下面是小编为大家准备的局域网安全HSRP攻击和防范(共含6篇),欢迎阅读借鉴。同时,但愿您也能像本文投稿人“dshoopes888”一样,积极向本站投稿分享好文章。
HSRP的工作原理在这就不介绍了,相信大家都知道,
这是只讲一下HSRP 的特点:
1 HSRP 虚拟出一个全新的IP 和MAC地址。
2 HSRP的主播地址版本1是224.0.0.2(所有局域网的路由器),版本2的主播地址是 224.0.0.102(所有HSRP路由器)。
HSRP的TTL为1,所以不可能实现跨网攻击。
默认的验证密码是明文“cisco”
IPV4使用UDP的1985端口,IPV6使用的是UDP的2029端口。
虚拟MAC的构成方法:
下面通过抓包验证上面的正确性:
一 MAC 我设置的是10
二 明文密钥的验证:
三 TTL验证
通过上面的我们可以看出其实攻击一个HSRP很容易,我们用笔记本安装一个假路由器 ,先用抓包软件分析一下是不是用了HSRP,然后将假路由器 priority为255,然后丢弃收到的所有数据包就能实现一个DOS攻击,
当然HSRP 也是一个网关,用中间人攻击也可用轻松实现攻击。
防范:
1采用强认证
key chain hsrp
key 1
key-string root
standby 10 authentication md5 key-chain hsrp
验证:
存在的问题:
这种方法对重放攻击是没有办法的 我们可以采取VLAN MAP和IOS ACL
限制只允许合法的HSRP协议,和端口安全等。
说明 由于我抓包软件的原因HSRP 的版本显示错误的 。本人由于水平有限难免出现错误希望朋友能指出错误
配置如下:up.//0511/20120511102848619.rar
摘自 wenlf136 的BLOG
SQL蠕虫病毒
【故障现象】SQL是蠕虫一个能自我传播的网络蠕虫,专门攻击有漏洞的微软SQL Server TCP 1433或者UDP1434端口,它会试图在SQL Server系统上安装本身并借以向外传播,从而进一步通过默认系统管理员SQL Service帐号威胁远程系统,
此蠕虫是由一系列的DLL、EXE、BAT及JS文件构成,这些文件包含了一些IP/端口扫描及密码盗取工具。它会将这些文件拷贝至受感染计算机上,并将SQL管理员密码改为一由四个随机字母组成的字符串。
中毒的主机大量发包阻塞网络,整个网络会迅速被这些攻击所形成的流量影响,形成DoS拒绝服务攻击。造成局域网内所有人网速变慢直至无法上网。
【快速查找】在WebUIà上网监控页面,查询当前全部上网记录,可以看到感染冲击波病毒的主机发出的大量NAT会话,特征如下:
1、协议为TCP,外网端口为1433;协议为UDP,外网端口为1434;
2、会话中有上传包,下载包往往很小或者为0。
【解决办法】
1、将中病毒的主机从内网断开,杀毒,安装微软提供的相关SQL Server的补丁。
2、在安全网关上关闭该病毒的相关端口。
1)WebUIà高级配置à组管理,建立一个工作组“all”(可以自定义名称),包含整个网段的所有IP地址(192.168.0.1--192.168.0.254)。
注意:这里用户局域网段为192.168.0.0/24,用户应该根据实际使用的IP地址段进行组IP地址段指定,
3)WebUIà高级配置à业务管理à业务策略列表中,可以查看到上一步建立的“f_1433”策略(“dns”、“dhcp”为系统自动生成的允许dns和dhcp数据包的策略,不必修改),同时系统自动生成一条名称为“grp1_other”的策略,该策略屏蔽了所有外出的数据包,为了保障其他上网的正常进行,需要将此策略动作编辑为“允许”。
