网络与信息安全 第3章 网络监听及防御技术 1 沈超 刘烃 自动化科学与技术系 西安交通大学电子与信息工程院

Slides:



Advertisements
Similar presentations
晏宏斌工程师 2014 年 9 月 “ 宽带网络校校通 ” 校园网建设要点和基础维护方法. – 中小学校园网络建设要点 – 常见网络故障处理基本方法 目 录目 录.
Advertisements

企业产品成本核算制度(试行) 培训课件 河北涿州 2013年11月15日.
當我已老 謹以此文獻給像我一樣流浪在外的子女們.
第五章 遵守社会公德 维护公共秩序 主讲人:王海斌.
加速推进所级系统试运行工作 确保ARP一期目标的实现
易物之家 有限责任公司.
高等教育出版社《哲学与人生》 第一课《客观实际与人生选择》说课 三原职教中心 许红.
本周复习一下基本的网络知识 下周开始讲解路由器的配置方法 第四周开始到实验室做实验(主楼910,919)
2015年12月14日-2015年12月20日 缩略版.
指導老師:羅夏美 組別:第四組 組員: 車輛二甲 蔡中銘 車輛三甲 莊鵬彥 國企二甲 陳于甄 國企二甲 詹雯晴 資傳二乙 林怡芳
我的家乡 南通 ….
Wireshark 03/03/2017.
第2章 黑客常用的系统攻击方法.
半导体所网络概况 图书信息中心 张 棣.
数字化校园建设与思考 扬州大学信息中心 沈 洁 2017年3月3日.
数据通信与计算机网络 第1讲 绪论 浙江万里学院 邵鹏飞.
公共部门人力资源管理课程导学 学习本课程的三步 3、利用网络 2、掌握方法 1、了解课程.
第 4 章 网络层.
第三节 树立正确的恋爱婚姻观 思政课部:陈兰兰.
A good beginning is half done!
追求卓越、助力发展 是ARP党支部不断奋斗的目标 ARP中心支部“七一”评优报告 2014年6月20日
“网络问政”给九江新闻网 带来新的发展机遇 -- 九江新闻网 高立东 --.
计算机网络安全技术实验 启动虚拟机、GIF、measpoilt、.
路由器的性能特点和工作原理 两种常用的内部网关协议(RIP和OSPF) 路由器的产品结构 局域网中使用路由器的方案
计算机网络技术 项目负责人 张嗣萍/本环节主讲教师 王磊 第2章 局域网的构建(3) 2007年度上海建桥学院教改课程
计算机系统与网络技术 第14讲 局域网构建技术 讲课教师:常姗
NetGuru 創新 網路通訊實驗教學解決方案 PART I TCP/IP通訊協定深入剖析/以NetGuru實作
第一章 網路攻防概述.
第十一章 網路安全 (Network Security)
社会工作概论 个案工作 课程培训 深圳电大 赖小乐.
学生顶岗实习系统 培训教程 徐州建筑职业技术学院.
五、学习方法及应考对策 (一)学习方法 1.保证复习时间,吃透教材:上课之前应该对课程相关内容进行预习,把不理解的问题记录下来,带着问题听课。考试之前务必把课本看3遍以上,第一遍一定要精读,最好能做笔记,边读边记,不要快,要记牢。第二、三遍可以查缺补漏型的看,通过做题目看书,加深课本印象。 2.加强概念、理论性内容的重复记忆:概念、理论性内容一般比较抽象,所以在理解的基础上一定要重复记忆,在接受辅导之后,再加以重点记忆,以便及时巩固所学内容,切忌走马观花似的复习,既浪费时间,效果也不好。
发布主体 个人信息发布 行业信息发布 官方机构信息发布 发布方式 个人网站信息发布 班级演讲 老师讲课 企业通过因特网发布自己的产品信息
网际协议:IP.
中学生网络安全教育.
前言.
国家赔偿法 第一讲 辅导教师 赵洪云.
国家公务员制度讲座 期末复习.
贵州省情教程 授课教师 贵州电大 张 涤.
ARP攻擊&防治 演講學生: 陳柏任 指導教授:梁明章.
教师:陈有为 TCP/IP与Internet(A) 教师:陈有为
IPv6 技術與服務 台東大學 電算中心 郭俊賢 技術師.
臺東縣中小學資訊教育校園網路管理暨資訊安全防護計畫研習
以SNMP偵測阻斷區域網路ARP欺騙行為
ARP, RARP & ICMP.
ARP Spoofing -ARP 攻擊- 報告者 A 洪靖雅.
远程诊断技术及设备 ---今日坐拥明日之选.
摩擦力.
實驗目的: 明瞭CSMA/CD的工作原理 解析乙太網路協定下框架資料傳送的格式
劉大川1、陳一瑋2、 陳昌盛1 、林盈達1,2 1交通大學 計算機與網路中心 2交通大學網路測試中心 2008/10/20
貨幣需求與貨幣市場的均衡.
交换机基本配置.
小太陽兒童人文藝術學院兒童畫展 地點:住院大樓9F、11F外走道( )
计算机网络 第三章:数据链路层 阮晓龙 / 河南中医学院管理信息工程学科 河南中医学院网络信息中心
TANet PROTOCOL ANALYSIS - WIRESHARK - 350.
常見網路設備簡介 A 周緯龍.
組 長:蔡玉娟 組 員:吳哲一 林美賢 王振名 網路組 工作簡報.
计算机网络情况介绍 曾理
什么叫浪漫?明知那个女孩儿不爱他,还送给她999朵玫瑰;
TCP/IP协议及其应用.
2018 资产管理处 采购系统简介.
商業行為成立的要件 動動腦 Q 請試著判斷下列何者為商業行為? 請試著判斷下列何者為商業行為?.
團體衛生教育護理創意競賽 報告者:護理科 計畫主持人邱馨誼講師
目次检索 打印 下载 文字摘录 更换背景 多窗口阅读.
第十七讲 网络系统的规划与设计.
科学架设和优化校园组网结构 提升内部网络访问和管理水平
Internet课程设计 教师:陈 妍 朱海萍 西安交通大学计算机系
106年免試入學第一次模擬 選填重要日程表說明 1.106年1月10日中午12時~106年1月16日中午12時完成第一次模擬
網路犯罪.
第 4 章 网络层.
Presentation transcript:

