企业局域网常见攻击分析与防范.docx

1、企业局域网常见攻击分析与防范 摘要本文主要研究的主要目的在于强调CIA模型在网络中的应用、保护企业网络的局域网安全以及合理部署企业网络安体系。本文通过结合企业网络和CIA模型的联系，论证了CIA模型在企业网中应用的重要性，CIA模型主要包括机密性、完整性、可用性。在企业网络局域网安全问题上，本文通过理论结合实验的方法，分析了局域网常见的主机扫描、漏洞扫描、STP攻击原理与危害，提出相应的防御措施。最后在企业网络安全体系上，本文从接入认证技术、ASA防火墙和VPN技术、通过实验分析并结合理论分析，表明该技术方案能较好防御常见攻击，保证企业网安全。关键词： 网络安全；CIA模型；企业网络；网络分析

2、 AbstractThe main objective of this paper is to emphasize the CIA model in network applications, LAN security to protect corporate networks and the rational deployment of enterprise network security system. In this paper, combined with enterprise networks and linkages CIA model is demonstrated in th

3、e CIA model is the importance of enterprise network applications, CIA model includes confidentiality, integrity and availability. LAN in the enterprise network security issues, this paper combines experimental method by theoretical analysis of the LAN common host scanning, vulnerability scanning, ST

4、P Attacks and hazards, propose appropriate defensive measures. Finally in the enterprise network security system, this article from the access authentication technology, ASA firewall and VPN technology, through experimental analysis and theoretical analysis show that the technical solutions can bett

5、er defense common attacks to ensure that enterprise network security.Key words: network security; CIA model; enterprise network; network analysis;1. 引言随着计算机网络规模的迅猛发展，网络环境正在变得日趋复杂，网络的需求也越来越大。现今企业网络的攻击主要是内网安全性的问题，本次研究主要的侧重点也在于内网攻击的模拟和防御，通过实例验证来解决内网攻击。对于企业经常使用的防火墙的高级特性，进行研究，并通过真实的实验抓包来获取数据。VPN的应用对于企业网络

6、来讲是必不可少的，通过模拟企业网络VPN，来研究其数据包的转发方式，从而更好的了解VPN的数据包如何交流，有助于部署和后期的设备维护。网络技术的合理应用，网络设备的采购，都成了网络安全性至关重要的问题。依照网络发展的需求，使用相应的网络安全解决方案。满足CIA网络安全模型的企业网络，已经是当下的需求。针对于机密性（confidentiality）企业主要使用ACL对数据流量进行过滤。完整性（integrity）主要在于防止篡改公司的主页，可用性（availability）主要是企业要防止DDOS攻击等，保证企业网络的正常使用。内部局域网攻击是当今网络的主要攻击方式，据2010年的统计70%的网

7、络攻击都来自于局域网攻击。在防范外部网络攻击的同时，内部网络的安全性也是极其的重要。攻击者通过网络扫描获取主机相关信息，并加以分析。再通过漏洞检测技术，发现系统漏洞并入侵。最后再在受攻击电脑上植入后门方便下次登录。内部局域网攻击的防范是网络安全架构的重中之重。针对企业网络存在的安全问题，本文着重从接入认证协议、防火墙与VPN部署方面防御攻击。对于认证协议主要描述了PEAP with MS-CHAPv2，这个协议相对复杂，需要使用数字证书来进行认证，采用二重认证的方式。但是其加密性好，安全性强。针对于防火墙与VPN，本文主要描述了其中的部署方式和常见的数据包分析。2.网络安全概述2.1. 安全准

8、则CIA模型阐述CIA三元组，即机密性、完整性、可用性，是最简单的，使用范围也是最广泛的安全模型。这三大核心原则既可以作为搭建一切安全系统的指导方针，也可以作为衡量安全实施情况的准绳。这些原则适用于安全分析的所有阶段：从用户访问，到用户的Internet历史记录，再到Internet上加密数据的安全。违反任何一个原则都会给相关单位造成严重的损失。1）机密性机密性用于组织未授权就曝光的敏感型数据的行文。它可以确保网络达到了必要的机密级别，并且网络中的信息对非法用户是保密的。只要谈到网络安全，在CIA三元组中人们首先想到的一定就是确保网络的机密性，因此机密性也是最常收到网络攻击的环节。密码学和加密

