10 元
下载资源

第4讲网络监听及防御技术

上传人:痛*** 文档编号:242504025 上传时间:2024-08-26 格式:PPTX 页数:82 大小:880.95KB
返回 下载 相关 举报
第4讲网络监听及防御技术_第1页
第1页 / 共82页
第4讲网络监听及防御技术_第2页
第2页 / 共82页
第4讲网络监听及防御技术_第3页
第3页 / 共82页
点击查看更多>>
资源描述
单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,*,网络安全攻防技术,第四讲,网络监听及防御技术,软件学院网络工程方向,4,8/26/2024,1,内容介绍,4.1,网络监听概述,4.2,监听技术,4.3,监听的防御,4.4,小结,8/26/2024,2,4.1 网络监听概述,4.1.1 基础知识与实例,4.1.2 网络监听技术的发展情况,8/26/2024,3,8/26/2024,4,4.1.1 基础知识与实例,1网络监听的概念,网络监听技术又叫做,网络嗅探技术(Network Sniffing),,顾名思义,这是一种在他方未察觉的情况下捕获其通信报文或通信内容的技术。,在网络安全领域,网络监听技术对于,网络攻击与防范双方,都有着重要的意义,是一把,双刃剑。,对网络管理员来说,它是了解网络运行状况的有力助手,对黑客而言,它是有效收集信息的手段。,网络监听技术的能力范围目前,只限于局域网,。,8/26/2024,5,4.1.1 基础知识与实例,2相关网络基础,网络传输技术:广播式和点到点式。,广播式网络传输技术:仅有一条通信信道,由网络上的所有机器共享。信道上传输的分组可以被任何机器发送并被其他所有的机器接收。,点到点网络传输技术:点到点网络由一对对机器之间的多条连接构成,分组的传输是通过这些连接直接发往目标机器,因此不存在发送分组被多方接收的问题。,8/26/2024,6,4.1.1 基础知识与实例,3.,网卡的四种工作模式,(1)广播模式:该模式下的网卡能够接收网络中的广播信息。,(2)组播模式:该模式下的网卡能够接受组播数据。,(3)直接模式:在这种模式下,只有匹配目的MAC地址的网卡才能接收该数据帧。,(4)混杂模式:(Promiscuous Mode)在这种模式下,网卡能够接受一切接收到的数据帧,而无论其目的MAC地址是什么。,8/26/2024,7,4.1.1 基础知识与实例,4 实例:用Ethereal嗅探sina邮箱密码,U=hack_tesing,Psw=hacktesting,8/26/2024,8,4.1.1 基础知识与实例,4 实例:sniffer嗅探FTP用户名和密码,8/26/2024,9,4.1 网络监听概述,4.1.1 基础知识与实例,4.1.2 网络监听技术的发展情况,8/26/2024,10,4.1.2 网络监听技术的发展情况,1网络监听(Sniffer)的发展历史,Sniffer这个名称最早是一种网络监听工具的名称,后来其也就成为网络监听的代名词。在最初的时候,它是作为网络管理员检测网络通信的一种工具。,网络监听器分,软、硬,两种,8/26/2024,11,4.1.2 网络监听技术的发展情况,1网络监听(Sniffer)的发展历史,软件嗅探器,便宜易于使用,缺点是功能往往有限,可能无法抓取网络上所有的传输数据(比如碎片),或效率容易受限;,硬件嗅探器,通常称为协议分析仪,它的优点恰恰是软件嗅探器所欠缺的,处理速度很高,但是价格昂贵。,目前主要使用的嗅探器是,软件,的。,8/26/2024,12,4.1.2 网络监听技术的发展情况,2Sniffer软件的主要工作机制,驱动程序支持:需要一个直接与网卡驱动程序接口的驱动模块,作为网卡驱动与上层应用的“中间人”,它将网卡设置成混杂模式,捕获数据包,并从上层接收各种抓包请求。