文档介绍:三、常见的网络安全攻击与防范
在诸多的局域网安全问题中,令网络管理员感到最头痛的问题就是IP地址的管理;最担心的问题就是账号、密码的盗取以及信息的失窃和篡改;而最棘手的问题就是木马、蠕虫病毒爆发对网络造成的危害。本文将详细阐述如何利用Cisco Catalyst交换机内部集成的安全特性,采用创新的方式在局域网上有效地进行IP的地址管理、阻止网络的攻击并减少病毒的危害。
关键词:Port Security、DHCP Snooping、Dynamic ARP Inspection(DAI)、IP Source Guard。
、网络安全威胁发展趋势
由于历史的原因企业内部网络都被设计成一个公用设施,其结果就是使今天所有企业网络的端口对于内部都处于“开放”状态。“开放”的网络和共享的资源可以很轻易地得到访问,只需要将一台电脑插入一个网络接口并获取一个IP地址。
CSI/FBI计算机犯罪与安全调查显示,信息失窃已经成为当前最主要的犯罪。在造成经济损失的所有攻击中,有75%都是来自于公司内部。这样,企业网络内部就必须采用更多创新方式来防止攻击,如果我们将网络中的所有端口看成潜在敌对实体获取通道的“端口防线”,网络管理员就必须知道这些潜在威胁都有那些,以及需要设置哪些安全功能来锁定这些端口并防止这些潜在的来自网络第二层的安全攻击。
、局域网安全存在的普遍问题
任何对网络安全的破坏都会扰乱企业的正常运转,伤害合作伙伴和用户的信心,并给企业带来不可弥补的损失。
目前企业在内部局域网中遇到的问题主要有以下几种:
IP地址的管理问题,包括IP地址非法使用、IP地址冲突和IP地址欺骗
利用ARP欺骗获取账号、密码、信息,甚至恶意篡改信息内容、嫁祸他人问题
木马、蠕虫病毒攻击导致的信息失窃、网络瘫痪问题
攻击或病毒源机器的快速定位、隔离问题
IP的地址管理一直是长期困扰企业局域网安全稳定运行的首要问题。在局域网上任何用户使用未经授权的IP地址都应视为IP非法使用。由于终端用户可以自由修改IP地址,从而产生了IP地址非法使用问题。改动后的IP地址在局域网中运行时可能出现以下情况。
非法的IP地址即IP地址不在规划的局域网范围内
重复的IP地址与已经分配且正在局域网运行的合法的IP地址发生资源冲突,使合法用户无法上网
冒用合法用户的IP地址当合法用户不在线时,冒用其IP地址联网,使合法用户的权益受到侵害
无论是有意或无意地使用非法IP地址都可能会给企业带来严重的后果,如重复的IP地址会干扰、破坏网络服务器和网络设备的正常运行,甚至导致网络的不稳定,从而影响业务;拥有被非法使用的IP地址所拥有的特权,威胁网络安全;利用欺骗性的IP地址进行网络攻击,如富有侵略性的TCP SYN洪泛攻击来源于一个欺骗性的IP地址,它是利用TCP三次握手会话对服务器进行颠覆的一种攻击方式,一个IP地址欺骗攻击者可以通过手动修改地址或者运行一个实施地址欺骗的程序来假冒一个合法地址。
为了防止非法使用IP地址,增强网络安全,最常见的方法是采用静态的ARP命令捆绑IP地址和MAC地址,从而阻止非法用户在不修改MAC地址的情况下冒用IP地址进行的访问,同时借助交换机的端口安全即MAC地址绑定功能可以解决非法用户修改MAC地址以适应静态ARP表的问题。但这种方法由于要事先收集所有机器的MAC地址及相应的IP地址,然后还要通过人工输入方法来建立IP地址和MAC地址的捆绑表,不仅工作量繁重,而且也难以维护和管理。
另一个显著的问题就是带有攻击特性的ARP欺骗。地址解析协议(ARP,Address Resolution Protocol)最基本的功能是用来实现MAC地址和IP地址的绑定,这样两个工作站才可以通讯,通讯发起方的工作站以MAC广播方式发送ARP请求,拥有此IP地址的工作站给予ARP应答,并附上自己的IP和MAC地址。ARP协议同时支持一种无请求ARP功能,局域网段上的所有工作站收到主动ARP,会将发送者的MAC地址和其宣布的IP地址保存,覆盖以前的同一IP地址和对应的MAC地址。术语“ARP欺骗”或者说“ARP中毒”就是指利用主动ARP来误导通信数据传往一个恶意计算机的黑客技术,该计算机就能成为某个特定局域网网段上的两台终端工作站之间IP会话的“中间人”了。
如果黑客想探听同一网络中两台主机之间的通信(即使是通过交换机相连),他会分别给这两台主机发送一个ARP 应答包,让两台主机都“误”认为对方的MAC地址是第三方黑客所在的主机,这样,双方看似“直接”的通信连接,实际上都是通过黑客所在的主机间接进行的。黑客一方面得到了想要的通信内容,并可以通过工具破译账号、密码、信息,另一方面,还可以恶意更改数据包中的一些信息。同时,这种ARP欺骗