网络设备的工作原理与安全威胁Word下载.docx
- 文档编号:22595747
- 上传时间:2023-02-04
- 格式:DOCX
- 页数:32
- 大小:2.10MB
网络设备的工作原理与安全威胁Word下载.docx
《网络设备的工作原理与安全威胁Word下载.docx》由会员分享,可在线阅读,更多相关《网络设备的工作原理与安全威胁Word下载.docx(32页珍藏版)》请在冰豆网上搜索。
注意:
集线器安全威胁的重要提示:
只要在集线器的任意端口接入协议分析器或安装了协议分析软件的计算机都可以成功的监听集线器上其他端口的流入和流出的数据。
当然这些数据中也包括比较重要和敏感的机密信息,如密码、账号等。
1.1.1.演示集线器的入侵与防御
演示目标:
分析集线器的工作过程造成数据泄密事件
演示环境:
如下图所示:
背景说明:
通过该演示过程证明集线器的工作原理是将数据包广播到设备的每一个端口上(除发送端口)外,如果远程管理主机(192.168.2.4)telnet思科路由器192.168.2.5,那么192.168.2.6的协议分析器应该能够成功的捕获到telnet的密码
防御方案:
由于集线器的安全威胁是设备工作原理上的天生缺陷,无法避免。
所以没有更有效的防御措施,唯一的办法是选用智能的设备,可以用二层交换机去替代集线器。
1.2.网桥、二层交换机的工作原理与安全威胁
学习网桥工作原理之前必须先理解的一个重要的网络理论:
“星型结构的网络“。
虽然前面提到集线器组织的是一个”星型结构的网络“,但是这个所谓的”星型网络“实际上只是一个物理连接环境的星型,并不是访问介质协议(以太网的访问介质协议CSMA/CD)上的星型。
从访问介质的逻辑角度理解:
所有利用集线器组织的网络都应该是冲突型的网络。
1.理解冲突域(碰撞域)
冲突域是一种基于以太制式算法产生的问题。
只要是以太网,不管是10mb/s、100mb/s、1000mb/s,甚至是万兆以太网都会有冲突的存在。
那是因为只要是以太网都必须遵循CSMA/CD(载波侦听协议)。
它是以太网的访问介质协议,载波侦听协议的工作原理如图1.7所示:
如果A,B,C,D这四个主机都处于一个冲突域内,且都连接在一个集线器上,如果B主机要给C主机发送数据,那么B主机会在正式发送数据之前向网络中发送一个载波侦听信号,查看网络总线是否繁忙。
如果繁忙,如A主机正在给D主机发送数据,B主机就不能发送数据给C主机,否则就会产生一个冲突。
因此得出一个结论:
以太网上的多个主机在一个冲突域内,同一时刻只能有一个主机向另一个主机发送数据,如果违反了该原则就会有冲突产生。
使用过集线器后会发现,在集线器上连接4个主机后,在同一时间内所有计算机都可以互相复制文件,并没有等待某个主机将文件传递完成后,另外的主机在传递数据,视觉上多台连接到一台集线器的主机是同时发送数据,所以会质疑对CSMA/CD的定义。
事实上这是因为人类的视觉器官对真相的理解永远是有限的,在”同一时间“只有一台主机向另外一台主机发送数据。
如图1.8所示,当主机A发送数据给主机C时,如果该数据报文很大,发送的延时就会很大,占用以太总线的时间就很长。
而其他的主机比如:
主机B与主机D等待发送的时间就会很长,如果主机A要利用10分钟来完成与主机C的数据传递,那么主机B与主机D之间发送数据之前需要等待10分钟才能进行,这显然是一种不科学的方法。
所以OSI传输层将主机A发送给主机C的较大的数据报文分割成若干个小块的数据报文进行发送。
主机B给主机D发送数据时也使用相同的方式。
所以真实的情况是:
