互联网充满着各种安全威胁,其中之一就是IP地址欺骗。IP欺骗技术就是伪造某台主机的IP地址的技术。通过IP地址的伪装使得某台主机能够伪装另外的一台主机,而这台主机往往具有某种特权或者被另外的主机所信任。在一次典型的地址欺骗尝试中,攻击者只是简单地伪装源数据包使其看起来是内自于内部网络。下面谈一下怎样利用思科IOS防止你公司的网络遭到这种攻击。
互联网操作系统(IOS)是思科特有的核心软件数据包,主要在思科路由器和交换机上实现,特别是可用它配置Cisco路由器硬件,令其将信息从一个网络路由或桥接至另一个网络。可以毫不客气地说,I0S是思科路由器产品的动力之源。那么怎样利用思科IOS防止IP欺骗呢?
阻止IP地址
防止IP欺骗的第一步就是阻止能造成风险的IP地址。虽然攻击者可以欺骗任何IP地址,最常被欺骗的IP地址是私有IP地址(请参考RFC1918)和其它类型的共享/特别的IP地址。
例如,笔者就阻止如下的IP地址(后面紧跟着其子网掩码)从Internet访问本机:
·10.0.0.0(255.0.0.0)
·172.16.0.0(255.240.0.0)
·192.168.0.0(255.255.0.0)
·127.0.0.0(255.0.0.0)
·224.0.0.0(224.0.0.0)
·169.254.0.0(255.255.0.0)
互联网操作系统(IOS)是思科特有的核心软件数据包,主要在思科路由器和交换机上实现,特别是可用它配置Cisco路由器硬件,令其将信息从一个网络路由或桥接至另一个网络。可以毫不客气地说,I0S是思科路由器产品的动力之源。那么怎样利用思科IOS防止IP欺骗呢?
阻止IP地址
防止IP欺骗的第一步就是阻止能造成风险的IP地址。虽然攻击者可以欺骗任何IP地址,最常被欺骗的IP地址是私有IP地址(请参考RFC1918)和其它类型的共享/特别的IP地址。
例如,笔者就阻止如下的IP地址(后面紧跟着其子网掩码)从Internet访问本机:
·10.0.0.0(255.0.0.0)
·172.16.0.0(255.240.0.0)
·192.168.0.0(255.255.0.0)
·127.0.0.0(255.0.0.0)
·224.0.0.0(224.0.0.0)
·169.254.0.0(255.255.0.0)
» 阅读全文
WLAN概述
国家十二五规划提出要建设宽带无线城市、各电信运营商全国范围内WLAN无线城市建设也在如火如荼的进行当中,WLAN网络建设的主要目的为:分流2/3G网络的数据流量,扩大网络覆盖,支持业务发展,并作为家庭宽带接入的重要手段。随着WLAN网络建设工作的逐步开展,通过WLAN业务进行无线网络分流,扩大业务覆盖范围以及灵活的组网和资费,开始为电信运营商带来稳定的业务收入。但与此同时,越来越多的安全威胁被引入到全IP化的WLAN网络中来。
WLAN网络逻辑系统结构如下:
WLAN安全风险分析
WLAN系统面临的风险包括资源耗尽风险、无AP关联认证风险、无加密的空中信息传输泄密风险、来自客户端的攻击等各类可能引发WLAN系统不可用风险、系统服务质量下降、无线频谱干扰风险、空中中间人攻击风险、非法广播信息风险、客户信息泄密风险等。从用户的安全运营角度,我们对WLAN面临的安全风险进行了分类如下:
国家十二五规划提出要建设宽带无线城市、各电信运营商全国范围内WLAN无线城市建设也在如火如荼的进行当中,WLAN网络建设的主要目的为:分流2/3G网络的数据流量,扩大网络覆盖,支持业务发展,并作为家庭宽带接入的重要手段。随着WLAN网络建设工作的逐步开展,通过WLAN业务进行无线网络分流,扩大业务覆盖范围以及灵活的组网和资费,开始为电信运营商带来稳定的业务收入。但与此同时,越来越多的安全威胁被引入到全IP化的WLAN网络中来。
WLAN网络逻辑系统结构如下:
WLAN安全风险分析
WLAN系统面临的风险包括资源耗尽风险、无AP关联认证风险、无加密的空中信息传输泄密风险、来自客户端的攻击等各类可能引发WLAN系统不可用风险、系统服务质量下降、无线频谱干扰风险、空中中间人攻击风险、非法广播信息风险、客户信息泄密风险等。从用户的安全运营角度,我们对WLAN面临的安全风险进行了分类如下:
