下這9個(gè)工具,可以幫助您知道無線網(wǎng)絡(luò)中已知的和未知的重要細(xì)節(jié)。這里所列的每一個(gè)工具都能為您提供基本的無線詳細(xì)信息:SSID、信號(hào)強(qiáng)度、通道、MAC地址和安全狀態(tài)。它們甚至可以顯示“隱藏”或沒發(fā)送的SSID,顯示噪聲級(jí)別,或顯示無線連接成功和失敗數(shù)據(jù)包的統(tǒng)計(jì)信息。其中的有兩個(gè)工具還包括了Wi-Fi密碼破解工具,也可用于教育或滲透測試。
1、Acrylic WiFi (Windows)
Tarlogic Security提供非商業(yè)用途的Acrylic WiFi,除了具有更多功能的付費(fèi)/商業(yè)版本。這兩個(gè)版本都支持監(jiān)視器或混雜模式來捕獲更多得流量,并具有內(nèi)置的簡單暴力密碼破解實(shí)用程序來測試密碼的安全性。免費(fèi)版本有一個(gè)簡單但對用戶極具吸引力的GUI。您將始終看到應(yīng)用程序頂部的SSID列表及其詳細(xì)信息。對于RSSI顯示負(fù)dBm值,它可以區(qū)分802.11ac,并識(shí)別更大的帶寬和所使用的多個(gè)通道。這個(gè)工具還可以顯示從捕獲的數(shù)據(jù)包中發(fā)現(xiàn)的任何隱藏的SSID。總體而言,除了允許您將屏幕截圖發(fā)布到Twitter上的功能外,沒有任何其他導(dǎo)出或保存功能。
2、AirGrab WiFi Radar (Mac OS X)
AirGrab WiFi Radar是一款免費(fèi)的基于Mac的Wi-Fi故障測量儀。它的GUI以與大多數(shù)其他工具不同的方式來呈現(xiàn)網(wǎng)絡(luò)和圖形。工具界面左上角是一個(gè)檢測到的SSID列表,只有其MAC地址和通道。要查看其他詳細(xì)信息,您必須單擊條目。除了通常的細(xì)節(jié)之外,WiFi雷達(dá)還顯示了噪音級(jí)別,這在進(jìn)行無線測量或故障排除時(shí)非常有用。界面的右上角是通道使用情況圖。AirGrab WiFi雷達(dá)可以成為Wi-Fi測量和故障排除的有用工具,尤其是它還提供了噪音級(jí)別,可以讓您計(jì)算接入點(diǎn)的信噪比。此外,網(wǎng)絡(luò)列表和頻道圖都可以保存和導(dǎo)出。
3、Cain & Abel (Windows)
Cain&Abel是一款多用途的密碼恢復(fù)和破解應(yīng)用程序,它還具有Wi-Fi故障嗅探和破解工具。和 Acrylic WiFi一樣,它也用監(jiān)視器或混雜模式來捕獲更多的流量。這個(gè)工具具有較老舊的簡單外觀,使用舊式工具欄。在“無線”選項(xiàng)卡中,您將發(fā)現(xiàn)Wi-Fi故障是什么。除了典型的SSID和信號(hào)信息之外,還可以看到連接的客戶端的列表和詳細(xì)信息。像 Acrylic WiFi一樣,從數(shù)據(jù)包中發(fā)現(xiàn)的任何隱藏的SSID也會(huì)在GUI中顯示出來,捕獲的大部分狀態(tài)和數(shù)據(jù)都可以導(dǎo)出到一個(gè)簡單的文本文件中。由于缺少圖形和無法區(qū)分802.11ac接入點(diǎn)和較大的通道寬度,Cain&Abel可能不是一般Wi-Fi故障測量的好選擇。
4、Ekahau HeatMapper
HeatMapper是網(wǎng)絡(luò)設(shè)計(jì)工具制造商Ekahau在其Wi-Fi網(wǎng)站和調(diào)查計(jì)劃中發(fā)布的一款免房費(fèi)工具。它提供了一個(gè)具有吸引力的圖形以概述您周圍的電波,甚至一些關(guān)于檢測到的Wi-Fi網(wǎng)絡(luò)的安全設(shè)置的信息。這個(gè)工具尚存的一個(gè)缺點(diǎn)是,應(yīng)用程序的廣告仍然宣傳為能夠看到“a / b / g / n”無線,所以尚不清楚是否支持802.11ac。該工具只支持Windows系統(tǒng)。
5、Homedale (Windows)
Homedale是一個(gè)基于Windows的比較簡單和便攜的測量儀,帶有可選的命令行界面。除了顯示基本的網(wǎng)絡(luò)和信號(hào)細(xì)節(jié)之外,它還支持GPS和其他地理位置支持日志記錄。該實(shí)用程序既有類似于多標(biāo)簽對話框比完整應(yīng)用程序的簡單GUI。在“訪問點(diǎn)”選項(xiàng)卡中,您將看到所有常見的詳細(xì)信息。但是,它不會(huì)檢測到隱藏的SSID,盡管它顯示了其他網(wǎng)絡(luò)細(xì)節(jié)。Homedale提供每個(gè)信號(hào)級(jí)別的線形圖,但沒有提供用于可視化通道使用的圖形。當(dāng)需要一個(gè)簡單的位置感知障礙物時(shí),該工具可能最有用的,特別是如果您需要保存或記錄結(jié)果。
