常见网络攻击分析

在这里添加标题,标题一,标题二,标题三,标题四,标题五,#,常见网络攻击分析,徐文勇,科,来,软件,提纲,ARP,攻击分析,MAC Flood分析,UDP Flood分析,分片攻击分析,SYN Flood,分析,提纲,ARP,攻击分析,MAC Flood分析,UDP Flood分析,分片攻击分析,SYN Flood,分析,ARP攻击,简介,攻击原理,通过伪造,IP,地址和,MAC,地址对应关系，或大量发送,ARP数据包耗费网络带宽来达到攻击目的。,攻击目的,广播风暴、主机暴露,断网,、信息泄密,攻击手段,通过工具向网络中持续发送,ARP数据包，不断刷新主机的ARP表即可。,ARP攻击,分析,ARP攻击,分析,建议,IP-MAC绑定,ARP防火墙,使用具备,ARP,防护功能的路由器,动态ARP检测,提纲,ARP,攻击分析,MAC Flood分析,UDP Flood分析,分片攻击分析,SYN Flood,分析,MAC Flood,简介,攻击原理,交换机基于,MAC址转发数据,转发过程中通过对CAM表的查询来确定转发端口,如果无法找到数据的目的MAC，单播包当成广播处理,CAM表容量有限，超过后，新的条目不会添加到CAM表中,攻击目的,交换机瘫痪,抓取数据包,攻击手段,不断发送到未知目的且每个包的源,MAC,地址都不同（伪造）的包，当这样的数据包发送的速度足够快之后，快到在刷新,（老化）,时间内将交换机的,CAM,表迅速填满。,CAM,表被这些伪造的,MAC,地址占据，真实的,MAC,地址条目却无法进入,CAM,表，那么任何一个经过交换机的正常单播数据帧都会以广播帧的方式来处理。,分析,MAC Flood,非常多的,MAC地址,MAC地址,、通讯内容填充明显,建议,Port Security802.1xDynamic VLANs,MAC地址伪造，抓包不能定位真实源,，可通过定抓包逐步定位泛洪的交换机，然后再进行排查，在排查过程中可借助,TAP设备。,防御方法,提纲,ARP,攻击分析,MAC Flood分析,UDP Flood分析,分片攻击分析,SYN Flood,分析,UDP Flood,简介,攻击原理,UDP是一种无连接协议，不需建立连接即可传输数据,；,系统收到,UDP,数据包的时，确定目的端口的服务是否开启，如果发现该服务不存在，就会产生,ICMP,数据包并发送给源地址,（地址大部份是伪造）,；,攻击目的,拒绝服务,攻击手段,通过工具向被攻击系统发送足够多的,UDP数据包即可,UDP Flood分析,UDP Flood分析,UDP Flood分析,UDP Flood分析,UDP Flood分析,UDP Flood分析,建议,数据过滤,禁用或过滤监控和响应服务,禁用或过滤其它的,UDP,服务,如必须提供一些,UDP,服务的外部访问，建议用代理,用网络进行长期监控,提纲,ARP,攻击分析,MAC Flood分析,UDP Flood分析,分片攻击分析,SYN Flood,分析,分片攻击简介,攻击原理,向目标主机发送经过精心构造的分片报文，导致某些系统在重组,IP,分片的过程中宕机或者重新启动。,攻击目的,主机宕机,设备假死,攻击手段,分片攻击可以分为两大类：一类是发送异常的分片包，如,teardrop,等；一类是发送海量的分片，即,flood,攻击，让系统不停的进行分片重组，让,CPU“,忙不过来”，这是一种“低级”的攻击方式，但却是很难防御的。,分片攻击分析,分片攻击分析,分片攻击分析,建议,系统请打上最新的,Service Pack,;,在网络边界上禁止碎片包通过，或者用,iptables,限制每秒通过碎片包的数目,;,如果防火墙有重组碎片的功能，确保自身的算法没有问题，否则被,DoS,就会,影响整个网络,;,自定义,IP,安全策略，设置“碎片检查”,（,windows,）,。,提纲,ARP攻击分析,MAC Flood分析,UDP Flood分析,分片攻击分析,SYN Flood,分析,SYN Flood,简介,攻击原理,利用,TCP,三次握手协议的缺陷，短时间内向目标主机发送大量的伪造源地址的,SYN,连接请求，消耗目标主机的资源，从而不能够为正常用户提供服务,攻击目的,服务器、网络拒绝服务,攻击手段,通过工具或肉机大量发送,syn位置1的数据包。,SYN Flood分析,SYN Flood分析,SYN Flood分析,SYN Flood分析,建议,SYNcookie,技术,ISP附加服务,报警,科来软件,电话：,028 85120922,传真：,028 85120911,邮件,：,support,网站：,Q&A,