網路安全倍受關注,網路安全設備的性能也引起用戶廣泛的重視:在許多企業的網路中,防火牆處於內網與外網唯一聯系的「咽喉要道」,很容易成為整個網路的性能瓶頸;VPN的使用變得越來越頻繁,而且,通過VPN傳送的大多為關鍵數據,用戶對於VPN的性能十分在意。 防火牆在實際使用時一般都會工作在多條防火牆規則條件下, 清華紫光比威UF3500的防火牆性能下降比較顯著,64位元組包長的吞吐量下降為原來的1/3左右,延遲也有不同程度的增加。而對於其他大多數參測設備來講,設置的1000條規則對防火牆性能幾乎沒有產生什麼影響,所得結果與一條規則的大致一樣。D-Link DFL-1500的所有結果與一條規則下的都相差不超過1%,是所有產品中1000條規則對其性能影響最小的一款。
對於防火牆來說,最能夠體現其安全性和保護功能的便是它的防攻擊能力。性能優良的防火牆設備能夠阻攔外部的惡意攻擊,同時還能夠使內網正常地與外界通信,對外提供服務。隨著寬頻乙太網建設規模的迅速擴大,網路上原有的認證系統已經不能很好的適應用戶數量急劇增加和寬頻業務多樣性的要求。IEEE802.1x協議具有完備的用戶認證、管理功能,可以很好地支撐寬頻網路的計費、安全、運營和管理要求,對寬頻IP城域網等電信級網路的運營和管理具有極大的優勢。IEEE802.1x協議對認證方式和認證體系結構上進行了優化,解決了傳統PPPOE和WEB/PORTAL認證方式帶來的問題,更加適合在寬頻乙太網中的使用。
㈡ 我想學習網路安全防護方面的知識
景程華瑞(北京)科技有限公司
入侵攻擊
可以說當前是一個進行攻擊的黃金時期,很多的系統都很脆弱並且很容易受到攻擊,所以這是一個成為黑客的大好時代,可讓他們利用的方法和工具是如此之多!在此我們僅對經常被使用的入侵攻擊手段做一討論。
【 拒絕服務攻擊 】
拒絕服務攻擊(Denial of Service, DoS)是一種最悠久也是最常見的攻擊形式。嚴格來說,拒絕服務攻擊並不是某一種具體的攻擊方式,而是攻擊所表現出來的結果,最終使得目標系統因遭受某種程度的破壞而不能繼續提供正常的服務,甚至導致物理上的癱瘓或崩潰。具體的操作方法可以是多種多樣的,可以是單一的手段,也可以是多種方式的組合利用,其結果都是一樣的,即合法的用戶無法訪問所需信息。
通常拒絕服務攻擊可分為兩種類型。
第一種是使一個系統或網路癱瘓。如果攻擊者發送一些非法的數據或數據包,就可以使得系統死機或重新啟動。本質上是攻擊者進行了一次拒絕服務攻擊,因為沒有人能夠使用資源。以攻擊者的角度來看,攻擊的刺激之處在於可以只發送少量的數據包就使一個系統無法訪問。在大多數情況下,系統重新上線需要管理員的干預,重新啟動或關閉系統。所以這種攻擊是最具破壞力的,因為做一點點就可以破壞,而修復卻需要人的干預。
第二種攻擊是向系統或網路發送大量信息,使系統或網路不能響應。例如,如果一個系統無法在一分鍾之內處理100個數據包,攻擊者卻每分鍾向他發送1000個數據包,這時,當合法用戶要連接系統時,用戶將得不到訪問權,因為系統資源已經不足。進行這種攻擊時,攻擊者必須連續地向系統發送數據包。當攻擊者不向系統發送數據包時,攻擊停止,系統也就恢復正常了。此攻擊方法攻擊者要耗費很多精力,因為他必須不斷地發送數據。有時,這種攻擊會使系統癱瘓,然而大多多數情況下,恢復系統只需要少量人為干預。
這兩種攻擊既可以在本地機上進行也可以通過網路進行。
※ 拒絕服務攻擊類型
1 Ping of Death
根據TCP/IP的規范,一個包的長度最大為65536位元組。盡管一個包的長度不能超過65536位元組,但是一個包分成的多個片段的疊加卻能做到。當一個主機收到了長度大於65536位元組的包時,就是受到了Ping of Death攻擊,該攻擊會造成主機的宕機。
2 Teardrop
IP數據包在網路傳遞時,數據包可以分成更小的片段。攻擊者可以通過發送兩段(或者更多)數據包來實現TearDrop攻擊。第一個包的偏移量為0,長度為N,第二個包的偏移量小於N。為了合並這些數據段,TCP/IP堆棧會分配超乎尋常的巨大資源,從而造成系統資源的缺乏甚至機器的重新啟動。
3 Land
攻擊者將一個包的源地址和目的地址都設置為目標主機的地址,然後將該包通過IP欺騙的方式發送給被攻擊主機,這種包可以造成被攻擊主機因試圖與自己建立連接而陷入死循環,從而很大程度地降低了系統性能。
4 Smurf
該攻擊向一個子網的廣播地址發一個帶有特定請求(如ICMP回應請求)的包,並且將源地址偽裝成想要攻擊的主機地址。子網上所有主機都回應廣播包請求而向被攻擊主機發包,使該主機受到攻擊。
5 SYN flood
該攻擊以多個隨機的源主機地址向目的主機發送SYN包,而在收到目的主機的SYN ACK後並不回應,這樣,目的主機就為這些源主機建立了大量的連接隊列,而且由於沒有收到ACK一直維護著這些隊列,造成了資源的大量消耗而不能向正常請求提供服務。
6 CPU Hog
一種通過耗盡系統資源使運行NT的計算機癱瘓的拒絕服務攻擊,利用Windows NT排定當前運行程序的方式所進行的攻擊。
7 Win Nuke
是以拒絕目的主機服務為目標的網路層次的攻擊。攻擊者向受害主機的埠139,即netbios發送大量的數據。因為這些數據並不是目的主機所需要的,所以會導致目的主機的死機。
8 RPC Locator
攻擊者通過telnet連接到受害者機器的埠135上,發送數據,導致CPU資源完全耗盡。依照程序設置和是否有其他程序運行,這種攻擊可以使受害計算機運行緩慢或者停止響應。無論哪種情況,要使計算機恢復正常運行速度必須重新啟動。
※ 分布式拒絕服務攻擊
分布式拒絕服務攻擊(DDoS)是攻擊者經常採用而且難以防範的攻擊手段。DDoS攻擊是在傳統的DoS攻擊基礎之上產生的一類攻擊方式。單一的DoS攻擊一般是採用一對一方式的,當攻擊目標CPU速度低、內存小或者網路帶寬小等等各項性能指標不高它的效果是明顯的。隨著計算機與網路技術的發展,計算機的處理能力迅速增長,內存大大增加,同時也出現了千兆級別的網路,這使得DoS攻擊的困難程度加大了 目標對惡意攻擊包的"消化能力"加強了不少,例如你的攻擊軟體每秒鍾可以發送3,000個攻擊包,但我的主機與網路帶寬每秒鍾可以處理10,000個攻擊包,這樣一來攻擊就不會產生什麼效果。所以分布式的拒絕服務攻擊手段(DDoS)就應運而生了。如果用一台攻擊機來攻擊不再能起作用的話,攻擊者就使用10台、100台…攻擊機同時攻擊。
DDoS就是利用更多的傀儡機來發起進攻,以比從前更大的規模來進攻受害者。
高速廣泛連接的網路也為DDoS攻擊創造了極為有利的條件。在低速網路時代時,黑客佔領攻擊用的傀儡機時,總是會優先考慮離目標網路距離近的機器,因為經過路由器的跳數少,效果好。而現在電信骨幹節點之間的連接都是以G為級別的,大城市之間更可以達到2.5G的連接,這使得攻擊可以從更遠的地方或者其他城市發起,攻擊者的傀儡機位置可以在分布在更大的范圍,選擇起來更靈活了。
一個比較完善的DDoS攻擊體系分成四大部分:
攻擊者所在機
控制機(用來控制傀儡機)
傀儡機
受害者
先來看一下最重要的控制機和傀儡機:它們分別用做控制和實際發起攻擊。請注意控制機與攻擊機的區別,對受害者來說,DDoS的實際攻擊包是從攻擊傀儡機上發出的,控制機只發布命令而不參與實際的攻擊。對控制機和傀儡機,黑客有控制權或者是部分的控制權,並把相應的DDoS程序上傳到這些平台上,這些程序與正常的程序一樣運行並等待來自黑客的指令,通常它還會利用各種手段隱藏自己不被別人發現。在平時,這些傀儡機器並沒有什麼異常,只是一旦黑客連接到它們進行控制,並發出指令的時候,攻擊傀儡機就成為害人者去發起攻擊了。
"為什麼黑客不直接去控制攻擊傀儡機,而要從控制傀儡機上轉一下呢?"。這就是導致DDoS攻擊難以追查的原因之一了。做為攻擊者的角度來說,肯定不願意被捉到,而攻擊者使用的傀儡機越多,他實際上提供給受害者的分析依據就越多。在佔領一台機器後,高水平的攻擊者會首先做兩件事:1.考慮如何留好後門,2. 如何清理日誌。這就是擦掉腳印,不讓自己做的事被別人查覺到。比較初級的黑客會不管三七二十一把日誌全都刪掉,但這樣的話網管員發現日誌都沒了就會知道有人幹了壞事了,頂多無法再從日誌發現是誰乾的而已。相反,真正的好手會挑有關自己的日誌項目刪掉,讓人看不到異常的情況。這樣可以長時間地利用傀儡機。但是在攻擊傀儡機上清理日誌實在是一項龐大的工程,即使在有很好的日誌清理工具的幫助下,黑客也是對這個任務很頭痛的。這就導致了有些攻擊機弄得不是很乾凈,通過它上面的線索找到了控制它的上一級計算機,這上級的計算機如果是黑客自己的機器,那麼他就會被揪出來了。但如果這是控制用的傀儡機的話,黑客自身還是安全的。控制傀儡機的數目相對很少,一般一台就可以控制幾十台攻擊機,清理一台計算機的日誌對黑客來講就輕松多了,這樣從控制機再找到黑客的可能性也大大降低。
