網絡安全防護介紹——重慶電信安全培訓提綱設備安全1鏈路安全2路由安全3接入安全4傳輸安全5攻擊與防御6設備安全設備安全——設置口令控制臺輔助口遠程登錄啟用口令在路由器上登錄口令加密設備安全——設置口令Router(config)#enable?last-resortDefineenableactionifnoTACACSserversrespond passwordAssigntheprivilegedlevelpassword

secretAssigntheprivilegedlevelsecret

use-tacacsUseTACACStocheckenablepasswords

啟用口令設備安全——設置口令Router#configtEnterconfigurationcommands,oneperline.EndwithCNTL/Z.Router(config)#lineaux0Router(config-line)#login

%LoginDisabledonline65,until‘passowrd’issetRouter(config-line)#passwordXXXXXXRouter(config-line)#輔助口令設備安全——設置口令

Router#configtEnterconfigurationcommands,oneperline.EndwithCNTL/Z.Router(config)#lineconsole0Router(config-line)#loginRouter(config-line)#passwordXXXXXXRouter(config-line)#exec-timeoutxyRouter(config-line)#loggingsynchronous控制臺口令設備安全——設置口令Router#configtEnterconfigurationcommands,oneperline.EndwithCNTL/Z.Router(config)#linevty04Router(config-line)#loginRouter(config-line)#passwordXXXXXXRouter(config-line)#Router(config-line)#nologinTelnet口令設備安全——設置口令加密你的口令Router#showrunning-config!Enablesecret5$1$rFbM$8.aXocHg6yHrM/zzeNkAT.Enablepassword

nafocus!Linecon0Passowrd

nafocusconLogin!設備安全——設置口令Router#conftRouter(config)#servicepassword-encrypton加密你的口令設備安全——設置口令加密你的口令Router#showrunning-config!Enablesecret5$1$rFbM$8.aXocHg6yHrM/zzeNkAT.Enablepassword7111D160113!Linecon0Passowrd7071B2E484ALogin!設備安全——設置bannerRouter#conftRouter(config)#banner?LineCbanner-textc,where‘c’isadelimitingcharacterexecSetEXECprocesscreatoinbannerincomingSetincomingterminallinebannerloginSetloginbannermotdSetMessageoftheDaybannerBanner設備安全——設置timeout時間router(config-line)#exec-timeoutminutes[seconds]router(config)#lineconsole0router(config-line)#exec-timeout330router(config)#lineaux0router(config-line)#exec-timeout330router(config)#linevty04router(config-line)#timeoutloginresponse300timeout設備安全——設置privilegerouter(config)#privilegemode{levellevel

command|resetcommand}router(config)#privilegeexeclevel2pingrouter(config)#enablesecretlevel2PatriotUsernametestprivilege3passwordtestPrivilegeexeclevel3showstartup-configLineconsole0loginlocalprivilege設備安全-配置管理為什么需要配置管理?--在發生攻擊導致配置被破壞或者被管理員錯誤修改時,能夠路由器恢復它的原來配置.配置管理的安全性考慮.--冗余的NVRAM.--將配置文件拷貝到TFTP服務器或FTP服務器.--使用FTP服務器更安全,可以通過為FTP設置路由器上的用戶名和密碼來保證傳輸的安全性.設備安全-其它管理方式HTTPSERVERSNMPV1/V2/V3禁用不需要的服務設備安全——組件冗余設備冗余電源的冗余（1+1，N+1）主控板的冗余接口板的冗余組件冗余設備安全-記錄事件為什么需要日志記錄?使用網絡時間協議(NetworkTimeProtocol,NTP)在路由器上建立日志.日志記錄設備:--系統控制臺

--系統緩沖

--終端線路--syslog(系統日志)服務器Servicetimestampslogdatetimemseclocaltimeshow-timezone!Nologgingconsoleloggingbuffered16384loggingtrapdebuggingloggingloggingloggingsource-interfaceloopback0試驗1：設備的安全性1、console,

