架构师之路(十三)计算机网络(链路层安全)

于 2024-05-16 12:15:00 发布
阅读量1.2k 收藏 39
点赞数 33
文章标签: 计算机网络 安全 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Karka_/article/details/138742921
版权

前置知识(了解):计算机基础。

作为架构师,我们所设计的系统很少为单机系统,因此有必要了解计算机计算机之间是怎么联系的。局域网的集群和混合云的网络有啥区别。系统交互的时候网络会存在什么瓶颈。

1 CAM表溢出攻击与端口安全

当与交换机相连的设备箱交换机发送数据帧时,交换机会立刻将数据帧的源MAC地址与接收到该数据帧的端口作为一个条目保存到CAM表中。

溢出攻击:当CAM表已满时,如果交换机收到了以CAM表中没有记录的MAC地址作为目的地址的数据包,就会像集线器一样将数据帧通过所有端口进行泛洪。如果攻击者想要接收自己所在VLAN中的所有数据帧,可以设法用不同MAC地址将CAM填满即可。

防御策略:Cisco交换机提供端口安全特性,限制交换机通过一个端口接收到的源MAC地址数量。

2.操纵生成树协议(STP,SpanningTree Protocol)与BPDU防护技术。

为防止设备之间不断循环转发相同数据产生广播风暴或MAC地址翻动问题,STP通过阻塞一部分端口获得一个无环的树形拓扑。选举一个根网桥,选择各非根网桥的跟端口来发送和接收流量,选择各个网段的指定端口,非指定端口就是为了避免逻辑环路而阻塞的端口。

STP协议通过桥协议数据单元(BPDU)来判断根网桥、根端口和指定端口,若攻击者制造出一个BPDU赢得根网桥选举,那么可以获得很多重要信息。

防御策略:一般位于网络末端的设备不应参与根网桥选举,不会生成BPDU信息,这类终端设备的接入端口上适宜部署BPDU防护机制。配置了BPDU的接入端口一旦受到BPDU消息,就会进入err-
disabled状态,该端口禁用。

3. DHCP耗竭、DHCP欺骗与DHCP snooping(DHCP,动态主机配置协议)

步骤1:客户端发送DHCPDISCOVER广播消息来寻找DHCP服务器。

步骤2:DHCP服务器通过DHCPOFFER向客户端提供配置参数(IP地址、MAC地址、域名、租期等)

步骤3:客户端为使用提供给它的IP地址向DHCP服务器返回正式请求DHCPREQUEST。

步骤4:DHCP服务器向客户端发送DHCPACK,允许将IP地址分配给客户端。

DHCP耗竭:伪装客户端向服务器大量请求地址直至IP地址全部耗尽,新连接进网络的客户端无地址可用,达到拒绝服务的攻击效果。

DHCP欺骗:伪装成DHCP服务器,以实现信息劫持,例如将网关地址设为自己的地址,劫持所有发送给网关的信息,实现中间人攻击。

防御策略:DHCP窥探(DHCPsnooping)技术将交换机上端口分为信任端口和不信任端口,信任端口配置在连接DHCO服务器的端口和上行链路的端口上,其余为不信任端口。如果不信任端口接收到了本应由DHCP服务器发送的消息则予以丢弃。此外,受到DHCPDISCOVER数据包MAC地址与硬件地址字段信息不符则丢弃,达到缓解DHCP耗竭的作用。

4. ARP欺骗与动态ARP监控 网络判官

当一台设备想要向另一台设备发送IP数据包时将广播ARP请求信息,收到消息的设备将提供MAC地址,请求方将更新自己的ARP表。有时主机也可以向网络中其他主机主动发送ARP相应消息,告知自己的IP-
MAC关系,收到的所有主机都会更新自己的ARP表。

ARP欺骗:ARP也是一种缺乏认证机制的协议,攻击者可以利用这个将自己伪装成另一台主机或网关路由器,实现中间人攻击,拒绝服务攻击等。

防御策略:动态ARP监控简称DAI,是三层交换机利用DHCPsnooping特性生成的DHCP
snooping表来监控ARP消息的功能。若端口发来的ARP响应消息与DHCP不符合则丢弃数据包且端口进入err-disabled状态。

扩展阅读:

《数据链路层常见威胁与防御技术》数据链路层常见威胁与防御技术_链路内部的预防机制-
CSDN博客

《链路层攻击》http://blog.sina.com.cn/s/blog_4e49cd230102voon.html

《网络判官 攻击》(内网安全等)http://blog.sina.com.cn/s/blog_4e49cd230102voon.html
https://www.static.ixueshu.com/document/6880d4cbb106d1b5541e6e24a32dda7c318947a18e7f9386.html

《数据链路层攻击》https://wenku.baidu.com/view/121bcdef81c758f5f61f67d1.html

学习计划安排


我一共划分了六个阶段,但并不是说你得学完全部才能上手工作,对于一些初级岗位,学到第三四个阶段就足矣~

这里我整合并且整理成了一份【282G】的网络安全从零基础入门到进阶资料包,需要的小伙伴可以扫描下方CSDN官方合作二维码免费领取哦,无偿分享!!!