※ 拒絕服務攻擊工具
Targa
可以進行8種不同的拒絕服務攻擊,作者是Mixter,可以在[url]http://packerstorm.security.com[/url]和[url]www.rootshell.com[/url]網站下載。Mixter把獨立的dos攻擊代碼放在一起,做出一個易用的程序。攻擊者可以選擇進行單個的攻擊或嘗試所有的攻擊,直到成功為止。
FN2K
DDOS工具。可以看作是Traga加強的程序。TFN2K運行的DOS攻擊與Traga相同,並增加了5種攻擊。另外,它是一個DDOS工具,這意味著它可以運行分布模式,即Internet上的幾台計算機可以同時攻擊一台計算機和網路。Trinoo
DDOS工具,是發布最早的主流工具,因而功能上與TFN2K比較不是那麼強大。Trinoo使用tcp和udp,因而如果一個公司在正常的基礎上用掃描程序檢測埠,攻擊程序很容易被檢測到。
Stacheldraht
Stacheldraht是另一個DDOS攻擊工具,它結合了TFN與trinoo的特點,並添加了一些補充特徵,如加密組件之間的通信和自動更新守護進程。
㈢ cyber安全和網路安全的區別
無線區域網被認為是一種不可*的網路,除了加強網路管理以外,更需要測試設備的構建、實施、維護和管理盡管IT的寒冬還未渡過,但WLAN以其便利的安裝、使用,高速的接入速度,可移動的接入方式贏得了眾多公司、政府、個人以及電信運營商的青睞。但WLAN中,由於傳送的數據是利用無線電波在空中輻射傳播,無線電波可以穿透天花板、地板和牆壁,發射的數據可能到達預期之外的、安裝在不同樓層、甚至是發射機所在的大樓之外的接收設備,數據安全也就成為最重要的問題。問題一容易侵入無線區域網非常容易被發現,為了能夠使用戶發現無線網路的存在,網路必須發送有特定參數的信標幀,這樣就給攻擊者提供了必要的網路信息。入侵者可以通過高靈敏度天線從公路邊、樓宇中以及其他任何地方對網路發起攻擊而不需要任何物理方式的侵入。解決方案:加強網路訪問控制容易訪問不等於容易受到攻擊。一種極端的手段是通過房屋的電磁屏蔽來防止電磁波的泄漏,當然通過強大的網路訪問控制可以減少無線網路配置的風險。如果將AP安置在像防火牆這樣的網路安全設備的外面,最好考慮通過VPN技術連接到主幹網路,更好的法是使用基於IEEE802.1x的新的無線網路產品。IEEE802.1x定義了用戶級認證的新的幀的類型,藉助於企業網已經存在的用戶資料庫,將前端基於IEEE802.1X無線網路的認證轉換到後端基於有線網路的RASIUS認證。問題二非法的AP無線區域網易於訪問和配置簡單的特性,使網路管理員和安全官員非常頭痛。因為任何人的計算機都可以通過自己購買的AP,不經過授權而連入網路。很多部門未通過公司IT中心授權就自建無線區域網,用戶通過非法AP接入給網路帶來很大安全隱患。解決方案:定期進行的站點審查像其他許多網路一樣,無線網路在安全管理方面也有相應的要求。在入侵者使用網路之前通過接收天線找到未被授權的網路,通過物理站點的監測應當盡可能地頻繁進行,頻繁的監測可增加發現非法配置站點的存在幾率,但是這樣會花費很多的時間並且移動性很差。一種折衷的法是選擇小型的手持式檢測設備。管理員可以通過手持掃描設備隨時到網路的任何位置進行檢測。問題三未經授權使用服務一半以上的用戶在使用AP時只是在其默認的配置基礎上進行很少的修改。幾乎所有的AP都按照默認配置來開啟WEP進行加密或者使用原廠提供的默認密鑰。由於無線區域網的開放式訪問方式,未經授權擅自使用網路資源不僅會增加帶寬費用,更可能會導致法律糾紛。而且未經授權的用戶沒有遵守服務提供商提出的服務條款,可能會導致ISP中斷服務。解決方案:加強安全認證最好的防禦方法就是阻止未被認證的用戶進入網路,由於訪問特權是基於用戶身份的,所以通過加密法對認證過程進行加密是進行認證的前提,通過VPN技術能夠有效地保護通過電波傳輸的網路流量。一旦網路成功配置,嚴格的認證方式和認證策略將是至關重要的。另外還需要定期對無線網路進行測試,以確保網路設備使用了安全認證機制,並確保網路設備的配置正常。問題四服務和性能的限制無線區域網的傳輸帶寬是有限的,由於物理層的開銷,使無線區域網的實際最高有效吞吐量僅為標準的一半,並且該帶寬是被AP所有用戶共享的。無線帶寬可以被幾種方式吞噬:來自有線網路遠遠超過無線網路帶寬的網路流量,如果攻擊者從快速乙太網發送大量的Ping流量,就會輕易地吞噬AP有限的帶寬;如果發送廣播流量,就會同時阻塞多個AP;攻擊者可以在同無線網路相同的無線信道內發送信號,這樣被攻擊的網路就會通過CSMA/CA機制進行自動適應,同樣影響無線網路的傳輸;另外,傳輸較大的數據文件或者復雜的client/server系統都會產生很大的網路流量。解決方案:網路檢測定位性能故障應當從監測和發現問題入手,很多AP可以通過SNMP報告統計信息,但是信息十分有限,不能反映用戶的實際問題。而無線網路測試儀則能夠如實反映當前位置信號的質量和網路健康情況。測試儀可以有效識別網路速率、幀的類型,幫助進行故障定位。問題五地址欺騙和會話攔截由於802.11無線區域網對數據幀不進行認證*作,攻擊者可以通過欺騙幀去重定向數據流和使ARP表變得混亂,通過非常簡單的方法,攻擊者可以輕易獲得網路中站點的MAC地址,這些地址可以被用來惡意攻擊時使用。除攻擊者通過欺騙幀進行攻擊外,攻擊者還可以通過截獲會話幀發現AP中存在的認證缺陷,通過監測AP發出的廣播幀發現AP的存在。然而,由於802.11沒有要求AP必須證明自己真是一個AP,攻擊者很容易裝扮成AP進入網路,通過這樣的AP,攻擊者可以進一步獲取認證身份信息從而進入網路。在沒有採用802.11i對每一個802.11MAC幀進行認證的技術前,通過會話攔截實現的網路入侵是無法避免的。解決方案:同重要網路隔離在802.11i被正式批准之前,MAC地址欺騙對無線網路的威脅依然存在。網路管理員必須將無線網路同易受攻擊的核心網路脫離開。問題六流量分析與流量偵聽802.11無法防止攻擊者採用被動方式監聽網路流量,而任何無線網路分析儀都可以不受任何阻礙地截獲未進行加密的網路流量。目前,WEP有漏洞可以被攻擊者利用,它僅能保護用戶和網路通信的初始數據,並且管理和控制幀是不能被WEP加密和認證的,這樣就給攻擊者以欺騙幀中止網路通信提供了機會。早期,WEP非常容易被Airsnort、WEPcrack一類的工具解密,但後來很多廠商發布的固件可以避免這些已知的攻擊。作為防護功能的擴展,最新的無線區域網產品的防護功能更進了一步,利用密鑰管理協議實現每15分鍾更換一次WEP密鑰。即使最繁忙的網路也不會在這么短的時間內產生足夠的數據證實攻擊者破獲密鑰。解決方案:採用可*的協議進行加密如果用戶的無線網路用於傳輸比較敏感的數據,那麼僅用WEP加密方式是遠遠不夠的,需要進一步採用像SSH、SSL、IPSec等加密技術來加強數據的安全性。問題七高級入侵一旦攻擊者進入無線網路,它將成為進一步入侵其他系統的起點。很多網路都有一套經過精心設置的安全設備作為網路的外殼,以防止非法攻擊,但是在外殼保護的網路內部確是非常的脆弱容易受到攻擊的。無線網路可以通過簡單配置就可快速地接入網路主幹,但這樣會使網路暴露在攻擊者面前。即使有一定邊界安全設備的網路,同樣也會使網路暴露出來從而遭到攻擊。解決方案:隔離無線網路和核心網路由於無線網路非常容易受到攻擊,因此被認為是一種不可*的網路。很多公司把無線網路布置在諸如休息室、培訓教室等公共區域,作為提供給客人的接入方式。應將網路布置在核心網路防護外殼的外面,如防火牆的外面,接入訪問核心網路採用VPN方式。無線區域網安全性作者:unknown更新時間:2005-03-20前言即使無線區域網絡的系統管理者使用了內置的安全通訊協議:WEP(WiredEquivalentPrivacy),無線區域網的安全防護仍然不夠。在倫敦一項長達7個月的調查顯示,94%的無線區域網都沒有正確設定,無法遏止黑客的入侵。隸屬於國際商會()的網路犯罪部門(CybercrimeUnit)就發現,即使無線網路很安全,也會因為種種原因而大打折扣。現在非常盛行「路過式的入侵(drive-byhacking)」,黑客開車進入商業公區,在信號所及的地方,直接在車里滲透企業的無線區域網。