AUX,

telnet的密碼設置和密碼加密2、交換機、路由器密碼的恢復3、交換機、路由器配置文件的安全保存4、交換機、路由器的SNMP的配置5、路由器、交換機的syslog的配置鏈路安全常見的對交換機的攻擊MAC/CAM攻擊ARP欺騙DHCP

server欺騙21交換安全VLAN安全

動態VLAN，GVRP協議和VTP協議要求進行MD5的口令認證TRUNK安全可以禁止TRUNK中的某VLAN的流量STP安全

根橋位置

STP的負載均衡

portfast/uplinkfast/backbonefastPVLAN

isolatedport/communityport/promiscuousport2223PVLAN在IDC中的應用交換安全廣播抑制

門限值，限制發送廣播包802.1x

用戶名和密碼的驗證(RADIUS)DHCP安全DHCPtrust確保只能從某個端口信任DHCPserver

optionsnooping確保用戶只能使用某個自動獲得的地址

IPMACVLANinterface24DHCPoption82option82是dhcp報文中的中繼代理信息選項（relayagentinformationoption）。當dhcpclient發送請求報文到dhcpserver時，若需要經過dhcp中繼，則由dhcp中繼將option82添加到請求報文中。option82包含很多sub-option。

option82實現了dhcp客戶端和dhcp中繼設備的地址信息在dhcp服務器上的記錄，與其他軟件配合使用可以實現dhcp分配的限制和計費功能。

sub-option1：攜帶dhcp客戶端所連接交換機端口的vlan-id及二層端口號

sub-option2：定義了在傳輸報文的時候要攜帶中繼設備的mac地址信息

sub-option5：dhcp中繼添加的ip地址。這樣dhcpserver在分配ip地址給dhcp客戶端的時候就可以分配與該地址同網段的ip地址25交換安全配置端口安全

--啟用端口安全功能

--指定MAC地址的數量

--手工輸入可靠的MAC地址.--指定端口所采取的措施.(禁用端口、掛起、SNMP

trap）訪問控制列表——ACL標準訪問控制列表擴展訪問控制列表動態訪問控制列表VLAN訪問控制列表—VACL網關的安全使用路由,以確保萬一在一個特定路徑上的一個或多個設備變的不可用時有一個可選擇的路徑.熱備份路由器協議(HotStandbyRouterProtocol,HSRP)、虛擬路由器冗余協議(VirtualRouterRedundancyProtocol,VRRP)和任意兩個設備間的失效處理機制(failover).鏈路安全-路由冗余浮動靜態路由

--使用帶有不同權值的靜態路由.動態路由選擇協議

--當由于一個設備或路徑失效而原始的路由不再可用時,使路由協議匯聚于不同的可用路由集上,從而動態地構建網絡冗余.路由的負載均衡

鏈路安全——HSRPHSRP（HotStandbyRouterProtocol）熱備份路由器協議，設計目標是支持特定情況下IP流量失敗轉移不會引起混亂、并允許主機使用單路由器，以及即使在實際第一跳路由器使用失敗的情形下仍能維護路由器間的連通性。換句話說，當源主機不能動態知道第一跳路由器的IP地址時，HSRP協議能夠保護第一跳路由器不出故障。該協議中含有多種路由器，對應一個虛擬路由器。HSRP協議只支持一個路由器代表虛擬路由器實現數據包轉發過程。鏈路安全——HSRPInternet

Interfacevlan100Standby1ipStandby1priority210preemptdelay60Standby1authenticationmyhsrpkeyStandby1timers340Interfacevlan100Standby1ipStandby1priority200preemptStandby1authenticationmyhsrpkeyStandby1timers340Standbytrack~~~51鏈路安全——HSRP鏈路安全——HSRPInternetC7206C7206C6509C6509C3550C3750User1ServersUsers2鏈路安全——VRRPVRRP（VirtualRouterRedundancyProtocol）虛擬路由器冗余協議。VRRP是一種選擇協議，它可以把一個虛擬路由器的責任動態分配到局域網上的VRRP路由器中的一臺。控制虛擬路由器IP地址的VRRP路由器稱為主路由器，它負責轉發數據包到這些虛擬IP地址。一旦主路由器不可用，這種選擇過程就提供了動態的故障轉移機制，這就允許虛擬路由器的IP地址可以作為終端主機的默認第一跳路由器。

實驗2：VRRP/HSRP試驗1、當一臺網關設備實效后進行VRRP/HSRP的切換2、ACL的配置3、端口綁定路由安全路由安全—鄰接身份認證OSPFarea0路由安全—鄰接身份認證

