1. 如何使用DHCP snooping技术防御网络攻击
企业内部访问者与外部访问者的数量在不断变化,这增大了它所面对的安全威胁,而且内外访问的界线也在逐渐模糊。如果一个组织在设计网络架构时加入了
不安全的系统和协议,那么网络基础架构就可能有风险。例如,有时候一些2层协议的安全性就被忽视了,如动态主机配置协议(DHCP)。DHCP是一种辅助
协议,它工作在后台,大多数用户都不会注意到它的存在。事实上,这种没有得到重视的情况就意味着供应商也可能会忽略这种攻击。DHCP
snooping就是一种可用于防御许多常见攻击的防控技术。
DHCP可能受到几种不同方式的攻击,其中包括恶意DHCP服务器或本地交换网络的地址解析协议(ARP)污染。并非所有意外事件都属于恶意攻击。
举个例子来说,一位最终用户可能连接了一个启用DHCP的网络设备或路由器,结果就可能给其他用户分配一个无效的DHCP地址。另外,攻击者也可能发起了
一个资源耗尽的攻击,并且尝试用光所有的DHCP地址。危害更大的方法是,攻击者会主动尝试重定向用户的DHCP服务器请求。当然,这些只是促使您使用
DHCP snooping技术的一部分原因。
这种中间人攻击的机制要求攻击者创建自己的DHCP服务器。接下来,攻击者会广播伪造的DHCP请求,并且尝试用光DHCP范围内的所有DHCP地
址。结果,合法用户就无法从DHCP服务器获得或更新IP地址。然后,攻击者就开始用它的欺骗性DHCP服务器分配所抢占的DHCP地址,使它的地址成为
新的网关。接收到这些地址的最终用户就可能被重定向到攻击者,然后再通向互联网。这样它就盗用了网络连接。
上面的场景只是经典中间人攻击的另一种变化。这种技术需要将攻击者置于所攻击网络内部,从而让他能够窥探客户流量。或许您会认为这种攻击并不可怕,但是现在已经出现了许多专门发起这些攻击的工具,如Gobbler、DHCPstarv和Yersinia。
在现有交换机上创建DHCP snooping
DHCP snooping是通过现有交换机在数据链路层实现的,它可以对抗攻击,阻挡未授权DHCP服务器。它使2层协议交换机能够检测从特定端口接收的数据帧,然后检查它们是否来自合法的DHCP服务器。
这个2层处理过程包括几个步骤。首先,您需要在交换机上启用全局DHCP,然后再在各个虚拟LAN(VLAN)上启用DHCP snooping。最后,您还必须配置各个可信端口。
下面是一个启用DHCP SNOOPING的例子:
Switch(config)#ip dhcp snooping
Switch(config)#ip dhcp snooping vlan 30
Switch(config)#interface gigabitethernet1/0/1
Switch(config-if)#ip dhcp snooping trust
在这个例子中,交换机启用了全局DHCP snooping,然后再为VLAN 30启用DHCP
snooping。唯一可信的接口是gigabitEthernet1/0/1。DHCP
snooping可以帮助保证主机只使用分配给它们的IP地址,并且验证只能访问授权的DHCP服务器。在实现之后,DHCP
snooping就会丢弃来自未可信DHCP服务器的DHCP消息。
使用DHCP snooping防止ARP缓存污染
DHCP
snooping还可以跟踪主机的物理位置,从而可以防御(ARP)缓存污染攻击。它在防御这些攻击的过程中发挥重要作用,因为您可以使用DHCP
snooping技术丢弃一些来源与目标MAC地址不符合已定义规则的DHCP消息。管理会收到通过DHCP
snooping警报通知的违规行为。当DHCP snooping服务检测到违规行为时,它会在系统日志服务器上记录一条消息“DHCP
Snooping”。