9、的目的就是确保在两台计算机之间传输数据的机密性。比如在进行网上银行交易的时候，用户要确保他的密码是保密的，例如公司的机密文件等等。密码学就是用来保护传输敏感的数据，也就是说，密码学的目的就是确保这些数据在穿越公共媒介时的机密性4。在企业网络中，机密性是必不可少的。特别当公司需要传输重要数据的时候，对于文件的机密性更加的重要。其实机密性不仅仅只存在于数据传输过程，对于服务器上的数据档案的加密防护，防止公司数据非法传播，不会担心黑客成功入侵服务器系统而造成文件被盗等。2） 完整性完整性的主要作用是防御未经认可就修改文件代码、信息系统和消息记录的行为，因此可以确保信息和系统的准确性。换句话说，如果数

10、据时完整的，就等于这个数据没有被修改过，也就等于它和原始信息是一致的。有一个常见的攻击方式称为中间人攻击。在执行这类攻击的时候，黑客就会在信息传递的过程中对进行拦截和修改4。完整性保护的企业网络数据的详实。如公司的WEB服务器不被随意的，公司服务器的重要数据不被随意的篡改，保护咨询处理的正确性。这些都与完整性息息相关。3） 可用性可用性可以确保用户始终能够访问资源和信息，也就是说需要浏览这些信息的时候，这些信息总能够被访问。确保授权用户可以随时访问信息非常重要。有一类攻击方式就是设法让合法用户无法访问数据，以达到终端服务的目的，拒绝服务攻击就是这类攻击方式之一4。企业网络的可用性体现在使用多台

11、设备来进行冗余备份，引入DOS防御设备，保护资源可以及时的被利用，防止TCP范洪攻击等。可用性对于企业网络整体架构来说起着至关重要的作用。2.2.小结主要描述了CIA模型在企业网络建设中的重要性。网络构建的时候，就需要满足CIA的可靠性、完整性以及机密性确保企业网络的可靠安全。3.企业局域网常见攻击分析3.1.概述防止安全入侵，已经不仅仅是安全防火墙、审计功能、病毒防御等方面了，外部的入侵威胁在上述所讲的这些设备的安全防御之下已经有很大的改善。但是，现在的安全问题慢慢的已经开始进行了转移，从原来的主要防御外部安全逐步转移到防御内部的安全，而这些问题也得到了广泛的认同。内部局域网，常常的出现自己

12、随意接入上网、违反规定的安装非法软件、个人带入其它无关的设备进入机房，造成了内部局域网络的安全问题日益突出。所以对于内部网络的优化，对于企业网的用户来讲，已经是刻不容缓了。本文主要叙述了几个企业网络攻击，如黑客通过主机扫描的方式，确定攻击的目标。通过漏洞分析对服务器进行攻击。通过ARP欺骗来截获数据报文。通过CAM表溢出、STP攻击，对企业局域网的交换机进行主动攻击。3.2.网络扫描3.2.1. 扫描攻击原理分析1) 确定攻击目标这是网络攻击的第一个步骤，黑客首先通过扫描的方式确定攻击目标，从确定目标计算机的类型、IP、开放的端口、主机名称等等。防止这个步骤，有助于企业内部网络的安全。黑客主机

13、扫描主要使用的工具是非常有名的nmap，nmap是一个网络黑客常用的扫描工具，主要用于终端扫描。被用于扫描计算机开放的网络端口。通过fingerprinting技术，来判断哪个系统转段运行哪些的会话连接，判断系统终端运行的哪些操作系统。针对于这类行的攻击，通过分析攻击的数据包可以知道数据包结构分析可知，nmap使用ping协议和微软的netbios协议来发送请求，看主机是否有应答来判断主机是否存在。而对于端口扫描则是通过TCP链接的三次握手来判断端口是否开启。2) 详细描述TCP端口扫描的原理：攻击者发送 TCP 请求报文给 受攻击者，受攻击者如果开启了相关的服务，就会回送一个带有SYN,AC

14、K这两个tag的数据包。而如果受攻击者没有开启相关的服务，那么就会发送一个带有RST这个tag的数据包，TCP连接示意如图 3-1 3-1 TCP连接示意图3.2.2. 攻击实例分析本次使用的拓扑如下模拟企业网络的拓扑如图3-2。攻击主机的IP是 192.168.10.21，受攻击的主机IP是192.168.10.107图3-2 攻击拓扑在攻击者上运行BT5，然后开始使用nmap命令产生攻击：nmap -sS -P0 -sV -O 192.168.10.107 /获取IP主机的系统类型及开放端口，攻击后获得的主机扫描数据包如图3-3：图3-3 主机扫描数据包攻击者扫描结果如图3-4：图3-4