配置了鄰接路由協議后，每當在鄰接路由器之間交換器更新信息時，都將進行鄰接身份認證。

這種身份認證確保路由器從信任的來源接收可依賴的路由信息。路由安全—鄰接身份認證邊界網關協議（BGP)中間系統到蹭系統協議（IS-IS）IP增強內部網關路由協議（IGRP）開放最短路徑優先協議（OSPF）路由信息協議第二版（RIP）支持協議路由安全—鄰接身份認證 配置了鄰接身份認證后，路由器對收到的每個路由更新分組的來源進行身份認證。

這是通過交換身份認證密鑰（有時稱為口令）完成，該密鑰對于鄰接路由器和接收路由器都是已知的路由安全—鄰接身份認證

明文身份認證消息摘要算法5（MD5）密鑰路由安全—鄰接身份認證 所有參與鄰接身份認證的路由器都必須共享一個身份誰密鑰。有些協議可以指定多個密鑰：每個密鑰必須使用一個密鑰號標識。

路由器認證過程：

1.路由器將路由更新、密鑰及密鑰號發送給鄰接路由器

2.接收路由器將接收到的密鑰與自身的密鑰進行比較

3.如兩密鑰相同，接收路由更新；否則，拒絕路由更新 使用明文身份認證的協議：DRP服務器代理協議 IS-IS協議OSPF協議 RIP協議第2版 明文身份認證路由安全—鄰接身份認證 除了不通過線路發送密鑰外，MD5身份認證與明文身份認證基本類似。路由器使用MD5算法生成該密鑰的消息摘要（也叫散列）。然后發送消息摘要，而不是密鑰本身。這樣確保在信息傳輸期間，不能在線路上竊取密鑰。 使用密文文身份認證的協議：IP增強IGRP協議 BGP協議OSPF協議 RIP協議第2版 MD5身份認證路由安全——鄰接身份認證明文認證命令（類型一）：Router(config-if)#ipospfauthenticaion-keyxxxxxxRouter(config-router)#areaxxauthenticaionMD5認證命令（類型二）：Router(config-if)#ipospfmessage-digest-keyxxmd5xxxxxxRouter(config-router)#areaxxauthenticaionmessage-digest

OSPF認證命令BGP的安全MD5的驗證利用BGP多種屬性值進行路由策略或路由過濾BGP網絡通告--穩定性是一個安全系統的內在特性.不穩定的系統比穩定的系統更易受攻擊,并且易于受到更大的破壞.就穩定性而言,向其他對等體通告一個地址塊的最好方法是通過network聲明.這種通告地址塊的靜態方法比使用路由重新分配更穩定.BGP多跳--EBGP的多跳特性允許不直接相互連接的路由器之間建立對等連接,在這種情況下需要給出兩個對等體到達對方的路由信息以建立對等連接.但是,除非絕對需要這個特性,否則不應該啟用它.因為它為不與BGP路由器直接相連的攻擊者試圖向它們建立對等連接打開了門戶.45BGP的安全使用策略過濾器和NULL路由.設置路由抑制值.dumping使用maximum-prefix命令.最大不能通過多少條BGP鄰居狀態的日志記錄改變BGP協議初始化沒有內存用于路徑條目沒有內存用于屬性條目沒有內存用語前綴條目沒有內存用于聚合條目沒有內存用于衰減信息沒有內存用于BGP更新接收到的BGP通知接收到的錯誤的BGP更新用戶重置請求46對等體超時密碼的改變連接沖突期間的錯誤對等體關閉會話對等體超過最大前綴限制接口閃動路由器ID的改變鄰居的刪除加入到對等組中的成員管理員人為關閉遠程AS的改變軟件重新配置的修改路由安全—策略路由route-mapdemopermit10 matchxyz setb setcroute-mapdemopermit20 matchq setrroute-mapdemopermit30If{(xoryorz)then{setbandc} Else ifqmatchesthensetr Else Setnothing