DHCP snooping是实现2层协议流量安全性的第一步。恶意DHCP服务器不仅会导致网络问题,它们还可以被攻击者用于转发敏感流量和发起中间人攻击。如果还没有做好这些措施,那么一定要考虑实现这些防御措施,保证网络基础架构的安全性。
2. dhcp攻击的原理是什么
使用非法DHCP服务器,下面的客户端有可能使用非法DHCP服务器分配的IP地址,造成IP冲突。比如192.168.1.1这个地址已经被合法的DHCP服务器分配到客户端A,但是如果此时有一个非法的DHCP服务器也在同一网段运作,假如客户端B在获取IP地址的时候采纳的是非法DHCP服务器分配的IP 192.168.1.1的话,就造成客户端A和客户端BIP地址冲突
还有一种情况就是不断的向DHCP服务器发起请求,导致DHP地址池枯竭,造成无IP地址可以分配的情况
3. 计算机网络安全中什么叫欺骗攻击
TCP协议是一种基于IP协议而建立的一条面向连接的、可靠的字节流。在黑客攻击层出不穷的今天,一个攻击者可以通过发送IP地址源地址属于另一台机器的IP数据来实施欺骗。TCP欺骗的攻击者实际上并不在乎是否能收到这些数据的答复,但其他的机器将接受这些伪造数据并认为他们来自合法的拥有者。
在传输层的欺骗主要就是TCP欺骗和UDP欺骗,这两个欺骗技术都是将外部计算机伪装成合法计算机来实现的,目的还是把自己构筑成一个中间层来破坏正常链路上的正常数据流,或者在两台计算机通信的链路上插入数据。
对TCP欺骗攻击的防范策略主要有:
(1)使用伪随机数发生工具产生TCP初始序号;
(2)路由器拒绝来自外网而源IP是内网的数据包;
(3)使用TCP段加密工具加密。
4. 怎样防止网络地址欺骗攻击。
这个就要在设备中安装安全软件来防范了,还有在日常使用中要多加注意,不要打开不知明的链接,广告等页面,这样就可以有效的防止网络被攻击了
5. 思科静态DHCP防止arp欺骗
常用的解决办法就是:
一、 在宽带路由器中把所有PC的IP-MAC输入到一个静态表中,这叫路由器IP-MAC绑定。
二、 在内网所有PC上设置网关的静态ARP信息,这叫PC机IP-MAC绑定。
三、 是前两种办法的组合,称其为IP-MAC双向绑定。
方法是有效的,但工作很繁琐,管理很麻烦。每台PC绑定本来就费力,在路由器中添加、维护、管理那么长长的一串行表,更是苦不堪言。一旦将来扩容调整,或更换网卡,又很容易由于疏忽造成混乱。况且ARP出现了新变种,二代ARP攻击已经具有自动传播能力,已有的宏文件绑定方式已经被破,主要表现在病毒通过网络访问或是主机间的访问互相传播。由于病毒已经感染到电脑主机,可以轻而易举的清除掉客户机电脑上的ARP静态绑定,伴随着绑定的取消,错误的网关IP和MAC的对应并可以顺利的写到客户机电脑,错误的网关IP和MAC的对应并可以顺利的写到客户机电脑,ARP的攻击又畅通无阻了。
我也曾受过arp的毒害,辛辛苦苦做的双向绑定遇到二代arp攻击变的是无所遁形,我觉得要想真正的杜绝arp攻击还是要我们内网每台电脑都联动起来,共同防范,共同抑制,光装防arp攻击的防火墙是远远不够的,这只能保证你可能不被攻击,但不能杜绝你不发arp攻击,这样是治标不治本的,因此要想真正杜绝arp最治本的方法还是从源头抑制,即从每个终端上抑制arp攻击的发出,因此要想完全的杜绝arp攻击要靠软硬件的结合,单靠硬件是无法实现的。
后来是用“免疫墙”解决的,这个免疫墙技术专门针对内网病毒攻击的。你可以去试试。
6. DNS欺骗攻击和防范方法有哪些
一 什么是DNS
DNS 是域名系统 (Domain Name System) 的缩写,该系统用于命名组织到域层次结构中的计算机和网络服务。在Internet上域名与IP地址之间是一一对应的,域名虽然便于人们记忆,但机器之间只能互相认识IP地址,它们之间的转换工作称为域名解析,域名解析需要由专门的域名解析服务器来完成,DNS就是进行域名解析的服务器。