4)在上表中,单击策略名“grp1_other”,在下面的表项中,将动作由“禁止”编辑为“允许”,保存。
6)WebUIà高级配置à业务管理à全局配置中,取消“允许其他用户”的选中,选中“启用业务管理”,保存。
3、注意:
1)配置前不能有命令生成的业务管理策略存在,否则可能导致Web界面生成的业务管理策略工作异常或者不生效。
2)如果,已经有工作组存在,并且在业务管理中配置了策略,必须在WebUIà高级配置à组管理中,将该网段所有用户分配在相关的组中,然后在WebUIà高级配置à业务管理中将这些组的相关端口关闭。
3)如果内网有人确实需要使用外部的SQL服务,2.2)步骤会屏蔽内网所有向外请求的SQL服务,此时,可以只将内网中毒主机(假设192.168.0.100/24)的向外网的TCP 1433端口关闭,2.2)步骤作如下操作:
由于QQ在桌面IM领域占据着绝对霸主地位,在其身上衍生的各种产品也变得日益流行,而Qzone也逐渐成为网友书写日志和展示个性的地方,因此,Qzone的安全性也备受关注。不过,Qzone近日却爆出了一个跨站漏洞,这个漏洞非常容易被 利用。那么, 一般会如何通过这个漏洞来攻击普通用户呢?作为用户,我们又如何来防范这一漏洞的危害呢?
一、模拟 攻击
这里,我们首先来了解这个漏洞的具体情况。Qzone的跨站漏洞是网友无意中打开类似“hxxp://u ser.qzone.qq.com/QQ号码?url=任意字母”时发现的,这时网页显示为一个框架网页,中间为“无法打开网页”的空白页面(如图1);然而,当输入类似“hxxp://u ser.qzone.qq.com/QQ号码?url=www.baidu.com”的地址时却可以正常显示,这时url后的网址其实在幕后是加载的。那么,Qzone的跨站漏洞又是如何被 作为木马的媒介的呢?
第一步: 需要对该地址进行乔装改扮一番。比如:网页木马的url为“www.muma.com/muma.exe”。 会使用URl加密技术来为木马地址作掩护,常用的方法是把url地址转换为16进制,这里以ASCII码随心换为例(如图2)进行示范。
第二步: 将Qzone的地址设置为“hxxp://u ser.qzone.qq.com/QQ号码?url=%68%74%74%70%3A%2F%2F%77%77%77%2E%6D%75%6D%61%2E%63%6F%6D%2F%6D%75%6D%61%2E%65%78%65”并在网页上贴出Qzone的地址来引诱网友点击,用户往往点击了该地址下载运行了木马还蒙在鼓里。
二、如何防范Qzone攻击
方法1:既然这一跨站漏洞这么隐蔽,用户感染的几率也不会低,
我们需要如何来防范这一漏洞可能造成的危害呢?做到不感染病毒,未雨绸缪是最有效果的。因此,我们在访问网友的Qzone前,要多长几个心眼,要观察其网址的形式。
一般正常的Qzone的地址是“hxxp://u ser.qzone.qq.com/号码”或者“号码.qzone.qq.com/”形式的,如果出现“hxxp://u ser.qzone.qq.com/QQ号码?url=”的地址就要谨慎了,Qzone也可能出现类似“hxxp://u ser.qzone.qq.com/号码/?url=http%3A//photo.qq.com/tips_jump.htm%23uin%3D号码%26albumid%3D393029702%26photoid%3D”的地址,如果地址里面完全没有QQ的地址段,那么为了防止下载运行网页木马,可以将url后的字符输入到ASCII码随心换进行转换(如果是像以上地址的格式,可以将%后的十六进制字符逐个进行转换来获得完整地址),如果url指向可执行文件就不能点击了。