» 阅读全文
1、iwconfig
iwconfig是Linux Wireless Extensions(LWE)的用户层配置工具之一。LWE是Linux下对无线网络配置的工具,包括内核的支持、用户层配置工具和驱动接口的支持三部 分。目前很多无线网卡都支持LWE,而且主流的Linux发布版本,比如Redhat Linux、Ubuntu Linux都已经带了这个配置工具。
用法: iwconfig interface [essid {NN|on|off}]
[nwid {NN|on|off}]
[mode {managed|ad-hoc|...}
[freq N.NNNN[k|M|G]]
[channel N]
[ap {N|off|auto}]
[sens N]
[nick N]
[rate {N|auto|fixed}]
[rts {N|auto|fixed|off}]
[frag {N|auto|fixed|off}]
[enc {NNNN-NNNN|off}]
[power {period N|timeout N}]
[retry {limit N|lifetime N}]
[txpower N {mW|dBm}]
[commit]
说明:iwconfig是LWE最主要的工具,可以对无线网卡的大部分参数进行配置。
iwconfig是Linux Wireless Extensions(LWE)的用户层配置工具之一。LWE是Linux下对无线网络配置的工具,包括内核的支持、用户层配置工具和驱动接口的支持三部 分。目前很多无线网卡都支持LWE,而且主流的Linux发布版本,比如Redhat Linux、Ubuntu Linux都已经带了这个配置工具。
用法: iwconfig interface [essid {NN|on|off}]
[nwid {NN|on|off}]
[mode {managed|ad-hoc|...}
[freq N.NNNN[k|M|G]]
[channel N]
[ap {N|off|auto}]
[sens N]
[nick N]
[rate {N|auto|fixed}]
[rts {N|auto|fixed|off}]
[frag {N|auto|fixed|off}]
[enc {NNNN-NNNN|off}]
[power {period N|timeout N}]
[retry {limit N|lifetime N}]
[txpower N {mW|dBm}]
[commit]
说明:iwconfig是LWE最主要的工具,可以对无线网卡的大部分参数进行配置。
» 阅读全文
Kismet(http://www.kismetwireless.net /)是一款针对802.11b无线网络嗅探器,它用来捕捉区域中无线网络的相 关信息。
功能有:支持大多数无线网卡(Linksys, D-Link, Rangelan, Cisco Aironet cards, and Orinoco based cards),能通过UDP、ARP、DHCP数据包自动实现网络IP阻塞检测,能通过Cisco Discovery协议列出Cisco设备,弱加密数据包记录,和Ethereal、tcpdump兼容的数据包dump文件,绘制探测到的网络图和估计 网络范围。
1、 支持CiscoCDP数据处理证书。
2、 支持WEP(Wired Equivalent Privacy)数据包解码。WEP安全技术源自于名为RC4的RSA数据加密技术,以满足用户更高层次的网络安全需求。
3、 自动探测每一个无线接入点(AP,Access Point)的结构。
4、 自动将数据转换为可视化的图表。
5、 Kisme支持WEP(Wired Equivalent Privacy)加密技术,WEP安全技术源自于名为RC4的RSA数据加密技术,以满足用户更高层次的网络安全需求。
通常情况下Kismet 2.71可以通过500000-1000000个通信数据包(时间在3-6个小时,加入攻击方法,几分钟就行)就能破解WEP的key
