目录
11、DHCP有什么安全问题?如何防范?
(1)DHCP饿死攻击
攻击者持续大量的向服务器申请IP地址,导致服务器地址池地址耗尽,从而不能正常给客户分配地址。当网络中存在DHCP饿死攻击时,攻击者改变的不是数据帧头部的源MAC, 而是改变DHCP报文中的CHADDR(Client Hardware Address)值来不断申请IP地址。
防御:检查DHCP Request报文中CHADDR字段。如果该字段跟数据帧头部的源MAC相匹配,便转发报文;否则,丢弃报文。
(2)仿冒服务器攻击
攻击者仿冒服务器,向客户端分配错误的网关地址等参数,导致客户无法正常的访问网络。
防御:为了避免受到DHCP Server仿冒者的攻击,可以在设备上配置DHCP Snooping功能,把用户侧的接口配置为Untrusted模式,把DHCP Server侧的接口配置为Trusted模式,所有从 Untrusted接口收到的DHCP reply报文全部丢弃。
(3)中间人攻击
攻击者同时伪装为DHCP Server和Client,进行正常Server和Client之间报文的中转,从而获得用户数据的攻击。
防御:可以在交换机上配置DHCP Snooping 功能,使用DHCP Snooping绑定功能,只有接收到的报文的信息和绑定表中的内容 一致才会被转发,否则报文将被丢弃
(4)仿冒DHCP续租报文攻击
当网络中存在攻击者时,攻击者通过不断发送DHCP Request报文来冒充用户续租IP地址,这样一方面会导致一些到期的IP地址无法正常回收,另外也不是用户的真实意图。
防御:在设备上配置 DHCP Snooping功能,检查DHCP Request报文和使用DHCP Snooping绑定功能,只有接 收到的报文的信息和绑定表中的内容一致才会被认为是正常的申请报文,报文被转发,否则报文将被丢弃。
12、简述FTP协议?如何工作?
FTP(File Transfer Protocol,文件传输协议)是用于在网络上进行文件传输的一套标准协议,它属于网络传输协议的应用层,采用TCP协议。它最主要的功能是在服务器与客户端之间进行文件的传输。这个协议使用的是明文传输。
FTP服务器使用了两个连接,分别是命令通道与数据流通道。由于是TCP数据包,这两个连接都需要经过三次握手。
命令通道:客户端会随机获取一个大于1024以上的端口来与FTP服务器端的port 21来实现连接,这个过程需要三次握手。实现连接后客户端便可以通过这个连接来对FTP服务器执行命令,查询文件名、下载、上传等命令都是利用这个通道来执行的。
数据流通道:
主动模式:
客户端使用命令通道告知服务端采用主动模式连接以及数据流通道的端口号,而服务端默认主动连接的端口号为20;注意:port 21主要接收来自客户端的主动连接,port 20则为FTP服务器主动连接至客户端。
被动模式:
客户端通过命令通道选择被动方式连接服务端,等待服务器的响应。FTP服务器启动数据端口,并通知客户端连接,客户端随机取用大于1024的端口进行连接
注:请注意:选择用主动方式还是被动方式登录FTP服务器,选择权在FTP客户端
13、什么是路由器?描述一下工作过程?
路由器(Router,又称路径器)是一种计算机网络设备,它能将数据通过打包一个个传送至不同的网段(选择数据的传输路径 ),这个过程称为路由。路由器就是连接两个及以上各个网络的设备,路由工作在OSI模型的第三层——即网络层。负责给流量寻找路径的网络设备,用于承载的流量做路径选择、划分广播域、实现不同网络的互联,进行访问控制等。
工作过程:
路由选择(软件、控制层面):将路由器协议生成的路由条目加载到路由表中。内存将表映射到转发引擎,存在ASIC芯片cache区。
分组转发(硬件、数据层面):数据链路层剥去帧和FCS校验后,将分组到网络层,使IP头部关键字查找转发列表找到出接口(TCAM表)
14、什么是交换机?描述一下工作过程?
交换机是一种工作在数据链路层对流量进行转发的网络设备。主要应用于延长传输距离,解决冲突域,实现单播等功能。
工作过程:当流量进入交换机后,根据数据帧中的源MAC,建立该地址与交换机端口的映射,并写入MAC地址表中。再查看数据帧中的目的MAC,根据MAC地址表中的信息进行转发;如果MAC地址表中没有相关信息,则进行洪泛处理(目的MAC为全F);若划分了VLAN,则向对应的VLAN进行洪泛。如果收到的为广播帧或组播帧,则直接进行洪泛。
15、什么是三层交换机?和二层交换机的区别?