,分组捕获过滤机制:对来自网卡驱动程序的数据帧进行过滤,最终将符合要求的数据交给上层网络层,其它数据帧将被丢弃不作处理。,链路层的网卡驱动程序上传的数据帧就有了两个去处:一个是,正常的协议栈,,另一个就是,分组捕获过滤模块,,对于非本地的数据包,前者会丢弃(通过比较目的IP地址),而后者则会根据上层应用的要求来决定上传还是丢弃。,8/26/2024,13,4.1.2 网络监听技术的发展情况,2Sniffer软件的主要工作机制,许多操作系统都提供这样的“中间人”机制,即分组捕获机制。,在UNIX类型的操作系统中,,主要有3种:BSD系统中的BPF(Berkeley Packet Filter)、SVR4中的DLPI(Date Link Interface)和Linux中的SOCK_PACKET类型套接字。,在Windows平台,上主要有NPF过滤机制。,目前大部分Sniffer软件都是基于上述机制建立起来的。如Tcpdump、Wireshark等。,8/26/2024,14,4.1.2 网络监听技术的发展情况,4.网络监听的双刃性,现在的监听技术发展比较成熟,可以协助网络管理员测试网络数据通信流量、实时监控网络状况。,然而事情往往都有两面性,Sniffer的隐蔽性非常好,它只是“被动”的接收数据,所以在传输数据的过程中,根本无法察觉到有人在监听。网络监听给网络维护提供便利同时,也给网络安全带来了很大隐患。,8/26/2024,15,4.2 监听技术,4.2.1 局域网中的硬件设备简介,4.2.2 共享式局域网的监听技术,4.2.3 交换式局域网的监听技术,4.2.4 网络监听工具举例,8/26/2024,16,4.2.1 局域网中的硬件设备简介,1集线器,(1),集线器的原理,:,集线器(又称为Hub)是一种重要的网络部件,主要在局域网中用于将多个客户机和服务器连接到中央区的网络上。,集线器工作在局域网的物理环境下,其主要应用在OSI参考模型第一层,属于物理层设备。它的内部采取电器互连的方式,当维护LAN的环境是逻辑总线或环型结构时,完全可以用集线器建立一个物理上的星型或树型网络结构。,8/26/2024,17,4.2.1 局域网中的硬件设备简介,1集线器,(2),集线器的工作特点,依据IEEE 802.3协议,集线器功能是随机选出某一端口的设备,并让它独占全部带宽,与集线器的上联设备(交换机、路由器或服务器等)进行通信。集线器在工作时具有以下两个特点:,首先是集线器只是一个多端口的信号放大设备;,其次集线器只与它的上联设备(如上层Hub、交换机或服务器)进行通信,同层的各端口之间不会直接进行通信,而是通过上联设备再将信息广播到所有端口上。,8/26/2024,18,D-LINK DES-1024D 24PORT,8/26/2024,19,4.2.1 局域网中的硬件设备简介,1集线器,(3),用集线器组建的局域网示意图,8/26/2024,20,4.2.1 局域网中的硬件设备简介,2交换机,(1),交换机的原理,:,交换机是一种网络开关(Switch),也称交换器,由于和电话交换机对出入线的选择有相似的原理,因此被人称为交换机。,交换机在局域网的环境下,工作在比集线器更高一层链路层上。交换机被定义成一个能接收发来的信息帧,加以暂时存储,然后发到另一端的网络部件,其本质上就是具有流量控制能力的多端口网桥。,8/26/2024,21,4.2.1 局域网中的硬件设备简介,2交换机,(2),交换机的工作特点,把每个端口所连接的网络分割为独立的LAN,每个LAN成为一个独立的冲突域。,每个端口都提供专用的带宽。这是交换机与集线器的本质区别,集线器不管有多少端口,都是共享其全部带宽。,转发机制。交换机维护有每个端口对应的地址表,其中保存与该端口连接的各个主机的MAC地址。