1. 如何使用DHCP snooping技術防禦網路攻擊
企業內部訪問者與外部訪問者的數量在不斷變化,這增大了它所面對的安全威脅,而且內外訪問的界線也在逐漸模糊。如果一個組織在設計網路架構時加入了
不安全的系統和協議,那麼網路基礎架構就可能有風險。例如,有時候一些2層協議的安全性就被忽視了,如動態主機配置協議(DHCP)。DHCP是一種輔助
協議,它工作在後台,大多數用戶都不會注意到它的存在。事實上,這種沒有得到重視的情況就意味著供應商也可能會忽略這種攻擊。DHCP
snooping就是一種可用於防禦許多常見攻擊的防控技術。
DHCP可能受到幾種不同方式的攻擊,其中包括惡意DHCP伺服器或本地交換網路的地址解析協議(ARP)污染。並非所有意外事件都屬於惡意攻擊。
舉個例子來說,一位最終用戶可能連接了一個啟用DHCP的網路設備或路由器,結果就可能給其他用戶分配一個無效的DHCP地址。另外,攻擊者也可能發起了
一個資源耗盡的攻擊,並且嘗試用光所有的DHCP地址。危害更大的方法是,攻擊者會主動嘗試重定向用戶的DHCP伺服器請求。當然,這些只是促使您使用
DHCP snooping技術的一部分原因。
這種中間人攻擊的機制要求攻擊者創建自己的DHCP伺服器。接下來,攻擊者會廣播偽造的DHCP請求,並且嘗試用光DHCP范圍內的所有DHCP地
址。結果,合法用戶就無法從DHCP伺服器獲得或更新IP地址。然後,攻擊者就開始用它的欺騙性DHCP伺服器分配所搶占的DHCP地址,使它的地址成為
新的網關。接收到這些地址的最終用戶就可能被重定向到攻擊者,然後再通向互聯網。這樣它就盜用了網路連接。
上面的場景只是經典中間人攻擊的另一種變化。這種技術需要將攻擊者置於所攻擊網路內部,從而讓他能夠窺探客戶流量。或許您會認為這種攻擊並不可怕,但是現在已經出現了許多專門發起這些攻擊的工具,如Gobbler、DHCPstarv和Yersinia。
在現有交換機上創建DHCP snooping
DHCP snooping是通過現有交換機在數據鏈路層實現的,它可以對抗攻擊,阻擋未授權DHCP伺服器。它使2層協議交換機能夠檢測從特定埠接收的數據幀,然後檢查它們是否來自合法的DHCP伺服器。
這個2層處理過程包括幾個步驟。首先,您需要在交換機上啟用全局DHCP,然後再在各個虛擬LAN(VLAN)上啟用DHCP snooping。最後,您還必須配置各個可信埠。
下面是一個啟用DHCP SNOOPING的例子:
Switch(config)#ip dhcp snooping
Switch(config)#ip dhcp snooping vlan 30
Switch(config)#interface gigabitethernet1/0/1
Switch(config-if)#ip dhcp snooping trust
在這個例子中,交換機啟用了全局DHCP snooping,然後再為VLAN 30啟用DHCP
snooping。唯一可信的介面是gigabitEthernet1/0/1。DHCP
snooping可以幫助保證主機只使用分配給它們的IP地址,並且驗證只能訪問授權的DHCP伺服器。在實現之後,DHCP
snooping就會丟棄來自未可信DHCP伺服器的DHCP消息。
使用DHCP snooping防止ARP緩存污染
DHCP
snooping還可以跟蹤主機的物理位置,從而可以防禦(ARP)緩存污染攻擊。它在防禦這些攻擊的過程中發揮重要作用,因為您可以使用DHCP
snooping技術丟棄一些來源與目標MAC地址不符合已定義規則的DHCP消息。管理會收到通過DHCP
snooping警報通知的違規行為。當DHCP snooping服務檢測到違規行為時,它會在系統日誌伺服器上記錄一條消息「DHCP
Snooping」。