(美國加州柏克萊大學)的三名研究人員,NikitaBorisov、IanGoldberg、以及DabidWagner,在去年發現WEP編碼的重大漏洞;除此之外,在2001年8月,密碼學家ScottFluhrer、ItsikMantin、以及AdiShamir在一篇論文中,指出了RC4編碼的缺點,而RC4正是WEP的基礎。就在幾天後,2001年8月底,RiceUniversity(美國萊斯大學)的學生與兩名AT&T(美國電報電話公司)實驗室的員工(AdamStubblefield與JohnJoannidis、AvielD.Rubin),將這兩篇論文的內容化為實際的程序代碼。令人驚訝的是,其中完全沒有牽扯到任何特殊裝置,你只要有一台可以連上無線網路的個人計算機,從網路上下載更新過的驅動程序,接下來就可以開始記錄網路上來往的所有封包,再加以解碼即可。WEP的運作方式在許多無線區域網中,WEP鍵值(key)被描述成一個字或位串,用來給整個網路做認證。目前WEP使用2種編碼大小,分別是64與128位,其中包含了24位的初始向量(IV,InitializationVector)與實際的秘密鍵值(40與104位)。大家耳熟能詳的40位編碼模式,其實相當於64位編碼。這標准中完全沒有考慮到鍵值的管理問題;唯一的要求是,無線網卡與基地台必須使用同樣的演算法則。通常區域網的每一個用戶都會使用同樣的加密鍵值;然而,區域網用戶會使用不同的IV,以避免封包總是使用同樣WEP鍵值所「隨機」產生的RC4內容。在封包送出之前,會經過一個「忠誠檢查(IC,IntegrityCheck)」,並產生一個驗證碼,其作用是避免數據在傳輸過程中,遭到黑客竄改。RC4接下來會從秘密鍵值與IV處,產生一個keystream,再用這個keystream對數據與IC做互斥運算(XOR,Exclusive-Or)。首先IV會以一般文字方式傳送出去,然後才是加密後的數據。只要將IV、已知的鍵值、以及RC4的keystream再做一次互斥運算,我們就可以將數據還原。弱點:初始向量(IV,InitializationVector)40或64位編碼可以填入4組鍵值;然而我們只使用了第一組。WEP編碼的弱點在於IV實作的基礎過於薄弱。例如說,如果黑客將兩個使用同樣IV的封包記錄起來,再施以互斥運算,就可以得到IV的值,然後算出RC4的值,最後得到整組數據。如果我們使用的初始向量為24位,那我們就可以在繁忙的網路點上(例如以11Mbps的頻寬,不斷傳送1500位元組的封包),以不到5小時的時間算出結果。以這樣的例子來說,總數據量為24GB。因此,要在幾小時的時間內,記錄所有傳輸的封包,並以筆記本計算機算出其結果,是絕對可行的事情。由於該標准並沒有規定IV所產生的相關事宜,所以並不是每家廠商都用到IV的24個位,並在短時間內就重復用到相同的IV,好讓整個程序快一點。所以黑客所要記錄的封包就更少了。以Lucent(朗訊)的無線網卡來說,每次激活時它就會將IV的初始值設為0,然後再往上遞增。黑客只要記錄無線網路上幾個用戶的數據內容,馬上就可以找到使用同樣IV的封包。Fluhrer、Martin、Shamir三人也發現,設計不良的IV有可能會泄漏鍵值的內容(信心水準為5%),所以說只要記錄400~600萬個封包(頂多8.5GB的數據量),就有可能以IV來算出所有的WEP鍵值。更進一步探討,如果WEP鍵值的組合不是從16進位表,而是從ASCII表而來,那麼因為可用的字元數變少,組合也會變少。那麼被黑客猜中的機率就會大增,只要一兩百萬個封包,就可以決定WEP的值。網路上可找到的入侵工具AdamStubblefield在其論文中詳盡的描述了整個過程,卻僅限於理論;但現在網路上四處可見這些免費的入侵工具程序。與Stubblefield所提的類似,所有程序支持的幾乎清一色是Prism-2晶元。使用這晶元的包括了Compaq(康柏)WL100、友訊(D-Link)DWL-650、LinksysWPC11、以及SMC2632W等,都是市面上常見的產品。會選用這晶元的原因是因為其Linux驅動程序(WLAN-NG)不需要登入網路,即可監聽封包。這程序會先搜尋設計不良、有漏洞的IV,然後記錄500~1,000萬不等的封包,最後在剎那間將WEP鍵值算出來。黑客可以採取主動式攻擊由於以上所說的被動式攻擊(單純的紀錄封包)十分可靠、有效,所以主動式攻擊反而失去了其重要性。不過毫無疑問的,黑客也可以主動的侵入網路,竊取數據。我們假設黑客知道了原始數據及加密後的數據,收訊方會將這些信息視為正確無誤。接下來黑客就可以在不需要知道鍵值的情形下,將數據偷天換日,而收訊方仍然會將這些數據當成正確的結果有效的解決方法RSASecurity(RC4編碼的發明機構)與Hifn(位於加州,專精於網路安全的公司,)正努力加強WEP的安全,並發展新的運演算法則。兩家機構為RC4發展的解決方案為「快速封包加密(FastPacketKeying)」,每個封包送出時,都會快速的產生不同的RC4鍵值。傳送與接收雙方都使用了128位的RC4鍵值,稱為暫時鍵值(TK,TemporalKey)。當雙方利用TK連結時,會使用不同的keystream,其中會加入16位的IV,再一次的產生128位的RC4鍵值。用戶可以通過軟硬體與驅動程序更新,在現有無線區域網中使用RC4快速封包加密。思科自行其道網路大廠Cisco(思科)則大幅改進其Aironet系列產品,不過這系列只能搭配自家產品使用。無線區域網安全的第一步應該是雙方面,而非單方面的。為了搭配其RadiusServer(AccessControlServer2000V2.6),思科還發展了LEAP通訊協議(,輕量可延伸授權通訊協議)。思科使用的是分享鍵值(shared-key)方法,以響應雙方的通訊要求。不可逆、單方向的雜湊鍵(hashkey)可以有效阻隔復制密碼式的攻擊。至於WEP鍵值,思科採取了動態的、每個用戶、每次通訊只用一次的WEP鍵值,由系統自行產生,系統管理者完全不需介入。每個通訊過程中,用戶都會收到獨一無二的WEP,而且不會跟其它人共享。在將WEP廣播送出之前,還會以LEAP加密一次,只有擁有相對應鍵值的人,才能存取信息。與AccessControlServer20002.6結合以後,就可以建立重復的認證模式。用戶會每隔一段時間為自己做認證,並在每次登錄時獲得一個新的鍵值。每次通訊時,IV都會被更改,黑客就無法使用這些信息,建立密碼表。最後,這些方法都不能提供萬無一失的防護,因為背後用的都還是IV與WEP加密機制;不過不斷變換的鍵值,的確能有效的遏止黑客攻擊,讓使用密碼表的作法失敗。如果鍵值更換的速度夠頻繁,黑客所記錄的封包就無法提供足夠的破解信息,你的無線區域網就會比較安全。
㈣ 網路安全試題及答案
第一章 網路安全概述
【單選題】
1.計算機網路的安全是指( )
A、網路中設備設置環境的安全
B、網路使用者的安全
C、網路中信息的安全
D、網路的財產安全
正確答案: C 我的答案:C
2.黑客搭線竊聽屬於( )風險。
A、信息存儲安全信息
B、信息傳輸安全
C、信息訪問安全
D、以上都不正確
正確答案: B 我的答案:B
3.為了保證計算機信息安全,通常使用( ),以使計算機只允許用戶在輸入正確的保密信息時進入系統。
A、口令
B、命令
C、密碼
D、密鑰
正確答案: A 我的答案:C
4.對企業網路最大的威脅是()。
A、黑客攻擊
B、外國政府
C、競爭對手
D、內部員工的惡意攻擊
正確答案: D 我的答案:D
5.信息不泄露給非授權的用戶、實體或過程,指的是信息( )特性。
A、保密性
B、完整性
C、可用性
D、可控性
正確答案: A 我的答案:A
6.信息安全就是要防止非法攻擊和病毒的傳播,保障電子信息的有效性,從具體意義上理解,需要保證以下( )。
Ⅰ.保密性 Ⅱ.完整性 Ⅲ.可用性 Ⅳ.可控性 Ⅴ.不可否認性
A、Ⅰ、Ⅱ和Ⅳ B
B、Ⅱ和Ⅲ C
C、Ⅱ、Ⅲ和Ⅳ D
D、都是
正確答案: D 我的答案:D
7.信息風險主要指( )
A、信息存儲安全
B、信息傳輸安全
C、信息訪問安全
D、以上都正確
正確答案: D 我的答案:D
8.( )不是信息失真的原因
A、信源提供的信息不完全、不準確
B、信息在編碼、解碼和傳遞過程中受到干擾
C、信宿(信箱)接受信息出現偏差
D、信箱在理解上的偏差
正確答案: D 我的答案:A
9.以下( )不是保證網路安全的要素
A、信息的保密性