网络与信息安全 第3章 网络监听及防御技术 1 沈超 刘烃 自动化科学与技术系 西安交通大学电子与信息工程院 2019/5/13 网络与信息安全 第3章 网络监听及防御技术 沈超 刘烃 自动化科学与技术系 西安交通大学电子与信息工程院 tingliu@mail.xjtu.edu.cn chaoshen@mail.xjtu.edu.cn 1 部分来源:国家计算机网络入侵防范中心,张玉清

内容介绍 3.1 网络监听概述 3.2 监听技术 3.3 监听的防御 3.4 小结 3.1 网络监听概述 3.2 监听技术 2019/5/13 网络入侵与防范讲义

2019/5/13 网络入侵与防范讲义

案例:观察登录BBS过程 设置网卡 如果有多个网络接口(网卡),首先在Capture Options中设置在哪个网络接口上抓包。勾选Capture packets in promiscuous mode选项,将网卡设置成混杂模式。 2019/5/13 网络入侵与防范讲义

案例:观察登录BBS过程 设置过滤条件:捕获前过滤 2019/5/13 网络入侵与防范讲义

案例:观察登录BBS过程 设置过滤条件:捕获后过滤 如果Filter框背景显示为绿色,说明所设定的过滤规则合乎Wireshark支持的语法规则。 如果Filter框背景显示为红色,说明所设定的过滤规则不符合语法规则。 2019/5/13 网络入侵与防范讲义

案例:观察登录BBS过程 主机向服 务器发送 的POST 请求 登录BBS的用户名和密码 2019/5/13 网络入侵与防范讲义

3.3 监听的防御 3.3.1 通用策略 3.3.2 共享网络下的防监听 3.3.3 交换网络下的防监听 2019/5/13 网络入侵与防范讲义

3.3.1 通用策略 由于嗅探器是一种被动攻击技术,因此非常难以被发现。 完全主动的解决方案很难找到并且因网络类型而有一些差异,但我们可以先采用一些被动但却是通用的防御措施。 这主要包括采用安全的网络拓扑结构和数据加密技术两方面。此外要注意重点区域的安全防范。 2019/5/13 网络入侵与防范讲义