DHCP snooping是實現2層協議流量安全性的第一步。惡意DHCP伺服器不僅會導致網路問題,它們還可以被攻擊者用於轉發敏感流量和發起中間人攻擊。如果還沒有做好這些措施,那麼一定要考慮實現這些防禦措施,保證網路基礎架構的安全性。
2. dhcp攻擊的原理是什麼
使用非法DHCP伺服器,下面的客戶端有可能使用非法DHCP伺服器分配的IP地址,造成IP沖突。比如192.168.1.1這個地址已經被合法的DHCP伺服器分配到客戶端A,但是如果此時有一個非法的DHCP伺服器也在同一網段運作,假如客戶端B在獲取IP地址的時候採納的是非法DHCP伺服器分配的IP 192.168.1.1的話,就造成客戶端A和客戶端BIP地址沖突
還有一種情況就是不斷的向DHCP伺服器發起請求,導致DHP地址池枯竭,造成無IP地址可以分配的情況
3. 計算機網路安全中什麼叫欺騙攻擊
TCP協議是一種基於IP協議而建立的一條面向連接的、可靠的位元組流。在黑客攻擊層出不窮的今天,一個攻擊者可以通過發送IP地址源地址屬於另一台機器的IP數據來實施欺騙。TCP欺騙的攻擊者實際上並不在乎是否能收到這些數據的答復,但其他的機器將接受這些偽造數據並認為他們來自合法的擁有者。
在傳輸層的欺騙主要就是TCP欺騙和UDP欺騙,這兩個欺騙技術都是將外部計算機偽裝成合法計算機來實現的,目的還是把自己構築成一個中間層來破壞正常鏈路上的正常數據流,或者在兩台計算機通信的鏈路上插入數據。
對TCP欺騙攻擊的防範策略主要有:
(1)使用偽隨機數發生工具產生TCP初始序號;
(2)路由器拒絕來自外網而源IP是內網的數據包;
(3)使用TCP段加密工具加密。
4. 怎樣防止網路地址欺騙攻擊。
這個就要在設備中安裝安全軟體來防範了,還有在日常使用中要多加註意,不要打開不知明的鏈接,廣告等頁面,這樣就可以有效的防止網路被攻擊了
5. 思科靜態DHCP防止arp欺騙
常用的解決辦法就是:
一、 在寬頻路由器中把所有PC的IP-MAC輸入到一個靜態表中,這叫路由器IP-MAC綁定。
二、 在內網所有PC上設置網關的靜態ARP信息,這叫PC機IP-MAC綁定。
三、 是前兩種辦法的組合,稱其為IP-MAC雙向綁定。
方法是有效的,但工作很繁瑣,管理很麻煩。每台PC綁定本來就費力,在路由器中添加、維護、管理那麼長長的一串列表,更是苦不堪言。一旦將來擴容調整,或更換網卡,又很容易由於疏忽造成混亂。況且ARP出現了新變種,二代ARP攻擊已經具有自動傳播能力,已有的宏文件綁定方式已經被破,主要表現在病毒通過網路訪問或是主機間的訪問互相傳播。由於病毒已經感染到電腦主機,可以輕而易舉的清除掉客戶機電腦上的ARP靜態綁定,伴隨著綁定的取消,錯誤的網關IP和MAC的對應並可以順利的寫到客戶機電腦,錯誤的網關IP和MAC的對應並可以順利的寫到客戶機電腦,ARP的攻擊又暢通無阻了。
我也曾受過arp的毒害,辛辛苦苦做的雙向綁定遇到二代arp攻擊變的是無所遁形,我覺得要想真正的杜絕arp攻擊還是要我們內網每台電腦都聯動起來,共同防範,共同抑制,光裝防arp攻擊的防火牆是遠遠不夠的,這只能保證你可能不被攻擊,但不能杜絕你不發arp攻擊,這樣是治標不治本的,因此要想真正杜絕arp最治本的方法還是從源頭抑制,即從每個終端上抑制arp攻擊的發出,因此要想完全的杜絕arp攻擊要靠軟硬體的結合,單靠硬體是無法實現的。
後來是用「免疫牆」解決的,這個免疫牆技術專門針對內網病毒攻擊的。你可以去試試。
6. DNS欺騙攻擊和防範方法有哪些
一 什麼是DNS
DNS 是域名系統 (Domain Name System) 的縮寫,該系統用於命名組織到域層次結構中的計算機和網路服務。在Internet上域名與IP地址之間是一一對應的,域名雖然便於人們記憶,但機器之間只能互相認識IP地址,它們之間的轉換工作稱為域名解析,域名解析需要由專門的域名解析伺服器來完成,DNS就是進行域名解析的伺服器。