B、發送信息的不可否認性
C、數據交換的完整性
D、數據存儲的唯一性
正確答案: D 我的答案:B
第二章 黑客常用系統攻擊方法1
【單選題】
1.網路攻擊的發展趨勢是( )
A、黑客攻擊與網路病毒日益融合
B、攻擊工具日益先進
C、病毒攻擊
D、黑客攻擊
正確答案: A 我的答案:A
2.拒絕服務攻擊( )
A、A.用超過被攻擊目標處理能力的海量數據包消耗可用系統、帶寬資源等方法的攻擊
B、全程是Distributed Denial Of Service
C、拒絕來自一個伺服器所發送回應請求的指令
D、入侵控制一個伺服器後遠程關機
正確答案: A 我的答案:A
3.區域網中如果某台計算機受到了ARP欺騙,那麼它發出去的數據包中,( )地址是錯誤的
A、源IP地址
B、目標IP地址
C、源MAC地址
D、目標MAC地址
正確答案: D 我的答案:A
4.在網路攻擊活動中,Tribal Flood Netw(TFN)是( )類的攻擊程序
A、拒絕服務
B、字典攻擊
C、網路監聽
D、病毒程序
正確答案: A 我的答案:A
5.HTTP默認埠號為( )
A、21
B、80
C、8080
D、23
正確答案: B 我的答案:B
6.DDOS攻擊破壞了( )
A、可用性
B、保密性
C、完整性
D、真實性
正確答案: A 我的答案:A
7.漏洞評估產品在選擇時應注意( )
A、是否具有針對網路、主機和資料庫漏洞的檢測功能
B、產品的掃描能力
C、產品的評估能力
D、產品的漏洞修復能力
E、以上都不正確
正確答案: E 我的答案:A
第二章 黑客常用系統攻擊方法2
【單選題】
1.關於「攻擊工具日益先進,攻擊者需要的技能日趨下降」的觀點不正確的是( )
A、網路受到的攻擊的可能性越來越大
B、.網路受到的攻擊的可能性將越來越小
C、網路攻擊無處不在
D、網路風險日益嚴重
正確答案: B
2.在程序編寫上防範緩沖區溢出攻擊的方法有( )
Ⅰ.編寫正確、安全的代碼 Ⅱ.程序指針完整性檢測
Ⅲ.數組邊界檢查 Ⅳ.使用應用程序保護軟體
A、 Ⅰ、Ⅱ和Ⅳ
B、 Ⅰ、Ⅱ和Ⅲ
C、 Ⅱ和Ⅲ
D、都是
正確答案: B
3.HTTP默認埠號為( )
A、21
B、80
C、8080
D、23
正確答案: B
4.信息不泄露給非授權的用戶、實體或過程,指的是信息( )特性。
A、保密性
B、完整性
C、可用性
D、可控性
正確答案: A
5.為了避免冒名發送數據或發送後不承認的情況出現,可以採取的辦法是( )
A、數字水印
B、數字簽名
C、訪問控制
D、發電子郵箱確認
正確答案: B
6.在建立網站的目錄結構時,最好的做法是( )。
A、將所有文件最好都放在根目錄下
B、目錄層次選在3到5層
C、按欄目內容建立子目錄
D、最好使用中文目錄
正確答案: C
【判斷題】
7.冒充信件回復、冒名Yahoo發信、下載電子賀卡同意書,使用的是叫做「字典攻擊」的方法
正確答案:×
8當伺服器遭受到DoS攻擊的時候,只需要重新啟動系統就可以阻止攻擊。
正確答案:×
9.一般情況下,採用Port scan可以比較快速地了解某台主機上提供了哪些網路服務。
正確答案:×
10.Dos攻擊不但能使目標主機停止服務,還能入侵系統,打開後門,得到想要的資料。
正確答案:×
11.社會工程攻擊目前不容忽視,面對社會工程攻擊,最好的方法使對員工進行全面的教育。
正確答案:√
第三章 計算機病毒1
【單選題】
1.每一種病毒體含有的特徵位元組串對被檢測的對象進行掃描,如果發現特徵位元組串,就表明發現了該特徵串所代表的病毒,這種病毒而檢測方法叫做( )。
A、比較法
B、特徵字的識別法
C、搜索法
D、分析法
E、掃描法
正確答案: B 我的答案:E
2.( )病毒式定期發作的,可以設置Flash ROM 寫狀態來避免病毒破壞ROM。
A、Melissa
B、CIH
C、I love you
D、蠕蟲
正確答案: B 我的答案:D
3.以下( )不是殺毒軟體
A、瑞星
B、Word
C、Norton AntiVirus
D、金山毒霸
正確答案: B 我的答案:B
4.效率最高、最保險的殺毒方式( )。
A、手動殺毒
B、自動殺毒
C、殺毒軟體
D、磁碟格式化
正確答案: D 我的答案:D
【多選題】
5.計算機病毒的傳播方式有( )。
A、通過共享資源傳播
B、通過網頁惡意腳本傳播
C、通過網路文件傳輸傳播
D、通過電子郵件傳播
正確答案: ABCD 我的答案:ABCD
6.計算機病毒按其表現性質可分為( )
A、良性的
B、惡性的
C、隨機的
D、定時的
正確答案: AB 我的答案:ABCD
【判斷題】
7.木馬與傳統病毒不同的是:木馬不自我復制。( )
正確答案:√ 我的答案:√
8.在OUTLOOKEXPRESS 中僅預覽郵件的內容而不打開郵件的附件不會中毒的。( )
正確答案:× 我的答案:×
9.文本文件不會感染宏病毒。( )
正確答案:× 我的答案:√
10.按照計算機病毒的傳播媒介來分類,可分為單機病毒和網路病毒。( )
正確答案:√ 我的答案:√
11.世界上第一個攻擊硬體的病毒是CIH.( )
正確答案:√ 我的答案:√
第三章 計算機病毒2
【單選題】
1.計算機病毒的特徵( )。
A、隱蔽性
B、潛伏性、傳染性
C、破壞性
D、可觸發性
E、以上都正確
正確答案: E 我的答案:E
2.每一種病毒體含有的特徵位元組串對被檢測的對象進行掃描,如果發現特徵位元組串,就表明發現了該特徵串所代表的病毒,這種病毒而檢測方法叫做( )。
A、比較法
B、特徵字的識別法
C、搜索法
D、分析法
E、掃描法
正確答案: B 我的答案:B
3.下列敘述中正確的是( )。
A、計算機病毒只感染可執行文件
B、計算機病毒只感染文本文件
C、計算機病毒只能通過軟體復制的方式進行傳播
D、計算機病毒可以通過讀寫磁碟或網路等方式進行傳播
正確答案: D 我的答案:D
4.計算機病毒的破壞方式包括( )。
A、刪除修改文件類
B、搶占系統資源類
C、非法訪問系統進程類
D、破壞操作系統類
正確答案: ABCD 我的答案:ABCD
【判斷題】
5.只是從被感染磁碟上復制文件到硬碟上並不運行其中的可執行文件不會是系統感染病毒。( )
正確答案:× 我的答案:×
6.將文件的屬性設為只讀不可以保護其不被病毒感染.( )
正確答案:× 我的答案:×
7.重新格式化硬碟可以清楚所有病毒。( )
正確答案:× 我的答案:√
8. GIF和JPG格式的文件不會感染病毒。( )
正確答案:× 我的答案:×
9.蠕蟲病毒是指一個程序(或一組程序),會自我復制、傳播到其他計算機系統中去( )。
正確答案:√ 我的答案:√
第四章 數據加密技術1
【單選題】
1.可以認為數據的加密和解密是對數據進行的某種交換,加密和解密的過程都是在( )的控制下進行的
A、名文
B、密文
C、信息
D、密鑰
正確答案: D 我的答案:D
2.為了避免冒名發送數據或發送後不承認的情況出現,可以採取的辦法是( )
A、數字水印
B、數字簽名
C、訪問控制
D、發電子郵箱確認
正確答案: B 我的答案:B
3.以下關於加密說法正確的是( )
A、加密包括對稱加密和非對稱加密兩種
B、信息隱蔽式加密的一種方法
C、如果沒有信息加密的密鑰,只要知道加密程序的細節就可以對信息進行解密
D、密鑰的位數越多,信息的安全性越高
正確答案: D 我的答案:A
4.( )是網路通信中標志通信各方身份信息的一系列數據,提供一種在INTERNER上驗證身份的方式。
A、數字認證
B、數字證書
C、電子認證
D、電子證書
正確答案: B 我的答案:B
5.數字證書採用公鑰體制時,每個用戶設定一把公鑰,由本人公開,用其進行( )
A、加密和驗證簽名
B、解密和簽名
C、加密
D、解密
正確答案: A 我的答案:A
第四章 數據加密技術2
【單選題】
1.在公開密鑰體制中,加密密鑰即( )
A、解密密鑰
B、私密密鑰
C、公開密鑰
D、私有密鑰
正確答案: C 我的答案:C
2.Set協議又稱為( )
A、安全套協議層協議
B、安全電子交易協議
C、信息傳輸安全協議
D、網上購物協議
正確答案: B 我的答案:B
3.數字簽名為保證其不可更改性,雙方約定使用( )
A、Hash演算法
B、RSA演算法
C、CAP演算法
D、ACR演算法
正確答案: B 我的答案:A
4.安全套接層協議時( )。
A、SET
B、S-HTTP
C、HTTP
D、SSL
正確答案: D 我的答案:D
第五章 防火牆技術1
【單選題】