,8/26/2024,22,CISCO WS-C2950-24交换机,8/26/2024,23,4.2.1 局域网中的硬件设备简介,2交换机,(2),用交换机组建的局域网示意图,8/26/2024,24,4.2 监听技术,4.2.1 局域网中的硬件设备简介,4.2.2 共享式局域网的监听技术,4.2.3 交换式局域网的监听技术,4.2.4 网络监听工具举例,8/26/2024,25,什么是共享式局域网,共享式局域网就是使用集线器或共用一条总线的局域网,它采用了载波检测多路侦听(Carries Sense Multiple Access with Collision Detection,简称CSMA/CD)机制来进行传输控制。,共享式局域网是基于广播的方式来发送数据的,因为集线器不能识别帧,所以它就不知道一个端口收到的帧应该转发到哪个端口,它只好把帧发送到除源端口以外的所有端口,这样网络上所有的主机都可以收到这些帧。,8/26/2024,26,共享式局域网的监听原理,在正常的情况下,网卡应该工作在广播模式、直接模式,一个网络接口(网卡)应该只响应这样的两种数据帧:,与自己的MAC地址相匹配的数据帧(目的地址为单个主机的MAC地址)。,发向所有机器的广播数据帧(目的地址为0xFFFFFFFFFF)。,8/26/2024,27,共享式局域网的监听的工作原理(2),但如果共享式局域网中的一台主机的网卡被设置成混杂模式状态的话,那么,对于这台主机的网络接口而言,任何在这个局域网内传输的信息都是可以被听到的。主机的这种状态也就是监听模式。,处于监听模式下的主机可以监听到同一个网段下的其他主机发送信息的数据包。,8/26/2024,28,共享式局域网的监听实现方法,在共享式局域网中,集线器会广播所有数据,这时,如果局域网中一台主机将网卡设置成混杂模式,那么它就可以接收到该局域网中的所有数据了。,网卡在混杂模式工作的情况下,所有流经网卡的数据帧都会被网卡驱动程序上传给网络层。,共享式局域网监听示意图见下页。,8/26/2024,29,集线器,路由器,Internet,攻击者主机,受害者主机,192.168.1.2,192.168.1.3,其它主机,192.168.1.4,8/26/2024,30,共享式局域网的监听实现方法(2),正常工作时,应用程序只能接收到以本主机为目标主机的数据包,其他数据包过滤后被丢弃不做处理。,该过滤机制可以作用在链路层、网络层和传输层这几个层次,工作流程如图所示:,8/26/2024,31,共享式局域网的监听实现方法(3),链路层过滤:判断数据包的目的MAC地址。,网络层过滤:判断数据包的目的IP地址。,传输层过滤:判断对应的目的端口是否在本机已经打开。,因而,如果没有一个特定的机制,上层应用也无法抓到本不属于自己的“数据包”。,8/26/2024,32,共享式局域网的监听实现方法(4),需要一个直接与网卡驱动程序接口的驱动模块,它将网卡设置成混杂模式,并从监听软件接收下达的各种抓包请求,对来自网卡驱动程序的数据帧进行过滤,最终将符合监听软件要求的数据返回给监听软件。,8/26/2024,33,共享式局域网的监听实现方法(5),有了驱动模块,链路层的网卡驱动程序上传的数据帧就有了两个去处:一个是正常的协议栈,另一个就是分组捕获即过滤模块。,对于非本地的数据包,前者会丢弃(通过比较目的IP地址),而后者则会根据上层应用的要求来决定上传还是丢弃,如图所示。,8/26/2024,34,共享式局域网的监听实现方法(6),在实际应用中,监听时存在不需要的数据,严重影响了系统工作效率。网络监听模块过滤机制的效率是该网络监听的关键。,信息的过滤包括以下几种:,站过滤,协议过滤,服务过滤,通用过滤,。,同时根据过滤的时间,可以分为两种过滤方式:,捕获前过滤、捕获后过滤,。,8/26/2024,35,4.2 监听技术,4.2.1 局域网中的硬件设备简介,4.2.2 共享式局域网的监听技术,4.2.3 交换式局域网的监听技术,4.2.4 网络监听工具举例,8/26/2024,36,4.2.3 交换式局域网的监听技术,什么是交换式局域网,交换式以太网就是用交换机或其它非广播式交换设备组建成的局域网。