安全控制。,静态,VLAN,：基于交换机接口。,动态,VLAN,：基于主机,MAC,地址，不常用,需要在交换,中建立一张,VMPS,表，来标明哪些,MAC,属于哪个,VLAN.,效,率低。,分类,Page,51,VLAN的优点及分类 隔离二层广播，优化网性能。,VLAN,运行,交换机,A,红色,VLAN,黑色,VLAN,绿色,VLAN,?,每个逻辑的,VLAN,就象一个独立的物理桥,?,交换机上的每一个端口都可以分配给不同的,VLAN,?,默认的情况下，所有的端口都属于,VLAN1,（,Cisco,）,Page,52,VLAN运行 交换机 A 红色 VLAN 黑色 VLAN,VLAN,运作,交换机,A,交换机,B,红色,VLAN,黑色,VLAN,绿色,VLAN,红色,VLAN,黑色,VLAN,绿色,VLAN,?,同一个,VLAN,可以跨越多个交换机,Page,53,VLAN运作 交换机A 交换机B 红色 VLAN 黑色 VL,VLAN,运作,干道连接,快速以太网,红色,VLAN,黑色,VLAN,绿色,VLAN,红色,VLAN,黑色,VLAN,绿色,VLAN,?,主干功能支持多个,VLAN,的数据,?,主干使用了特殊的封装格式支持不同的,VLAN,?,只有快速以太网端口可以配置为主干端口,Page,54,VLAN运作 干道连接 快速以太网 红色 VLAN 黑,VLAN,的配置,?,全局模式,Switch#,configure terminal,Switch(config)#,vlan 3,Switch(config-vlan)#,name Vlan3,Switch(config-vlan)#,exit,Switch(config)#,end,?,数据库模式,Switch#,vlan database,Switch(vlan)#,vlan 3,VLAN 3 added:,Name:VLAN0003,Switch(vlan)#,exit,APPLY completed.,Exiting.,Page,55,VLAN的配置?全局模式 Switch#configur,VLAN,的接入端口,?,接入交换机端口在一个单一的数据的,VLAN,Page,56,VLAN的接入端口?接入交换机端口在一个单一的数据的VLA,VLAN,执行的命令,?,配置,VLAN,-vlan 101,-switchport mode access,-switchport access vlan 101,?,验证,VLAN,-show interfaces,-show vlan,Page,57,VLAN执行的命令?配置VLAN-vlan 101-s,配置,VLAN,的接入,Switch(config)#vlan,vlan_id,配置一个,VLAN.,Switch(config-vlan)#name,vlan_name,给,VLAN,命名,.,Switch(config-if)#switchport mode access,配置交换机的端口为接入模式,.,Switch(config-if)#,switchport access vlan,vlan_id,把接入端口划分到,vlan,中,.,Page,58,配置VLAN的接入 Switch(config)#vlan,查看,VLAN,Switch#show vlan,VLAN Name Status Ports,-,1 default active Fa0/1,Fa0/2,Fa0/3,Fa0/4,Fa0/5,Fa0/7,Fa0/9,11 asw11_data active,12 asw12_data active,95 VLAN0095 active Fa0/8,99 Trunk_Native active,100 Internal_Access active,111 voice-for-group-11 active,112 voice-for-group-12 active,1002 fddi-default act/unsup,1003 token-ring-default act/unsup,1004 fddinet-default act/unsup,1005 trnet-default act/unsup,VLAN Type SAID MTU Parent RingNo BridgeNo Stp BrdgMode Trans1,-,1 enet 100001 1500 -0,11,enet 100011 1500 -0,.,Page,59,查看VLAN Switch#show vlan VLAN,网络故障排查,ARP,及,ARP,防护,1,2,arp,原理,arp,攻击方式,3,arp,防护,Page,60,网络故障排查 ARP及ARP防护 1 2 arp原理 a,ARP,协议原理,ARP,协议是“Address Resolution Protocol”（地址解析协议）,的缩写。