二 DNS的工作原理
DNS 命名用于 Internet 等 TCP/IP 网络中,通过用户友好的名称查找计算机和服务。当用户在应用程序中输入 DNS 名称时,DNS 服务可以将此名称解析为与之相关的其他信息,如 IP 地址。因为,你在上网时输入的网址,是通过域名解析系解析找到相对应的IP地址,这样才能上网。其实,域名的最终指向是IP。
在IPV4中IP是由32位二进制数组成的,将这32位二进制数分成4组每组8个二进制数,将这8个二进制数转化成十进制数,就是我们看到的IP地址,其范围是在0~255之间。因为,8个二进制数转化为十进制数的最大范围就是0~255。现在已开始试运行、将来必将代替IPV6中,将以128位二进制数表示一个IP地址。
大家都知道,当我们在上网的时候,通常输入的是如:www.sina.com.cn 这样子的网址,其实这就是一个域名,而我们计算机网络上的计算机彼此之间只能用IP地址才能相互识别。再如,我们去一WEB服务器中请求一WEB页面,我们可以在浏览器中输入网址或者是相应的IP地址,例如我们要上新浪网,我们可以在IE的地址栏中输入:www.sina.com.cn 也可输入这样子 218.30.66.101 的IP地址,但是这样子的IP地址我们记不住或说是很难记住,所以有了域名的说法,这样的域名会让我们容易的记住。
DNS:Domain Name System 域名管理系统 域名是由圆点分开一串单词或缩写组成的,每一个域名都对应一个惟一的IP地址,这一命名的方法或这样管理域名的系统叫做域名管理系统。
DNS:Domain Name Server 域名服务器 域名虽然便于人们记忆,但网络中的计算机之间只能互相认识IP地址,它们之间的转换工作称为域名解析(如上面的www.sina.com.cn 与 218.30.66.101 之间的转换),域名解析需要由专门的域名解析服务器来完成,DNS就是进行域名解析的服务器。
三 DNS欺骗攻击
DNS欺骗即域名信息欺骗是最常见的DNS安全问题。当一个DNS服务器掉入陷阱,使用了来自一个恶意DNS服务器的错误信息,那么该DNS服务器就被欺骗了。DNS欺骗会使那些易受攻击的DNS服务器产生许多安全问题,例如:将用户引导到错误的互联网站点,或者发送一个电子邮件到一个未经授权的邮件服务器。网络攻击者通常通过以下几种方法进行DNS欺骗。
1、缓存感染:
黑客会熟练的使用DNS请求,将数据放入一个没有设防的DNS服务器的缓存当中。这些缓存信息会在客户进行DNS访问时返回给客户,从而将客户引导到入侵者所设置的运行木马的Web服务器或邮件服务器上,然后黑客从这些服务器上获取用户信息。
2、DNS信息劫持:
入侵者通过监听客户端和DNS服务器的对话,通过猜测服务器响应给客户端的DNS查询ID。每个DNS报文包括一个相关联的16位ID号,DNS服务器根据这个ID号获取请求源位置。黑客在DNS服务器之前将虚假的响应交给用户,从而欺骗客户端去访问恶意的网站。
3、DNS重定向
攻击者能够将DNS名称查询重定向到恶意DNS服务器。这样攻击者可以获得DNS服务器的写权限。
四 DNS的防范方法
防范方法其实很简单,总结来说就只有两条。(1) 直接用IP访问重要的服务,这样至少可以避开DNS欺骗攻击。但这需要你记住要访问的IP地址。(2) 加密所有对外的数据流,对服务器来说就是尽量使用SSH之类的有加密支持的协议,对一般用户应该用PGP之类的软件加密所有发到网络上的数据。只要能做到这些,基本上就可以避免DNS欺骗攻击了。
现在知道为什么当你在浏览器中输入正确的URL地址,但是打开的并不是你想要去的网站了吧,这就是神奇的DNS欺骗,希望学习DNS协议欺骗攻击技术有所帮助