15、主机扫描结果通过这样的手法，攻击者就可以知道整个局域网络的信息，并且判断自己准备要攻击的是哪一台主机，然后再进行相应的攻击。3.2.3. 防御措施对网络扫描这类攻击应采取相应的防御措施，于如图 3-2攻击拓扑结构，可在交换机上采用二层隔离技术。PVLAN技术的原理是分割原本在一起的广播域，通过把原先在一个广播域的VLAN分割成多个广播域。每个小的广播域都由一个私有VLAN所构成的，这些小的广播域可以分成两种类型一个是相对重要的主VLAN和辅助VLAN。一个PVLAN里面可以有多个代表一个广播域的私有VLAN。在一个私有VLAN 域中所有的私有VLAN 对共享同一个主VLAN。每个子域的辅助VL

16、AN ID 不同。一个私有VLAN 域中只有一个主VLAN，辅助VLAN 实现同一个私有VLAN 域中的二层隔离，有两种类型的辅助VLAN：隔离VLAN：同一个隔离VLAN 中的端口不能互相进行二层通信。在同一个私有的VLAN中，只能存在一个隔离VLAN。团体VLAN，则是同一个私有VLAN中的端口可以实现MAC层的数据传输，但是不能同不同群体的私有VLAN的端口进行MAC层的数据交流。混杂端口属于有较高权限的端口，这个端口是可以和所有端口进行数据交流的。当然了这些端口既包括了团体VLAN的端口，也包括隔离VLAN的端口。进而可以总结成，隔离端口中的隔离VLAN只能和权限高的混杂端口通信。群体

17、端口既可以和权限高的混杂端口通信，也可以和自己通团体VLAN的端口进行通信。私有VLAN 中，只有主VLAN 可以创建SVI 接口，辅助VLAN 不可以创建SVI11。交换机上采用的配置如下：1）配置VLANRuijie(config)#vlan 10Ruijie(config-vlan)#private-vlan primary /指定vlan 10为主vlanRuijie(config-vlan)#vlan 20Ruijie(config-vlan)#private-vlan community /指定vlan20 为团体vlanRuijie(config-vlan)#vlan 30 Ru

18、ijie(config-vlan)#private-vlan community /指定vlan30为团体vlanRuijie(config-vlan)#vlan 10Ruijie(config-vlan)#private-vlan association add 20,30 /关联主vlan和辅助vlan 2)接口划入辅助VLAN中 Ruijie(config-if-FastEthernet 0/1)#switchport mode private-vlan host /指定接口是Pvlan 的用户接口Ruijie(config-if-FastEthernet 0/1)#switchport

19、 private-vlan host-association 10 20 /接口属于辅助vlan20，其主vlan是103)接口24为上联路由器接口 Ruijie(config-if-FastEthernet 0/24)#switchport mode private-vlan promiscuous /把接口属性改为Pvlan 混杂模式Ruijie(config-if-FastEthernet 0/24)#switchport private-vlan mapping 10 add 20,30 /这是一个映射配置，vlan20和vlan30映射到主vlan10上3.3.服务器漏洞攻击3.3.

20、1.服务器漏洞攻击原理分析 1) 漏洞扫描主要是对企业网内的服务器或主机通过基于漏洞数据库，通过对漏洞数据库的分析，检测出服务器计算机安全较为薄弱的地方，再进行相应的渗透攻击行为。局域网漏洞扫描技术主要是使用的工具有知名的Nessus，这款软件可以设置检测策略，对被攻击的主机进行相对应适合的策略，再进行攻击。它提供了完整的数据库支持，通过大量的数据库分析从而检测出服务器主机的安全脆弱性。2) 漏洞攻击原理：漏洞扫描和主机扫描类似，攻击者发送TCP链接和ICMP报文，不同的是漏洞扫描的攻击者还发送UDP报文给客户机。但从网络层上面的分析，漏洞扫描和主机扫描发送数据包的原理基本一致。从以上的分析来