6、LizardSystems Wi-Fi Scanner (Windows)
LizardSystems提供免費(fèi)版的Wi-Fi掃描器應(yīng)用程序,用于非商業(yè)用途,它也有能實(shí)現(xiàn)更多功能的付費(fèi)版本。除了Wi-Fi之外,它還會(huì)顯示某些類型網(wǎng)絡(luò)數(shù)據(jù)包的統(tǒng)計(jì)信息和圖形,但只能在免費(fèi)版里查看,而且只有一個(gè)月的期限。該應(yīng)用程序具有現(xiàn)代化的GUI,兩個(gè)標(biāo)簽在界面之間切換監(jiān)測功能和無線信息與數(shù)據(jù)包細(xì)節(jié)。總的來說,Wi-Fi掃描儀將是一個(gè)進(jìn)行一般測量的好工具;但請注意,您不能保存或?qū)С鼋Y(jié)果,顯示隱藏的SSID,也不能完全識(shí)別802.11ac。
7、WirelessNetView (Windows)
WirelessNetView實(shí)用程序是NirSoft提供的一個(gè)免費(fèi)軟件,用于個(gè)人或商業(yè)目的。這是一個(gè)非常簡單的基于Windows的Wi-Fi測量儀,可安裝或便攜式下載。對于信號(hào)強(qiáng)度,它顯示負(fù)dBm值;對于百分比,它顯示接收到的最后一個(gè)信號(hào)的值和平均值。另外一個(gè)獨(dú)特的細(xì)節(jié)是每個(gè)SSID被檢測的頻率。所有這些數(shù)據(jù)都可以導(dǎo)出到一個(gè)簡單的文本文件。該實(shí)用程序缺少高級(jí)功能,如圖形、隱藏的SSID 檢測,完全支持802.11ac,以及使用更大的通道寬度識(shí)別訪問點(diǎn)的所有通道。
8、Wireless Diagnostics (Mac OS X Lion 及更高版本)
在Mac OS X Mountain Lion 10.8.4及更高版本中,Apple提供無線診斷工具。它不僅僅是一個(gè)診斷工具,它還可以幫助您檢測和修復(fù)Wi-Fi問題。最重要的是,它是一個(gè)附帶操作系統(tǒng)的本地工具。要開始使用,請按Option鍵,然后單擊機(jī)場/ Wi-Fi圖標(biāo),這將顯示您當(dāng)前Wi-Fi連接的更多詳細(xì)信息,同時(shí)也使無線診斷快捷方式可用。當(dāng)您打開Wireless Diagnostics時(shí),它將開始運(yùn)行測試以檢測任何問題。此外,您可以選擇Window> Utilities來訪問其他無線工具。您可以看到當(dāng)前的連接和環(huán)境細(xì)節(jié),執(zhí)行幀捕獲,配置日志記錄,掃描網(wǎng)絡(luò)細(xì)節(jié)以及查看性能信息,包括噪聲和SNR值。
9、Xirrus Wi-Fi Inspector
Wi-Fi Inspector提供了每個(gè)熱點(diǎn)檢測的詳細(xì)細(xì)目,以及一個(gè)簡單的位置“雷達(dá)”顯示屏,看起來有點(diǎn)像Alien(這個(gè)工具)。這是一些老功能,但看起來令人印象深刻,而且它還提供豐富的細(xì)節(jié)詳情。
網(wǎng)絡(luò)安全威脅類別
網(wǎng)絡(luò)內(nèi)部的威脅,網(wǎng)絡(luò)的濫用,沒有安全意識(shí)的員工,黑客,駭客。
木馬攻擊原理
C/S 架構(gòu),服務(wù)器端被植入目標(biāo)主機(jī),服務(wù)器端通過反彈連接和客戶端連接。從而客戶端對其進(jìn)行控制。
病毒
一些惡意的計(jì)算機(jī)程序,具有傳播性,破壞性,隱蔽性的特點(diǎn)。
網(wǎng)絡(luò)攻擊類型
主要分為三類:
偵查攻擊:搜集網(wǎng)絡(luò)存在的弱點(diǎn),以進(jìn)一步攻擊網(wǎng)絡(luò)。分為掃描攻擊和網(wǎng)絡(luò)監(jiān)聽:掃描攻擊有端口掃描,主機(jī)掃描,漏洞掃描。
網(wǎng)絡(luò)監(jiān)聽:主要指只通過軟件將使用者計(jì)算機(jī)網(wǎng)卡的模式置為混雜模式,從而查看通過此網(wǎng)絡(luò)的重要明文信息。
端口掃描:根據(jù) TCP 協(xié)議規(guī)范,當(dāng)一臺(tái)計(jì)算機(jī)收到一個(gè)TCP 連接建立請求報(bào)文(TCP SYN) 的時(shí)候,做這樣的處理:
1、如果請求的TCP端口是開放的,則回應(yīng)一個(gè)TCP ACK 報(bào)文, 并建立TCP連接控制結(jié)構(gòu)(TCB);
2、如果請求的TCP端口沒有開放,則回應(yīng)一個(gè)TCP RST(TCP頭部中的RST標(biāo)志設(shè)為1)報(bào)文,告訴發(fā)起計(jì)算機(jī),該端口沒有開放。
相應(yīng)地,如果IP協(xié)議棧收到一個(gè)UDP報(bào)文,做如下處理:
1、如果該報(bào)文的目標(biāo)端口開放,則把該UDP 報(bào)文送上層協(xié)議(UDP ) 處理, 不回應(yīng)任何報(bào)文(上層協(xié)議根據(jù)處理結(jié)果而回應(yīng)的報(bào)文例外);
2、如果該報(bào)文的目標(biāo)端口沒有開放,則向發(fā)起者回應(yīng)一個(gè)ICMP 不可達(dá)報(bào)文,告訴發(fā)起者計(jì)算機(jī)該UDP報(bào)文的端口不可達(dá)。
利用這個(gè)原理,攻擊者計(jì)算機(jī)便可以通過發(fā)送合適的報(bào)文,判斷目標(biāo)計(jì)算機(jī)哪些TC 或UDP端口是開放的,
過程如下:
1、發(fā)出端口號(hào)從0開始依次遞增的TCP SYN或UDP報(bào)文(端口號(hào)是一個(gè)16比特的數(shù)字,這樣最大為65535,數(shù)量很有限);
2、如果收到了針對這個(gè)TCP 報(bào)文的RST 報(bào)文,或針對這個(gè)UDP 報(bào)文 的 ICMP 不可達(dá)報(bào)文,則說明這個(gè)端口沒有開放;
3、相反,如果收到了針對這個(gè)TCP SYN報(bào)文的ACK報(bào)文,或者沒有接收到任何針對該UDP報(bào)文的ICMP報(bào)文,則說明該TCP端口是開放的,UDP端口可能開放(因?yàn)橛械膶?shí)現(xiàn)中可能不回應(yīng)ICMP不可達(dá)報(bào)文,即使該UDP 端口沒有開放) 。
這樣繼續(xù)下去,便可以很容易的判斷出目標(biāo)計(jì)算機(jī)開放了哪些TCP或UDP端口,然后針對端口的具體數(shù)字,進(jìn)行下一步攻擊,這就是所謂的端口掃描攻擊。
主機(jī)掃描即利用ICMP原理搜索網(wǎng)絡(luò)上存活的主機(jī)。
網(wǎng)絡(luò)踩點(diǎn)(Footprinting)
攻擊者事先匯集目標(biāo)的信息,通常采用whois、Finger等工具和DNS、LDAP等協(xié)議獲取目標(biāo)的一些信息,如域名、IP地址、網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)、相關(guān)的用戶信息等,這往往是黑客入侵之前所做的第一步工作。
掃描攻擊
掃描攻擊包括地址掃描和端口掃描等,通常采用ping命令和各種端口掃描工具,可以獲得目標(biāo)計(jì)算機(jī)的一些有用信息,例如機(jī)器上打開了哪些端口,這樣就知道開設(shè)了哪些服務(wù),從而為進(jìn)一步的入侵打下基礎(chǔ)。
協(xié)議指紋
黑客對目標(biāo)主機(jī)發(fā)出探測包,由于不同操作系統(tǒng)廠商的IP協(xié)議棧實(shí)現(xiàn)之間存在許多細(xì)微的差別(也就是說各個(gè)廠家在編寫自己的TCP/IP 協(xié)議棧時(shí),通常對特定的RFC指南做出不同的解釋),因此各個(gè)操作系統(tǒng)都有其獨(dú)特的響應(yīng)方法,黑客經(jīng)常能確定出目標(biāo)主機(jī)所運(yùn)行的操作系統(tǒng)。
常常被利用的一些協(xié)議棧指紋包括:TTL值、TCP窗口大小、DF 標(biāo)志、TOS、IP碎片處理、 ICMP處理、TCP選項(xiàng)處理等。
信息流監(jiān)視
這是一個(gè)在共享型局域網(wǎng)環(huán)境中最常采用的方法。
由于在共享介質(zhì)的網(wǎng)絡(luò)上數(shù)據(jù)包會(huì)經(jīng)過每個(gè)網(wǎng)絡(luò)節(jié)點(diǎn), 網(wǎng)卡在一般情況下只會(huì)接受發(fā)往本機(jī)地址或本機(jī)所在廣播(或多播)地址的數(shù)據(jù)包,但如果將網(wǎng)卡設(shè)置為混雜模式(Promiscuous),網(wǎng)卡就會(huì)接受所有經(jīng)過的數(shù)據(jù)包。
基于這樣的原理,黑客使用一個(gè)叫sniffer的嗅探器裝置,可以是軟件,也可以是硬件)就可以對網(wǎng)絡(luò)的信息流進(jìn)行監(jiān)視,從而獲得他們感興趣的內(nèi)容,例如口令以及其他秘密的信息。