主机A发送一小块数据报文,主机B再发送一小块报文,然后如此交替进行。
而这一小块数据报文发送延时是基于微秒级别进行计算的。
所以人们的视觉感觉是主机A与主机B同时进行发送。
但事实上在同一时刻只有一个主机发送数据报文。
现在开始介绍网桥:
网桥工作在OSI的第二层,能够划分或减少冲突域,性能比集线器良好;
能够基于Mac地址进行数据链路层选路;
能够基于自学习构建Mac地址表;
不能隔离广播,所以不能让网桥形成环路。
网桥的工作原理如图1.9所示:
如果主机A发送数据给主机D,当数据从网桥的1号接口进入时,网桥不会像集线器那样将数据广播到所有接口上。
因为在网桥内部有一张MAC表,该表记录着网桥物理接口所连接的主机MAC地址。
当数据进入网桥时,网桥通过查询Mac地址表得知主机D对应的物理接口是4号接口,所以网桥就将数据直接转发到4号接口,而不再需要将数据广播到所有接口。
此时网桥的2和3号接口就没有受到冲突的影响,所以主机A在发送数据给主机D时,主机B可以同时发送数据给主机C。
这样得出一个结论:
网桥将冲突域划分得更小,转发性能比集线器更高,可以形象的理解成网桥的每个接口是一个冲突域,而集线器的所有接口在一个冲突域。
集线器与网桥的性能对照如图2.10所示:
网桥能够基于自学习构建Mac地址表
网桥的转发性能比集线器更高,是因为网桥内部的Mac地址表可以进行第二层的选路。
但是网桥在刚刚被部署到网络中使用时,一定不知道网桥的某个接口记录的是网络中的某个主机的Mac,如图2.11所示:
此时他就需要通过一种叫做”Mac地址自学习“的方式来完成Mac表的构造。
网桥“Mac地址自学习”技术的原则是在接口上记录“数据报文的源Mac地址”,如图所示:
当网桥的Mac地址表项不完整时,网桥不能利用Mac地址表进行选路转发,所以网桥只能效仿集线器将数据帧广播到所有接口(除源端口外)。
网桥的这个广播与集线器的广播有很大的区别,网桥的这个广播只是一个单纯的ARP广播,它并不携带真实数据,所以很小,而且在某种情况下,这种广播报文的大小可以被忽略不计。
它只广播一次,这次广播的目的是为了构造Mac表。
利用网桥的Mac表自学习功能记录计算机的源Mac地址对应的网桥端口,如图2.13所示:
当Mac表被成功构建后,网桥将不再进行广播,而是利用Mac表进行快速选路并转发。
而集线器每次传输数据都需要依靠广播,而且该广播带有真实的数据载荷。
网桥不能成环的主要有两个原因:
第一,由于网桥不能隔离广播,所以广播不能再环路中散播,这样会形成广播风暴,将占据整个网络的正常通信资源。
如图2.14所示:
第二,由于网桥不能隔离广播所以会导致mac地址表自学习错误。
如图2.15所示:
如果主机B发送数据给主机A,此时网桥A与网桥B的mac地址表都没有构建完整,那么网桥必须要使用“mac地址自学习”技术来完善自己mac表的构建。
假设主机B的ARP请求先送达到网桥B,此时网桥B会记录数据进入端口的源mac地址,所以网桥B记录mac_B对应的是网桥B的2号接口。
现在看上去完全正常,但是请不要忘了一个很重要的理论,网桥是一个不隔离广播的设备,所以对于ARP请求的广播,网桥B就是一个透明的设备,其桥接环路如图2.16所示:
如果网桥B对于广播来说是透明发送,所以现在可设想根本没有网桥B的存在,那么ARP广播会穿过网桥B到达网桥A,由于网桥“mac地址自学习”技术的原则,记录网桥A的一号端口是主机B的mac地址mac_B,此时地址自学习错误就产生了。
因为网桥A的一号端口事实上连接的是主机A。
而网桥成环后会将网桥A的1号端口记录为连接的是主机B.