,这些设备根据收到的数据帧中的MAC地址决定数据帧应发向交换机的哪个端口。,因为端口间的帧传输彼此屏蔽,因此节点就不担心自己发送的帧会被发送到非目的节点中去。,8/26/2024,37,4.2.3 交换式局域网的监听技术,产生交换式局域网的原因:,系统管理人员常常通过在本地网络中加入交换设备,来预防sniffer(嗅探器)的侵入。,交换机工作在数据链路层,工作时维护着一张MAC地址与端口的映射表。在这个表中记录着交换机每个端口绑定的MAC地址。不同于HUB的报文广播方式,交换机转发的报文是一一对应的。,8/26/2024,38,4.2.3 交换式局域网的监听技术,交换式局域网在很大程度上解决了网络监听的困扰。,但是交换机的安全性也面临着严峻的考验,随着嗅探技术的发展,攻击者发现了有如下方法来实现在交换式以太网中的网络监听:,溢出攻击,ARP欺骗(常用技术),8/26/2024,39,4.2.3 交换式局域网的监听技术,溢出攻击,交换机工作时要维护一张MAC地址与端口的映射表。,但是用于维护这张表的内存是有限的。如用大量的错误MAC地址的数据帧对交换机进行攻击,交换机就可能出现溢出。,这时交换机就会退回到HUB的广播方式,向所有的端口发送数据包,一旦如此,监听就很容易了。,8/26/2024,40,4.2.3 交换式局域网的监听技术,ARP欺骗,计算机中维护着一个IP-MAC地址对应表,记录了IP地址和MAC地址之间的对应关系。该表将随着ARP请求及响应包不断更新。,通过ARP欺骗,改变表里的对应关系,攻击者可以成为被攻击者与交换机之间的“中间人”,使交换式局域网中的所有数据包都流经自己主机的网卡,这样就可以像共享式局域网一样分析数据包了。,dsniff和parasite等交换式局域网中的嗅探工具就是利用ARP欺骗来实现的。,ARP欺骗示意图见下页,具体过程将在欺骗攻击章节讲解。,8/26/2024,41,交换机,路由器,Internet,攻击者,主机,受害者,主机,交换机,路由器,Internet,攻击者,主机,受害者,主机,192.168.1.2,192.168.1.3,192.168.1.2,192.168.1.3,ARP欺骗,8/26/2024,42,4.2 监听技术,4.2.1 局域网中的硬件设备简介,4.2.2 共享式局域网的监听技术,4.2.3 交换式局域网的监听技术,4.2.4 网络监听工具举例,8/26/2024,43,4.2.4 网络监听工具举例,常用的网络监听工具,Tcpdump/Windump,Ngrep,Ethereal/Wireshark,Sniffer Pro,NetXray,网络监听工具的主要功能大都相似,我们以Wireshark为例。,8/26/2024,44,Wireshark简介,Wireshark是一个免费的开源网络数据包分析工具,可以在Linux、Solaris、Windows等多种平台运行。,它允许用户从一个活动的网络中捕捉数据包并进行分析,详细探究数据包的协议字段信息和会话过程。,帮助网络管理员解决网络问题,帮助网络安全工程师检测安全隐患,开发人员可以用它来测试协议执行情况、学习网络协议。,具有很好的可扩展性,用户能自由地增加插件以实现额外功能。,8/26/2024,45,Wireshark更名的故事,2006年6月8号, Ethereal软件的创始人Gerald Coombs宣布离开NIS公司(Ethereal所属公司),正式加入CaceTech。,由于Coombs最终没能与NIS公司达成协议,Coombs想保留Ethereal商标权,因此将Ethereal后续版本更名为,Wireshark,,属于CaceTech公司。,Ethereal原网站(, Stream,),所捕获的封包可以被储存。