訪問攻擊:密碼攻擊:密碼暴力猜測,特洛伊木馬程序,數(shù)據(jù)包嗅探等方式。中間人攻擊:截獲數(shù)據(jù),竊聽數(shù)據(jù)內(nèi)容,引入新的信息到會(huì)話,會(huì)話劫持(session hijacking)利用TCP協(xié)議本身的不足,在合法的通信連接建立后攻擊者可以通過阻塞或摧毀通信的一方來接管已經(jīng)過認(rèn)證建立起來的連接,從而假冒被接管方與對方通信。
拒絕服務(wù)攻擊:偽裝大量合理的服務(wù)請求來占用過多的服務(wù)資源,從而使合法用戶無法得到服務(wù)響應(yīng)。
要避免系統(tǒng)遭受DoS 攻擊,從前兩點(diǎn)來看,網(wǎng)絡(luò)管理員要積極謹(jǐn)慎地維護(hù)整個(gè)系統(tǒng),確保無安全隱患和漏洞;
而針對第四點(diǎn)第五點(diǎn)的惡意攻擊方式則需要安裝防火墻等安 全設(shè)備過濾DoS攻擊,同時(shí)強(qiáng)烈建議網(wǎng)絡(luò)管理員定期查看安全設(shè)備的日志,及時(shí)發(fā)現(xiàn)對系統(tǒng)存在安全威脅的行為。
常見拒絕服務(wù)攻擊行為特征與防御方法
拒絕服務(wù)攻擊是最常見的一類網(wǎng)絡(luò)攻擊類型。
在這一攻擊原理下,它又派生了許多種不同的攻擊方式。
正確了解這些不同的拒絕攻擊方式,就可以為正確、系統(tǒng)地為自己所在企業(yè)部署完善的安全防護(hù)系統(tǒng)。
入侵檢測的最基本手段是采用模式匹配的方法來發(fā)現(xiàn)入侵攻擊行為。
要有效的進(jìn)行反攻擊,首先必須了解入侵的原理和工作機(jī)理,只有這樣才能做到知己知彼,從而有效的防止入侵攻擊行為的發(fā)生。
下面我們針對幾種典型的拒絕服務(wù)攻擊原理進(jìn)行簡要分析,并提出相應(yīng)的對策。
死亡之Ping( Ping of death)攻擊
由于在早期的階段,路由器對包的最大大小是有限制的,許多操作系統(tǒng)TCP/IP棧規(guī)定ICMP包的大小限制在64KB 以內(nèi)。
在對ICMP數(shù)據(jù)包的標(biāo)題頭進(jìn)行讀取之后,是根據(jù)該標(biāo)題頭里包含的信息來為有效載荷生成緩沖區(qū)。
當(dāng)大小超過64KB的ICMP包,就會(huì)出現(xiàn)內(nèi)存分配錯(cuò)誤,導(dǎo)致TCP/IP堆棧崩潰,從而使接受方計(jì)算機(jī)宕機(jī)。
這就是這種“死亡之Ping”攻擊的原理所在。
根據(jù)這一攻擊原理,黑客們只需不斷地通過Ping命令向攻擊目標(biāo)發(fā)送超過64KB的數(shù)據(jù)包,就可使目標(biāo)計(jì)算機(jī)的TCP/IP堆棧崩潰,致使接受方宕機(jī)。
防御方法:現(xiàn)在所有的標(biāo)準(zhǔn)TCP/IP協(xié)議都已具有對付超過64KB大小數(shù)據(jù)包的處理能力,并且大多數(shù)防火墻能夠通過對數(shù)據(jù)包中的信息和時(shí)間間隔分析,自動(dòng)過濾這些攻擊。
Windows 98 、Windows NT 4.0(SP3之后)、Windows 2000/XP/Server 2003 、Linux 、Solaris和Mac OS等系統(tǒng)都已具有抵抗一般“Ping of death ”拒絕服務(wù)攻擊的能力。
此外,對防火墻進(jìn)行配置,阻斷ICMP 以及任何未知協(xié)議數(shù)據(jù)包,都可以防止此類攻擊發(fā)生。
淚滴( teardrop)攻擊
對于一些大的IP數(shù)據(jù)包,往往需要對其進(jìn)行拆分傳送,這是為了迎合鏈路層的MTU(最大傳輸單元)的要求。
比如,一個(gè)6000 字節(jié)的IP包,在MTU為2000的鏈路上傳輸?shù)臅r(shí)候,就需要分成三個(gè)IP包。
在IP 報(bào)頭中有一個(gè)偏移字段和一個(gè)拆分標(biāo)志(MF)。
如果MF標(biāo)志設(shè)置為1,則表面這個(gè)IP包是一個(gè)大IP包的片斷,其中偏移字段指出了這個(gè)片斷在整個(gè) IP包中的位置。
例如,對一個(gè)6000字節(jié)的IP包進(jìn)行拆分(MTU為2000),則三個(gè)片斷中偏移字段的值依次為:0,2000,4000。
這樣接收端在全部接收完IP數(shù)據(jù)包后,就可以根據(jù)這些信息重新組裝沒正確的值,這樣接收端在收后這些分拆的數(shù)據(jù)包后就不能按數(shù)據(jù)包中的偏移字段值正確重合這些拆分的數(shù)據(jù)包,但接收端會(huì)不斷償試,這樣就可能致使目標(biāo)計(jì)算朵操作系統(tǒng)因資源耗盡而崩潰。