1.為確保企業管理區域網的信息安全,防止來自Internet的黑客入侵,採用( )可以實現一定的防範作用。
A、網路管理軟體
B、郵件列表
C、防火牆
D、防病毒軟體
正確答案: C
2.防火牆採用的最簡單的技術是( )。
A、安裝保護卡
B、隔離
C、包過濾
D、設置進入密碼
正確答案: C
3.下列關於防火牆的說法正確的是( )。
A、防火牆的安全性能是根據系統安全的要求而設置的
B、防火牆的安全性能是一致的,一般沒有級別之分
C、防火牆不能把內部網路隔離為可信任網路
D、一個防火牆只能用來對兩個網路之間的互相訪問實行強制性管理的安全系統
正確答案: A
4.( )不是防火牆的功能。
A、過濾進出網路的數據包
B、保護存儲數據安全
C、封堵某些禁止的訪問行為
D、記錄通過防火牆的信息內容和活動
正確答案: B
5.( )不是專門的防火牆產品。
A、ISA server 2004
B、Cisco router
C、Topsec 網路衛士
D、check point防火牆
正確答案: B
6.有一個主機專門被用做內部網路和外部網路的分界線。該主機里插有兩塊網卡,分別連接到兩個網路。防火牆裡面的系統可以與這台主機進行通信,防火牆外面的系統(Internet上的系統)也可以與這台主機進行通信,但防火牆兩邊的系統之間不能直接進行通信,這是( )的防火牆。
A、屏蔽主機式體系結構
B、篩選路由式體系結構
C、雙網主機式體系結構
D、屏蔽子網式體系結構
正確答案: A
7.對新建的應用連接,狀態檢測檢查預先設置的安全規則,允許符合規則的連接通過,並在內存中記錄下該連接的相關信息,生成狀態表。對該連接的後續數據包,只要符合狀態表,就可以通過。這種防火牆技術稱為( )。
A、包過濾技術
B、狀態檢測技術
C、代理服務技術
D、以上都不正確
正確答案: B
8.防火牆的作用包括( )。(多選題)
A、提高計算機系統總體的安全性
B、提高網路速度
C、控制對網點系統的訪問
D、數據加密
正確答案: AC
第五章 防火牆技術2
【單選題】
1.防火牆技術可以分為( )等三大類。
A、包過濾、入侵檢測和數據加密
B、包過濾、入侵檢測和應用代理
C、包過濾、應用代理和入侵檢測
D、包過濾、狀態檢測和應用代理
正確答案: D
2.防火牆系統通常由( )組成。
A、殺病毒卡和殺毒軟體
B、代理伺服器和入侵檢測系統
C、過濾路由器和入侵檢測系統
D、過濾路由器和代理伺服器
正確答案: D
3.防火牆防止不希望的、未經授權的通信進出被保護的內部網路,是一種( )網路安全措施。
A、被動的
B、主動的
C、能夠防止內部犯罪的
D、能夠解決所有問題的
正確答案: A
4.防火牆是建立在內外網路邊界上的一類安全保護機制,其安全架構基於( )。
A、流量控制技術
B、加密技術
C、信息流填充技術
D、訪問控制技術
正確答案: D
5.一般作為代理伺服器的堡壘主機上裝有( )。
A、一塊網卡且有一個IP地址
B、兩個網卡且有兩個不同的IP地址
C、兩個網卡且有相同的IP地址
D、多個網卡且動態獲得IP地址
正確答案: A
6.代理伺服器上運行的是( )
A、代理伺服器軟體
B、網路操作系統
C、資料庫管理系統
D、應用軟體
正確答案: A
7.在ISO OSI/RM中隊網路安全服務所屬的協議層次進行分析,要求每個協議層都能提供網路安全服務。其中,用戶身份認證在( )進行。
A、網路層
B、會話層
C、物理層
D、應用層
正確答案: D
8.在ISO OSI/RM中隊網路安全服務所屬的協議層次進行分析,要求每個協議層都能提供網路安全服務。其中,IP過濾型防火牆在( )通過控制網路邊界的信息流動來強化內部網路的安全性。
A、網路層
B、會話層
C、物理層
D、應用層
正確答案: A
第六章 Windows Server的安全1
【單選題】
1.WindowServer2003系統的安全日誌通過( )設置。
A、事件查看器
B、伺服器管理器
C、本地安全策略
D、網路適配器
正確答案: C
2. 用戶匿名登錄主機時,用戶名為( )。
A、guest
B、OK
C、Admin
D、Anonymous
正確答案: D
3.為了保證計算機信息安全,通常使用( ),以使計算機只允許用戶在輸入正確的保密信息時進入系統。
A、口令
B、命令
C、密碼
D、密鑰
正確答案: C
【多選題】
4.( )是Windows Server2003伺服器系統自帶的遠程管理系統。(多選題)
A、Telnet services
B、Terminalservices
C、PC anywhere
D、IPC
正確答案: ABD
5.1、 Windows Server2003伺服器採取的安全措施包括( )。(多選題)
A、使用NTFS格式的磁碟分區
B、及時對操作系統使用補丁程序堵塞安全漏洞
C、實行強有力的安全管理策略
D、藉助防火牆對伺服器提供保護
E、關閉不需要的伺服器組件
正確答案: ABCDE
第六章 Windows Server的安全2
【單選題】
1.( )不是Windows 的共享訪問許可權。
A、只讀
B、完全控制
C、更改
D、讀取及執行
正確答案: D
2.WindowsServer2003的注冊表根鍵( )是確定不同文件後綴的文件類型。
A、HKEY_CLASSES_ROOT
B、HKEY_USER
C、HKEY_LOCAL_MACHINE
D、HKEY_SYSTEM
正確答案: A
3.為了保證Windows Server2003伺服器不被攻擊者非法啟動,管理員應該採取( )措施.
A、備份注冊表
B、利用SYSKEY
C、使用加密設備
D、審計注冊表的用戶許可權
正確答案: B
【多選題】
4.( )可以啟動Windows Server2003的注冊編輯器。(多選題)
A、REGERDIT.EXE
B、DFVIEW.EXE
C、FDISK.EXE
D、REGISTRY.EXE
E、REGEDT32.EXE
正確答案: AE
5.有些病毒為了在計算機啟動的時候自動載入,可以更改注冊表,()鍵值更改注冊表自帶載入項。(多選題)
A、HKLM\software\microsoft\windows\currentversion\run
B、HKLM\software\microsoft\windows\currentversion\runonce
C、HKLM\software\microsoft\windows\currentversion\runservices
D、HKLM\software\microsoft\windows\currentversion\runservicesonce
正確答案: ABCD
6.在保證密碼安全中,應該採取的正確措施有( )。(多選題)
A、不用生日密碼
B、不使用少於5位數的密碼
C、不用純數字
D、將密碼設的很復雜並在20位以上
正確答案: ABC
㈤ 網路安全問題有哪些
(1)操作系統沒有進行相關的安全配置
不管使用的是哪一種操作系統,安裝不完全的情況下都會存在一些安全問題,只有專門針對操作系統安全性進行相關的和嚴格的安全配置,才能達到一定的安全程度。千萬不要以為操作系統預設安裝後,只要自己設置的密碼很強就沒有問題。網路軟體的漏洞和「後門」是進行網路攻擊的首選目標。
(2)沒有進行CGI程序代碼審計
如果是通用的CGI問題,防範起來還稍微容易一些,但是對於網站或軟體供應商專門開發的一些CGI程序,很多存在嚴重的CGI問題,對於電子商務站點來說,會出現惡意攻擊者冒用他人賬號進行網上購物等嚴重後果。
(3)拒絕服務(DoS,DenialofService)攻擊
現在的網站對於實時性的要求是越來越高,DoS或DDoS對網站的威脅越來越大。如果一個網路攻擊是以網路癱瘓為目標的,那麼它的襲擊效果是很強烈的,破壞性很大,造成危害的速度和范圍也是我們預料不到的,而襲擊者本身的風險卻非常小,甚至可以在襲擊開始前就已經消失得無影無蹤。
(4)安全產品使用不當
雖然很多網站都採用了基本的網路安全設備,但由於安全產品本身的問題或使用問題,這些產品並沒有發揮到應有的作用。很多安全廠商的產品對配置人員的技術要求很高,就算是廠家在最初給用戶做了正確的安裝、配置,但一旦系統改動,需要改動相關安全產品的設置時,很容易產生許多安全問題。
(5)缺少嚴格的網路安全管理制度
網路安全最重要的還是要有相應的制度去保障,建立和實施嚴密的計算機網路安全制度與策略是真正實現網路安全的基礎。
㈥ 無線網路的網路安全