,支持,Capture Filter(,捕获前过滤,)和Display,Filter(,捕获后过滤,)功能帮助用户筛选,想要的数据包。,8/26/2024,48,在捕获数据包之前设定。用于设定捕获数据包时的过滤条件,属于,捕获前过滤,好处:可以让你选择要抓取的数据包,Examples:,tcp,tcp or udp,tcp | udp(此过滤规则是上一条的不同写法),tcp and ip.addr=192.168.1.34,Capture filter,8/26/2024,49,Display filter,在捕获数据包结束后设定。用来设定显示数据包的条件,属于,捕获后过滤,好处:可以让你选择要看的数据包,Example:,同Capture filter,tcp.port = 80,tcp port 80 (此过滤规则是上一条的不同写法),8/26/2024,50,案例一:观察FTP数据流,设置capture filter,只,对tcp包进行监测,开始抓取数据包,同时局域网内有ftp登陆,(隔一小段时间后),停止抓取封包,观察数据包的格式内容,设置display filter,只查看21端口与ftp主机相关的数据包,使用follow tcp stream功能重组数据包,查看ftp登陆过程,8/26/2024,51,设置Capture filter,tcp,8/26/2024,52,抓包正在进行中,只抓取了TCP包,8/26/2024,53,抓包结束,查看封包内容,控制列,封包总览,封包内容,十六进制码,8/26/2024,54,设置Display filter,Port 21 and ip.addr=192.168.1.250,8/26/2024,55,封包重组,选定某一封包内容后,执行Follow TCP Stream ,即可对与被选中封包相关的所有封包内容进行重组,可更清楚的看到封包中的Data。,ftp登陆过程,8/26/2024,56,案例二:观察登录BBS过程,设置网卡,如果有多个网络接口(网卡),首先在Capture Options中设置在哪个网络接口上抓包。勾选Capture packets in promiscuous mode选项,将网卡设置成混杂模式。,8/26/2024,57,案例二:观察登录BBS过程,设置过滤条件:捕获前过滤,8/26/2024,58,案例二:观察登录BBS过程,设置过滤条件:捕获后过滤,如果Filter框背景显示为绿色,说明所设定的过滤规则合乎Wireshark支持的语法规则。,如果Filter框背景显示为红色,说明所设定的过滤规则不符合语法规则。,8/26/2024,59,案例二:观察登录BBS过程,登录BBS的用户名和密码,主机向服,务器发送,的POST,请求,8/26/2024,60,4.3 监听的防御,4.3.1 通用策略,4.3.2 共享网络下的防监听,4.3.3 交换网络下的防监听,8/26/2024,61,4.3.1 通用策略,由于嗅探器是一种被动攻击技术,因此非常难以被发现。,完全主动的解决方案很难找到并且因网络类型而有一些差异,但我们可以先采用一些被动但却是通用的防御措施。,这主要包括采用,安全的网络拓扑结构,和,数据加密技术,两方面。此外要注意重点区域的安全防范。,8/26/2024,62,安全的拓扑结构,网络分段越细,嗅探器能够收集的信息就越少。,网络分段:,将网络分成一些小的网络,每一个网段的集线器被连接到一个交换器 (Switch) 上,所以数据包只能在该网段的内部被网络监听器截获,这样网络的剩余部分(不在同一网段)便被保护了。网络有三种网络设备是嗅探器不可能跨过的:交换机、路由器、网桥。我们可以通过灵活的运用这些设备来进行网络分段。,划分VLAN:,使得网络隔离不必要的数据传送,一般可以采用20个工作站为一组,这是一个比较合理的数字。网络分段只适应于中小的网络。