计算机网络——网络防护_开启arp-guard功能

端口攻击

• 通过攻击程序，来攻陷网卡再进入操作系统，即通过网络端口进入操作系统
• 端口起到保护系统的作用，也是所有服务进程的入口。
• 服务端口可分为3大类
• （1）公认端口（WellKnown Ports）：从0到1023，它们紧密绑定于一些服务。通常这些端口的通讯明确表明了某种服务的协议。
• （2）注册端口（RegisteredPorts）：从1024到49151。它们松散地绑定于一些服务。也就是说有许多服务绑定于这些端口，这些端口同样用于许多其它目的。
• （3）动态和/或私有端口（Dynamic and/or Private Ports）：从49152到65535。理论上，不应为服务分配这些端口。实际上，机器通常从1024起分配动态端口。但也有例外：SUN的RPC端口从32768开始。

黑客与病毒进行端口攻击的方法

• 1、寻找并利用计算机开着的端口或漏洞
• 2、利用欺骗手段来攻击占用端口

网络端口攻击的防护方法

• （1）通过网络命令（netstat命令）来关闭端口，通过netstat -o命令可以知道当前开放的端口，了解到它们与进程之间的关系，并找到对应进程的PID。
• （2）通过关闭服务关闭端口，默认的情况下，有很多不安全的或没有什么用的端口是开启的，比如Telnet服务的23端口、FTP服务的21端口、SMTP服务的25端口、RPC服务的135端口等等。
• （3）创建IP安全策略来屏蔽端口，在网络上传输数据的时候，通过创建IP安全策略，利用点到点的安全模型，能够安全有效地把源计算机的数据传输到目标计算机。
• （4）防病毒软件，防病毒软件通常集成监控识别、病毒扫描和清除和自动升级等功能，有的杀毒软件还带有数据恢复等功能，是计算机防御系统(包含杀毒软件，防火墙，特洛伊木马和其他恶意软件的查杀程序，入侵预防系统等)的重要组成部分。

Ping网络诊断技术

• PING (Packet Internet Grope)，因特网包探索器，用于验证本地计算机或其它网络设备上的TCP/IP网络层连通性。使用该命令时，可以用目的IP地址或限定域名（如xxx.com）来测试域名服务(DNS)功能。PING使用Internet控制消息协议(ICMP)在设备间发送消息。源计算机向目的设备发送ICMP回应请求。目的设备用应答消息做出响应。如果源设备和目的设备之间连接断开，路由器可能会用ICMP消息做出响应，表示主机未知或目的网络未知。

Ping诊断网络的过程

• （1）使用ipconfig /all观察本地网络设置是否正确；
• （2）Ping 127.0.0.1，Ping回环地址是为了检查网卡硬件工作是否正常；
• （3）Ping本机IP地址，这样是为了检查本机的IP地址是否设置有误；
• （4）Ping本网网关或本网IP地址，这样的是为了检查硬件设备是否有问题，也可以检查本机与本地网络连接是否正常；（在非局域网中这一步骤可以忽略）
• （5）Ping本地DNS地址，这样做是判断本机能否到达DNS服务器，目的是判断DNS能否正常提供域名解析服务；
• （6）Ping远程IP地址，这主要是检查本网或本机与外部的连接是否正常。

ARP网络攻击防范

• ARP即地址解析协议，它是一个重要的TCP/IP协议，用于确定对应IP地址的物理地址（即网卡地址）。其实，ARP高速缓存里面的内容就是IP地址与物理地址的对应关系。
• 要发送网络包给192.168.1.1，但不知MAC地址？
• 在局域网发出广播包“192.168.1.1的MAC地址是什么？”
• 其他机器不回应，只有192.168.1.1回应“192.168.1.1的MAC地址是00-aa-00-62-c6-09”
• 将192.168.1.1对应的MAC地址添加进ARP地址表中

ARP网络攻击类型：

• （1）ARP伪造网关欺骗client，骗取相关信息。
• （2）ARP伪造client欺骗网关，让某些电脑无法上网。
• （3）ARP Flood攻击，它会持续地向局域网内所有的计算机及网络通信设备发送大量的ARP欺骗数据包，如果不及时处理，便会造成网络通道阻塞、网络设备的承载过重、网络的通讯质量不佳等情况。

ARP网络攻击防范

• （1）网关防护ARP-Guard，通过在接口开启ARP-Guard，防止接口上传带有网关信息的报文，从里面防止ARP的网关欺骗。
• （2）防网段扫描Anti-arpscan，限制端口上行的ARP和IP报文数量，在超出阀值后对端口进行ShutDown或将端口信息丢弃的操作。
• （3）IP地址动态绑定 IP dhcp snooping,用户通过DHCP获得地址，通过DHCP获得IP地址时，对端口下发绑定表项，符合绑定关系的报文允许通过。不符合绑定关系的拦截。

防火墙

• 防火墙：是计算机网络之间的一种特殊的访问控制设备，是设置在被保护网络和外部网络之间的一道屏障。

• 防火墙具有下列特征：所有从内到外和从外到内的通信量都必须经过防火墙。只有被认可的通信量，通过本地安全策略进行定义后，才允许传递。防火墙对于渗透是免疫的，即本身是不可穿透的。

• 防火墙体系架构

• （1） 屏蔽路由器（ Screening Router），将路由器充当防火墙角色，所有的路由器都有 包过滤 功 能。

• （2） 双宿主机网关（ Dual Homed Gateway ），，双宿是双网卡的意思。硬件软件双重防护
  

• （3） 被屏蔽主机网关（Screened Host Gateway），单宿堡垒机中只有一种硬件保护，双宿堡垒机中有两重硬件保护，同样都有一重软件（代理软件）保护。

• （4）单宿堡垒机
  

• （5）双宿堡垒机
  

• （6）蔽子网（Screened Subnet）