無線網路安全並不是一個獨立的問題,企業需要認識到應該在幾條戰線上對付攻擊者,但有許多威脅是無線網路所獨有的,這包括:
1、插入攻擊:插入攻擊以部署非授權的設備或創建新的無線網路為基礎,這種部署或創建往往沒有經過安全過程或安全檢查。可對接入點進行配置,要求客戶端接入時輸入口令。如果沒有口令,入侵者就可以通過啟用一個無線客戶端與接入點通信,從而連接到內部網路。但有些接入點要求的所有客戶端的訪問口令竟然完全相同。這是很危險的。
2、漫遊攻擊者:攻擊者沒有必要在物理上位於企業建築物內部,他們可以使用網路掃描器,如Netstumbler等工具。可以在移動的交通工具上用筆記本電腦或其它移動設備嗅探出無線網路,這種活動稱為「wardriving 」 ; 走在大街上或通過企業網站執行同樣的任務,這稱為「warwalking」。
3、欺詐性接入點:所謂欺詐性接入點是指在未獲得無線網路所有者的許可或知曉的情況下,就設置或存在的接入點。一些雇員有時安裝欺詐性接入點,其目的是為了避開公司已安裝的安全手段,創建隱蔽的無線網路。這種秘密網路雖然基本上無害,但它卻可以構造出一個無保護措施的網路,並進而充當了入侵者進入企業網路的開放門戶。
4、雙面惡魔攻擊:這種攻擊有時也被稱為「無線釣魚」,雙面惡魔其實就是一個以鄰近的網路名稱隱藏起來的欺詐性接入點。雙面惡魔等待著一些盲目信任的用戶進入錯誤的接入點,然後竊取個別網路的數據或攻擊計算機。
5、竊取網路資源:有些用戶喜歡從鄰近的無線網路訪問互聯網,即使他們沒有什麼惡意企圖,但仍會佔用大量的網路帶寬,嚴重影響網路性能。而更多的不速之客會利用這種連接從公司范圍內發送郵件,或下載盜版內容,這會產生一些法律問題。
6、對無線通信的劫持和監視:正如在有線網路中一樣,劫持和監視通過無線網路的網路通信是完全可能的。它包括兩種情況,一是無線數據包分析,即熟練的攻擊者用類似於有線網路的技術捕獲無線通信。其中有許多工具可以捕獲連接會話的最初部分,而其數據一般會包含用戶名和口令。攻擊者然後就可以用所捕獲的信息來冒稱一個合法用戶,並劫持用戶會話和執行一些非授權的命令等。第二種情況是廣播包監視,這種監視依賴於集線器,所以很少見。
當然,還有其它一些威脅,如客戶端對客戶端的攻擊(包括拒絕服務攻擊)、干擾、對加密系統的攻擊、錯誤的配置等,這都屬於可給無線網路帶來風險的因素。
企業無線網路所面臨的安全威脅
(1)加密密文頻繁被破早已不再安全:
曾幾何時無線通訊最牢靠的安全方式就是針對無線通訊數據進行加密,加密方式種類也很多,從最基本的WEP加密到WPA加密。然而這些加密方式被陸續破解,首先是WEP加密技術被黑客在幾分鍾內破解;繼而在11月國外研究員將WPA加密方式中TKIP演算法逆向還原出明文。
WEP與WPA加密都被破解,這樣就使得無線通訊只能夠通過自己建立Radius驗證伺服器或使用WPA2來提高通訊安全了。不過WPA2並不是所有設備都支持的。
(2)無線數據sniffer讓無線通訊毫無隱私:
另一個讓用戶最不放心的就是由於無線通訊的靈活性,只要有信號的地方入侵者就一定可以通過專業無線數據sniffer類工具嗅探出無線通訊數據包的內容,不管是加密的還是沒有加密的,藉助其他手段都可以查看到具體的通訊數據內容。像隱藏SSID信息,修改信號發射頻段等方法在無線數據sniffer工具面前都無濟於事。
然而從根本上杜絕無線sniffer又不太現實,畢竟信號覆蓋范圍廣泛是無線網路的一大特色。所以說無線數據sniffer讓無線通訊毫無隱私是其先天不安全的一個主要體現。
(3)修改MAC地址讓過濾功能形同虛設:
雖然無線網路應用方面提供了諸如MAC地址過濾的功能,很多用戶也確實使用該功能保護無線網路安全,但是由於MAC地址是可以隨意修改的,通過注冊表或網卡屬性都可以偽造MAC地址信息。所以當通過無線數據sniffer工具查找到有訪問許可權MAC地址通訊信息後,就可以將非法入侵主機的MAC地址進行偽造,從而讓MAC地址過濾功能形同虛設。 要訣一
採用強力的密碼。正如我在文中所指出,一個足夠強大的密碼可以讓暴力破解成為不可能實現的情況。相反的,如果密碼強度不夠,幾乎可以肯定會讓你的系統受到損害。
使用十個字元以上的密碼——即便是比較新的加密方案,如WPA2,也可以被那些自動套取密碼的進程攻克。不見得要用長而難記的密碼,大可以使用一些表達,如「makemywirelessnetworksecure」等取代原來較短的密碼。或者使用更為復雜的密碼,如「w1f1p4ss」。這類密碼更具安全性。
在密碼中,添加數字,特殊符號和大小寫字母——復雜的密碼增加了字元數,這樣便會增加密碼破解的難度。例如,如果你的密碼包含四個位元組,但你僅使用了數字,那麼可能的密碼就是10的四次方,即10000個。如果你只使用小寫字母,那麼密碼的可能性達到36的四次方。這樣就迫使攻擊者測試巨大數量的密碼,從而增加他解密的時間。
要訣二
嚴禁廣播服務集合標識符(SSID)。如果不能對服務集合標識符也就是你給無線網路的命名進行保護的話,會帶來嚴重的安全隱患。對無線路由器進行配置,禁止服務集合標識符的廣播,盡管不能帶來真正的安全,但至少可以減輕受到的威脅,因為很多初級的惡意攻擊都是採用掃描的方式尋找那些有漏洞的系統。隱藏了服務集合標識符,這種可能就大大降低了。大多數商業級路由器/防火牆設備都提供相關的功能設置。
不要使用標準的SSID——許多無線路由器都自帶默認的無線網路名稱,也就是我們所知道的SSID,如「netgear」或「linksys」,大多數用戶都不會想到要對這些名稱進行更改。 WPA2加密將這一SSID作為密碼的一部分來使用。不對其進行更改意味著允許駭客使用密碼查詢列表,而這樣無疑會加速密碼破解的進程,甚至可以讓他們測試密碼的速度達到每秒幾百萬個。使用自定義的SSID則增大了不法分子破壞無線網路的難度。
要訣三
採用有效的無線加密方式。動態有線等效保密(WEP)並不是效果很好的加密方式。只要使用象aircrack一樣免費工具,就可以在短短的幾分鍾里找出動態有線等效保密模式加密過的無線網路中的漏洞。無線網路保護訪問(WPA)是通用的加密標准,你很可能已經使用了。當然,如果有可能的話,你應該選擇使用一些更強大有效的方式。畢竟,加密和解密的斗爭是無時無刻不在進行的。
使用WPA2加密——舊的安全選項,如WEP可被瞬間破解且無需特殊設備或是技巧。只需使用瀏覽器插件或是手機應用即可。WPA2是最新的安全運演算法則,它貫徹到了整個無線系統,可以從配置屏幕中進行選取。
要訣四
可能的話,採用不同類型的加密。不要僅僅依靠無線加密手段來保證無線網路的整體安全。不同類型的加密可以在系統層面上提高安全的可靠性。舉例來說,OpenSSH就是一個不錯的選擇,可以為在同一網路內的系統提供安全通訊,即使需要經過網際網路也沒有問題。採用加密技術來保護無線網路中的所有通訊數據不被竊取是非常重要的,就象採用了SSL加密技術的電子商務網站一樣。實際上,如果沒有確實必要的話,盡量不要更換加密方式。
要訣五
對介質訪問控制(MAC)地址進行控制。很多人會告訴你,介質訪問控制(MAC)地址的限制不會提供真正的保護。但是,象隱藏無線網路的服務集合標識符、限制介質訪問控制(MAC)地址對網路的訪問,是可以確保網路不會被初級的惡意攻擊者騷擾的。對於整個系統來說,針對從專家到新手的各種攻擊進行全面防護,以保證系統安全的無懈可擊是非常重要的。
要訣六
在網路不使用的時間,將其關閉。這個建議的採用與否,取決於網路的具體情況。如果你並不是需要一天二十四小時每周七天都使用網路,那就可以採用這個措施。畢竟,在網路關閉的時間,安全性是最高的,沒人能夠連接不存在的網路。
要訣七
關閉無線網路介面。如果你使用筆記本電腦之類的移動終端的話,應該將無線網路介面在默認情況下給予關閉。只有確實需要連接到一個無線網路的時間才打開相關的功能。其餘的時間,關閉的無線網路介面讓你不會成為惡意攻擊的目標。
調節無線信號的覆蓋范圍——數據機的接入點具備多個天線和傳輸功率,所以,用戶可以調節信號的覆蓋范圍。有些產品可以讓我們通過菜單選項來調節傳輸功率。這樣就限制了別人能獲取你的無線信號的范圍,從而可以避免其損壞你的網路。
要訣八
對網路入侵者進行監控。對於網路安全的狀況,必須保持全面關注。你需要對攻擊的發展趨勢進行跟蹤,了解惡意工具是怎麼連接到網路上的,怎麼做可以提供更好的安全保護。你還需要對日誌里掃描和訪問的企圖等相關信息進行分析,找出其中有用的部分,並且確保在真正的異常情況出現的時間可以給予及時的通知。畢竟,眾所周知最危險的時間就是事情進行到一半的時間。
要訣九