网络分段需要昂贵的硬件设备。,8/26/2024,63,数据加密,数据通道加密:,正常的数据都是通过事先建立的通道进行传输的,以往许多应用协议中明文传输的账号、口令的敏感信息将受到严密保护。目前的数据加密通道方式主要有,SSH,、SSL(Secure Socket Layer,安全套接字应用层)和VPN。,数据内容加密:,主要采用的是将目前被证实的较为可靠的加密机制对对互联网上传输的邮件和文件进行加密。如PGP等。,8/26/2024,64,4.3 监听的防御,4.3.1 通用策略,4.3.2 共享网络下的防监听,4.3.3 交换网络下的防监听,8/26/2024,65,4.3.2 共享网络下的防监听,虽然共享式局域网中的嗅探很隐蔽,但也有一些方法来帮助判断:,检测处于混杂模式的网卡,网络通讯丢包率非常高,网络带宽出现反常,检测技术,网络和主机响应时间测试,ARP检测(如AntiSniff 工具),8/26/2024,66,4.3.2 共享网络下的防监听,1. 网络和主机响应时间测试,这种检测已被证明是最有效的,它能够发现网络中处于监听模式的机器,而不管其操作系统是什么。,8/26/2024,67,4.3.2 共享网络下的防监听,1. 网络和主机响应时间测试,测试原理,是处于非监听模式的网卡提供了一定的硬件底层过滤机制,即目标地址为非本地(广播地址除外)的数据包将被网卡所丢弃。,这种情况下骤然增加目标地址不是本地的网络通讯流量对操作系统的影响很小。,而处于混杂模式下的机器则缺乏底层的过滤,骤然增加目标地址不是本地的网络通讯流量会对该机器造成较明显的影响(不同的操作系统/内核/用户方式会有不同)。,8/26/2024,68,4.3.2 共享网络下的防监听,1. 网络和主机响应时间测试,实现方法,是利用ICMP ECHO请求及响应计算出需要检测机器的响应时间基准和平均值。,在得到这个数据后,立刻向本地网络发送大量的伪造数据包,与此同时再次发送测试数据包以确定平均响应时间的变化值。,非监听模式的机器的响应时间变化量会很小,而监听模式的机器的响应时间变化量则通常会有14个数量级。,8/26/2024,69,4.3.2 共享网络下的防监听,2. ARP检测,地址解析协议(Address Resolution Protocol,ARP)请求报文用来查询硬件地址到IP地址的解析。适用于所有基于以太网的IPV4协议。,我们可以使用这类分组来校验网卡是否被设置为混杂模式。,8/26/2024,70,4.3.2 共享网络下的防监听,2. ARP检测,在混杂模式下,网卡不会阻塞目的地址不是自己的分组,而是照单全收,并将其传送给系统内核。然后,系统内核会返回包含错误信息的报文。,基于这种机制,我们可以假造一些ARP请求报文发送到网络上的各个节点,没有处于混杂模式的网卡会阻塞这些报文,但是如果某些节点有回应,就表示这些节点的网卡处于混杂模式下。这些处于混杂模式的节点就可能运行嗅探器程序。,8/26/2024,71,4.3.2 共享网络下的防监听,ARP检测原理,例如:网络上一台IP地址为192.168.1.1的PC(X)以太网地址是00-00-00-00-00-01,这台PC(X)需要向网络上另外一台IP地址为192.168.1.10的PC(Y)发送消息。,8/26/2024,72,集线器,PC(X),PC(Y),IP: 192.168.1.1,MAC: 00-00-00-00-00-01,IP: 192.168.1.10,8/26/2024,73,ARP检测原理(2),在发送之前,X首先发出一个ARP请求包查询192.168.1.10对应的以太网地址。查询包的目的地址被设置为FF-FF-FF-FF-FF-FF(广播),从而本地网络上的所有节点都可以收到这个包。,收到之后,每个节点会检查这个ARP包查询的IP地址和本机的IP地址是否匹配。