方法2:为了防止系统被种植网页木马,还可以安装杀毒软件和防火墙并需要开始实时文件和网络监控,这样即使下载了网页木马也会被清除。如果发现了可疑的Qzone地址要及时举报,让 成为过街老鼠,毫无藏身之处。
小结:Qzone的跨站漏洞被用来种植木马具有受众广的特点,Qzone的地址经过加密化装后,又有几个人会仔细地进行甄别呢?因此,利用人们偷窥人家隐私空间的好奇心来传播木马是很有效果的。
其实,要防范Qzone地址在你的电脑种植木马也不难,最简单的方法就是只点击QQ资料里的Qzone地址,不去其他网站点击就可以了。另外,需要使用具有防范IE漏洞的安全工具和杀毒软件来查杀这类木马的下载安装,如:瑞星卡卡。携带木马的Qzone地址一经发现要马上通知网友,决不姑息,不让其他人成为 的牺牲品。同时,每次Qzone提示升级我们也最好升级不用嫌麻烦而取消升级,以免被 利用其他未知的漏洞。
为了产生攻击效果,这些URL必须从搜索引擎给出的搜索结果中排名靠前的域名中取得,攻击者通常会通过搜索引擎查找一些专门伪造的搜索词,这些搜索词往往能够泄露特定漏洞的存在。
搜索引擎投毒这种攻击,能够利用搜索引擎来显示搜索结果,该结果包含着对交付恶意软件的网站的一个或多个引用。有多种方法可以执行搜索引擎投毒,其中包括控制流行网站、使用搜索引擎的“赞助”链接,其目的都是为了链接到恶意网站,进而注入恶意代码。
此外,攻击者通过操纵搜索引擎来返回搜索结果(该结果包含着对感染了跨站脚本的网站的引用),也可以实施搜索引擎投毒。受感染的网页将轻信的用户重新定向到恶意网站。在该用户点击这些链接时,其计算机就有可能感染恶意软件。这种伎俩很不一般,因为它并不要求攻击者控制或攻入任何服务器。
攻击原理与步骤
首先,攻击者搭建一台在收到请求后就交付恶意软件的服务器。可通过不同的方法来交付恶意软件,如通过一个能够利用浏览器漏洞的HTML页面或其它方法。
然后,攻击者获得一系列易于遭受跨站脚本攻击的URL。为了产生攻击效果,这些URL必须从搜索引擎给出的搜索结果中排名靠前的域名中取得。攻击者通常会通过搜索引擎查找一些专门伪造的搜索词,这些搜索词往往能够泄露特定漏洞的存在。
下一步,攻击者使用这些URL,根据有漏洞的URL创建大量的专门伪造的URL,其中包括目标关键词和一段能够与恶意软件交付服务器进行交互的脚本。
然后,攻击者获得一个支持简单用户内容生成的应用程序清单,如一些论坛程序。攻击者会用各种专门仿造的URL,使网页的内容泛滥,并有可能包含多个链接,并使其接受不同的应用程序。
此后,流行的搜索引擎在扫描整个Web,就会选取专门伪造的URL,并跟踪这些URL,进而对这些网页进行索引。其结果是,目标关键词与专门伪造的URL发生了关联。由于攻击者选取了高优先级的域名作为开始,而且由于对这些URL的大量引用,受到“投毒”的搜索结果的排名当然就靠前了。
最后,搜索这些关键词且容易轻信的用户单击这些URL中的一个链接,其计算机便容易被感染恶意软件,
总之,搜索引擎投毒易于实施,却难被搜索引擎检测到。这种伎俩的目标是诱导无辜的搜索者到达恶意网站或欺诈网站。例如,攻击者利用机器人程序生成大量的用户名,在论坛上彼此发布拥有许多链接的帖子进行讨论,显得不亦乐乎。对搜索引擎来说,这倒是一个好事儿,既然有这么多用户牵涉进来,因而搜索引擎便把这种网页放在显赫的位置。在某个用户单击了其中的某个链接后,就会打开一个链接到色情或购物网站的网页。在用户再次单击后,该链接就会将恶意软件安装到用户的计算机上,进而对用户实施欺诈或其它犯罪活动。