路由安全—策略路由定義自己的規則來進行數據包的路由，而不僅僅由目的地址所決定。基于策略路由的辦法可以解決這一問題。具體應用中，基于策略的路由有： 基于源IP地址的策略路由 基于數據包大小的策略路由 基于應用的策略路由 通過缺省路由平衡負載ABC/24/24/24路由安全—策略路由Router(config)#route-mapmap-tag[permit|deny][sequence-number]Router(config-route-map)#matchlengthminmaxRouter(config-route-map)#matchipaddress{access-list-number|name} […

access-list-number|name]Router(config-route-map)#setipprecedence[number|name]Router(config-route-map)#setipnext-hopip-address[…ip-address]Router(config-route-map)#setinterfaceinterface-typeinterface-number […

typenumber]Router(config-route-map)#setipdefaultnext-hopip-address[…

ip-address]Router(config-route-map)#setdefaultinterfaceinterface-typeinterface-number […

type

…

number]Router(config)#interfaceinterface-typeinterface-number

Router(config-if)#ippolicyroute-mapmap-tag路由安全—策略路由A(config)#interfacee0A(config-if)#ipaddress54A(config-if)#ipaddress54secondaryA(config-if)#ippolicyroute-maptestA(config)#interfacee1A(config-if)#ipaddress5352A(config)#interfacee2A(config-if)#ipaddress5352A(config)#routerospf1A(config-router)#network52area0A(config-router)#network52area0A(config-router)#network55area0A(config-router)#network55area0A(config)#router-maptestpermit10A(config-router-map)#matchipaddress1A(config-router-map)#setinterfacee1A(config)#router-maptestpermit20A(config-router-map)#matchipaddress2A(config-router-map)#setinterfacee2A(config)#access-list1permitA(config)#access-list2permit542Internet54/2454ABC54/24S0S0E0E0E0E1E25353策略路由FIB普通路由FIB出接口普通路由表RIB挑選最佳路由OSPF區域規劃BGP過濾只接收缺省路由路由聚合路由策略報文轉發產生路由表TOS、DSCP置位路由安全—路由策略和策略路由52MPLSL3VPN的架構：MPLSVPN技術簡介VPN_AVPN_AVPN_BCECECEVPN_AVPN_BVPN_BCEPEPECECEVPN_ACEVPN_AVPN_BVPN_BCEPEPECECEVPN_ACEVPN_ACEiBGPsessionsPPPPPEPECE（CustomEdge）：直接與服務提供商相連的用戶設備。PE（ProviderEdgeRouter）：指骨干網上的邊緣路由器，與CE相連，主要負責VPN業務的接入。P（ProviderRouter）：指骨干網上的核心路由器，主要完成路由和快速轉發功能。MPLS

PE路由器的安全MPLS安全建立在網絡架構、實現方式和運維操作上不能讓PE訪問P設備，除非路由協議路由協議的安全：認證，設定路由數量，減少路由震蕩QOS設置，使VPN的優先級大于internet的選擇正確的路由器的帶寬，PE設備的分離ACL不讓CE訪問PEPE-CE的路由交換：static>BGP(能設置最大路由數量，有防止路由震蕩的屬性)>IGPBGP的安全特征控制bgp連接的數量，重新啟動BGPsessioninternetVPN和業務VPN通過firewall互聯（hubspoke)跨域的MPLSVPN盡量采用optionC,防止私網路由泄露53實驗3：路由安全1、OSPF路由協議的認證（明文&MD5）2、策略路由接入安全撥入安全——PPP認證PPP認證： PAP（口令驗證協議） CHAP（詢問握手驗證協議）撥入安全——PPP認證——PAP遠程用戶Emma撥入服務器路由器A姓名：Emma密碼：twinz用戶名：Emma密碼：twinz本地用戶數據庫“emma,twinz”接受或拒絕撥入安全——PPP認證——CHAP遠程用戶Emma撥入服務器路由器A姓名：Emma密碼：twinz用戶名：Emma密碼：twinz本地用戶數據庫詢問信息接受或拒絕請求詢問信息反饋信息撥入安全——AAA概述

Authentication（認證）

Authorization（授權）

Accounting（統計）撥入安全——AAA用于AAA業務的安全協議RADIUS

TACACS+

AAA的兩種方式管理接入—

Console,

Telnet,andAux遠程用戶網絡接入—

Async,group-async,BRI,andserial(PRI)accessCiscoSecureACSRemoteclient(SLIP,PPP,ARAP)NASCorporate