在实际工程中,网桥通常有需要将物理链路成环,以提供冗余的路径,但是这又违背了网桥不能成环的原则。
所以需要一种特殊的技术来解决网桥成环印发的问题。
这种特殊的技术叫做STP(生成树)。
二层交换机的工作原理:
二层交换机是一种代替网桥的新型产物,也是现在流行的网络组建设备。
其实,二层交换机的工作原理与网桥是一样的。
都能给予mac地址表进行转发,划分冲突域、给予mac地址自学习构造mac表。
但是,网桥个整个过程是利用网桥内自身的软件来完成的,所以会出现瓶颈现象。
而二层交换机是基于专用的集成电路(ASIC)来决定交换逻辑的算法的。
如mac表的构建及背板进程交换,所以没有瓶颈现象,转发速度比网桥更优良,而且二层交换机的端口比网桥更密集,所以二层交换机代替了网桥。
在很多情况下,可以把二层交换机理解成具有更多端口利用专业硬件来转发数据的网桥。
1.2.1.演示网桥或二层交换机的工作原理
网桥与二层交换机面对的网络安全威胁:
网桥与二层交换机的工作原理事实上是一回事,它们都是利用“mac地址自学习”技术来构建mac地址表,然后数据包通过MAC地址表进行二层选路,从而提高网桥或二层交换机的数据转发速度。
另外,数据不会广播到网桥或二层交换机的每一个端口上,对安全也有所增强的效果。
但是网桥或者二层交换机的mac地址表是有容量限制的。
Mac地址表也叫CAM表,它受网桥或者二层交换机的内存限制,一般cam表的容量可以容纳几千到几万条mac记录,这会因不同的交换机品牌与等级的差异而有所不同。
如果这些cam表在几秒的时间内被攻击入侵者充满,那么交换机就会造成cam表溢出,导致正常的cam无法被交换机成功的学习到,交换机就无法执行正常的MAC地址与端口对应关系的选路。
进入交换机的数据包就会被广播到每一个端口,这时交换机与集线器就变成了同一种网络设备,入侵者只要将计算机接入到交换机的任何端口上就可以侦听交换机的所有数据,分析具体原理如图2.17所示:
分析瞬间发送成千上万的伪造mac地址充满二层交换机的cam表,让cam表溢出,二层交换机将以广播的方式转发数据,黑客侦听敏感数据。
演示工具:
利用macof可让二层交换机的cam表溢出。
它是dsniff套件的一个组件,属于Linux操作系统平台上的一款相当不错的网络安全逆向检测工具。
如图2.18所示
证明交换机是利用cam表选路。
如果cam的地址自学习完成,则主机A与主机B的通信不会广播到C主机,所以在没有发现攻击前,主机C不会捕获到主机A与主机B之间的通信数据。
利用macof(mac泛红攻击软件)在瞬间让交换机的cam表溢出,这是主机C可以成功的捕获A与B之间的通信数据。
演示步骤:
攻击主机是一台安装Ubuntu操作系统的主机,并成功的安装了dsniff攻击软件,确保dsniff软件中的macof可用。
利用下述指令发起攻击:
Root@localhost:
~#macof
如图所示是交换机没有受到macof洪泛攻击时,通过“showmac-address-table”指令查看到二层交换机mac地址自学习的情况,以及mac地址对应的交换机的端口号,如图所示为该交换机可容纳自学习mac地址为8192个,目前只使用了4个mac地址。
如图所示是macof洪泛攻击后的效果,可看到从Fa0/1端口进入了很多mac地址。
事实上,图2.2并没有显示所有mac地址。
从图2.22中可以看出交换机可容纳的mac地址总数是8192个,但是就在macof发起攻击后的几秒时间内,交换机的mac地址使用数就从4个猛增到8192个,把交换机的cam表充满。
当交换机的cam表被充满时,交换机就会将进入端口的数据进行广播,通信的安全性将受到严重威胁。
macof对于mac地址的洪泛,安全软件如防火墙、防毒软件一般视而不见,无法成功抵挡或说成功防御的能力很低。
防御方式:
建议使用两种方案防御基于macof对二层交换机的攻击。
✓端口安全
✓在端口上阻止单播洪泛
端口安全的实现
Switch(config)#configterminal
Switch(config)#interfacefastethernet0/1
进入需要配置的端口:
设置为交换机访问模式
Switch(config-if)#switchportmodeaccess
打开端口安全模式:
Switch(config-if)#switchPortPort-securitymaximum1
保证该端口只能容纳一个mac地址的学习空间:
Switch(config-if)#switchportport-securitymac-address00c2.00f1.0009
将一个mac地址与一个端口进行静态绑定:
Switch(config-if)#switchportport-securityviolation{protect|restrict|shutdown}
在Port-security后面的关键字violation是指定如果有非法接入端口的处理方式,共有3种解决方式:
protect、restrict、shutdown。