淚滴攻擊利用修改在TCP/IP 堆棧實(shí)現(xiàn)中信任IP碎片中的包的標(biāo)題頭所包含的信息來實(shí)現(xiàn)自己的攻擊。
IP分段含有指示該分段所包含的是原包的哪一段的信息,某些操作系統(tǒng)(如SP4 以前的 Windows NT 4.0 )的TCP/IP 在收到含有重疊偏移的偽造分段時(shí)將崩潰,不過新的操作系統(tǒng)已基本上能自己抵御這種攻擊了。
防御方法:盡可能采用最新的操作系統(tǒng),或者在防火墻上設(shè)置分段重組功能,由防火墻先接收到同一原包中的所有拆分?jǐn)?shù)據(jù)包,然后完成重組工作,而不是直接轉(zhuǎn)發(fā)。
因?yàn)榉阑饓ι峡梢栽O(shè)置當(dāng)出現(xiàn)重疊字段時(shí)所采取的規(guī)則。
TCP SYN 洪水(TCP SYN Flood)攻擊
TCP/IP棧只能等待有限數(shù)量ACK(應(yīng)答)消息,因?yàn)槊颗_(tái)計(jì)算機(jī)用于創(chuàng)建TCP/IP連接的內(nèi)存緩沖區(qū)都是非常有限的。
如果這一緩沖區(qū)充滿了等待響應(yīng)的初始信息,則該計(jì)算機(jī)就會(huì)對接下來的連接停止響應(yīng),直到緩沖區(qū)里的連接超時(shí)。
TCP SYN 洪水攻擊正是利用了這一系統(tǒng)漏洞來實(shí)施攻擊的。
攻擊者利用偽造的IP地址向目標(biāo)發(fā)出多個(gè)連接(SYN)請求。
目標(biāo)系統(tǒng)在接收到請求后發(fā)送確認(rèn)信息,并等待回答。
由于黑客們發(fā)送請示的IP地址是偽造的,所以確認(rèn)信息也不會(huì)到達(dá)任何計(jì)算機(jī),當(dāng)然也就不會(huì)有任何計(jì)算機(jī)為此確認(rèn)信息作出應(yīng)答了。
而在沒有接收到應(yīng)答之前,目標(biāo)計(jì)算機(jī)系統(tǒng)是不會(huì)主動(dòng)放棄的,繼續(xù)會(huì)在緩沖區(qū)中保持相應(yīng)連接信息,一直等待。
當(dāng)達(dá)到一定數(shù)量的等待連接后,緩區(qū)部內(nèi)存資源耗盡,從而開始拒絕接收任何其他連接請求,當(dāng)然也包括本來屬于正常應(yīng)用的請求,這就是黑客們的最終目的。
防御方法:在防火墻上過濾來自同一主機(jī)的后續(xù)連接。
不過“SYN洪水攻擊”還是非常令人擔(dān)憂的,由于此類攻擊并不尋求響應(yīng),所以無法從一個(gè)簡單高容量的傳輸中鑒別出來。
防火墻的具體抵御TCP SYN 洪水攻擊的方法在防火墻的使用手冊中有詳細(xì)介紹。
Land 攻擊
這類攻擊中的數(shù)據(jù)包源地址和目標(biāo)地址是相同的,當(dāng)操作系統(tǒng)接收到這類數(shù)據(jù)包時(shí),不知道該如何處理,或者循環(huán)發(fā)送和接收該數(shù)據(jù)包,以此來消耗大量的系統(tǒng)資源,從而有可能造成系統(tǒng)崩潰或死機(jī)等現(xiàn)象。
防御方法:這類攻擊的檢測方法相對來說比較容易,因?yàn)樗梢灾苯訌呐袛嗑W(wǎng)絡(luò)數(shù)據(jù)包的源地址和目標(biāo)地址是否相同得出是否屬于攻擊行為。
反攻擊的方法當(dāng)然是適當(dāng)?shù)嘏渲梅阑饓υO(shè)備或包過濾路由器的包過濾規(guī)則。
并對這種攻擊進(jìn)行審計(jì),記錄事件發(fā)生的時(shí)間,源主機(jī)和目標(biāo)主機(jī)的MAC地址和IP地址,從而可以有效地分析并跟蹤攻擊者的來源。
Smurf 攻擊
這是一種由有趣的卡通人物而得名的拒絕服務(wù)攻擊。
Smurf攻擊利用多數(shù)路由器中具有同時(shí)向許多計(jì)算機(jī)廣播請求的功能。
攻擊者偽造一個(gè)合法的IP地址,然后由網(wǎng)絡(luò)上所有的路由器廣播要求向受攻擊計(jì)算機(jī)地址做出回答的請求。
由于這些數(shù)據(jù)包表面上看是來自已知地址的合法請求,因此網(wǎng)絡(luò)中的所有系統(tǒng)向這個(gè)地址做出回答,最終結(jié)果可導(dǎo)致該網(wǎng)絡(luò)的所有主機(jī)都對此ICMP應(yīng)答請求作出答復(fù),導(dǎo)致網(wǎng)絡(luò)阻塞,這也就達(dá)到了黑客們追求的目的了。