功能有:支持大多数无线网卡(Linksys, D-Link, Rangelan, Cisco Aironet cards, and Orinoco based cards),能通过UDP、ARP、DHCP数据包自动实现网络IP阻塞检测,能通过Cisco Discovery协议列出Cisco设备,弱加密数据包记录,和Ethereal、tcpdump兼容的数据包dump文件,绘制探测到的网络图和估计 网络范围。
1、 支持CiscoCDP数据处理证书。
2、 支持WEP(Wired Equivalent Privacy)数据包解码。WEP安全技术源自于名为RC4的RSA数据加密技术,以满足用户更高层次的网络安全需求。
3、 自动探测每一个无线接入点(AP,Access Point)的结构。
4、 自动将数据转换为可视化的图表。
5、 Kisme支持WEP(Wired Equivalent Privacy)加密技术,WEP安全技术源自于名为RC4的RSA数据加密技术,以满足用户更高层次的网络安全需求。
通常情况下Kismet 2.71可以通过500000-1000000个通信数据包(时间在3-6个小时,加入攻击方法,几分钟就行)就能破解WEP的key
» 阅读全文
谁动了你的无线网络流量?你有没有进行无线网络安全设置,保证你的网络安全呢?网络的安全越来越被人所重视,如果你还不知道怎么进行无线网络安全设置的话,那么就请仔细阅读下文吧,它将会为你详细列出五种方法。
随着科技的发展以及人们生活水平的提高,现代家庭中有两台以上的电脑是很平常的事情。很多家庭都选择无线路由器来分享上网,无线上网使人们摆脱了线 的纠缠,让人们在无线世界中自由的网上冲浪。但请注意,这里指的人们不只是你的家人还包括你的邻居甚至是一些陌生人。IEEE 802.11n草案的推出,无线路由的传输速度也有了质的飞跃。但很多用户只关注了传输速度却忽视了无线网络的安全。例如,在家中阳台上可以搜索到七八个 无线连接,其中便有连密码都不设的,可以轻松“分享”他的网络带宽。据调查显示,有90%的网络入侵是因为无线路由器没有进行相应的无线网络安全设置而引 发的。
随着科技的发展以及人们生活水平的提高,现代家庭中有两台以上的电脑是很平常的事情。很多家庭都选择无线路由器来分享上网,无线上网使人们摆脱了线 的纠缠,让人们在无线世界中自由的网上冲浪。但请注意,这里指的人们不只是你的家人还包括你的邻居甚至是一些陌生人。IEEE 802.11n草案的推出,无线路由的传输速度也有了质的飞跃。但很多用户只关注了传输速度却忽视了无线网络的安全。例如,在家中阳台上可以搜索到七八个 无线连接,其中便有连密码都不设的,可以轻松“分享”他的网络带宽。据调查显示,有90%的网络入侵是因为无线路由器没有进行相应的无线网络安全设置而引 发的。
» 阅读全文
Module 1 - Wireless LAN (WLAN) Fundamentals
Lesson 1 - Encoding and Modulating Part 1
Lesson 2 - Encoding and Modulating Part 2
Lesson 3 - Various Wireless Technologies
Lesson 4 - Regulatory Bodies
Lesson 5 - RF Principles
Lesson 6 - Networking Technologies
Lesson 7 - Wireless Topologies
Lesson 8 - Exam Review
Lesson 9 - Frame Types
Lesson 10 - WLAN Protocols
Lesson 1 - Encoding and Modulating Part 1
Lesson 2 - Encoding and Modulating Part 2
Lesson 3 - Various Wireless Technologies
Lesson 4 - Regulatory Bodies
Lesson 5 - RF Principles