Protect指示当已经超过所允许学习的最大mac地址数时,交换机将继续工作,但是将把来自新主机的数据帧丢弃,不发任何警告信息。
Restrict指示交换机将继续工作,但是将把非法的数据帧丢弃,向console平台发告警信息。
Shutdown指示关闭端口为err-disable状态,除非管理员手工激活,否则该端口失败。
在端口上阻止单播洪泛的实现方法如下:
在默认情况下,如果交换机收到数据包的目标mac是一个未知目标mac地址(在cam表中没有记录),那么交换机会将该数据广播到所有端口上。
比如macof就可以瞬间让交换机的cam表充满,那么交换机就无法再利用正常的mac地址进行转发。
Cam中存储的都是不正确的mac与交换机端口的对应关系,此时原本正常的目标mac就会变成一个未知的目标mac,数据包会被广播到交换机的所有端口,当然也包括敏感的机密信息,要阻止这种行为就只有阻止未知单播地址洪泛,在交换机上操作指令如下:
Switch(config)#interfacef0/1
Switch(config-if)#switchPortblockunicast
1.3.路由器的原理与安全威胁
路由器是OSI模型的网络层设备,用于网络层的IP寻址、路由、隔离广播。
在理解路由器的工作原理以前,首先明白什么是路由。
我们先看一个生活中的小事例,一封信从重庆发往上海的过程:
生活中的信件发送与网络世界的数据路由的联动思考:
(1)将写好的信放入信封,并在信封上写明收件人的地址、寄信人的地址。
联动思考:
在网络世界中,在OSI第三层封装IP报文,并在报头写入源iP地址与目标IP地址。
(2)将写好收件人和寄件人地址的信件投递到最近的邮政箱。
在网络世界中目标IP与源IP不在同一个子网,就需要将源IP产生的数据报文投递到默认网关,默认网关机相当于距离写信人最近的邮箱。
在此以后信件要怎么发,那是邮局的事,寄信人无需再做任何处理。
路由也是一样,数据报文只要被送到了默认网关(距离发送者最近的路由器),计算机就再也干涉不了数据报文怎样发送了,至于数据报文怎样发送,这是路由器的工作,也是我们本节的重点。
(3)当信件被投递到邮政箱后,邮局对本地区域内的所有信件进行汇总、归类、为运送信件做准备。
在网络世界中,运营商的路由器将所有企业网络的路由进行汇总或策略化之后再发出本地的自治区域。
(4)当信件被本地邮局发送出去后,信件是被空运还是利用火车或轮船运载,这要看寄信人采用一种什么样的方式寄这封信,是挂号还是快递或者是平邮。
在网络世界中,当数据报文从运营商的路由器转发后,数据报文可能有多个途径或者方式到达目标,具体通过哪一条路径到达上海的运营商,这要看具体的路由策略,以及不同的成本的路径开销。
(5)信件到达上海的邮政局,上海邮政局需要将这些进入上海邮政的信件全部分发到上海不同区域的邮政箱中。
在网络世界里,数据报文从重庆的运营商发出经过不同的路径到达上海运营商的路由器,上海运营商的路由器收到数据报文后,会将报文分发给上海各大企业级路由设备。
(6)信件到达目标收信人附近的邮政箱后,会被转发到收信人的手中。
在网络世界里,数据报文会通过企业级路由器转发给目标客户。
整个过程如图所示:
上述是对路由的宏观理解,那么怎么样来对路由进行深入的理解呢?
通过上述的宏观理解提出几个问题:
对于计算机而言,它是如何知道什么样的IP报文需要发给路由器处理并转发的?
它怎么知道网络上的设备哪个是路由器?
路由器在收到计算机发来的IP报文后,如何转发数据报文?
如图2.25所示:
如果在192.168.1.2主机发出ping192.168.3.2的指令,实际上再ping指令后面紧跟的这个IP地址192.168.3.2是一个目标地址。
计算机将目标的IP地址192.168.3.2与本地主机的子网掩码求“与”,得到网络ID192.168.1.0,所以这两个主机不再一个子网中。
那么这种情况下,主机确定它们之间的通信是需要路由器进行路由的。
主机是利用计算机上的“默认网关”来确定路由器的位置的。
如图2.26所示:
“默认网关”是路由器上连接本地子网的一个接口,该接口与本地计算机同在一个IP子网中,所以本地计算机可以与“默认网关”通信。
确定了路由器的位置后,发送给192.168.3.2的ping报文被投递到路由器路由器R1。
R1收到计算机发来的报文后,利用路由表(路由表类似于人类的地图)选择到目标子网的最佳路径,然后将数据报文进行转发,如图2.27所示:
当路由器R1收到原IP地址为192.168.1.2,、目标地址为192.168.3.2的iP报文时,路由器将报文中的目标IP192.168.3.2提取与路由表中的记录表项中的“目标子网”做对比,查看是否有与其相匹配的路由记录。
如果有,比如在R1的路由表中有一条目标子网为192.168.3.0、目标子网掩码为255.255.255.0、下一跳地址为192.168.2.2的路由记录,那么就匹配成功,该数据报文就被路由器转发到下一跳地址为192.168.2.2的路由器R2上。