確保核心的安全。在你離開的時間,務必確保無線路由器或連接到無線網路上正在使用的筆記本電腦上運行了有效的防火牆。還要注意的是,請務必關閉不必要的服務,特別是在微軟Windows操作系統下不需要的服務,因為在默認情況下它們活動的後果可能會出乎意料。實際上,你要做的是盡一切可能確保整個系統的安全。
要訣十
不要在無效的安全措施上浪費時間。我經常遇到一些不太了解技術的用戶對安全措施的疑問,他們被有關安全的免費咨詢所困擾。一般來說,這方面的咨詢,不僅只是無用的,而且往往是徹頭徹尾有害的。我們最經常看到的有害的建議就是,在類似咖啡館的公共無線網路環境中進行連接的時間,你應該只選擇採用無線加密的連接。有時,人們對建議往往就理解一半,結果就成為了你應該只連接到帶無線網路保護訪問模式(WPA)保護的無線網路上。實際上,使用了加密功能的公共接入點並不會給你帶來額外的安全,因為,網路會向任何發出申請的終端發送密鑰。這就象把房子的門給鎖了起來,但是在門上寫著「鑰匙在歡迎的墊子下面」。如果你希望將無線網路提供給大家,任何人都可以隨便訪問,加密是不需要。實際上對無線網路來說,加密更象是一種威懾。只有使用特定的無線網路,才會在降低方便性的情況下,提高安全性。
要訣十一
改變無線路由口令。為無線路由的互聯網訪問設置一個口令至關重要,一個強口令有助於無線網路的安全,但不要使用原始無線路由器的默認口令,建議更改較為復雜的口令避免簡單被攻破。
對於無線網路安全來說,大部分的要訣可以說就是「普通常識」 。但可怕的是,「普通常識」 是如此之多,以至於不能在同時給予全面考慮。因此,你應該經常對無線網路和移動電腦進行檢查,以保證沒有漏掉一些重要的部分,並且確保關注的是有效的而不是不必要甚至是完全無效的安全措施。
㈦ 網路安全容易學么
給你個文件就知道了。
實驗一 交換機功能及配置
一、 交換機的聯接
1、 使用普通埠聯接(不可取,嚴重影響網速)
有一個48口交換機,普通埠100Mbps,兩個高速埠,為1000Mbps,背板帶寬為:
(48*100+2*1000)*2Mbps=13.2Gbps --à13.2Gbps
2、級聯
3、堆疊(最優聯接方法)
二、交換機的性能指標:
1、 支持的MAC地址數目
2、 背板帶寬
3、 包轉發率
4、 支持的協議
SNMP(簡單網路管理協議),IEEE802.11(無線),IEEE802.1q(VLAN)
三、交換機配置的幾種模式:
1. 用戶模式(switch>)
2.特權模式(switch#) switch>enable (ena)
3.全局配置模式( (config)#) switch#config terminal (config t)
(1)介面配置模式 (config)#interface fa 0/1
啟用介面:no shutdown 使能
(2)線路配置模式(config)#line vty 10 00-15
Exit end
Ip address
三、交換機的初始配置及console埠配置:
1.帶外管理
適用范圍:
聯線方法:
使用:超級終端
Usb-à串口
2. 帶內管理
聯線方法:
三種方法登錄。(telnet、http、廠家專用網管軟體)
3.交換機的初始配置
Switch>ena
Switch#Setup(更改交換名字、三個密碼、vlan1的IP地址、保存返回)
帶外管理配置交換機
流程:
結束
共享式乙太網特徵::中心結點是集線器這是共享式乙太網。(物理上是星狀,邏輯上是匯流排拓撲結構),每一結點共享帶寬。
交換式乙太網特徵:(中心結點是交換機)
交換機帶寬為30Mbps,每一個結點的帶寬為:30Mbps
1、獨享帶寬
2、能夠為多對結點同時建立並發聯接
3、並行性
註:集線器收到數據幀一定會向所有埠轉發。(因為集線器工作物理層,相當於一條線)
交換機在以下兩種情況下會向所有埠轉發數據幀:
1、 目標地址為全1時(廣播地址)
2、 埠-MAC地址映射表還沒有內容時。(即查不到目的MAC地址時)。
PDU:是指協議數據單元。
ARP:地址解析協議,實現從IP地址到MAC地址的映射。 IP--àMAC
查看計算機中的ARP緩存: Arp -a
刪除計算機中的ARP緩存:arp -d
查看路由路的ARP解析緩存 Show arp
查看路由路的IP路由 Show ip route
查看路由路的介面配置 Show int
查看交換機的埠-MAC地址映射表:Show mac-address-table
刪除交換機的埠-MAC地址映射表:Clea mac-address-table
1、交換機的地址學習功能和轉發/過濾決策
埠-MAC地址映射表
設備名
MAC地址
埠號
PC0
00e006123456
Fa0/1
內存(ram)
PC0向交換機發送了一個 幀 :包含目標MAC地址、源MAC地址
掌握兩類幀:
假設主機PC1去ping主機pc1,使用的PDU是icmp格式的幀,由於PC1第一次與PC2通信,還不知道PC2的MAC地址,無法組裝ICMP幀。(此時模擬器中的紫色幀無法發出,查看這個ICMP幀發現,沒有源MAC地址)
為了獲得PC2的MAC地址,PC1發出了一個ARP請求(綠色的幀,查看幀結構發現,其目標MAC地址是全1,即向所有結點廣播,查詢192.168.1.2的MAC地址)
ARP幀到達交換機時,交換機學習到了PC1的信息,可以在交換機中用SHOW驗證。
交換機向所有結點查詢:192.168.1.2的MAC地址,PC2收到後回復交換機一個ARP幀,交換機學習到了PC2的信息。交換機向PC1回復一個ARP信息,PC1記下192.168.1.2對應的MAC地址在ARP緩存中。(可以用arp –a驗證)
問題關鍵:
1、 PC1、PC2中的各個幀中的目的MAC地址、源MAC地址(幀結構)。
2、 不同階段的PC1、PC2中的ARP緩存內容。
Arp –a arp -d
3、 不同階段的交換機中的埠-MAC地址映射表。
Show mac-address-table 查看埠-MAC地址映射表
Clea mac-address-table 清除埠-MAC地址映射表
2、地址學習與轉發/過濾決策
思考練習題:
1、 剛開機時,
PC1的ARP緩存內容:no
PC2的ARP緩存內容:no
交換機內容:no
2、 工作在模擬模式,pc1向pc2 發送ping, 當PC1發出的arp包到達交換機時,
交換機內容:
Arp幀的結構:
3、 當PC1發出的arp包到達pc2時,
PC2的ARP緩存內容:
回復Arp幀的結構:
4、 當PC2發出的回復ARP包到達交換機時
交換機內容:
回復Arp幀的結構:
5、 當回復的ARP包到達PC1時,
PC1的ARP緩存內容:
6、 當PC1發送的ICMP幀到達交換機時,
交換機這時候該干什麼?
7、 ICMP幀到達PC2時,
觀察進出PC2的兩個ICMP幀有什麼不同?
當PC2發出的回應ICMP幀經交換機到達PC1後,整個PING過程完成。
8、 實驗中,ARP幀起到了什麼作用?(提示:有兩個作用)。
9、 不使用ARP幀,直接由PC1向PC2發出ICMP幀可以嗎?
實驗二:三層交換實驗(單個路由器)
接入路由器:
1、支持slip(串列線路網際協議、用於普通modem撥號上網)協議
2、ppp協議(點對點協議)
路由器實驗:(三層交換實驗)
1、 搭建網路(如圖)
2、 配置
S0交換機網段為:192.168.1.0/24 網關為:192.168.1.254/24
S1交換機網段為:192.168.2.0/24 網關為:192.168.2.254/24
(注意:交換機初始配置中介面IP不能與各PC的IP地址重合)
Router1的fa0/0的IP為:192.168.1.254/24
(ip address 192.168.1.254 255.255.255.0)
No shutdown開啟埠
查看路由路IP show ip route
查看路由路埠 show int
查看路由路的ARP解析緩存 Show arp
Router1的fa0/1的IP為:192.168.2.254/24
No shutdown開啟埠
Write 保存
路由器直接相連的路徑,是直連路由,不需要配置,路由器自動識別。
3、 在模擬狀態下,pc1向pc1發送ping數據, 分析過程:
(過濾:只允許icmp和arp幀通過。)
實驗三:網路常用的檢測命令(八個命令)
一、 Ipconfig
1、 ipconfig 查看TCP/IP的基本配置。
(可以看到什麼?)