這種Smurf攻擊比起前面介紹的“Ping of Death ”洪水的流量高出一至兩個(gè)數(shù)量級(jí),更容易攻擊成功。
還有些新型的Smurf攻擊,將源地址改為第三方的受害者(不再采用偽裝的IP地址),最終導(dǎo)致第三方雪崩。
防御方法:關(guān)閉外部路由器或防火墻的廣播地址特性,并在防火墻上設(shè)置規(guī)則,丟棄掉ICMP協(xié)議類型數(shù)據(jù)包。
Fraggle 攻擊
Fraggle 攻擊只是對Smurf 攻擊作了簡單的修改,使用的是UDP協(xié)議應(yīng)答消息,而不再是ICMP協(xié)議了(因?yàn)楹诳蛡兦宄?UDP 協(xié)議更加不易被用戶全部禁止)。
同時(shí)Fraggle攻擊使用了特定的端口(通常為7號(hào)端口,但也有許多使用其他端口實(shí)施 Fraggle 攻擊的),攻擊與Smurf 攻擊基本類似,不再贅述。
防御方法:關(guān)閉外部路由器或防火墻的廣播地址特性。在防火墻上過濾掉UDP報(bào)文,或者屏蔽掉一些常被黑客們用來進(jìn)Fraggle攻擊的端口。
電子郵件炸彈
電子郵件炸彈是最古老的匿名攻擊之一,通過設(shè)置一臺(tái)計(jì)算機(jī)不斷地向同一地址發(fā)送大量電子郵件來達(dá)到攻擊目的,此類攻擊能夠耗盡郵件接受者網(wǎng)絡(luò)的帶寬資源。
防御方法:對郵件地址進(jìn)行過濾規(guī)則配置,自動(dòng)刪除來自同一主機(jī)的過量或重復(fù)的消息。
虛擬終端(VTY)耗盡攻擊
這是一種針對網(wǎng)絡(luò)設(shè)備的攻擊,比如路由器,交換機(jī)等。
這些網(wǎng)絡(luò)設(shè)備為了便于遠(yuǎn)程管理,一般設(shè)置了一些TELNET用戶界面,即用戶可以通過TELNET到該設(shè)備上,對這些設(shè)備進(jìn)行管理。
一般情況下,這些設(shè)備的TELNET用戶界面?zhèn)€數(shù)是有限制的。
比如,5個(gè)或10個(gè)等。
這樣,如果一個(gè)攻擊者同時(shí)同一臺(tái)網(wǎng)絡(luò)設(shè)備建立了5個(gè)或10個(gè)TELNET連接。
這些設(shè)備的遠(yuǎn)程管理界面便被占盡,這樣合法用戶如果再對這些設(shè)備進(jìn)行遠(yuǎn)程管理,則會(huì)因?yàn)門ELNET連接資源被占用而失敗。
ICMP洪水
正常情況下,為了對網(wǎng)絡(luò)進(jìn)行診斷,一些診斷程序,比如PING等,會(huì)發(fā)出ICMP響應(yīng)請求報(bào)文(ICMP ECHO),接收計(jì)算機(jī)接收到ICMP ECHO 后,會(huì)回應(yīng)一個(gè)ICMP ECHO Reply 報(bào)文。
而這個(gè)過程是需要CPU 處理的,有的情況下還可能消耗掉大量的資源。
比如處理分片的時(shí)候。
這樣如果攻擊者向目標(biāo)計(jì)算機(jī)發(fā)送大量的ICMP ECHO報(bào)文(產(chǎn)生ICMP洪水),則目標(biāo)計(jì)算機(jī)會(huì)忙于處理這些ECHO 報(bào)文,而無法繼續(xù)處理其它的網(wǎng)絡(luò)數(shù)據(jù)報(bào)文,這也是一種拒絕服務(wù)攻擊(DOS)。
WinNuke 攻擊
NetBIOS 作為一種基本的網(wǎng)絡(luò)資源訪問接口,廣泛的應(yīng)用于文件共享,打印共享, 進(jìn)程間通信( IPC),以及不同操作系統(tǒng)之間的數(shù)據(jù)交換。
一般情況下,NetBIOS 是運(yùn)行在 LLC2 鏈路協(xié)議之上的,是一種基于組播的網(wǎng)絡(luò)訪問接口。
為了在TCP/IP協(xié)議棧上實(shí)現(xiàn)NetBIOS ,RFC規(guī)定了一系列交互標(biāo)準(zhǔn),以及幾個(gè)常用的 TCP/UDP 端口:
139:NetBIOS 會(huì)話服務(wù)的TCP 端口;
137:NetBIOS 名字服務(wù)的UDP 端口;
136:NetBIOS 數(shù)據(jù)報(bào)服務(wù)的UDP 端口。
WINDOWS操作系統(tǒng)的早期版本(WIN95/98/NT )的網(wǎng)絡(luò)服務(wù)(文件共享等)都是建立在NetBIOS之上的。
因此,這些操作系統(tǒng)都開放了139端口(最新版本的WINDOWS 2000/XP/2003 等,為了兼容,也實(shí)現(xiàn)了NetBIOS over TCP/IP功能,開放了139端口)。