三层交换机就是具有部分路由功能的交换机,工作在OSI模型的网络层。兼具二层交换机的转发功能,又具有处理三层IP数据包的功能;除了二层交换机用的CAM表外,还有专门用于三层硬件的转发表。主要目的是加快大型局域网内部的数据交换,它对网络结构的变化没有路由器敏感,三层交换机一般部署在三层架构当中,他可以拥有多个SVI接口,用于管理接入层流量,主要功能还是负责数据的交换。
工作的层次不同,实现的功能也就不同;三层交换机工作于网络层可以用于网络互连,二层交换机工作于数据链路层只能用于同一局域网通信。
16、三层交换机是否可以代替路由器?为什么?
三层交换机仅仅具有简单的路由转发功能,在路由转发和策略上面远远不及路由器;而三层交换机的数据交换效率要远高于路由器。在大型设备领域,三层交换机要比一般的路由器更昂贵。
所以,由于三层交换机有基本的路由功能,而交换数据的效率比路由要高的多,所以三层交换机可以代替路由器作为局域网内部各子网的网关;至于不同类型网络之间的互联,由于三层交换机的路由功能不能满足要求,所以还是要用路由器。
17、讲一讲什么是ARP?
已知对端IP地址请求对端物理地址的协议。主机发送包含目标IP地址的ARP请求广播(目的MAC全F)到网络上的所有主机,并接收返回消息(此时被请求方也会保存请求方的MAC地址),以此确定目标的物理地址;收到返回消息后将该IP地址和物理地址存入本机ARP缓存中并保留一定时间,下次请求时直接查询ARP缓存以节约资源。ARP表在设备中是一张动态表,时刻记录着IP和MAC的映射关系
类型:
(1)ARP:已知对方IP请求对方MAC
(2)免费ARP(无故ARP):请求本地的IP地址对应的MAC,可以检测地址冲突;当一台新设备加入到网络中,向全网广播发送自己的MAC地址,这样还可以有效减少广播域中的广播帧;
(3)反向ARP:已知对方MAC请求对方IP。
(4)代理ARP:当请求的双方不再同一个广播域时,是使用代理ARP进行请求。
18、ARP毒化过程?怎么防御?(终端和交换机)
由于ARP表的更新规则是,新的信息会覆盖旧的信息,只保存最近使用的地址的映射关系表项。 ARP的请求包是广播发送,没有任何校验,攻击者通过伪造一个ARP的reply包,发送给ARP请求者;这样会更新MAC地址映射关系,从而实现攻击。
ARP防御:
1、主机中手动建立静态ARP表
2、主机中用ARP防火墙来固化ARP表
3、交换中的DAI技术(动态ARP检测技术)
DAI交换机会自动记录主机的ARP信息,来获取主机的IP、MAC、VLAN,接口的绑定信息,会根据这些绑定信息来查看主机发出ARP的信息与绑定信息是否吻合,吻合就放行,不吻合就丢弃或者关闭该接口。
交换机只检查ARP包
ARP没有认证机制DAI相当于做了一套认证机制来防御ARP攻击。
19、说明什么是PPPoE协议?如何工作?
pppoe协议是基于点到点的以太网协议,通过将点到点网络嫁接到以太网中来实现主机能够连接到远端的宽带接入服务器上,进行单独管理,流量计费等服务。
工作过程:包括发现阶段和会话阶段。
发现阶段:4个步骤,第一步用户主机发送广播报文PADI请求建立链路。第二步以太网上的访问集中器(AC)收到广播后以单播方式回送一个PADO应答。第三步因为PADI是广播的,所以主机可能收到多个PADO报文,主机选择一个网络接入设备单播发送PADR请求建立链接。第四步接入设备收到PADR请求建立报文后,就会向主机回复一个PADS报文,内含session ID。双方进入会话阶段。
会话阶段:双方使用PPP的链路控制协议(LCP)协商链路,网络控制协议(NCP)进行用户名密码检验后,双方可以正常通信。无论是用户主机还是接入设备可随时发起PADT包,中止通信。
20、什么是VLAN?
VLAN:虚拟局域网;二层交换机与3层的设备协同工作后,将原来的一个广播域逻辑的切分为多个。一个vlan内部的广播和组播流量都不会转发到其他vlan,可以防止mac地址攻击,有助于控制流量,减少设备投资,简化网络管理,提供网络安全性,并且能够有效的抑制广播风暴。
2390
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