2、 ipconfig /all 查看TCP/IP的完整配置
DHCP:動態主機分配協議,DHCP伺服器為網路終端分配IP地址。
DNS:域名伺服器。網址(域名)與IP的映射
域名-----àip地址-----------àMAC地址
DNS(域名解析)arp(地址解析)
RARP(反向地址解析)
3、 ipconfig /renew 從dhcp伺服器重新獲取一個新的ip地址。
4、 ipconfig/release 釋放IP地址。
5、 ipconfig/flushdns 清理DNS解析緩存的內容
dns:域名伺服器。域名(網址)與IP的映射
6、ipconfig/displaydns 顯示DNS解析緩存的內容
二、ping命令
功能:向目標主機發送回送請求信息。
測試網路連通性
1、 回環測試
Ping 127.0.0.1
Ping localhost
本機的IP地址
2、 Ping網關
3、持續不斷發送回送請求信息
Ping -t www..com
檢測網路質量
4、-a 反向解析出IP地址或域名。
5、 -n 3
6、-l 300 icmp包的大小為300B 默認為32B
三、tracert (路由跟蹤)
跟蹤到達目的主機的路徑,即從本機到達目的主機經過了哪些網關(結點、路由器)。
-d 不將地址解析成主機名。加快顯示速度。
-h 搜索目標的最大躍點數。默認30
–w 等待每個回復的超時時間(以毫秒為單位)。
-j與主機列表一起的鬆散源路由(僅適用於 IPv4)。
路由器(wan口)、光modem、無線ap(無線網橋)
四、netstat
埠65536 80
-a 顯示所有活動連接信息及埠號 all active
-n 以數字形式顯示連接信息
-r 顯示本機路由信息。
-s 顯示每個協議的統計信息
-p tcp 顯示指定協議連接。
五、arp
arp攻擊 Ip到mac地址映射
處理(清除、建立)ARP解析緩存。
-d 刪除ARP解析緩存
-a 顯示ARP解析緩存
arp -s 157.55.85.212 00-aa-00-62-c6-09 添加靜態項。
區域網的組建:
1、線路及設備連接
傳輸介質、網卡
網路互聯設備:路由器(不用在區域網)、交換機(二層)、無線AP(access point、無線訪問點、無線橋接器)、Modem(數據機)(不用在區域網)、網關(工作在傳輸層及傳輸層以上)(不用在區域網)
2、網路地址的配置
3、連通性測試
4、共享資源(文件夾、列印機)
Gpedit.msc 組策略編輯器 regedit
開啟Guest帳號:計算機管理本地用戶和組用戶Guest,[屬性]中「帳號已停用」去勾。
取消「使用簡單文件共享」方式:資源管理器工具文件夾選項查看,「使用簡單件共享(推薦)」去勾。
本地安全策略里的一些設置:(1)用戶權利指派--刪除「拒絕從網路訪問這台計算機」的guest帳號。(2)安全選項--「網路訪問:本地帳戶的共享和安全模式」改成「經典:本地用戶自己的身份驗證」(3)安全選項--「帳戶:使用空白密碼的本地用戶只允許進行控制台登錄」設置為「禁用」。(即禁用:沒有密碼的賬戶只能在本機登錄)
六、net命令
Net view \\IP 查看對方區域網的共享資源。
Net view 查看本地區域網的共享資源
Net use x: \\ip\文件夾 映射遠程計算機上文件夾為本機上磁碟(x)。 映射網路驅動器
Net start 啟動遠程主機上服務。
Net stop 關閉遠程主機上服務。
Net user查看有哪些用戶
net user 用戶名密碼/add 建立用戶 (關閉防火牆)
net user guest /active:yes 激活guest用戶
net user 帳戶名 查看指定帳戶的屬性
net user 用戶名 /delete 刪除用戶
net localgroup administrators 用戶名 /add
把「用戶」添加到管理員組中使其具有管理員許可權。
Net time 查看遠程主機當前時間
七、route
Route print 顯示路由表信息 (與netstat /r功能一樣)
Route add 增加一條靜態路由
Route delete 刪除一條路由
Route change 修改路由信息
route ADD 157.0.0.0 MASK 255.0.0.0 157.55.80.1 METRIC 3 IF 2
destination mask gateway 最大躍點數 interface
目標 掩碼 網關 介面
route CHANGE 157.0.0.0 MASK 255.0.0.0 157.55.80.5 METRIC 2 IF 2
route DELETE 157.0.0.0
route DELETE 3ffe::/32 (ipv6地址)
3ffe:0000: 0000: 0000: 0000: 0000: 0000: 0000 16*8=128
目標地址 下一站(下一跳)
北京 武勝
重慶 萬隆
八、nslookup命令
查詢DNS域名和主機的IP地址
Nslookup www..com 別名
實驗四:靜態路由與默認路由配置
一、 實訓目的
1、 掌握靜態路由的設置
靜態路由是指路由信息由管理員手工配置,而不是路由器通過路由演算法學習得到。適合拓撲結構固定的小規模網路。
2、 掌握默認路由的設置
默認路由也是一種靜態路由,位於路由表最後,當數據包與所有路由信息都不匹配時,就使用默認路由。
靜態路由優於默認路由。
3、 掌握配置命令:
格式:R0(config)#ip route 目的網路 掩碼 下一跳IP地址(一定在鄰近的路由器上)
例:R0(config)#ip route 0.0.0.0 0.0.0.0 172.16.30.254
二、配置訓練:
配置路由器要求:
設備名
埠
IP地址
默認網關
路由器R0
Fa0/0
192.168.1.254/24
Fa0/1
192.168.2.1/24
路由器R1
Fa0/1
192.168.3.1/24
Fa0/0
192.168.2.2/24
路由器R2
Fa0/0
192.168.3.2/24
Fa0/1
192.168.4.254/24
PC0
Fa0/0
192.168.1.1/24
192.168.1.254/24
Pc1
Fa0/0
192.168.4.1/24
192.168.4.254/24
目標網路:192.168.4.0/24 下一跳:192.168.2.2(最近的路由器上面最近的介面)
Ip route 192.168.1.0 255.255.255.0 192.168.2.1
1、 配置靜態路由:
分析:
R0: 192.168.1.0/24與192.168.2.0/24這兩個網路與R0直連,R0能直接判斷,不需要配置靜態路由。但R0不知道192.168.3.0/24與192.168.3.0/24的路由,需要配置下一跳地址。如下:
目標網路:192.168.3.0/24 下一跳地址:192.168.2.2
ip route 192.168.3.0 255.255.255.0 192.168.2.2
目標網路:192.168.4.0/24 下一跳地址:192.168.2.2
R1:請同學們思考,寫出路由。
192.168.4.0 /24 192.168.3.2
192.168.1.0/24 192.168.2.1
R2:請同學們思考,寫出路由。
配置完成後,保存(write),顯示路由(show ip route)。
2、配置默認路由R0為例,
目標網路:192.168.3.0/24 下一跳地址:192.168.2.2
目標網路:192.168.4.0/24 下一跳地址:192.168.2.2
去往這兩個網路的下一跳都是192.168.2.2,我們可以使用一條默認路由來完成這個功能。
目標網路:ip route 0.0.0.0 0.0.0.0 192.168.2.2
R1不適合設置默認路由。(思考:為什麼?)
R2的默認路由:(自行設置)
刪除路由命令:no ip route 目標網路 掩碼 下一跳
Show running-config show ip route
三、總結
進入特權模式 ena
進入全局配置模式 config t
進入介面模式 interface fa0/0
為介面配置IP地址:ip address ip地址
在全局配置模式下配置路由:ip route 目標網路 掩碼 下一跳
怎樣確定下一跳?(最近的路由器上面最近的介面)
實驗五:交換機的VLAN實驗
1、 實驗目的
理解二層交換機的缺陷,理解VLAN並掌握其應用,掌握VLAN的基礎配置。
2、 VLAN基礎知識
(1)、二層交換機的缺陷
二層交換機是一個廣播域(廣播域就是一個廣播幀所能到達的范圍)。過多的廣播幀會發生碰撞,最終將網路資源耗盡。
(2)虛擬區域網(VLAN)
根據功能、部門及應用,將區域網設備從邏輯上劃分成一個網段,一個網段就是一個廣播域,與具體的物理位置無關。這種建立在交換技術上的邏輯網路就是VLAN。
一個VLAN就是一個廣播域,VLAN工作在第二層,VLAN之間通信是通過第三層的路由器來完成的。
VLAN的優點:
安全:敏感數據用戶與其他用戶隔離,降低了泄密的風險。
成本降低:成本高昂的網路升級需求減少,使現有的帶寬和上行鏈路的利用率更高,節約了成本。
性能提高:劃分了VLAN後減少了網路上不必要的流量,提高了性能。
防範廣播風暴:減少了參與廣播風暴的設備數量。
簡化項目管理或應用管理:根據用戶或應用劃分後,VLAN將用戶與網路設備聚合到一起,以支持商業或地域上的需求。
(3)VLAN幀格式
IEEE802.1Q規定:在乙太網報文的目的MAC地址和源MAC地址欄位之後、協議類型欄位之前加入4個位元組的VLAN Tag (VLAN標簽),用來標識VLAN相關信息。
802.3乙太網幀格式:
前導碼
目標MAC地址
源MAC地址
類型
數 據
幀校驗序列
8B
6B
6B
2B
46-1500B
4B
乙太網最小的幀64B,最大的幀1518B
這四個位元組的802.1Q標簽頭包含了2個位元組的標簽協議標識(TPID)和2個位元組的標簽控制信息(TCI)。
標簽協議標識(TPID)(Tag ProtocolIdentifier)是IEEE定義的新的類型,表明這是一個加了802.1Q標簽的幀。TPID包含了一個固定的值0x8100。
標簽控制信息(TCI)是包含的是幀的控制信息,它包含了下面的一些元素:
Priority:這3 位指明幀的優先順序。一共有8種優先順序,0-7。IEEE 802.1Q標准使用這三位信息。
Canonical Format Indicator( CFI ):,CFI值為0說明是規范格式,1為非規范格式。它被用在令牌環/源路由FDDI介質訪問方法中來指示封裝幀中所帶地址的比特次序信息。
VLAN Identified( VLAN ID ):
這是一個12位的域,指明VLAN的ID,取值范圍為0~4095,一共4096個,由於0 和4095 為協議保留取值,所以VLAN ID 的取值范圍為1~4094,網路設備根據報文是否攜帶VLAN tag,及相關信息對報文進行處理,利用VLAN ID識別屬於哪一個VLAN。
(4)劃分方法:
基於交換機埠的劃分:
是最簡單、最有效的劃分方法,按照設備的埠來定義VLAN成員,將指定埠加入VLAN後,該埠就可以轉發該VLAN報文了。
但無法自動解決終端的移動、增加和變更的問題,終端一旦離開這個埠就需要重新定義新埠的VLAN。
基於MAC地址的劃分:(基於用戶的VLAN)
按照報文的源MAC地址來定義VLAN成員,將指定報文加入該VLAN的Tag後發送。通常與安全技術(如802.1X)聯合使用,以實現終端的安全、靈活接入。
雖然操作繁瑣,但可以對VLAN成員實現自動跟蹤。
基於ip子網的劃分:(子網VLAN)
根據報文的源ip地址及子網掩碼進行劃分的。
設備從埠收到Untagged的報文後,根據報文的源ip地址來確定所屬的VLAN,自動劃分到指定的VLAN中傳輸。
此特性主要用於將指定網段或IP地址的報文劃分到VLAN中傳送。
基於協議的劃分(協議VLAN)
根據埠接收報文所屬的協議(族)類型,以及封裝格式來給報文分配不同的VLANID。可用來劃分VLAN的協議有IP、IPX(互聯網分組交換協議,是netware網路的協議)、AT(Appletalk, apple計算機網路協議)等。封裝格式有EthernetⅡ、802.3RAW(novell公司)、802.2LLC、802.2SNAP等。
此特性主要用於將網路中提供的服務類型與VLAN相關聯,以方便管理和維護。
㈧ 對網路安全的攻擊分為哪幾種
①截斷信息;②偽造;③篡改;④介入。
㈨ 網路位元組問題 網路位元組問題 網路位元組問題
都是這樣的哈·
因為1024位元組=1K 1024K=1M 如果你聽歌看小說3小時過後,連網頁的流量加起來就會有9位數了啊~~
呵呵,明白了吧?
關於360顯示的多個網站是正常的哈~~