女人自慰AV免费观看内涵网,日韩国产剧情在线观看网址,神马电影网特片网,最新一级电影欧美,在线观看亚洲欧美日韩,黄色视频在线播放免费观看,ABO涨奶期羡澄,第一导航fulione,美女主播操b

0
  • 聊天消息
  • 系統消息
  • 評論與回復
登錄后你可以
  • 下載海量資料
  • 學習在線課程
  • 觀看技術視頻
  • 寫文章/發帖/加入社區
會員中心
創作中心

完善資料讓更多小伙伴認識你,還能領取20積分哦,立即完善>

3天內不再提示

交換機知識--網絡安全

通信互聯 ? 來源:tplink支持 ? 2020-05-18 15:07 ? 次閱讀
加入交流群
微信小助手二維碼

掃碼添加小助手

加入工程師交流群

ARP(Address Resolution Protocol,地址解析協議)用于將網絡層的IP地址解析為數據鏈路層地址。IP地址只是主機在網絡層中的地址,如果要將網絡層中數據包傳送給目的主機,必須知道目的主機的數據鏈路層地址(比如以太網絡MAC地址)。因此必須將IP地址解析為數據鏈路層地址。

ARP協議用于將IP地址解析為MAC地址,并在主機內部維護一張ARP表,記錄最近與本主機通信的其它主機的MAC地址與IP地址的對應關系。當主機需要與陌生主機通信時,首先進行ARP地址解析,ARP地址解析過程如圖所示:

1) A在自己的ARP表中查詢是否存在主機B的IP地址和MAC地址的對應條目。若存在,直接向主機B發送數據。若不存在,則A向整個局域網中廣播一份稱為“ARP請求”的數據鏈路幀,這個請求包含發送端(即主機A)的IP地址和MAC地址以及接收端(即主機B)的IP地址。

2) 局域網的每個主機接收到主機A廣播的ARP請求后,目的主機B識別出這是發送端在詢問它的IP地址,于是給主機A發出一個ARP應答。這個應答包含了主機B的MAC地址。

3) 主機A接收到主機B發出的ARP應答后,就將主機B的IP地址與MAC地址的對應條目添加自己的ARP表中,以便后續報文的轉發。

掃描綁定功能即通過交換機向局域網或VLAN發送指定IP段的ARP請求報文,當收到相應的ARP應答報文時,將分析ARP應答報文來獲得四元信息。由此可見,通過掃描綁定功能可以很方便的將局域網用戶的四元信息進行綁定。

DHCP偵聽

隨著網絡規模的不斷擴大和網絡復雜度的提高,經常出現計算機的數量超過可供分配的IP地址的情況。同時隨著便攜機及無線網絡的廣泛使用,計算機的位置也經常變化,相應的IP地址也必須經常更新,從而導致網絡配置越來越復雜。DHCP(Dynamic Host Configuration Protocol,動態主機配置協議)是在BOOTP協議基礎上進行了優化和擴展而產生的一種網絡配置協議,并有效解決了上面這些問題。

DHCP工作原理

DHCP采用“客戶端/服務器”通信模式,由客戶端向服務器提出配置申請,服務器返回為客戶端分配的IP地址等配置信息,以實現網絡資源的動態配置。通常一臺服務器可以為多臺客戶端分配IP,如圖所示:

針對DHCP客戶端的需求不同,DHCP服務器提供三種IP地址分配策略:

1) 手工分配地址:由管理員為少數特定客戶端(如WWW服務器等)靜態綁定IP地址。通過DHCP將固定IP地址分配給客戶端。

2) 自動分配地址:DHCP服務器為客戶端分配租期為無限長的IP地址。

3) 動態分配地址:DHCP服務器為客戶端分配具有一定有效期限的IP地址,當使用期限到期后,客戶端需要重新申請地址。

絕大多數客戶端均通過動態分配地址的方式獲取IP地址,其獲取IP地址的過程如下圖所示:

1) 發現階段,客戶端以廣播方式發送DHCP-DISCOVER報文尋找DHCP服務器。

2) 提供階段,DHCP服務器接收到客戶端發送的DHCP-DISCOVER報文后,根據IP地址分配的優先次序從地址池中選出一個IP地址,與其它參數一起通過DHCP-OFFER報文發送給客戶端(發送方式根據客戶端發送的DHCP-DISCOVER報文中的flag字段決定,具體請見DHCP報文格式的介紹)。