安全的拓扑结构 网络分段越细,嗅探器能够收集的信息就越少。 网络分段:将网络分成一些小的网络,每一个网段的集线器被连接到一个交换器 (Switch) 上,所以数据包只能在该网段的内部被网络监听器截获,这样网络的剩余部分(不在同一网段)便被保护了。网络有三种网络设备是嗅探器不可能跨过的:交换机、路由器、网桥。我们可以通过灵活的运用这些设备来进行网络分段。 划分VLAN:使得网络隔离不必要的数据传送,一般可以采用20个工作站为一组,这是一个比较合理的数字。网络分段只适应于中小的网络。网络分段需要昂贵的硬件设备。 (1)安全的拓扑结构 嗅探器只能在当前网络段上进行数据捕获。这就意味着,将网络分段工作进行得越细,嗅探器能够收集的信息就越少。但是,除非你的公司是一个ISP,或者资源相对不受限制,否则这样的解决方案需要很大的代价。网络分段需要昂贵的硬件设备。有三种网络设备是嗅探器不可能跨过的:交换机、路由器、网桥。我们可以通过灵活的运用这些设备来进行网络分段。大多数早期建立的内部网络都使用HUB集线器来连接多台工作站,这就为网络中数据的泛播(数据向所有工作站流通),让嗅探器能顺利地工作提供了便利。普通的嗅探器程序只是简单地进行数据的捕获,因此需要杜绝网络数据的泛播。 随着交换机的价格下降,网络改造变得可行且很必要了。不使用HUB而用交换机来连接网络,就能有效地避免数据进行泛播,也就是避免让一个工作站接收任何非与之相关的数据。 对网络进行分段,比如在交换机上设置VLAN,使得网络隔离不必要的数据传送。一般可以采用20个工作站为一组,这是一个比较合理的数字。然后,每个月人为地对每段进行检测(也可以每个月采用MD5随机地对某个段进行检测)。网络分段只适应于中小的网络。如果有一个500个工作站的网络,分布在50个以上的部门中,那么完全的分段的成本上是很高的。 2019/5/13 网络入侵与防范讲义

数据加密 数据通道加密:正常的数据都是通过事先建立的通道进行传输的,以往许多应用协议中明文传输的账号、口令的敏感信息将受到严密保护。目前的数据加密通道方式主要有SSH 、SSL(Secure Socket Layer,安全套接字应用层)和VPN。 数据内容加密:主要采用的是将目前被证实的较为可靠的加密机制对对互联网上传输的邮件和文件进行加密。如PGP(Pretty Good Privacy)等。 2019/5/13 网络入侵与防范讲义

3.3 监听的防御 3.3.1 通用策略 3.3.2 共享网络下的防监听 3.3.3 交换网络下的防监听 2019/5/13 网络入侵与防范讲义

3.3.2 共享网络下的防监听 虽然共享式局域网中的嗅探很隐蔽,但也有一些方法来帮助判断: 检测技术 检测处于混杂模式的网卡 网络通讯丢包率非常高 检测技术 网络和主机响应时间测试 ARP检测(如AntiSniff 工具) 2019/5/13 网络入侵与防范讲义

3.3.2 共享网络下的防监听 1. 网络和主机响应时间测试 这种检测已被证明是最有效的,它能够发现网络中处于监听模式的机器,而不管其操作系统是什么。 2019/5/13 网络入侵与防范讲义

3.3.2 共享网络下的防监听 1. 网络和主机响应时间测试 测试原理是处于非监听模式的网卡提供了硬件底层过滤机制,即目标地址为非本地(广播地址除外)的数据包将被网卡所丢弃。 这种情况下骤然增加目标地址不是本地的网络通讯流量对操作系统的影响很小。 而处于混杂模式下的机器则缺乏底层的过滤,骤然增加目标地址不是本地的网络通讯流量会对该机器造成较明显的影响(不同的操作系统/内核/用户方式会有不同)。 2019/5/13 网络入侵与防范讲义

3.3.2 共享网络下的防监听 1. 网络和主机响应时间测试 实现方法是利用ICMP ECHO请求及响应计算出需要检测机器的响应时间基准和平均值。 在得到这个数据后,立刻向本地网络发送大量的伪造数据包,与此同时再次发送测试数据包以确定平均响应时间的变化值。 非监听模式的机器的响应时间变化量会很小,而监听模式的机器的响应时间变化量则通常会有1~4个数量级。 2019/5/13 网络入侵与防范讲义

3.3.2 共享网络下的防监听 2. ARP检测 地址解析协议(Address Resolution Protocol, ARP)请求报文用来查询硬件地址到IP地址的解析。适用于所有基于以太网的IPV4协议。 我们可以使用这类分组来校验网卡是否被设置为混杂模式。 2019/5/13 网络入侵与防范讲义