如果你对网络安全入门感兴趣,那么你需要的话可以

点击这里👉网络安全重磅福利:入门&进阶全套282G学习资源包免费分享!

①网络安全学习路线
②上百份渗透测试电子书
③安全攻防357页笔记
④50份安全攻防面试指南
⑤安全红队渗透工具包
⑥HW护网行动经验总结
⑦100个漏洞实战案例
⑧安全大厂内部视频资源
⑨历年CTF夺旗赛题解析

程序员桔子
关注
【系统架构设计师】论文:论计算机网络安全性设计
数据知道的博客
08-20 1996
在计算机与网络技术飞速发展的今天,医院信息系统的建设已经成为医院现代化管理的重要标志,同时也是医院管理水平的一种体现。尤其是医疗保险制度的改革,与医院信息系统形成了相互促进的态势,我国很多医院都建立了自己的信息系统。由于行业性质的缘故,医院信息系统必须7x24小时不间断运转,因此对网络系统的安全性和可靠性有很高的要求。本文通过一个医院信息系统项目,阐述了医院计算机网络安全性设计方面的一些具体措施,并就保障网络安全性与提高网络服务效率之间的关系,谈了自己的一点体会。
系统架构设计师:计算机网络基础技术
最新发布
简简单单Onlinezuozuo
09-08 911
网络基本概念:TCP 和 UDP 均提供了端口寻址能力。
浅谈二层(数据链路层)技术
12-10
网络基础知识,数据链路层的技术和主要功能,网络类型的分类,及二层用的协议。
数据链路层常见威胁与防御技术
Q1n6
09-21 7204
1 CAM溢出攻击与端口安全          当与交换机相连的设备箱交换机发送数据帧时,交换机会立刻将数据帧的源MAC地址与接收到该数据帧的端口作为一个条目保存到CAM中。          溢出攻击:当CAM已满时,如果交换机收到了以CAM中没有记录的MAC地址作为目的地址的数据包,就会像集线器一样将数据帧通过所有端口进行泛洪。如果攻击者想要接收自己所在VLAN中的所有数据帧,可以
数据链路层网络安全防护
weixin_34198881的博客
08-12 1849
提到安全***,往往想到的是来自局域网之外的***,这些***来自互联网,针对对象为企业内部网络设备,服务器等;而企业内部的局域网安全问题往往被忽略,常见的几种数据链路层安全***有 > MAC地址扩散 >ARP***与欺骗 >DHCP服务器欺骗与DHCP地址耗尽 >IP地址欺骗1.端口安全 Cisco交换机提供一种基于MAC地址控制端口访...
计算机网络-网络安全(数据链路层安全
resilient的博客
02-22 2494
路由器不知道加密的 只知道转发数据 实现数据链链路层的身份验证 ppp协议支持实名验证 ADSL 拨号上网 需要输入账号密码 是数据链路层安全 设计一个实验环境。 防火墙可以控制企业内网到interNet的数据流量 防火墙指定规则:哪些地址能上网,哪些时间段能上网,能访问哪些内容? 高级防火墙 可以查看内容 背靠背防火墙 单一网卡防火墙 在路由器上配置 只允许防火墙才可以上网 无线网络 操作系统 网站安全等。 ...
数据链路层的dos攻击
MingShenfree的博客
11-02 568
集线器与交换机 集线器和交换机的功能是一样的,都可以实现局域网之间两台主机的通信。 集线器:(如今少用) 局域网中,当主机A向主机B发送数据包时,先要将数据包发送给集线器,由集线器负责转发,可当集线器收到数据包时并不知道那个接口连接着主机B,所以集线器会大量的复制这个数据包,然后向所有的接口都发送一份主机A发送的数据包的副本。结果是局域网中的所有主机都收到了这个数据包,每台主机上的网卡会查看这个数据包的目的...
软考笔记(二)高级系统架构师/分析师:计算机网络基础与信息安全
null
04-07 1503
TCP/IP 协议栈 OSI模型: TCP/IP模型 应用层: http tftp telnet 应用层 示层: 会话层: 建立连接,保持连接,断开连接 传输层: UDP用户数据报协议 TCP传输控制协议 传输层 网络层: IP ICMP IGMP 作用:ip寻网络
软考高级架构师笔记-5计算机网络
java后端开发的博客,不仅仅是后端开发
05-31 911
专栏《软考高级架构设计师》更新了,本章总结了网络部分的考点内容,涉及概念和基础知识较多,来学习吧
三、软考·系统架构师——计算机网络基础