3) 選擇階段,如果有多臺DHCP服務器向該客戶端發來DHCP-OFFER報文,客戶端只接受第一個收到的DHCP-OFFER報文,然后以廣播方式發送DHCP-REQUEST報文,該報文中包含DHCP服務器在DHCP-OFFER報文中分配的IP地址。

4) 確認階段,DHCP服務器收到DHCP客戶端發來的DHCP-REQUEST報文后,只有DHCP客戶端選擇的服務器會進行如下操作:如果確認地址分配給該客戶端,則返回DHCP-ACK報文;否則將返回DHCP-NAK報文,表明地址不能分配給該客戶端。

Option 82

DHCP報文格式基于BOOTP的報文格式,共有8種類型的報文,每種報文的格式相同。DHCP和BOOTP消息的不同主要體現在選項(Option)字段,并利用Option字段來實現功能擴展。例如DHCP可以利用Option字段傳遞控制信息和網絡配置參數,實現地址的動態分配,為客戶端提供更加豐富的網絡配置信息。更多DHCP Option選項的介紹,請參見RFC 2132。

Option 82選項記錄了DHCP客戶端的位置信息,交換機接收到DHCP客戶端發送給DHCP服務器的請求報文后,在該報文中添加Option 82,并轉發給DHCP服務器。管理員可以從Option 82中獲得DHCP客戶端的位置信息,以便定位DHCP客戶端,實現對客戶端的安全和計費等控制。支持Option 82的服務器還可以根據該選項的信息制訂IP地址和其它參數的分配策略,提供更加靈活的地址分配方案。

Option 82最多可以包含255個子選項。若定義了Option 82,則至少要定義一個子選項。目前本交換機支持兩個子選項:Circuit ID(電路ID子選項)和Remote ID(遠程ID子選項)。由于Option 82的內容沒有統一規定,不同廠商通常根據需要進行填充。目前本交換機對子選項的填充內容如下,電路ID子選項的填充內容是接收到DHCP客戶端請求報文的端口所屬VLAN的編號以及端口號,遠程ID子選項的填充內容是接收到DHCP客戶端請求報文的DHCP Snooping設備的MAC地址。

DHCP服務欺騙攻擊

在DHCP工作過程中,通常服務器和客戶端沒有認證機制,如果網絡上存在多臺DHCP服務器,不僅會給網絡造成混亂,也對網絡安全造成很大威脅。這種網絡中出現非法的DHCP服務器,通常分為兩種情況:

1) 用戶不小心配置的DHCP服務器,由此引起的網絡混亂非常常見。

2) 黑客將正常的DHCP服務器中的IP地址耗盡,然后冒充合法的DHCP服務器,為客戶端分配IP地址等配置參數。例如黑客利用冒充的DHCP服務器,為用戶分配一個經過修改的DNS服務器地址,在用戶毫無察覺的情況下被引導至預先配置好的假的金融網站或電子商務網站,騙取用戶的帳戶和密碼,如圖所示。

DHCP偵聽是運行在交換機上的一種DHCP安全特性。通過設置DHCP服務器的連接端口為授信端口,只處理授信端口發來的DHCP響應報文;通過監聽DHCP報文,記錄用戶從DHCP服務器獲取局域網用戶的四元信息,進行綁定后與ARP攻擊防護、IP源防護等安全功能配合使用;同時也可以過濾不可信任的DHCP信息,防止局域網中發生DHCP服務欺騙攻擊,提高網絡的安全性。

ARP防護

根據所述的ARP地址解析過程可知,利用ARP協議,可以實現相同網段內的主機之間正常通信或者通過網關與外網進行通信。但由于ARP協議是基于網絡中的所有主機或者網關都為可信任的前提制定的,因此在實際復雜的網絡中,此過程存在大量的安全隱患,從而導致針對ARP協議的欺騙攻擊非常常見。網關仿冒、欺騙網關、欺騙終端用戶和ARP泛洪攻擊均是在學校等大型網絡中常見的ARP攻擊,以下簡單介紹這幾種常見攻擊:

網關仿冒

攻擊者發送錯誤的網關MAC給受害者,而網絡中的受害者收到這些ARP響應報文時,自動更新ARP表,導致不能正常訪問網絡。如圖所示。

如圖,攻擊者發送偽造的網關ARP報文給局域網中的正常用戶,相應的局域網用戶收到此報文后更新自己的ARP表項。當局域網中正常用戶要與網關進行通信時,將數據包封裝上錯誤的目的MAC地址,導致通信中斷。