fileserverConsolePSTN/ISDNInternetRemoteclient(CiscoVPNClient)RouterCiscoSecureACSappliance撥入安全——AAA服務器PSTNNASTACACS＋DialUserRADIUSTACACS優勢：在TCP中接收到RST（重啟動）數據包，設備可立刻判斷另方在通訊中的癱瘓；內嵌錯誤恢復，TCP具有更好的可擴展性；使用共享密鑰，TACACS＋中整個負載被加密；TACACS＋支持AAA中的三個部分；TACACS＋支持多種協議。RADIUS優勢：RADIUS使用UDP，擁有更小的數據包負載；RADIUS是完全開放的協議格式；用戶可以修改它，使其與任何市場上目前可用的安全系統一起工作；RADIUS提高了統計功能常被用于在基于資源利用的情況下進行計費統計。如ISP統計用戶的連接費用。撥入安全——Autehentication(認證)——配置Authentication配置：RouteA(config)#aaanew-modelRouteA(config)#tacacs-serverhostip-address[single-connection]RouteA(config)#tacacs-serverkeytacacskeyRouter(config)#radius-serverip-addressRouter(config)#radius-serverkeyradiuskeyRouter(config)#aaaauthentication[login|enable|arap|ppp|nasi]method[enable]|[line]|[local]|[none]|[tacacs+]|[radius]|[guest]Router(config)#aaanew-modelRouter(config)#aaaauthenticationlogindefaultradiuslocalnone實驗4：AAA認證試驗1、利用本地AAA認證2、利用RADIUS協議進行用戶權限的認證傳輸安全傳輸安全——NAT（NetworkAddressTranslation)網絡地址轉換轉換前：S：D：any轉換后：S：D：any轉換后：S：anyD：轉換前：S：anyD：/24E0E15454Internet傳輸安全——NAT私有地址：A：/8B：/16——/16C：/24——/24傳輸安全——NAT NAT（NetworkAddressTranslation)網絡地址轉換SNAT（StaticNAT）DNAT（DynamicNAT）傳輸安全——NATRouter(config)#interfacee0Router(config-if)#ipaddress54Router(config-if)#ipnatinsideRouter(config)#interfacee1Router(config-if)#ipaddress5448Router(config-if)#ipnatoutsideRouter(config)#access-list1permit55Router(config)#ipnatpooltestpool5454netmask 48Router(config)#ipnatinsidesourcelist1poolpooltestoverloadRouter(config)#ipnatinsidesourcestatic5050Router(config)#iproutex.x.x.x/24E0E15454Internet53傳輸安全——NAT靜態映射傳輸安全——NAT地址共享傳輸安全——NAT負載均衡VPN的定義VPN——VirtualPrivateNetworkInternet出差員工隧道專線辦事處總部分支機構合作伙伴異地辦事處按實現的層次分類1:數據鏈路層VPNFR和ATML2TPVPLS2:網絡層VPNGREIPSECMPLSBGPVPN3:應用層VPNSSLSSHVPN設計原則安全性隧道與加密數據驗證用戶驗證防火墻與攻擊檢測可靠性經濟性擴展性GREGRE(GenericRoutingEncapsulation):是對某些網絡層協議（如：IP,IPX,AppleTalk等）的數據報進行封裝，使這些被封裝的數據報能夠在另一個網絡層協議（如IP）中傳輸GRE提供了將一種協議的報文封裝在另一種協議報文中的機制，使報文能夠在異種網絡中傳輸，異種報文傳輸的通道稱為tunnelGRE協議棧IP/IPXGREIP鏈路層協議乘客協議封裝協議運輸協議GRE協議棧隧道接口的報文格式鏈路層GREIP/IPXIPPayload使用GRE構建VPNOriginalDataPacketTransferProtocolHeaderGREHeaderInternetTunnel企業總部分支機構傳輸安全——GRE（GenericRoutingEncapsulation)通用路由封裝/24E0E1E0S0/0E0E5453ABCTu0Tu0/24/24interfaceEthernet0/1

ipaddressinterfaceSerial0/0

ipaddress5352interfaceTunnel0

ipaddress

tunnelsourceSerial0/0

tunneldestination54IprouteinterfaceFastEthernet0/1

ipaddressinterfaceSerial0/0

ipaddress54interfaceTunnel0

ipaddress

tunnelsourceSerial0/0

tunneldestination53Iproute傳輸安全——VPNVPN的三個必要元件Confidentiality(encription)IntegrigyAuthentication傳輸安全——VPN——CIA對稱算法非對稱算法哈希算法傳輸安全——VPN——CIA對稱算法數據數據$#GFS%&密鑰1密鑰1使用對稱算法的數據加密標準：DES——56-bit3DES——168-bitAES——128-bitor256-bit傳輸安全——VPN——CIA非對稱算法數據數據$#GFS%&私鑰公鑰使用非對稱算法的數據加密標準：RSAEIGamalEllipticcurves加密密鑰解密密鑰傳輸安全——VPN——CIAHashing算法哈希算法（Hashing）：哈希算法的松散定義為無論輸入變量是什么大小都產生固定長度輸出的單向（one-way)算法。哈希算法為數據提供了認證和完整性。兩種常用的哈希算法：MD——