WinNuke 攻擊就是利用了WINDOWS操作系統(tǒng)的一個(gè)漏洞,向這個(gè)139端口發(fā)送一些攜帶TCP帶外(OOB)數(shù)據(jù)報(bào)文。
但這些攻擊報(bào)文與正常攜帶OOB數(shù)據(jù)報(bào)文不同的是,其指針字段與數(shù)據(jù)的實(shí)際位置不符,即存在重合,這樣WINDOWS操作系統(tǒng)在處理這些數(shù)據(jù)的時(shí)候,就會(huì)崩潰。
分片 IP 報(bào)文攻擊
為了傳送一個(gè)大的IP報(bào)文,IP協(xié)議棧需要根據(jù)鏈路接口的MTU對該IP報(bào)文進(jìn)行分片,通過填充適當(dāng)?shù)腎P頭中的分片指示字段,接收計(jì)算機(jī)可以很容易的把這些IP 分片報(bào)文組裝起來。
目標(biāo)計(jì)算機(jī)在處理這些分片報(bào)文的時(shí)候,會(huì)把先到的分片報(bào)文緩存起來,然后一直等待后續(xù)的分片報(bào)文。
這個(gè)過程會(huì)消耗掉一部分內(nèi)存,以及一些IP協(xié)議棧的數(shù)據(jù)結(jié)構(gòu)。
如果攻擊者給目標(biāo)計(jì)算機(jī)只發(fā)送一片分片報(bào)文,而不發(fā)送所有的分片報(bào)文,這樣攻擊者計(jì)算機(jī)便會(huì)一直等待(直到一個(gè)內(nèi)部計(jì)時(shí)器到時(shí))。
如果攻擊者發(fā)送了大量的分片報(bào)文,就會(huì)消耗掉目標(biāo)計(jì) 算機(jī)的資源,而導(dǎo)致不能相應(yīng)正常的IP報(bào)文,這也是一種DOS攻擊。
Teardrop
分段攻擊。利用了重裝配錯(cuò)誤,通過將各個(gè)分段重疊來使目標(biāo)系統(tǒng)崩潰或掛起。
路由協(xié)議攻擊
網(wǎng)絡(luò)設(shè)備之間為了交換路由信息,常常運(yùn)行一些動(dòng)態(tài)的路由協(xié)議,這些路由協(xié)議可以完成諸如路由表的建立,路由信息的分發(fā)等功能。
常見的路由協(xié)議有RIP,OSPF,IS-IS,BGP等。
這些路由協(xié)議在方便路由信息管理和傳遞的同時(shí),也存在一些缺陷,如果攻擊者利用了路由協(xié)議的這些權(quán)限,對網(wǎng)絡(luò)進(jìn)行攻擊,可能造成網(wǎng)絡(luò)設(shè)備路由表紊亂(這足可以導(dǎo)致網(wǎng)絡(luò)中斷),網(wǎng)絡(luò)設(shè)備資源大量消耗,甚至導(dǎo)致網(wǎng)絡(luò)設(shè)備癱瘓。
常見路由協(xié)議的攻擊方式及原理
針對 RIP 協(xié)議的攻擊
RIP,即路由信息協(xié)議,是通過周期性(一般情況下為30S)的路由更新報(bào)文來維護(hù)路由表的。
一臺(tái)運(yùn)行RIP路由協(xié)議的路由器,如果從一個(gè)接口上接收到了一個(gè)路由更新報(bào)文,它就會(huì)分析其中包含的路由信息,并與自己的路由表作出比較。
如果該路由器認(rèn)為這些路由信息比自己所掌握的要有效,它便把這些路由信息引入自己的路由表中。
這樣如果一個(gè)攻擊者向一臺(tái)運(yùn)行RIP協(xié)議的路由器發(fā)送了人為構(gòu)造的帶破壞性的路由更新報(bào)文,就很容易的把路由器的路由表搞紊亂,從而導(dǎo)致網(wǎng)絡(luò)中斷。
如果運(yùn)行RIP路由協(xié)議的路由器啟用了路由更新信息的HMAC驗(yàn)證,則可從很大程度上避免這種攻擊。
針對 OSPF 路由協(xié)議的攻擊
OSPF,即開放最短路徑優(yōu)先,是一種應(yīng)用廣泛的鏈路狀態(tài)路由協(xié)議。
該路由協(xié)議基于鏈路狀態(tài)算法,具有收斂速度快,平穩(wěn),杜絕環(huán)路等優(yōu)點(diǎn),十分適合大型的計(jì)算機(jī)網(wǎng)絡(luò)使用。
OSPF路由協(xié)議通過建立鄰接關(guān)系,來交換路由器的本地鏈路信息,然后形成一個(gè)整網(wǎng)的鏈路狀態(tài)數(shù)據(jù)庫,針對該數(shù)據(jù)庫,路由器就可以很容易的計(jì)算出路由表。
可以看出,如果一個(gè)攻擊者冒充一臺(tái)合法路由器與網(wǎng)絡(luò)中的一臺(tái)路由器建立鄰接關(guān)系,并向攻擊路由器輸入大量的鏈路狀態(tài)廣播(LSA,組成鏈路狀態(tài)數(shù)據(jù)庫的數(shù)據(jù)單元),就會(huì)引導(dǎo)路由器形成錯(cuò)誤的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu),從而導(dǎo)致整個(gè)網(wǎng)絡(luò)的路由表紊亂,導(dǎo)致整個(gè)網(wǎng)絡(luò)癱瘓。