在局域网中，网络中实际传输的是“帧”，帧里面有目标主,机的,MAC,地址；,在以太网中，一个主机要和另一个主机进行直接通信，必须要知,道目标主机的,MAC,地址。但这个目标,MAC,地址是如何获得的呢？它就是,通过地址解析协议获得的。,ARP,协议的基本功能就是主机在发送报文,前将目标主机的,IP,地址解析成目标主机的,MAC,地址，以保证通信的顺,利进行。,Page,61,ARP协议原理 ARP协议是“Address,ARP,协议原理,?,Arp request,和,reply,的数据帧长都是,42,字节（,28,字节的,arp,数据、,14,字节的以太帧头）,以太网,目的地址,6,以太网,源地址,6,帧,硬件,协议,硬件,协议,OP,发送端,发送端,目的,目的,地址,地址,类型,地址,类型,以太网地址,IP,地址,以太网地址,IP,地址,长度,长度,2,2,2,1,6,4,1,2,28,字节,ARP,请求,/,应答,6,4,以太网首部,Page,62,ARP协议原理?Arp request和reply的数据帧,ARP,协议原理,以太网目的地址,以太网目的地址,以太网源地址,以太网源地址,硬件类型,硬件地址长,协议地址长,度,度,协议类型,操作,发送者以太网地址,(0-3),发送者以太网地址,(4-5),发送者协议地址,(0-1),发送者协议地址,(2-3),目的以太网地址,(0-1),目的以太网地址,(2-5),目的协议地址,(0-3),Page,63,ARP协议原理 以太网目的地址 以太网目的地址 以太网源地址,ARP,协议原理,正常的,ARP,通讯过程只需,ARP Request,和,ARP Replay,两个过程，简,单的说就是一问一答：,internet,internet,gateway,ARP Replay,ARP Request,PC,Page,64,ARP协议原理 正常的ARP通讯过程只需ARP,ARP,协议原理,网关回应给主机的,ARP Reply,报文,主机收到网关的,ARP Reply,报文后，同样会提取报文中的,“Senders hardware address”和“Senders protocol,PC,address”生成自己的,ARP,表项；,Page,65,ARP协议原理 网关回应给主机的ARP Reply报文,ARP,攻击方式,?,Arp flood,arp,泛洪，只要是瞬间发送大量的,arp,数据包给,switch,，填满,switch,的,mac table,，导致无法,switch,工作异常，,提示：这时,switch,就会象,hub,一样工作,Page,66,ARP攻击方式?Arp flood arp 泛洪，,ARP,攻击方式,?,gratuitous arp,免费,arp,，,原理：,1.gratuitous arp,也是,arp request,的一种，所以是,broadcast,就是群发，就是搞的地球人都知道,2.gratuitous arp,的,arp,报文中，源,ip,和目的,ip,是,一样的，就是为了再次确认网络中身份。,ms,的,ip,地址冲突监测机制就是通过,免费,arp,实现的,Page,67,ARP攻击方式?gratuitous arp 免费a,ARP,攻击方式,?,免费,arp,的精髓,前文说到构建,arp spoof,的简易方式。,这里我有一个疑问，如果攻击者不让其中的,1,个用户访问,任何地址，是否需要发送整个网段的错误的,mac,地址给,受,害主机？,答案是,NO,如果这样劳命伤财，不是好办法！,只要代表受害主机发送错误的,gratuitous arp,。,1,个,arp,报文,足以！当然,arp table,有老化时间，不过谎话不停的说，说,了多次，就变成“真”,di,了,这样网络中的其他主机都收到错误的,mac,地址的,arp,报文,进行更新自身的,arp cache,。于是灾难就这样发生了！,Page,68,ARP攻击方式?免费arp的精髓 前文说到构建ar,ARP,攻击方式,免费,arp,的工作原理,原来,良民的地址是,4444.4444.4444,发送,源,ip,和目的,ip,均为,受害主机的,ip,地址,的免费,arp,报文,普通交换机,GratuitousArp,Send mac add=,错误的,mac,地址,Send ip add=,受害主机,ip,Target ip add,受害主机,ip,这是广播报文哦,我好毒、,我好毒,为什么整个,网段都,ping,不通？！