防范
攻击者以这种方式滥用网站可以导致企业的商誉和品牌受到破坏,丢失客户和潜在的访客。而且,这种攻击对网站的可访问性造成明显的负面影响,这会导致搜索引擎将URL引用标记为“有害”或“危险”,甚至被完全地从搜索索引中删除,从而使企业遭受严重的经济损失。
从管理层面来说,系统管理员可以使用一个具备“黑名单”功能的安全网关,截获被列入“黑名单”的网站上的所有通信,从而阻止一些不确定的或具有潜在威胁的URL分类,从而阻止搜索引擎投毒的危害。此外,保护好公司自己的网站(博客和用户论坛)也很重要,因为这样做就不会使其成为搜索引擎投毒的帮凶。保护Web应用程序免受XSS攻击可以防止这些网站被攻击者用作发动搜索引擎投毒的媒介。
从用户层面来说,防止搜索引擎投毒攻击要从提升搜索用户的认识水平开始。研究发现,虽然许多人已经理解在邮件中可能包含恶意软件,却并未认识到在上网搜索时,其搜索结果也有可能是不安全的。企业必须教育雇员不能访问色情、赌博等网站,在搜索信息时,要尽量使用知名网站上的URL。
仅有防火墙或反病毒软件对于防护动态变化的恶意软件及其灵活多变的交付方式是不够的。相反,企业需要实时的保护情报,基于云的Web防御可以快速地适应新的威胁,应当作为企业的首选方案。
局域网的安全问题经常是面对来自Internet的攻击,因此你必须时刻防范这些恶意攻击,关注你局域网的计算机系统安全,
在这篇文章里我们谈一谈网络攻击的机制,同时也着重讲述一下局域网系统避免遭受攻击的方法。
这里我们使用网络协议分层模式来分析局域网的安全。从图1可以看到,网络的七层在不同程度上会遭受到不同方式的攻击,如果攻击者取得成功,那将是非常危险的。而我们通常听到或见到的攻击往往发生在应用层,这些攻击主要是针对Web服务器、浏览器和他们访问到的信息,比较常见的还有攻击开放的文件系统部分。
下面两个方法从实践上来说被认为是非常有用的防范手段。
1.包过滤
图1 七层模型易遭受的安全攻击
在网络层检查通信数据,观察它的源地址和目的地址。过滤器可以禁止特定的地址或地址范围传出或进入,也可以禁止令人怀疑的地址模式。
2.防火墙
图2 包过滤器的配置
在应用层检查通信数据,检查消息地址中的端口,或检查特定应用的消息内容。测试失败的任何通信数据将被拒绝。
一、路由包过滤
TCP/IP地址由机器地址和标识程序处理消息的端口数字组成。这个地址/端口组合信息对每个TCP/IP消息都是有效的。包过滤与防火墙相比处理的简单一些,它仅是观察TCP/IP地址,而不是端口数字或消息内容。不过包过滤提供给你的是很好的网络安全工具。
包过滤器通常使用的是自顶向下的操作原则,下面是它使用的一个典型规则:
●允许所有传出通信数据通过;
●拒绝建立新的传入连接;
●其它的数据可以全部被接受。
通过这样的使用规则,系统的安全性提高了许多。因为它拒绝了Internet上主动与你的计算机建立新连接的请求。它阻止使用TCP的通信数据进入,从而杜绝了对共享驱动器和文件的未授权访问。
过滤器通常的应用是配置在连接你的计算机和Internet的路由器上,如图2所示。在你的局域网和Internet之间放置过滤器后,就可以保证局域网与Internet所有的通信数据都要经过过滤器。
如果包过滤软件有能力检查源地址子网,从子网物理端口传递消息到路由器,你就可以制定规则来避免虚假的TCP/IP地址,就象图2所示的那样。攻击者欺骗的方法就是把来自Internet的消息伪装成来自你局域网的消息。包过滤通过拒收带有不可能源地址的消息来防御攻击者的攻击,