如图所示
1.3.1.演示路由器的入侵与防御
1.路由器面对的安全威胁
路由器的基本工作是完成企业网络的路由,现在讨论路由器的安全性,因为路由器通常都用于企业网络的边界,也是企业内部与Internet连接的一个关键网络组件,如果路由器受到入侵,那么整个企业就没有安全性可言。
现今的黑客入侵手段与方式有很大部分是针对路由器而设计的,包括”破解路由器的使能账户口令”、更改路由器的配置、路由器SNMP入侵、侦听路由器的telnet数据内容等,这为路由器带来了很大的安全威胁。
2.分析破解“路由器使能账户口令”
这种入侵方式通常和网络管理员所使用的习惯有关,很多路由器在刚购买时,通常要么设有设备任务使能账号的密码,要么就有一个默认的出厂密码,而很多网络管理员一般都只注重路由器功能的配置,很少关心路由器的使能密码或改变默认密码。
入侵者利用扫描软件扫描出路由器设备,利用黑客的心理学来猜测密码,很快就可以进入路由器并更改相应的配置,如图所示:
为现在市面上常用的宽带路由器的默认使能账户与密码的对照参数表,多试几次很快就可以破解宽带路由器的密码,获得路由器完整控制权。
3.分析“利用SNMP漏洞入侵Cisco的路由器”
在实际的工程环境中,路由器通常不止一台,而且距离网络管理员的物理位置很远,网络管理员为了集中管理企业级网络中的所有路由器,通常使用两种方法完成,一种是telnet远程登录管理设备,另一种是使用SNMP简单网络管理协议完成远程管理与监控设备。
我们在这里讨论SNMP执行远程管理与监控,SNMP协议有两种组件:
一是SNMP代理,运行在被管理设备上的代理程序,比如开启SNMP的路由器,另一个是集中收集与分析的NMS(网络管理系统),NMS是负责处理和集中收集SNMP代理发来信息的软件平台,通常由一个网络管理软件执行,具体组件结构示意图如图2.28所示:
在正常情况下,SNMP代理与NMS之间有一个确保SNMP代理与NMS交换信息数据安全的属性,叫做团体属性字符串。
SNMP代理与NMS之间的团体属性字符串内容必须相同,才能确保SNMP代理与NMS成功地交换信息,它相当于是SNMP代理与NMS之间的密码。
在默认情况下,所有网络设备的SNMP团体字符串有两种默认设置,一种是public,表示对路由器的资源只拥有读的权限;
另一种是private,表示NMS对SNMP代理有读写的权限。
如果用户不对这两个默认的团体字符串做修改,将有可能产生不安全的行为,因为NMS可以任意更改SNMP的代理配置文件。
当然,这也包括伪造合法NMS身份的黑客能够基于SNMP协议入侵路由器。
现在的网络入侵事件随着Internet的不断发展,网络系统的逐步复杂,黑客已经从原来针对单机的入侵转变成基于网络结构与网络设备的入侵。
千万不要误认为路由器只是一台单纯处理路由与数据转发的设备,加固路由器的安全性也同样重要。
1.3.2.演示:
利用SNMP漏洞入侵思科路由器
利用路由器的SNMP漏洞入侵思科的路由器,并成功下载配置,破解被加密的用户密码,打开企业网络的第一道大门。
如图2.29所示
solarwinds2002,它是一款集扫描、破解、管理等功能与一身的专业软件。
它能成功的监控思科路由器的CPU、内存,查看路由器的硬件体系结构、模块构造,包括路由器的配置文件等。
首先,配置路由器作为SNMP管理的代理,能够被NMS管理平台所管理,NMS利用SNMP管理和配置路由器,然后,攻击主机利用SNMP入侵路由器。
第一步:
开始扫描网络中存在SNMP漏洞的路由器。
安装好solarwinds软件后出现如图所示的工具栏。
单击“iPnetworkbrowser”按钮,弹出如图所示的“configurationwizard”对话框,在该对话中应该有两个默认的团体字符串“public”和“private”,删除“public”,只保留“private”,然后单击“next”按钮,弹出如图所示的“IPNetworkbrowser”窗口,在窗口中的“scananipaddressrange”区域的下拉列表框中输入扫描的IP子网段,弹出如图所示的扫描结果,可看出找到一个存在SNMP漏洞的路由器R1,它的IP地址是192.168.100.1,可查看该路由器的所有网络接口及路由器的型号、IOS的版本号,使用的团体字符串等信息。
第二步:
开始对有漏洞的路由器进行配置文件下载。
选择如图所示的工具栏的“Ciscotools”-“downloadciscoconfig”命令,打开如图2.34所示的“downloadciscoconfig”对话框。
在“Routerhostnameoripaddress”下拉列表框中输入漏洞路由器的IP地址“192.168.100.1”,在“communitystring”下列表框中输入“private”私用团体字符串,然后单击“copyconfigfrom
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 网络设备 工作 原理 安全 威胁