解决方案: 对于ARP 欺骗攻击,利用接入层交换机上已经记录了Snooping 表项或(和)静态绑定了合法用户的信息进行报文合法性判断 。当交换机端口上收到ARP报文,将报文中的IP和MAC地址提取出来,然后与上述表项进行对比,若IP、MAC以及收到报文的端口信息在表项中,则认为是合法报文,正常处理,否则认为是非法报文予以丢弃 。
4 IP/MAC欺骗攻击
常见的欺骗种类有MAC欺骗、 IP 欺骗、 IP/MAC欺骗,黑客可以伪造源地址进行攻击,例如:以公网上的DNS 服务器为目标,希望通过使DNS服务器对伪造源地址的响应和等待,造成DOS攻击,并以此扩大攻击效果 。此外IP/MAC欺骗的另一个目的为了伪造身 份或者获取针对IP/MAC的特权 。
解决方案: 防止IP/MAC欺骗,处理类似上面讲到的防止ARP欺骗,也是利用Snooping 表项和静态绑定表项检测IP报文中IP、MAC和端口号的正确性,所不同的是IP地址检查特性配置在交换机的端口上,对该端口生效,不是通过软件丢弃报文,而是直接在端口下发ACL规则,由硬件直接丢弃非法报文,极大降低了 伪IP报文对交换机处理效率的影响 。
文章插图
针对网络的攻击解决方案有:
边界安全(防火墙):访问控制列表和防火墙类似于建筑物外墙上的门锁,只让经过授权的用户(拥有钥匙或者胸牌的用户)进出 。边界安全可以控制对关键性应用、服务和数据的访问,使得只有合法的用户和信息才能从一个网络(信任域)进入另外一个网络 。基本的实施是访问控制和防火墙(访问攻击,缓解DOS攻击,检测扫描攻击及作出相应措施) 。
入侵防范( IDS,IPS):入侵检测系统的作用类似于现实生活中的监视摄像机 。它们可以不间断地扫描网络流量(通过将流量拷贝一份到传感器),查找可疑的数据分组 。利用一个跟踪特征数据库,它们可以记录任何不正常的情况,并采取相应的措施:发出警报,重置攻击者的TCP连接,或者禁止攻击者的IP地址再次登录网络 。网络IDS (NIDS )检则器通常可以利用一个不可寻址的混和接口卡监听某个子网上的所有流量,并通过另外一个更加可靠 的接口发送任何警报和记录的流量 。(检测攻击代码,如木马、病毒,扫描攻击)
安全连接(VPN):利用互联网协议安全标准(IPS)的虚拟专用网(VPN )可以提供信息的机密性、完整性和终端身份认证 。(防止数据被非法用户窃取,防止中间人的攻击)
身份识别(802.1X,AAA ): 只有通过认证的用户才能访问网络(非法用户不能接入,防止密 码攻击) 。
准入控制( NAC/EAD(H3C) ):NAC 为完全符合安全策略的终端设备提供网络接入,且有助 于确保拒绝不符合策略的设备接入,将其放入隔离区以修复,或仅允许其有限地访问资源 。(解决网络威胁)
行为管理: 限制网络用户对网络的滥用(解决网络威胁)
集成化产品安全: 在提供传统防火墙、VPN 功能基础上,同时提供病毒防护、URL 过滤、 漏洞攻击防护、垃圾邮件防护、P2P/IM 应用层流量控制和用户行为审计等安全功能 。
- 大学生创业肺腑之言 感情的肺腑之言
- 大学生创业网的这些隐藏扶持政策 大学生创业的主要政策
- 网上开店需要的步骤 开店流程步骤
- 初一英语时间表达法 时间的两种表达
- 女士的法则|《女士的法则》讲述了什么故事 《女士的法则》值得一看吗
- 国宝大熊猫的介绍和特点 熊猫的介绍和特点
- 篮球抢篮板球的规则 篮球抢篮板是什么规则
- 怎么提升无线网络速度 怎么提高无线网传输速率
- ctu是哪个城市的缩写 ctu是哪个城市
- 河南说的半吊子是什么意思 半吊子是什么意思