例如,假定你在一个装有Linux的机器上安装软件,让它作为一个Windows网络文件服务器,你可以配置Linux让它拒收所有来自你的子网以外的通信数据,阻止Internet上的机器看到这个文件服务器。如果攻击者假装是你内部的机器,用过滤器就可以阻止攻击者的攻击。
包过滤虽然对网络的安全防范能起到很好的作用,但包过滤也并不是万能的。它们一般不能防御使用UDP协议的攻击,因为过滤器不能拒收开放的消息。包过滤还不能防御低层攻击,象PING方式的攻击。
二、防火墙
使用防火墙软件可以在一定程度上控制局域网和Internet之间传递的数据。图3所示是一个TCP/IP数据包报头示意图,从它上面可以清楚地看到包过滤和防火墙工作原理的不同之处。防火墙不但检查了包过滤检查内容的所有部分(TCP/IP的源地址和目的地址),还检查了源/目的端口数字和包的内容。
图3 包过滤器和防火墙的信息源
端口和消息内容这些信息使防火墙比包过滤有更强的防范能力,因为这些信息使防火墙控制特定进/出的主机地址。防火墙的功能有以下几个方面:
●允许或禁止特定的应用服务,例如:FTP或Web页面服务;
●允许或禁止访问基于被传递的信息内容的服务。
防火墙最直接的实施就是使用图2所示的结构,仅把局域网和ISP之间的包过滤器换成防火墙就可以了。这是一个防火墙的最安全的应用,因为它保护了防火墙后面的所有计算机。
图4 防火墙中使用DMZ
如果我们把图2改为图4所示的结构,就可以很好地解决这个问题。图4的结构中有3个端口。第三个端口连接的是另一个局域网,通常叫做DMZ(非军事区)。DMZ中的计算机与安全局域网中的计算机相比安全性要差一些,但是这些计算机可以接受来自Internet的访问。你可以把Web和FTP服务器放在DMZ,从而可以保护其它的计算机。防火墙上的规则设定为阻止进入安全局域网的通信数据,仅允许传出连接的建立。
如果你想增强DMZ局域网的安全性,可以使用过滤器,限制局域网中服务器使用的端口,禁止那些来自攻击站点的访问。
为了安全还可以给你的局域网分段,每段设置一个防火墙,每个防火墙使用不同的安全规则。需要记住的一点是,防火墙本身并没有保障安全的能力,你需要定期的检查防火墙对可疑事件做出的日志记录,还需要去发现和使用软件的安全补丁。
如果你使用Windows 98第二版的Internet共享连接功能,让你的一台计算机通过Modem把局域网连接上Internet。在这种情况下,你的网络是很不安全的,仍需要改善网络的安全性。最大的威胁就是你的电脑直接连接在了Internet上,你应该直接在这台电脑上安装包过滤器或防火墙产品,或让你的ISP安装包过滤器或防火墙来保护你的访问。
随着我国经济的不断发展,网络化信息在人们工作、学习、生活的各个领域,都发挥着重要的作用。在一切讲求效率的今天,计算机局域网以其简便、功能丰富、传输方便等做多优势受到了政府机关、事业单位和不少大企业的欢迎。可是近些年,网络网路入侵者攻击政府、事业单位、企业盗取资料的事件时有发生,使我们认识到计算机局域网的信息安全防范的重要性,同时应该建立全方位的防范系统,保障局域网的信息安全。
随着计算机在人们生活中的广泛应用,计算机技术也在飞速发展,人们传播信息的方式从最开始是写信演变到后来的打电话,再后来是发电邮,QQ、MSN等新型的传播工具出现之后,人们开始利用它们聊天、约会,甚至是传输一些工作资料。慢慢的这种工具的缺点显现出来,就是安全性得不到保障,例如2000之后出现了多起网络泄密的案件发生,对当事人的工作和生活造成了严重的影响。于是人们意识到,信息网络化不仅仅应该在效率上追求精益求精,更应该在安全防范上加大投入,才能够保障信息网络化已经成为高效率快速发展的重要保障。如果需要传输的信息涉及政府、军事、经济等需要保密的领域,就需要一套专业的网络,能够保障其安全、有序、及时的传输与传达,局域网应运而生。