21、看可以发现上面的数据包都是通过IP源头是192.168.10.107，目的是192.168.10.21来发送的。所以如果可以实现局域网内部的二层隔离，就可以实现防御攻击的效果。3.3.2.漏洞攻击实例分析主要的拓扑见攻击拓扑图3-2。在攻击主机上运行BT5，并开启Nessus。Nessus设置如图3-5 图3-5 Nessus设置检测结果可以看到，服务器上有1个中等漏洞，和20个低等漏洞。通过这些漏洞，攻击这就可以开始对服务器进行一些列攻击。从而获取服务器的控制权限。漏洞扫描结构如图3-6 图 3-6漏洞扫描结构3.3.3.防御措施针对漏洞扫描攻击，可在交换机上采用二层隔离技术使用隔离端口技术

22、。隔离端口是为了实现报文之间的二层隔离，可以将不同的端口加入隔离端口，但是不需要像PVLAN那样添加VLAN条目数。采用端口隔离技术，可以在一个VLAN之间实现二层的隔离。在对设备进行配置的时候，只需要讲端口加入相应的隔离端口，这样就可以让这两个端口的用户产生二层隔离。用户只需要将端口加入到隔离组中，就可以实现隔离组内端口之间二层数据的隔离。端口隔离功能为用户提供了更安全、更灵活的组网方案。交换机具体配置如下：Ruijie(config-FastEthernet 0/1)#switchport protected /设置保护端口3.4.主机欺骗攻击3.4.1.主机欺骗原理分析1） 黑客通过主机

23、欺骗技术在企业局域网中截获数据包，从而进行进一步的分析，获取自己所需要的信息。ARP欺骗技术是常见的主机欺骗攻击。ARP地址解析协议，具体来说就是可以把IP转换成MAC二层链路地址，从而使得网络可以通信。黑客利用了这一点，开始进行内部攻击。ARP欺骗也就是运用了这个原理，ARP欺骗是局域网内常见的攻击方式，简单有效。ARP欺骗可以分成两类，一类是主机型ARP欺骗，一类是网关型ARP欺骗。2） 攻击原理：主机型ARP欺骗主要是针对电脑终端进行欺骗，攻击者伪装自己是网关，让电脑终端把全部数据发送给攻击者。主机型ARP欺骗如图3-7：图3-7主机型ARP欺骗网关型ARP欺骗目标也是主机终端，攻击者对

24、网关谎称自己是同一个局域网内的另一台主机，从而截图相应的报文。网关型ARP欺骗如图3-8： 图3-8 网关型ARP欺骗如上攻击者通过发送欺骗性的ARP数据包致使接收者收到数据包后更新其ARP缓存表，从而建立错误的IP与MAC对应关系，源主机发送数据时数据便不能被正确地址接收。主要的软件有网络执法官，网络执法官使用的是ARP攻击原理，造成正常电脑无法上网。从原理上进行分析，攻击者主要发送了ARP报文，攻击者更改了sender MAC 和sender IP的值，伪造是受攻击主机的IP地址，从而导致受攻击主机IP地址冲突的问题。ARP报文如图3-9：3-9 ARP报文ARP欺骗的主要攻击方式是通过更

25、改ARP报文中的 sender IP 和sender MAC来进行的，所以必须对ARP数据包进行正确分析，从而丢弃这些数据包，保证网络的正常通信。3.4.2. ARP攻击实例分析实例拓扑采用图2-1攻击拓扑，现在攻击方运行XP系统，然后运行网络执法官，ARP欺骗如图3-10，最后导致IP主机无法正常上网，提示出现IP冲突的问题图3-10 ARP欺骗3.4.3. 防御措施对与ARP欺骗，可通过以下两种方式进行防御：（1）发送免费ARP，由网关设备不停地向局域网以广播方式发送ARP响应报文，使局域网中的用户主机不停地刷新自己的网关IP、MAC对应关系。（2）使用ARP双绑定技术。即对主机来说，绑定

26、正确的网关MAC地址。对于网关来说，需要绑定正确的主机MAC地址。在交换机上使用ARP-CHECK功能来进行防御，ARP 报文检查（ARP-Check）功能，对逻辑端口下的所有的 ARP 报文进行过滤，对所有非法的 ARP 报文进行丢弃，能够有效的防止网络中 ARP 欺骗，提高网络的稳定性。 ARP绑定（包括主机的静态ARP绑定、网关的可信任ARP绑定）。ARP-CHECK功能可以检测ARP报文中的sender-mac和sender-ip从而检测ARP是否存在欺骗性。在交换机上配置：Ruijie(config-if-FastEthernet 0/1)#arp-check3.5.网交换机攻击3.