二蛋的博客
08-23 1497
计算机网络的基础知识,包括网络模型、网络设备、网络协议、域名系统、网络存储技术等。介绍各部分功能以及原理。
数据链路层基础+MAC地址泛洪攻击+网络层基础+IP分片
YancyYue颜悦的专栏
07-02 913
网络工程师的学习记录
融云互联网通信安全之链路安全
weixin_44764152的博客
03-22 638
以即时通讯和实时音视频为核心的互联网通信技术深入发展,使得人与人之间的交流突破了空间、时间等限制,让信息无远弗届,让连接随时发生,让沟通丰富多元。关注【融云全球互联网通信云】了解更多 但互联网为我们的生活带来极大便利的同时,用户隐私和通信安全问题也随之而来。 对于开发者来说,互联网的开放性也意味着风险性;用户使用网络和终端设备的高自由度,也为不法之徒提供了可乘之机。 因此,提升互联网通信的安全性需要贯穿系统构建的始终。本系列文章主要围绕互联网通信的安全性进行探讨,首篇聚焦“链路安全”。
iOS WebView通信链路安全
eeybee的专栏
08-14 644
最近在整理技术点的时候发现电脑上存有一些知识点的记录,是以前在开发的过程中遇到的一些问题,现在再重新梳理了出来 项目需求:防止webview里面的数据被抓包,给app中的webview也加上https校验,防止攻击 https校验原理、加密原理、证书制作等已经有很多文章介绍,相信大家已经很熟悉了;本文只讲在多家服务器资源访问的情况下对web实现https校验的部分。 一、相关知识点 一般情况下很...
网络安全——数据链路层安全协议(2)
yj11290301的博客
02-26 2991
在一个支持VLAN的局域网中,可以按一定的方法和规则构造出多个VLAN,一个VLAN中的流量被限制在本VLAN中,不会在其他VLAN中流通。它既可以在保持结点物理位置不变的情况下,将结点从一个VLAN迁移到另一个VLAN,也可以在保持统一VLAN不变的情况下,将结点移动到一个新的物理位置上。IEEE802.1q标准制定于1996年3月,它规定了VLAN组成员之间传输的物理帧需要在帧头部增加4个字节的VLAN信息,而且还规定诸如帧发送与校验、回路检测、对服务质量参数的支持以及对网管系统的支持等方面的标准。
一二层攻击及防御(物理层、数据链路层
热门推荐
信安是不可或缺的一部分!
10-24 1万+
OSI参考模型介绍 开放式系统互联通信参考模型(英语:Open System Interconnection Reference Model,缩写为 OSI),简称为OSI模型(OSI model),一种概念模型,由国际标准化组织提出,一个试图使各种计算机在世界范围内互连为网络的标准框架。定义于ISO/IEC 7498-1。 名称 作用 物理层 将数据转换为可通过物理介质传送的电子信号 相当于邮局中的搬运工人。 数据链路层 决定访问网络介质的方式。在此层将数据分帧,并处理流控制。本层指定
融云互联网通信安全揭秘之链路安全
Innocence_0的博客
02-19 148
融云互联网通信安全揭秘之链路安全
网络安全——数据链路层安全协议
yj11290301的博客
02-22 8186
本章将会讲解数据链路层上的安全协议通信的每一层中都有自己独特的安全问题,网络安全问题应该在多个协议层,针对不同的弱点解决。就安全而言,数据链路层(第二协议层)的通信连接是较为薄弱的环节。本章中,我们将集中讨论与数据链路层相关的安全问题。
安全HCIP之链路安全检查-IP_link
XiaoHG_CSDN的博客
10-07 1004
链路安全检查-IP_link IP-link:链路健康检查,主要检查非直连故障,以及系统服务故障; 可以使用链路健康检查:静态路由、策略路由、多出口选路、服务器负载均衡等; 健康检查可以使用的探测报文:icmp、arp、tcp、dns、http等报文; ip-link配置: ip-link check enable ip-link name link_test destination 12.1.1.2 interface g1/0/1 mode icmp 接下来指定调用的路由即可: ip route-
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值