欺騙網關

攻擊者發送錯誤的終端用戶的IP/MAC的對應關系給網關,導致網關無法和合法終端用戶正常通信。如圖所示。

如圖,攻擊者發送偽造的用戶A的ARP報文給網關,網關收到此報文后更新自己的ARP表項,當網關與局域網中用戶A進行通信時,將數據包封裝上錯誤的目的MAC地址,導致通信中斷。

欺騙終端用戶

攻擊者發送錯誤的終端用戶/服務器的IP/MAC的對應關系給受害的終端用戶,導致同網段內兩個終端用戶之間無法正常通信。如圖所示。

如圖,攻擊者發送偽造的用戶A的ARP報文給用戶B,用戶B收到此報文后更新自己的ARP表項,當用戶B與用戶A進行通信時,將數據包封裝上錯誤的目的MAC地址,導致通信中斷。

中間人攻擊

攻擊者不斷向局域網中計算機發送錯誤的ARP報文,使受害主機一直維護錯誤的ARP表項。當局域網主機互相通信時,將數據包發給攻擊者,再由攻擊者將數據包進行處理后轉發。在這個過程中,攻擊者竊聽了通信雙方的數據,而通信雙方對此并不知情。這就是中間人攻擊。如圖所示。

假設同一個局域網內,有3臺主機通過交換機相連:

A主機:IP地址為192.168.0.101,MAC地址為00-00-00-11-11-11;

B主機:IP地址為192.168.0.102,MAC地址為00-00-00-22-22-22;

攻擊者:IP地址為192.168.0.103,MAC地址為00-00-00-33-33-33。

1. 首先,攻擊者向主機A和主機B發送偽造的ARP應答報文。

2. A主機和B主機收到此ARP應答后,更新各自的ARP表。

3. A主機和B主機通信時,將數據包發送給錯誤的MAC地址,即攻擊者。

4. 攻擊者竊聽了通信數據后,將數據包處理后再轉發到正確的MAC地址,使A主機和B主機保持正常的通信。

5. 攻擊者連續不斷地向A主機和B主機發送偽造的ARP響應報文,使二者的始終維護錯誤的ARP表。

在A主機和B主機看來,彼此發送的數據包都是直接到達對方的,但在攻擊者看來,其擔當的就是“第三者”的角色。這種嗅探方法,也被稱作“中間人”的方法。

ARP泛洪攻擊

攻擊者偽造大量不同ARP報文在同網段內進行廣播,消耗網絡帶寬資源,造成網絡速度急劇降低;同時,網關學習此類ARP報文,并更新ARP表,導致ARP表項被占滿,無法學習合法用戶的ARP表,導致合法用戶無法訪問外網。

在本交換機中,通過四元綁定功能在用戶接入交換機時即對用戶的四元信息進行綁定;而在ARP防護功能中則利用在交換機中綁定的四元信息對ARP報文進行檢查,過濾非法ARP報文。通過上述兩步可以很好的對局域網中ARP攻擊進行防御。

聲明:本文內容及配圖由入駐作者撰寫或者入駐合作網站授權轉載。文章觀點僅代表作者本人,不代表電子發燒友網立場。文章及其配圖僅供工程師學習之用,如有內容侵權或者其他違規問題,請聯系本站處理。 舉報投訴
  • 交換機
    +關注

    關注

    22

    文章

    2747

    瀏覽量

    101929
  • Mac
    Mac
    +關注

    關注

    0

    文章

    1117

    瀏覽量

    53117
  • ARP
    ARP
    +關注

    關注

    0

    文章

    50

    瀏覽量

    15014

原文標題:交換機知識--網絡安全

文章出處:【微信號:huliandate,微信公眾號:通信互聯】歡迎添加關注!文章轉載請注明出處。

收藏 人收藏
加入交流群
微信小助手二維碼

掃碼添加小助手

加入工程師交流群

    評論

    相關推薦
    熱點推薦

    什么是工業級交換機?工業交換機作用有哪些?

    對于企業、工廠等關鍵生產運營環境而言,選擇價格低廉但性能不足的 普通交換機 ,將面臨巨大的 運營中斷 、 數據丟失 甚至 安全事故 的風險。了解并選擇一款性能強悍適合的的工業交換機對生產經營都是
    的頭像 發表于 07-07 16:25 ?187次閱讀

    工業交換機與普通交換機的區別:為什么工廠網絡寧貴不省?