3.3.2 共享网络下的防监听 2. ARP检测 在混杂模式下,网卡不会阻塞目的地址不是自己的分组,而是照单全收,并将其传送给系统内核。然后,系统内核会返回包含错误信息的报文。 基于这种机制,我们可以假造一些ARP请求报文发送到网络上的各个节点,没有处于混杂模式的网卡会阻塞这些报文,但是如果某些节点有回应,就表示这些节点的网卡处于混杂模式下。这些处于混杂模式的节点就可能运行嗅探器程序。 2019/5/13 网络入侵与防范讲义

3.3.2 共享网络下的防监听 ARP检测原理 例如:网络上一台IP地址为192.168.1.1的PC(X)以太网地址是00-00-00-00-00-01,这台PC(X)需要向网络上另外一台IP地址为192.168.1.10的PC(Y)发送消息。 2019/5/13 网络入侵与防范讲义

ARP检测原理(1) 在发送之前,X首先发出一个ARP请求包查询192.168.1.10对应的以太网地址。查询包的目的地址被设置为FF-FF-FF-FF-FF-FF(广播),从而本地网络上的所有节点都可以收到这个包。 收到之后,每个节点会检查这个ARP包查询的IP地址和本机的IP地址是否匹配。如果不同,就忽略这个ARP包;如果匹配(Y)就向X发出应答。 X收到应答之后就缓存Y的IP/硬件地址。然后,X就可以向Y发送实际的数据。 2019/5/13 网络入侵与防范讲义

ARP检测原理(2) 进一步设想,如果我们把这个查询包的目的地址(以太网地址)设置为另外的地址,而不是原来的广播地址又将如何? 2019/5/13 网络入侵与防范讲义

ARP检测原理(3) 例如:我们把查询包的目的地址设置为00-00-00-00-00-01会发生什么? 处于正常模式下网络节点的以太网卡会认为这个查询包是发往其它主机的,其硬件过滤器会拒绝接收这个包;然而,如果这个网络节点(192.168.1.10)的以太网卡处于混杂模式(promiscuous mode)下,那么即使以太网地址不匹配,其硬件过滤器也不进行任何过滤,从而使这个查询包能够进入到系统的内核。 因为这个节点的IP地址和查询包的要查询IP地址相同,其内核就会认为ARP查询包到达,应该作出应答。 2019/5/13 网络入侵与防范讲义

ARP检测原理(4) 所以这个方法并不是完全奏效,但是此方法简单实用。 这是因为这个包被系统内核过滤掉了。在这里我们把这叫作软件过滤器。 所以这个方法并不是完全奏效,但是此方法简单实用。 2019/5/13 网络入侵与防范讲义

ARP检测原理(5) 概括地说,我们可以通过区别硬件过滤器和软件过滤器的不同特征来检测处于混杂模式的网络节点。我们需要构造应该被硬件过滤器阻塞,但是却能够通过软件过滤器的报文。如果把这种报文送到各个网络节点,那么处于普通模式下的网络节点将不做应答;而处于混杂模式的节点会进行应答。 2019/5/13 网络入侵与防范讲义

3.3 监听的防御 3.3.1 通用策略 3.3.2 共享网络下的防监听 3.3.3 交换网络下的防监听 2019/5/13 网络入侵与防范讲义

3.3.3 交换网络下的防监听 交换网络下防监听,主要要防止ARP过载。ARP过载 是指通过发送大量ARP数据包使得交换设备出现信息 过载,工作于广播模式。 交换网络下防范监听的措施主要包括: 不要把网络安全信任关系建立在单一的IP或MAC基础上,理 想的关系应该建立在IP-MAC对应关系的基础上。 使用静态的ARP或者IP-MAC对应表代替动态的ARP或者IP- MAC对应表,禁止自动更新,使用手动更新。 定期检查ARP请求,使用ARP监视工具,例如ARPWatch等监 视并探测ARP欺骗。 制定良好的安全管理策略,加强用户安全意识。 2019/5/13 网络入侵与防范讲义

3.4 小结 最普遍同时也是最致命的安全威胁往往来自内 部,其破坏性也远大于外部威胁。 其中网络嗅探对于一般的网络来说,威胁巨大。 因此很多黑客也使用嗅探器进行网络入侵渗透。 网络嗅探器对信息安全的威胁来自其被动性和非 干扰性,使得网络嗅探具有很强的隐蔽性,往往让网 络信息泄密变得不容易被发现。 本节课分析了网络嗅探的原理,并提出一些防范 措施。但对于用户而言除了技术手段以外,最重要的 还是建立相应的安全意识,注意对隐私信息的加密保 护。 2019/5/13 网络入侵与防范讲义

谢谢各位! 2019/5/13 网络入侵与防范讲义