27、5.1. 交换机攻击原理分析常见的企业网络交换机攻击方式有两种，一种是CAM表溢出攻击，另一种是STP攻击。1）CAM表溢出攻击，利用的是CAM表老化时间的缺陷来进行攻击的。默认CAM表的老化时间是300S，对于CAM表来说后面的的数据包的MAC地址会对前一个的MAC地址进覆盖，但是CAM表的容量是有限制的，所以满了之后，后一条就要覆盖到前一条。CAM表攻击也就是利用这样的环境来进行攻击的。假设局域网中主机1和主机2之间的通讯是单播，正常其它的主机是无法接收到但是它们之间通信的数据包的。中间的黑客发出多个伪造的包，将交换机的CAM表充满，之后主机1需要将数据包发送给主机2时，交换机正常情况下，

28、变回去查找自己的CAM表，但是由于先前的攻击，导致了现在交换机的CAM表中，无法查找相应的表项。此时，交换机开始在整个广播域中进行数据的泛洪，这样交换机的所有端口都会发送这个数据包，黑客就可以获取该数据包，并进行后续的黑客攻击。使用BT5上的macof这个工具进行攻击，macof这个工具可以1秒钟内创建上千个数据包，从而导致交换机的CAM表溢出。2） CAM表攻击原理：攻击者通过发送大量的MAC地址和IP地址随意的TCP报文从而使得CAM表空间被全部占满。从而导致后续到来的数据包必需要进行广播范洪，这样攻击者就可以获取后续的正常数据包并对其进行分析，从而威胁局域网络安全。3） STP攻击者发送

29、BPDU数据包，谎称自己是根桥，这样导致大量的流量被传输到STP攻击者这里。这样STP攻击者就可以对局域网内部的数据流进行过滤分析。最终可能导致重要文件被窥探。工具yersinia 这是一款黑客工具，其具有多种功能，包括针对Cisco的HSRP欺骗，CDP欺骗等等。当然了， yersinia可以仿造虚假的BPDU，从而改变网络中的根桥。4） STP攻击者不仅仅能用来窥探数据包，更主要的书STP攻击者可以借这个攻击导致网络整体瘫痪。恶意的攻击者，通过发送优先级高的BPDU来充当根网桥的作用，这样就可能导致STP重新收敛，并且造成局域网络二层环路，最终导致整个网络的崩溃。3.5.2. 交换机攻击实

30、例分析1）CAM表溢出攻击实例拓扑采用图3-1 ，在BT5中输入macof，这是主机会产生大量的数据包，CAM表溢出攻击如图3-11 图3-11 CAM表溢出攻击如图所示，BT5发送大量的TCP数据包，MAC地址和IP地址都随意的变化，数据包如图3-12图3-12 数据包2）STP攻击如图3-13 实验拓扑，使用了三台设备，两台交换机以及一台电脑图3-13 实验拓扑开始运行输入命令yersinia G 开始运行并启动STP攻击，STP攻击设置如图3-14 图3-14 STP攻击设置实验效果，可以发现SW1 从原本是根的状态转变成备份。现在BT5主机的MAC地址就是根，STP攻击效果如图3-15

31、图3-15 STP攻击效果3.5.3. 防御措施1）针对CAM表溢出攻击CAM表攻击是因为攻击者发送大量的数据包，从而导致交换机的CAM表容量不足，导致的攻击问题。为了很好的解决这个问题，需要引入一个技术，能够控制交换机对于进来的数据包进行过滤，从而防止攻击者的数据包占满CAM表导致溢出。端口安全是一种基于IP层次或是MAC层次对网络进行安全过滤的机制，在端口安全工作的时候，对于数据报的过滤方式，既可以是针对IP地址的三层过滤，也可以是针对MAC地址的二层过滤，当然了也可以是对IP和MAC同时过滤。端口安全技术不仅仅是用来过滤地址的，还可以用来限制最大的IP接入数量，这样可以防止用户私自接入主

32、机，或是使用软件对交换机进行攻击。安全端口是常用的接入协议，安全端口对于数据包进行过滤。那么它是如何过滤的呢？安全端口采用三种违例方式：（1）protect：在这种违例方式下，安全端口将会丢弃违规的IP地址；（2）restrict：在这种违例的时候，安全端口不仅丢弃数据包，还会发送一个trap通知消息；（3）shutdown:当这种违例情况的时候，交换机就会自动关闭这个端口。相关配置：Switch(config-if)#switchport port-security 打开端口安全模式Switch(config-if)#switchport port-security violation protect | restrict | shutdown /对违例的数据包进行丢弃操作Switch(config-if)#switc