給出128比特固定長度的輸出SHA-1——

給出160比特固定長度的輸出傳輸安全——VPNVPN標準化協議IPSecAH（認證報頭協議）ESP（封裝安全協議）傳輸安全——VPN——IPSecIP報頭其他報頭和負載AH（AuthenticationHeader）協議AH用于提供數據完整性和認證。不提供任何加密功能。AH使用單密鑰的單向（one-way）哈希函數（也稱為HMAC）。HMAC可以使用算法：MD5或SHA-1.IP報送AH其他報頭和負載HMAC(MD5)秘密會話密鑰傳輸安全——VPN——IPSecESP（封裝安全負載）ESP主要用于提供負載加密。在目前ESP的RFC版本中，它也包括提供認證和完整性的能力。由于ESP可以完成安全VPN網絡中需要的所有服務（包括可選的AH服務），所以多數實現方法中不包括AH選項。IPSec可以使用不同的算法進行負載加密，如DES、3DES等；由于需要更健壯的負載加密，該標準允許開發商使用其他算法。傳輸安全——VPN——IPSecIPHDR數據IPHDRAHHDR數據NewIPHDRAHHDRIPHDR數據隧道模式與傳輸模式中的AH報頭TunnelHDRIPHDR數據傳輸模式中的AH認證后的報頭和數據隧道模式中的AH認證后的報頭和數據傳輸安全——VPN——IPSecIPHDR數據IPHDRESPHDR加密的數據NewIPHDRESPHDRIPHDR加密的原始IP報頭和數據隧道模式與傳輸模式中的ESP報頭TunnelHDRIPHDR數據傳輸模式中的ESP加密后的數據隧道模式的ESP有選擇認證后ESPESP傳輸安全——VPN——IPSecSA（SecurityAssociations）安全聯系SA是指單個連接和與之相聯系的所有參數，這些參數由參與交換的兩個設備一致協商同意。所有的SA都是單向的，所以在安全策略數據庫（SPD）中至少需要兩個SA：一個SA從設備A到設備B，一個SA從設備B到設備A。一個VPN中很可能有多于一個的對等連接，比如總部到幾個分部。因此還需要鑒別每一獨立的SA以使其特性為每一數據包所驗證。所以SA都獲得唯一的32比特安全參數索引號（SPI)，并在每一數據包中發送。SA包括SA數據庫和SPD且保持常用信息的跟蹤，如下：源IP地址、目的IP地址、使用的IPSec協議、SPI編號、加密和認證算法、密鑰壽命。傳輸安全——VPN——IPSecIKE互聯網密鑰交換第一階段：協商策略設置認證對等密鑰構建安全通道第二階段：協商IPSec安全參數建立SA可選擇的執行額外的密鑰交換傳輸安全——VPN——IPSec建立基于IPSec的VPN隧道定義要保護的通信業務執行IKE第一階段——協商安全策略等執行IKE第二階段——協商SA等轉換數據——加密通信業務并發送至對等設備關閉隧道實驗5：NAT及VPN的試驗1、NAT地址轉換，原地址轉換和目標地址轉換2、GRE