1 计算机局域网安全的现状
局域网是指,在一个局部的地理范围内,将各种计算机,外部设备和数据库等互相连接起来组成的计算机通信网。它可以通过数据通信网或专用数据电路,与远方的局域网、数据库或处理中心相连接,构成一个较大范围的信息处理系统,可以实现文件管理、应用软件共享、打印机共享、扫描仪共享、工作组内的日程安排、电子邮件和传真通信服务等功能。从严格意义上说,局域网是封闭型的,可是由于局域网中传输的信息有些是涉及机密的,在利益的驱使下,一些人开始寻找局域网的漏洞,用高科技手段,妨碍局域网的正常工作。在计算机局域网建立的初期,许多人都认为局域网是无懈可击的,其中不乏一些专家学者,他们认为计算机信息安全的主要隐患在于互联网,而局域网几乎断绝了与互联网的关系,因此不会感染传统意义上的计算机木马或病毒,由于局域网的网络只限于某个特定的人群,并非对公众公开,因此网路入侵者无法通过攻击手段达到自己的目的。可是随着局域网的大规模铺开,越来越多的安全隐患出现在人们的视野中,不少网路入侵者也在不断地摸索局域网的缺陷,进而达到自己攻击的目的。
早期一些网路入侵者编写攻击网络的程序只是为了证明自己或者是好奇心的驱使,可是近几年逐利性的网络攻击屡见不鲜,2006年底被公众广泛关注的“熊猫烧香”就是以盈利性为目的大的网络攻击,而这种逐利性的攻击也体现在对政府、事业单位和国营企业的计算机局域网的攻击上。目前对局域网的攻击主要体现为直接攻击,即通过进入服务器终端,篡改和盗窃信息而获取利益,例如几年前在我国香港就出现过,有人通过攻击政府局域网而盗取材料的案件,在内地也发生过攻击政府部门的局域网而企图盗窃国家安全资料的案件。类似这样的安全,不仅仅是对计算机局域网信息安全的巨大挑战,也是对国家尊严的挑战。
计算机病毒对局域网的攻击具有强大的破坏性。在以前相当长的一段时间里,计算机病毒仅仅以单机攻击为目标,造成的结果也只是一台电脑或者是几台电脑的病毒感染导致的瘫痪或其他计算机问题。可是随着计算机技术的不断进步,病毒也随之不断升级,最终发展为以网络传输为基本方式,有些病毒可以一次性攻击局域网内所有计算机的硬件,有的病毒甚至是以攻击局域网本身为目的的。病毒入侵会导致服务器上所有计算机丢失重要信息,这些破坏对局域网的稳定和安全造成了很大的影响。
网路入侵者对局域网的攻击呈现多样化的态势,这是造成局域网不安全的最主要的因素之一。由于计算机的普及,网路入侵者的入门门槛也随之降低,对网络信息安全的威胁越来越大,一些人在利益的驱使下,开始不断地寻找局域网的破绽,除了传统的木马攻击和利用系统本身漏洞攻击之外,社会工程学攻击是时下网路入侵者最流行的攻击方式。局域网并不同于普通的计算机网络,它是用一个服务终端系统,将几个或者是几千个计算机连接起来,而且期间传输的内容不向外界透露。由于其不连接外网,所以在外界例如互联网上受到网路入侵者攻击的概率相对较小,可是网路入侵者只要攻击服务器终端就可以立即攻击局域网内的所有计算机,同时将所有计算机之间正在传输或传输过的资料一览无余。同时,网路入侵者可以通过攻击局域网终端服务器,导致整个网络的瘫痪,甚至会影响整个单位工作的正常开展。
★ 安全防范工作
★ 安全防范口号
★ 安全防范工作方案
★ 安全防范通知
★ 局域网简历
★ 安全应急防范预案
