首页 文章 X园区

X园区

2024-08-12 20:07  浏览数:121  来源:桂电_LingYu    

根据当前网络拓扑结构及用户情况分析,当前企业网络中还可能存在以下问题:
1、DHCP服务器被仿冒风险。因为DHCP服务器与DHCP客户端之间并没有可靠
的认证机制,故可能存在DHCP服务被仿冒的风险。企业网络中的终端及网络设备
居多,非常依赖DHCP服务器进行网络参数的下发,一旦终端及网络设备从仿冒的
DHCP服务器上获取到了错误的网络参数,将可能造成无法正常访问网络甚至引起
大规模的网络访问事故。
解决方案:通过在企业内网交换机上配置DHCP Snooping功能,将与DHCP服务器
互联的端口设置为信任端口,其它端口设置为非信任端口,使得设备从非信任端口
收到的DHCP报文丢弃,从而有效防止DHCP服务器被仿冒的风险。
2、网络中潜在的扫描攻击,它是攻击者在进行真正攻击前的网络探测行为,分为地址扫描与端口扫描。
地址扫描是攻击者利用ICMP及TCP/UDP报文来探测网络中的地址,通过判断是否有应答报文
从而判断目标是否存在。
端口扫描是攻击者利用TCP/UDP工具对目的地址发起一系列的连接,根据应答报文判断主机是否
使用这些端口进行提供服务,从而采取相应的攻击方式。
解决方案:在交换机、软硬件防火墙上部署诱捕探针,当某个源地址每秒访问不同的目的地址或每秒访问不同端口
的数量达到设定的阈值时,将认为该源IP地址正在进行扫描攻击。诱捕探针会将该可疑的流量引导至诱捕器中进行
攻击检测,如果可疑流量与预置规则匹配,将认为该可疑流量为攻击行为,给出告警与处理建议,在管理员确认后
向诱捕器下发配置,断开攻击源,保护业务网络。
3、畸形报文攻击,企业网络中可能存在恶意用户通过构造畸形报文或异常数据报文向网络设备发起攻击,
以占用设备内存为目的使得设备瘫痪。
解决方案:通过在企业内网设备上部署攻击防范,限制每个报文在一定时间内发送的数量,从而有效防止设备
因大量的畸形报文从而导致设备瘫痪。同时加强相关的日志监控,对这种攻击行为进行记录,同时进行告警,
让管理员能够快速的发现并及时采取处理措施。
4、ARP地址欺骗攻击,企业内网可能存在恶意用户伪造其它合法用户的IP地址向网络中发送ARP报文,从而
造成网络设备学习到错误的ARP信息,造成被伪造用户无法正常访问网络。
解决方案:通过在企业内网设备上配置动态ARP地址检测,使得网络设备在转发ARP报文时将报文中的源IP、
源MAC、接口、VLAN等信息与DHCP Snooping绑定表中信息进行比对,如果信息匹配,将允许转发,
否则将丢弃,从而防止非法IP及用户变更其它IP接入到网络中。
5、源IP地址欺骗攻击,企业内网中可能存在恶意用户伪造合法用户的IP地址获取访问权限,非法访问资源,甚至
造成合法用户无法访问网络及用户信息泄露。
解决方案:通过在企业内网设备上配置IPSG检测,使得网络设备在转发IP报文时将报文中的源IP、
源MAC、接口、VLAN等信息与DHCP Snooping绑定表中信息进行比对,如果信息匹配,将允许转发,
否则将丢弃,从而防止非法IP及用户变更其它IP接入到网络中。
6、MAC地址泛洪攻击,企业内网可能存在恶意用户使用非法MAC地址接入到网络中并通过攻击工具生成
大量的非法源MAC地址向网络设备发起攻击,以占用网络设备的MAC地址表项为目的从而影响其它业务
流量的正常转发。
解决方案:通过在企业的接入交换机上配置端口安全特性,使得设备在转发用户报文时,将报文中的源MAC
地址与端口进行绑定,绑定的MAC地址将成为安全动态MAC、安全静态MAC或Stick MAC。当端口学习到
一定数量之后,将不再学习新的MAC地址,只允许安全MAC地址进行访问网络,从而防止大量非法MAC影响
设备正常运行。



声明:以上文章均为用户自行添加,仅供打字交流使用,不代表本站观点,本站不承担任何法律责任,特此声明!如果有侵犯到您的权利,请及时联系我们删除。

字符:    改为:
去打字就可以设置个性皮肤啦!(O ^ ~ ^ O)