二 DNS的工作原理
DNS 命名用於 Internet 等 TCP/IP 網路中,通過用戶友好的名稱查找計算機和服務。當用戶在應用程序中輸入 DNS 名稱時,DNS 服務可以將此名稱解析為與之相關的其他信息,如 IP 地址。因為,你在上網時輸入的網址,是通過域名解析系解析找到相對應的IP地址,這樣才能上網。其實,域名的最終指向是IP。
在IPV4中IP是由32位二進制數組成的,將這32位二進制數分成4組每組8個二進制數,將這8個二進制數轉化成十進制數,就是我們看到的IP地址,其范圍是在0~255之間。因為,8個二進制數轉化為十進制數的最大范圍就是0~255。現在已開始試運行、將來必將代替IPV6中,將以128位二進制數表示一個IP地址。
大家都知道,當我們在上網的時候,通常輸入的是如:www.sina.com.cn 這樣子的網址,其實這就是一個域名,而我們計算機網路上的計算機彼此之間只能用IP地址才能相互識別。再如,我們去一WEB伺服器中請求一WEB頁面,我們可以在瀏覽器中輸入網址或者是相應的IP地址,例如我們要上新浪網,我們可以在IE的地址欄中輸入:www.sina.com.cn 也可輸入這樣子 218.30.66.101 的IP地址,但是這樣子的IP地址我們記不住或說是很難記住,所以有了域名的說法,這樣的域名會讓我們容易的記住。
DNS:Domain Name System 域名管理系統 域名是由圓點分開一串單詞或縮寫組成的,每一個域名都對應一個惟一的IP地址,這一命名的方法或這樣管理域名的系統叫做域名管理系統。
DNS:Domain Name Server 域名伺服器 域名雖然便於人們記憶,但網路中的計算機之間只能互相認識IP地址,它們之間的轉換工作稱為域名解析(如上面的www.sina.com.cn 與 218.30.66.101 之間的轉換),域名解析需要由專門的域名解析伺服器來完成,DNS就是進行域名解析的伺服器。
三 DNS欺騙攻擊
DNS欺騙即域名信息欺騙是最常見的DNS安全問題。當一個DNS伺服器掉入陷阱,使用了來自一個惡意DNS伺服器的錯誤信息,那麼該DNS伺服器就被欺騙了。DNS欺騙會使那些易受攻擊的DNS伺服器產生許多安全問題,例如:將用戶引導到錯誤的互聯網站點,或者發送一個電子郵件到一個未經授權的郵件伺服器。網路攻擊者通常通過以下幾種方法進行DNS欺騙。
1、緩存感染:
黑客會熟練的使用DNS請求,將數據放入一個沒有設防的DNS伺服器的緩存當中。這些緩存信息會在客戶進行DNS訪問時返回給客戶,從而將客戶引導到入侵者所設置的運行木馬的Web伺服器或郵件伺服器上,然後黑客從這些伺服器上獲取用戶信息。
2、DNS信息劫持:
入侵者通過監聽客戶端和DNS伺服器的對話,通過猜測伺服器響應給客戶端的DNS查詢ID。每個DNS報文包括一個相關聯的16位ID號,DNS伺服器根據這個ID號獲取請求源位置。黑客在DNS伺服器之前將虛假的響應交給用戶,從而欺騙客戶端去訪問惡意的網站。
3、DNS重定向
攻擊者能夠將DNS名稱查詢重定向到惡意DNS伺服器。這樣攻擊者可以獲得DNS伺服器的寫許可權。
四 DNS的防範方法
防範方法其實很簡單,總結來說就只有兩條。(1) 直接用IP訪問重要的服務,這樣至少可以避開DNS欺騙攻擊。但這需要你記住要訪問的IP地址。(2) 加密所有對外的數據流,對伺服器來說就是盡量使用SSH之類的有加密支持的協議,對一般用戶應該用PGP之類的軟體加密所有發到網路上的數據。只要能做到這些,基本上就可以避免DNS欺騙攻擊了。
現在知道為什麼當你在瀏覽器中輸入正確的URL地址,但是打開的並不是你想要去的網站了吧,這就是神奇的DNS欺騙,希望學習DNS協議欺騙攻擊技術有所幫助