扩展访问控制列表的两个高级选项

zhangaxyoyo

常见网络攻击
（1）mac flood攻击
攻击者向交换机发送大量的具有虚假源mac地址的流量，导致交换机mac地址表溢出，最终导致交换机不能学习正常主机的mac地址，从而导致正常主机的流量被交换机泛洪转发，进而导致流量嗅探。

（2）vlan hopping
攻击者利用交换机的vlan trunk协议（IEEE802.1Q）协商功能，与交换机建立turnk，可以捕获每个vlan的流量；或者采用为流量进行vlan双标记的方法实现跨越vlan边界的单向访问。

（3）arp欺骗
攻击者利用构造虚假的arp应答包，造成通信双方主机的错误的arp缓存信息，从而导致信息泄露和中间人攻击。

（4）ip地址欺骗
是大多数网络攻击的一种伴随行为，攻击者使用虚假的ip地址进行各种攻击，可能造成拒绝服务或身份冒用。

（5）land攻击
是一种使用相同的源和目的主机和端口发送数据包到某台机器的攻击。结果通常使存在漏洞的机器崩溃。

（6）Teardrop攻击
是基于UDP的病态分片数据包的攻击方法，其工作原理是向被攻击者发送多个分片的IP包（IP分片数据包中包括该分片数据包属于哪个数据包以及在数据包中的位置等信息），某些操作系统收到含有重叠偏移的伪造分片数据包时将会出现系统崩溃、重启等现象。（利用UDP包重组时重叠偏移（假设数据包中第二片IP包的偏移量小于第一片结束的位移，而且算上第二片IP包的Data，也未超过第一片的尾部，这就是重叠现象。）的漏洞对系统主机发动拒绝服务攻击，最终导致主机当机或协议崩溃。

（7）死亡之Ping
属于拒绝服务攻击的一种，Ping是通过发送ICMP报文来判断主机是否存活。许多早期的操作系统对TCP/IP栈的实现在ICMP包上都是规定64KB，当发送超大型的包时，即发送的包超过65535字节时，就会导致接收方出现内存分配错误，导致TCP/IP堆栈崩溃或服务器死机。

（8）Smurf攻击
是以最初发动这种攻击的程序名“Smurf”来命名的。这种攻击方法结合使用了IP欺骗和ICMP回复方法使大量网络传输充斥目标系统，引起目标系统拒绝为正常系统进行服务。Smurf攻击通过使用将回复地址设置成受害网络的广播地址的ICMP应答请求(ping)数据包，来淹没受害主机，最终导致该网络的所有主机都对此
ICMP应答请求做出答复，导致网络阻塞。更加复杂的Smurf将源地址改为第三方的受害者，最终导致第三方崩溃。

(9)源路由欺骗(Source Routing Spoofing)
原理:利用IP数据包中的一个选项-IP Source Routing来指定路由，利用可信用户对服务器进行攻击，特别是基于UDP协议的由于其是面向非连接的，更容易被利用来攻击; 该攻击能够控制流量的路径。

(10)UDP Flood
是日渐猖厥的流量型DoS攻击，原理也很简单。常见的情况是利用大量UDP小包冲击DNS服务器或Radius认证服务器、流媒体视频服务器，但是实际上攻击者和被攻击者双方的流量是很大的。

(11)SYN Flood
是当前最流行的DoS（拒绝服务攻击）与DdoS（分布式拒绝服务攻击）的方式之一，这是一种利用TCP协议缺陷（利用TCP三次握手的原理），发送大量伪造的TCP连接请求，从而使得被攻击方资源耗尽（维持大量的半开tcp连接，导致CPU满负荷或内存不足）的攻击方式。

(12)会话劫持(Session Hijack)
是一种结合了嗅探以及欺骗技术在内的攻击手段。广义上说，会话劫持就是在一次正常的通信过程中，黑客作为第三方参与到其中，或者是在数据流（例如基于TCP的会话）里注射额外的信息，或者是将双方的通信模式暗中改变，即从直接联系变成有黑客联系。TCP会话劫持的攻击方式可以对基于TCP的任何应用发起攻击，如HTTP、FTP、Telnet等。对于攻击者来说，所必须要做的就是窥探到正在进行TCP通信的两台主机之间传送的报文，这样攻击者就可以得知该报文的源IP、源TCP端口号、目的IP、目的TCP端号，从而可以得知其中一台主机对将要收到的下一个TCP报文段中seq和ack seq值的要求。这样，在该合法主机收到另一台合法主机发送的TCP报文前，攻击者根据所截获的信息向该主机发出一个带有净荷的TCP报文，如果该主机先收到攻击报文，就可以把合法的TCP会话建立在攻击主机与被攻击主机之间。带有净荷的攻击报文能够使被攻击主机对下一个要收到的TCP报文中的确认序号（ackseq）的值的要求发生变化，从而使另一台合法的主机向被攻击主机发出的报文被被攻击主机拒绝。TCP会话劫持攻击方式的好处在于使攻击者避开了被攻击主机对访问者的身份验证和安全认证，从而使攻击者直接进入对被攻击主机的的访问状态，因此对系统安全构成的威胁比较严重。