如果不同,就忽略这个ARP包;如果匹配(Y)就向X发出应答。,X收到应答之后就缓存Y的IP/硬件地址。然后,X就可以向Y发送实际的数据。,8/26/2024,74,ARP检测原理(3),进一步设想,如果我们把这个查询包的目的地址(以太网地址)设置为另外的地址,而不是原来的广播地址又将如何?,8/26/2024,75,ARP检测原理(4),例如:我们把查询包的目的地址设置为00-00-00-00-00-01会发生什么?,处于正常模式下网络节点的以太网卡会认为这个查询包是发往其它主机的,其硬件过滤器会拒绝接收这个包;然而,如果这个网络节点(192.168.1.10)的以太网卡处于混杂模式(promiscuous mode)下,那么即使以太网地址不匹配,其硬件过滤器也不进行任何过滤,从而使这个查询包能够进入到系统的内核。,因为这个节点的IP地址和查询包的要查询IP地址相同,其内核就会认为ARP查询包到达,应该作出应答。,8/26/2024,76,ARP检测原理(5),但是,在不同的操作系统中,这个处于混杂模式节点的内核可能不会应答ARP查询包。,这是因为这个包被系统内核过滤掉了。在这里我们把这叫作软件过滤器。,所以这个方法并不是完全奏效,但是此方法简单实用。,8/26/2024,77,ARP检测原理(6),概括地说,我们可以通过区别硬件过滤器和软件过滤器的不同特征来检测处于混杂模式的网络节点。我们需要构造应该被硬件过滤器阻塞,但是却能够通过软件过滤器的报文。如果把这种报文送到各个网络节点,那么处于普通模式下的网络节点将不做应答;而处于混杂模式的节点会进行应答。,8/26/2024,78,4.3 监听的防御,4.3.1 通用策略,4.3.2 共享网络下的防监听,4.3.3 交换网络下的防监听,8/26/2024,79,4.3.3 交换网络下的防监听,交换网络下防监听,主要要防止ARP欺骗及ARP过载。如何防范ARP欺骗将在后续章节讲述。ARP过载则是指通过发送大量ARP数据包使得交换设备出现信息过载,工作于广播模式。,交换网络下防范监听的措施主要包括:,不要把网络安全信任关系建立在单一的IP或MAC基础上,理想的关系应该建立在IP-MAC对应关系的基础上。,使用静态的ARP或者IP-MAC对应表代替动态的ARP或者IP-MAC对应表,禁止自动更新,使用手动更新。,定期检查ARP请求,使用ARP监视工具,例如ARPWatch等监视并探测ARP欺骗。,制定良好的安全管理策略,加强用户安全意识。,8/26/2024,80,4.4 小结,最普遍同时也是最致命的安全威胁往往来自内部,其破坏性也远大于外部威胁。,其中网络嗅探对于一般的网络来说,威胁巨大,很多黑客也使用嗅探器进行网络入侵渗透。,网络嗅探器对信息安全的威胁来自其被动性和非干扰性,使得网络嗅探具有很强的隐蔽性,往往让网络信息泄密变得不容易被发现。,本节课分析了网络嗅探的原理,并提出一些防范措施。但对于用户而言除了技术手段以外,最重要的还是建立相应的安全意识,注意对隐私信息的加密保护。,8/26/2024,81,8/26/2024,82,
展开阅读全文
相关资源
正为您匹配相似的精品文档
相关搜索

最新文档


当前位置:首页 > 管理文书 > 施工组织


copyright@ 2023-2025  zhuangpeitu.com 装配图网版权所有   联系电话:18123376007

备案号:ICP2024067431-1 川公网安备51140202000466号


本站为文档C2C交易模式,即用户上传的文档直接被用户下载,本站只是中间服务平台,本站所有文档下载所得的收益归上传人(含作者)所有。装配图网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对上载内容本身不做任何修改或编辑。若文档所含内容侵犯了您的版权或隐私,请立即通知装配图网,我们立即给予删除!