Lesson 6 - Networking Technologies
Lesson 7 - Wireless Topologies
Lesson 8 - Exam Review
Lesson 9 - Frame Types
Lesson 10 - WLAN Protocols
» 阅读全文
1.OSPF的接口加密。
是指在运行OSPF网络中,两个路由器直连接口的验证。相当于本地的一种验证,跟其它接口没有关系,只是定位到具体的两个接口之间。但是如果接口上起了验证,就不需要在区域中配置验证了。
2.OSPF的区域加密
是指在运行OSPF网络中,配置了区域加密,那么想加入该区域的设备必须启用区域加密。区域加密的所有的密钥和加密方式必须是统一的。
3.虚链路加密。
虚链路加密是区域加密的一种应用,可以看做是从外部接入到区域中需要进行的一种验证身份的方式。如果区域上已经建立了验证,链路这端就不需要进行验证。
验证方式的区别
端口验证:是验证路由器对端设备的身份。也就是说只是点到点的认证。其它的不管。一般在边界路由上端口认证用的比较多。
区域验证:是接入到目的区域中,必须启用的验证,范围是整个区域。这要比端口验证的范围大的多。一般在核心路由上端口认证用的比较多
下载文件
DDoS(分布式拒绝服务)攻击是利用TCP/IP协议漏洞进行的一种简单而致命的网络攻击,由于TCP/IP协议的这种会话机制漏洞无法修改,因此缺少直接有效的防御手段。大量实例证明利用传统设备被动防御基本是徒劳的,而且现有防火墙设备还会因为有限的处理能力陷入瘫痪,成为网络运行瓶颈。另外,攻击过程中目标主机也必然陷入瘫痪。
一、背景资料
本次测试采用的思科防DDoS攻击解决方案是思科收购和整合名为Riverhead公司的产品,在对付DDoS方面做出了非常重要的创新,提出了“导向”概念和防御DDoS攻击两条最关键防线:反欺骗防线和统计分析防线。
该系统由智能化DDoS防护系统侦测器Detector和防护器Guard两部分构成。在国外电信运营商、门户网站、在线游戏公司及在线支付公司应用比较广泛,其最终用户包括全球5大应用软件生产商、媒体公司和金融企业等,AT&T、Sprint、Rackspace、Datapipe等ISP均是其客户。
本次测试,我们将以xx电信运营商现有的网络结构及环境为例。由于××电信运营商的客户对网络的安全性、可靠性等指标要求不断提升,而且网络的应用类型也多种多样,因此,如何对现有的网络方案进行优化和完善,提高互联网数据中心(IDC)对目前流行的DDoS攻击的防御能力,就成为IDC需要着重考虑的课题,IDC拓扑结构如图
一、背景资料
本次测试采用的思科防DDoS攻击解决方案是思科收购和整合名为Riverhead公司的产品,在对付DDoS方面做出了非常重要的创新,提出了“导向”概念和防御DDoS攻击两条最关键防线:反欺骗防线和统计分析防线。
该系统由智能化DDoS防护系统侦测器Detector和防护器Guard两部分构成。在国外电信运营商、门户网站、在线游戏公司及在线支付公司应用比较广泛,其最终用户包括全球5大应用软件生产商、媒体公司和金融企业等,AT&T、Sprint、Rackspace、Datapipe等ISP均是其客户。
本次测试,我们将以xx电信运营商现有的网络结构及环境为例。由于××电信运营商的客户对网络的安全性、可靠性等指标要求不断提升,而且网络的应用类型也多种多样,因此,如何对现有的网络方案进行优化和完善,提高互联网数据中心(IDC)对目前流行的DDoS攻击的防御能力,就成为IDC需要着重考虑的课题,IDC拓扑结构如图
» 阅读全文
很基础的东西了,也是很关键的东西。
有谁记得当一个数据包通过三层设备的时候包会有哪些改变
是源IP变化 还是目的IP变化 是源MAC变化是目的MAC变化
路由表是做神马用的?
看完这篇文档 你基本上可以理解网络最基础的问题了。
下载文件
有谁记得当一个数据包通过三层设备的时候包会有哪些改变
是源IP变化 还是目的IP变化 是源MAC变化是目的MAC变化
路由表是做神马用的?
看完这篇文档 你基本上可以理解网络最基础的问题了。
下载文件 