VPN的配置3、Ipsec

VPN的配置4、SSH的配置攻擊與防御攻擊類型簡介（一）單報文攻擊FraggleIpspoofLandSmurfTcpflagWinnukeip-fragment攻擊類型簡介（二）分片報文攻擊TearDropPingofdeath拒絕服務類攻擊SYNFloodUDPFlood&ICMPFlood掃描IPsweepPortscanPage97單包攻擊原理及防范（一）Fraggle特征：UDP報文，目的端口7（echo）或19（CharacterGenerator）目的：echo服務會將發送給這個端口的報文再次發送回去CharacterGenerator服務會回復無效的字符串攻擊者偽冒受害者地址，向目的地址為廣播地址的上述端口，發送請求，會導致受害者被回應報文泛濫攻擊如果將二者互指，源、目的都是廣播地址，會造成網絡帶寬被占滿原理：過濾UDP類型的目的端口號為7或19的報文Page98單包攻擊原理及防范（二）IPSpoof特征：地址偽冒目的：偽造IP地址發送報文原理：對源地址進行路由表查找，如果發現報文進入接口不是本機所認為的這個IP地址的出接口，丟棄報文Page99單包攻擊原理及防范（三）Land特征：源目的地址都是受害者的IP地址，或者源地址為127這個網段的地址目的：導致被攻擊設備向自己發送響應報文，通常用在synflood攻擊中防范原理：對符合上述特征的報文丟棄Page100單包攻擊原理及防范（四）Smurf特征：偽冒受害者IP地址向廣播地址發送pingecho目的：使受害者被網絡上主機回復的響應淹沒原理：丟棄目的地址為廣播地址的報文Page101單包攻擊原理及防范（五）TCPflag特征：報文的所有可設置的標志都被標記，明顯有沖突。比如同時設置SYN、FIN、RST等位目的：使被攻擊主機因處理錯誤死機原理：丟棄符合特征的報文Page102單包攻擊原理及防范（六）Winnuke特征：設置了分片標志的IGMP報文，或針對139端口的設置了URG標志的報文目的：使被攻擊設備因處理不當而死機原理：丟棄符合上述特征報文Page103單包攻擊原理及防范（七）Ip-frag特征：同時設置了DF和MF標志，或偏移量加報文長度超過65535目的：使被攻擊設備因處理不當而死機原理：丟棄符合上述特征報文Page104分片報文攻擊原理及防范（一）Teardrop特征：分片報文后片和前片發生重疊目的：使被攻擊設備因處理不當而死機或使報文通過重組繞過防火墻訪問內部端口原理：防火墻為分片報文建立數據結構，記錄通過防火墻的分片報文的偏移量，一點發生重疊，丟棄報文Page105分片報文攻擊原理及防范（二）Pingofdeath特征：ping報文全長超過65535目的：使被攻擊設備因處理不當而死機原理：檢查報文長度如果最后分片的偏移量和本身長度相加超過65535，丟棄該分片Page106拒絕服務攻擊原理及防范（一）SYNFlood特征：向受害主機發送大量TCP連接請求報文目的：使被攻擊設備消耗掉所有處理能力，無法響應正常用戶的請求原理：防火墻基于目的地址統計對每個IP地址收到的連接請求進行代理，代替受保護的主機回復請求，如果收到請求者的ACK報文，認為這是有效連接，在二者之間進行中轉，否則刪掉該會話Page107拒絕服務攻擊原理及防范（二）UDP/ICMPFlood特征：向受害主機發送大量UDP/ICMP報文目的：使被攻擊設備消耗掉所有處理能力原理：防火墻基于目的地址統計對每個IP地址收到的報文速率，超過設定的閾值上限，進行carPage108掃描攻擊原理和防范（一）IPsweep特征：地址掃描，向一個網段內的IP地址發送報文nmap目的：用以判斷是否存在活動的主機以及主機類型等信息，為后續攻擊作準備原理：防火墻根據報文源地址進行統計，檢查某個IP地址向外連接速率，如果這個速率超過了閾值上限，則可以將這個IP地址添加到黑名單中進行隔離注意：如果要啟用黑名單隔離功能，需要先啟動黑名單Page109掃描攻擊原理和防范（二）Portscan特征：相同一個IP地址的不同端口發起連接目的：確定被掃描主機開放的服務，為后續攻擊做準備原理：防火墻根據報文源地址進行統計，檢查某個IP地址向同一個IP地址發起連接的速率，如果這個速率超過了閾值上限，則可以將這個IP地址添加到黑名單中進行隔離注意：如果要啟用黑名單隔離功能，需要先啟動黑名單攻擊與防卸——流量分析——端口映像（SPAN&RSPAN）IDSSnifferEtherrealInternet攻擊與防卸——流量分析-SNMPSNMPNetflowInternet攻擊與防卸——流量分析-NetflowSNMPNetflowInternet使用NetFlow監控異常電信網的核心競爭力——

帶寬資源帶寬資源面臨：蠕蟲、網絡濫用、DDoSIDS無法面對海量數據流量和異常監控