    在工業4.0和智能制造的浪潮下,工廠的每一臺設備、每一處傳感器都成了網絡中的“神經元”,而連接這些“神經元”的核心設備——工業交換機,卻常被忽視。許多人會問:“工業交換機和普通交換機
    的頭像 發表于 05-23 17:14 ?305次閱讀

    POE交換機接口詳解

    ,確保設備安全運行。當受電設備斷開時,PoE供電自動停止,避免功耗浪費。 PoE交換機接口的應用場景 PoE交換機接口憑借其便捷性和高效性,廣泛應用于多個領域,尤其在安防監控、無線
    發表于 03-27 17:17

    如何實現POE交換機串聯?

    在現代網絡環境中,POE(以太網)交換機憑借其同時傳輸數據與電源的能力,廣泛應用于無線接入點(AP)、IP攝像頭、VoIP電話等設備的部署。通過串聯POE交換機,可以輕松擴展網絡覆蓋范
    發表于 03-25 19:10

    PoE交換機如何助力智慧城市基礎設施建設?

    集成,支持智能照明、監控、安全和公共Wi-Fi等應用。通過選擇飛速(FS)PoE交換機,城市規劃者和網絡管理員能夠構建高效、穩定且面向未來的網絡,推動智慧城市愿景的實現。 結論
    發表于 03-25 10:20

    PoE交換機在安防監控系統中的關鍵作用

    ,在安全監控系統中的影響不容忽視。通過與先進技術集成并支持未來擴展,PoE交換機已成為現代監控系統中不可或缺的一部分。隨著安全挑戰的不斷增長,PoE交換機在構建可靠、可擴展和高性能的監
    發表于 03-24 16:41

    PoE交換機與非PoE交換機的比較:兩者能否協同工作?

    PoE交換機是一種集成了以太網供電功能的常規網絡交換機。能夠為兼容設備(如VoIP電話、網絡監控攝像頭、無線接入點等)提供數據傳輸的同時供電,使其能夠在沒有電源插座或
    發表于 03-21 19:20

    如何測試交換機端口速率

    交換機端口速率是指交換機端口在數據傳輸過程中的最大傳輸速率。在網絡環境中,交換機端口速率對于確保網絡性能和數據傳輸效率至關重要。測試
    的頭像 發表于 10-18 09:48 ?4271次閱讀

    工業交換機安全機制

    在當今信息技術迅速發展的時代,工業交換機作為網絡通信的重要設備,其安全機制愈發受到重視。工業交換機安全性不僅關乎企業的信息保護,更是整個工
    的頭像 發表于 10-09 15:02 ?558次閱讀
    工業<b class='flag-5'>交換機</b>的<b class='flag-5'>安全</b>機制

    工業交換機如何保證數據的訪問安全

    在現代工業自動化環境中,工業交換機作為關鍵的網絡設備,扮演著數據傳輸和信息交互的重要角色。為了確保數據的訪問安全,工業交換機不僅具備高效的轉發性能,還集成了多層次的
    的頭像 發表于 09-19 16:18 ?495次閱讀
    工業<b class='flag-5'>交換機</b>如何保證數據的訪問<b class='flag-5'>安全</b>

    反射內存交換機與普通交換機的區別

    ,實現低延遲、確定性的數據傳輸。普通交換機則依據網絡協議(如以太網協議)進行數據轉發,通常需要軟件參與處理,數據傳輸的延遲和確定性相對較難保證。傳輸速度和延遲:反射
    的頭像 發表于 09-05 09:57 ?1140次閱讀
    反射內存<b class='flag-5'>交換機</b>與普通<b class='flag-5'>交換機</b>的區別

    二層交換機和三層交換機有什么區別

    交換機分為二層交換機和三層交換機,它們在功能、應用場景和技術實現上有明顯區別。
    的頭像 發表于 08-07 15:33 ?2636次閱讀

    網管型交換機和非網管型交換機的區別

    網管型交換機和非網管型交換機是兩種不同類型的交換機,它們在功能、性能、應用場景等方面存在明顯的差異。 定義 網管型交換機(Managed Switch)是一種具有
    的頭像 發表于 08-05 15:41 ?4264次閱讀

    Is交換機組成的環形網絡中,當位于主控節點的Ism網管交換機故障后,為什么環網中其他交換機不受影響?

    當位于主控節點的交換機故障斷掉,環網中其他交換機是如何保持正常運行的?或者說什么原理讓環網其他交換機不受影響?
    發表于 07-25 06:14

    交換機的不同連接方式

    交換機有多種連接方式,主要涉及到其在網絡中的部署和與其他網絡設備的互連。以下是一些常見的連接方式。1級聯方式級聯是最常見的交換機連接方式,可以通過
    的頭像 發表于 07-19 08:21 ?2659次閱讀
    <b class='flag-5'>交換機</b>的不同連接方式