(13)dhcp欺骗攻击
攻击者通过使用dhcp服务向客户端分配ip地址和网关，从而轻易的实现中间人攻击。

(14)DNS欺骗
就是攻击者冒充域名服务器的一种欺骗行为。原理：如果可以冒充域名服务器，然后把查询的IP地址设为攻击者的IP地址，这样的话，用户上网就只能看到攻击者的主页，而不是用户想要取得的网站的主页了，这就是DNS欺骗的基本原理。

3.常用防御方法
(1)mac flood攻击防御
部署交换机端口安全功能，能够同时限制交换机端口能够连接的主机的数量和mac地址，这样攻击者就无法使用
虚假mac地址通信，保护了交换机的mac地址表不会溢出。

（2）vlan hopping防御
关闭交换机端口的trunk协商功能，部署交换机vlan acl或private vlan进行访问控制。

（3）arp欺骗防御
静态配置主机的常用通信地址的arp映射，扩展性不好。
部署厂商专用技术：例如思科交换机的动态arp检查（DAI)能够检查arp应答包的真实性，并据此进行arp流量检查和过滤。
使用专用的主机安全软件如arp防火墙等。

（4）ip地址欺骗防御
在网络边界（三层交换机、路由器、防火墙等）部署ACL过滤非法地址。
在交换机部署ip地址与mac地址绑定。

（5）land攻击防御
升级主机、网络设备系统和补丁。
部署路由器、防火墙或IDS/IPS等安全策略。

（6）Teardrop防御
升级主机、网络设备系统和补丁。
部署路由器、防火墙或IDS/IPS等安全策略。

（7）死亡之Ping防御
升级主机、网络设备系统和补丁。
部署路由器、防火墙或IDS/IPS等安全策略。

（8）Smurf攻击防御
升级主机、网络设备系统和补丁。
关闭路由器定向广播转发功能。
部署路由器、防火墙或IDS/IPS等安全策略。

（9）源路由欺骗(Source Routing Spoofing)
关闭路由器源路由转发功能，启用路由器反向路径转发检查功能。

（10）UDP Flood防御
部署防御ip地址欺骗策略
部署专用的抗dos流量攻击产品
部署防ip地址欺骗
部署流量限速

（11）SYN Flood防御
部署防御ip地址欺骗策略
升级主机系统和补丁
启用路由器TCP拦截
部署路由器、防火墙、IDS/IPS专用安全功能

（12）会话劫持(Session Hijack)
部署防火墙能够很好的防御会话劫持。

（13）dhcp欺骗攻击防御
思科交换机有一种安全功能叫做dhcp snooping（监听），能够自动过滤非法的dhcp服务器消息可以防御dhcp欺骗攻击。

（14）DNS欺骗防御：
使用ip地址访问重要的服务器。
安装最新版本的DNS软件
关闭DNS服务递归功能
限制域名服务器作出响应的地址
限制域名服务器作出响应的递归请求地址
限制发出请求的地址

上述介绍的攻击是恶意利用网络协议的原理和缺陷而实施的，防御方法仅供参考，实乃抛砖引玉之举。

小小媄oC

香姐分享了哦，我顶~~~

阿宝和佳佳

很不错，谢谢分享

小皮球

LZ，你是不是也准备开始学IE啦。

zhangaxyoyo

小小媄oC 发表于 2014-6-4 16:59
香姐分享了哦，我顶~~~

嘻嘻，感谢捧场^^

zhangaxyoyo

阿宝和佳佳 发表于 2014-6-5 09:37
很不错，谢谢分享

矮油，客气哒，能稍微帮助到大家就开心了的。

zhangaxyoyo

小皮球 发表于 2014-6-5 11:50
LZ，你是不是也准备开始学IE啦。

LZ可能介样的想法哦，赶紧给我加油吧 ^＾

小皮球

zhangaxyoyo 发表于 2014-6-5 14:30
LZ可能介样的想法哦，赶紧给我加油吧 ^＾

真的啊，你考我也跟着你考，如何？我可向大叔报备了。

zhangaxyoyo

小皮球 发表于 2014-6-5 17:06
真的啊，你考我也跟着你考，如何？我可向大叔报备了。

你不就是S类会员了么，还木有考试。鄙视鄙视。。。。。

阿宝和佳佳

zhangaxyoyo 发表于 2014-6-5 14:28
矮油，客气哒，能稍微帮助到大家就开心了的。

LZ你太谦虚啦，顶你