1. 单包攻击防范
1.1 LAND攻击
LAND攻击原理:
攻击者利用TCP连接三次握手机制中的缺陷,向目标主机发送一个源地址和目的地址均为目标主机、源端口和目的端口相同的SYN报文,目标主机接收到该报文后,将创建一个源地址和目的地址均为自己的TCP空连接,直至连接超时。在这种攻击方式下,目标主机将会创建大量无用的TCP空连接,耗费大量资源,直至设备瘫痪
1.2 LAND攻击防范
启用畸形报文攻击防范后,设备采用检测TCP SYN报文的源地址和目的地址的方法来避免LAND攻击。如果TCP SYN报文中的源地址和目的地址一致,则认为是畸形报文攻击,丢弃该报文
anti-attack abnormal enable //启用畸形报文攻击防范功能
2.泛洪攻击防范
2.1 TCP SYN攻击
泛洪攻击就是拒绝服务攻击的一种
TCP SYN攻击原理:
TCP SYN攻击利用了TCP三次握手的漏洞。在TCP的3次握手期间,当接收端收到来自发送端的初始SYN报文时,向发送端返回一个SYN+ACK报文。接收端在等待发送端的最终ACK报文时,该连接一直处于半连接状态。如果接收端最终没有收到ACK报文包,则重新发送一个SYN+ACK到发送端。如果经过多次重试,发送端始终没有返回ACK报文,则接收端关闭会话并从内存中刷新会话。在这段时间内,攻击者可能将数十万个SYN报文发送到开放的端口,并且不回应接收端的SYN+ACK报文。接收端内存很快就会超过负荷,且无法再接受任何新的连接,并将现有的连接断开
2.2 TCP SYN攻击防范
启用TCP SYN泛洪攻击防范后,设备对TCP SYN报文进行速率限制,保证受到攻击时目标主机资源不被耗尽
anti-attack tcp-syn enable //启用TCP SYN泛洪攻击防范功能
anti-attack tcp-syn car cir cir //启用TCP/SYN限速
3. 源IP地址欺骗
3.1 URPF技术
网络中经常基于IP地址信任主机,而源IP地址欺骗就通过伪造源地址获得信任,从而窃取网络信息或破坏系统通信
UPRF技术防范
URPF(Unicast Reverse Path Forwarding,单播反向路径转发技术)
防止基于源IP地址欺骗的网络攻击行为,主要针对伪造IP源地址的DoS攻击
工作模式:
- 严格模式:严格模式下,设备不仅要求报文源地址在FIB表中存在相应表项,还要求接口匹配才能通过URPF检查。如图所示,在攻击者上伪造源地址为2.1.1.1的报文向S1发起请求,S1响应请求时将向真正的“2.1.1.1”即PC1发送报文。这种非法报文对S1和PC1都造成了攻击。如果在S1上启用URPF,则S1在收到源地址为2.1.1.1的报文时,URPF检查到以此报文源地址对应的接口与收到该报文的接口不匹配,报文会被丢弃,建议在路由对称的环境下使用URPF严格模式,例如两个网络边界设备之间只有一条路径的话,这时,使用严格模式能够最大限度的保证网络的安全性
- 松散模式:松散模式下,设备不检查接口是否匹配,只要FIB表中存在该报文源地址的路由,报文就可以通过,建议在不能保证路由对称的环境下使用URPF的松散模式,例如两个网络边界设备之间如果有多条路径连接的话,路由的对称性就不能保证,在这种情况下,URPF的松散模式也可以保证较强的安全性
URPF { loose | strict } [ allow-default-route ] [ acl acl-number ] //配置命令
3.2 IPSG技术
基本原理:IPSG功能是基于绑定表(DHCP动态和静态绑定表)对IP报文进行匹配检查。当设备在转发IP报文时,将此IP报文中的源IP、源MAC、端口、VLAN信息和绑定表的信息进行比较,如果信息匹配,表明是合法用户,则允许此报文正常转发,否则认为是攻击报文,并丢弃该IP报文。如图所示,在S1上配置IPSG功能,对进入接口的IP报文进行绑定表匹配检查,合法用户发送报文的信息和绑定表一致,允许其通过;攻击者伪造的报文信息和绑定表不一致,S1将报文丢弃
配置命令:
- 绑定表可以通过DHCP动态绑定,静态IP需要手工进行绑定(user-bind static命令用来配置静态绑定表)
- ip source check user-bind enable命令用来使能IP报文检查功能
- ip source check user-bind check-item命令用来配置基于VLAN或接口的IP报文检查项,该命令只对动态绑定表生效
4. 中间人攻击防范
什么是中间人攻击?
中间人攻击:顾名思义,攻击者位于客户端和服务器中间,对客户端,攻击者假冒为服务器,对服务器,攻击者假冒为客户端
4.1 中间攻击人防范
动态ARP检测DAI(Dynamic ARP Inspection)
- 利用DHCP Snooping绑定表来防御中间人攻击的。当设备收到ARP报文时,将此ARP报文对应的源IP、源MAC、VLAN以及接口信息和DHCP Snooping绑定表的信息进行比较,如果信息匹配,说明发送该ARP报文的用户是合法用户,允许此用户的ARP报文通过,否则就认为是攻击,丢弃该ARP报文
arp anti-attack check user-bind enable // 命令用来使能接口或VLAN下动态ARP检测功能,即对ARP报文进行绑定表匹配检查功能
5. 数据传输安全
5.1 IPSec VPN简介
IPSec的概述:
IPSec(Internet 协议安全)是一个工业标准网络安全协议,为 IP 网络通信提供透明的安全服务,保护 TCP/IP 通信免遭窃听和篡改,可以有效抵御网络攻击,同时保持易用性
工作原理:IPSec通过在IPSec对等体间建立双向安全联盟,形成一个安全互通的IPSec隧道,来实现Internet上数据的安全传输
5.2 IPSec安全联盟
- IPSec安全传输数据的前提是在IPSec对等体(即运行IPSec协议的两个端点)之间成功建立安全联盟SA(Security Association)
- SA是通信的IPSec对等体间对某些要素的约定
5.3 IKE SA
- 因特网密钥交换IKE(Internet Key Exchange)协议建立在Internet安全联盟和密钥管理协议ISAKMP定义的框架上,是基于UDP的应用层协议,可为数据加密提供所需的密钥,能够简化IPSec的使用和管理,大大简化了IPSec的配置和维护工作
- 对等体之间建立一个IKE SA完成身份验证和密钥信息交换后,在IKE SA的保护下,根据配置的AH/ESP安全协议等参数协商出一对IPSec SA。此后,对等体间的数据将在IPSec隧道中加密传输
5.4 IPSec安全协议
- AH是报文头验证协议,主要提供数据源验证、数据完整性验证和防报文重放功能,不提供加密功能。
- ESP是封装安全载荷协议,主要提供加密、数据源验证、数据完整性验证和防报文重放功能。
- AH和ESP协议提供的安全功能依赖于协议采用的验证、加密算法。
- IPSec加密和验证算法所使用的密钥可以手工配置,也可以通过因特网密钥交换IKE(Internet Key Exchange)协议动态协商
5.5 封装模式 - 传输模式
在传输模式中,AH头或ESP头被插入到IP头与传输层协议头之间,保护TCP/UDP/ICMP负载
5.6 封装模式 - 隧道模式
在隧道模式下,AH头或ESP头被插到原始IP头之前,另外生成一个新的报文头放到AH头或ESP头之前,保护IP头和负载
5.7 IPSec加解密及验证过程
485
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