,我真实的,mac,是,恐怖份子,Page,69,极品良民,1111.1111.1111,ARP攻击方式 免费arp的工作原理 原来 良民的地址是 4,ARP,攻击方式,?,Arp proxy,arp,代理：,arp proxy,是,arp,的攻击之首，,这也是传说的,“中间人”攻击！,原理,:,双向,arp spoof,Page,70,ARP攻击方式?Arp proxy arp 代理,ARP,攻击方式,Proxy arp,的工作原理,Arp reply to GW,Send mac add,恐怖份子,mac,Send ip add=,极品良民,ip,Target mac add,GW mac,地址,Target ip add,GW ip,地址,S8610,Gateway,普通交换机,Arp reply to,良民,Send mac add,恐怖份子,mac,Send ip add=,网关,ip,Target mac add,良民,mac,地址,Target ip add,良民,ip,地址,IC,、,IP,、,IQ,卡，,统统告诉我密码,我要和网关通,讯，没钱了，,我要查我的银,行账户,恐怖份子的潜台词：,Hello,，良民，我是网关！,Hello,，网关，我是良民！,Page,71,恐怖份子,极品良民,ARP攻击方式 Proxy arp的工作原理 Arp rep,ARP,攻击方式,原来良民的,mac,地址是,3333.3333.3333,S8610,Gateway,Proxy arp,的工作原理,我真实的,mac,是,2222.2222.2222,普通交换机,IC,、,IP,、,IQ,卡，,统统告诉我密码,嘿嘿，俺的真实,mac,是,3333.3333.3333,我要和网关通,讯，没钱了，,我要查我的银,行账户,极品良民,原来网关的,mac,地址是,3333.3333.333,3,恐怖份子,Page,72,恐怖份子的潜台词：,Hello,，良民，我是网关！,Hello,，网关，我是良民！,ARP攻击方式 原来良民的mac 地址是 3333.3333,ARP,攻击方式,S8610,Gateway,Arp table,良民,ip,恐怖份子,mac,Proxy arp,的工作原理,我真实的,mac,是,2222.2222.2222,普通交换机,IC,、,IP,、,IQ,卡，,统统告诉我密码,后期良民和网关的通讯,路线图；,所有通讯报文都要经过恐怖份子,嘿嘿，俺的真实,mac,是,3333.3333.3333,恐怖份子,恐怖份子的潜台词：,Hello,，良民，我是网关！,Hello,，网关，我是良民！,Page,73,极品良民,Arp table,网关,ip,恐怖份子,mac,ARP攻击方式 S8610 Gateway Arp tabl,ARP,防护,电脑绑定,arp,arp-s 157.55.85.212 00-aa-00-62-c6-,09,备注,:arp,a,arp,d,echo off,arp-d a,arp,s,网关,LAN IP,网关,LAN MAC,AntiARP,防火墙、瑞星个人防火墙,2008,、,360ARP,防火墙等,原理,:,拦截,ARP,的攻击或者是,IP,冲突，保,障系统不会受,ARP,攻击的影响,NBR,的免费,arp,NBR,的,8.41b5,后推出免费,arp,的功能！,当前最新正式发布版本是,8.5b9!,目的是通过不断的,gratuitous arp,的,broadcast,宣告自己的正确,mac,。现在是每秒,1,个,gratuitous,arp,报文。,Ip,和,mac,的绑定,该功能只是该,ip,只响应绑定的,mac,，如果更换,ip,，就有可以正常上网，并不是该,mac,一定只能,使用该,ip,才能上网，这个是一定要区分清楚的！,除非绑定一个子网,ARP防护 电脑绑定arp arp-s 157.55.85,ARP,防护,?,DHCP Snooping,监控方式也即,DHCP Snooping,方式，适合大部分主机为,动态分配,IP,地址的网络场景。实现原理：接入层交换机监控,用户动态申请,IP,地址的全过程，记录用户的,IP,、,MAC,和端,口信息，并且在接入交换机上做多元素绑定，从而在根本上,阻断非法,ARP,报文的传播。,另外，,ARP,泛洪攻击会产生大量的,ARP,报文，消耗网络,带宽资源和交换机,CPU,资源，造成网络速度急剧降低。因,此可以在接入交换机部署,ARP,报文限速，对每个端口单位,时间内接收到的,ARP,报文数量进行限制，避免,ARP,泛洪攻,击，保护网络资源。,Page,75,ARP防护?DHCP Snooping,重庆网安计算机技术服务中心,（,023-67031431,）,重庆网安计算机技术服务中心（023-67031431）,知识回顾,Knowledge,Review,知识回顾Knowledge Review,