當(dāng)前版本的WINDOWS操作系統(tǒng)都實(shí)現(xiàn)了OSPF路由協(xié)議功能,因此一個(gè)攻擊者可以很容易的利用這些操作系統(tǒng)自帶的路由功能模塊進(jìn)行攻擊。
跟RIP類似,如果OSPF啟用了報(bào)文驗(yàn)證功能(HMAC驗(yàn)證),則可以從很大程度上避免這種攻擊。
針對 IS-IS 路由協(xié)議的攻擊
IS-IS 路由協(xié)議,即中間系統(tǒng)到中間系統(tǒng),是ISO提出來對ISO的CLNS網(wǎng)絡(luò)服務(wù)進(jìn)行路由的一種協(xié)議。
這種協(xié)議也是基于鏈路狀態(tài)的,原理與OSPF類似。
IS-IS路由協(xié)議經(jīng)過擴(kuò)展,可以運(yùn)行在IP網(wǎng)絡(luò)中,對IP報(bào)文進(jìn)行選路。
這種路由協(xié)議也是通過建立鄰居關(guān)系,收集路由器本地鏈路狀態(tài)的手段來完成鏈路狀態(tài)數(shù)據(jù)庫同步的。
該協(xié)議的鄰居關(guān)系建立比OSPF簡單,而且也省略了OSPF特有的一些特性,使該協(xié)議簡單明了,伸縮性更強(qiáng)。
對該協(xié)議的攻擊與OSPF類似,通過一種模擬軟件與運(yùn)行該協(xié)議的路由器建立鄰居關(guān)系,然后傳送給攻擊路由器大量的鏈路狀態(tài)數(shù)據(jù)單元(LSP),可以導(dǎo)致整個(gè)網(wǎng)絡(luò)路由器的鏈路狀態(tài)數(shù)據(jù)庫不一致(因?yàn)檎麄€(gè)網(wǎng)絡(luò)中所有路由器的鏈路狀態(tài)數(shù)據(jù)庫都需要同步到相同的狀態(tài)),從而導(dǎo)致路由表與實(shí)際情況不符,致使網(wǎng)絡(luò)中斷。
與OSPF類似,如果運(yùn)行該路由協(xié)議的路由器啟用了IS-IS協(xié)議單元(PDU)HMAC驗(yàn)證功能,則可以從很大程度上避免這種攻擊。
應(yīng)用層攻擊
能夠使用多種不同的方法來實(shí)現(xiàn),最平常的方法是應(yīng)用服務(wù)器上通常可找到的應(yīng)用軟件(如 SQL Server、Sendmail、PostScript和FTP)缺陷。
通過使用這些缺陷,攻擊者能夠獲得計(jì)算機(jī)的訪問權(quán),以及該計(jì)算機(jī)上運(yùn)行相應(yīng)應(yīng)用程序所需賬戶的許可權(quán)。
應(yīng)用層攻擊的一種最新形式是使用許多公開化的新技術(shù),如HTML規(guī)范、Web 瀏覽器的操作性和HTTP協(xié)議等。
這些攻擊通過網(wǎng)絡(luò)傳送有害的程序,包括JAVA applet和Active X控件等,并通過用戶的瀏覽器調(diào)用它們,很容易達(dá)到入侵、攻擊的目的。
雖然微軟公司提供的代碼驗(yàn)證技術(shù)可以使用戶的ActiveX控件因安全檢查錯(cuò)誤而暫停這類攻擊,但攻擊者已經(jīng)發(fā)現(xiàn)怎樣利用適當(dāng)標(biāo)記和有大量漏洞的ActiveX 控件使之作為特洛伊木馬實(shí)施新的攻擊方式。
這一技術(shù)可使用VBScript腳本程序直接控制執(zhí)行隱蔽任務(wù),如覆蓋文件, 執(zhí)行其他文件等,預(yù)防、查殺的難度更大。
在應(yīng)用層攻擊中,容易遭受攻擊的目標(biāo)包括路由器、數(shù)據(jù)庫、Web 和 FTP服務(wù)器和與協(xié)議相關(guān)的服務(wù),如DNS 、WINS 和SMB。
接入層攻擊
MAC/CAM泛洪攻擊
MAC/CAM泛洪攻擊是指利用工具產(chǎn)生大量欺騙MAC,快速填滿CAM表,交換機(jī)CAM表被填滿后,流量在所有端口廣播,導(dǎo)致交換機(jī)就像共享HUB一樣工作,這時(shí)攻擊者可以利用各種嗅探攻擊獲取網(wǎng)絡(luò)信息。
同時(shí)CAM表滿了后,流量以洪泛方式發(fā)送到所有接口,也就代表TRUNK接口上的流量也會(huì)發(fā)給所有接口和鄰接交換機(jī),會(huì)造成交換機(jī)負(fù)載過大,網(wǎng)絡(luò)緩慢和丟包甚至癱瘓。
解決方案:可使用端口安全技術(shù),允許特定的主機(jī)訪問及定義最多允許通過主機(jī)的數(shù)量。
針對DHCP的攻擊
采用DHCP協(xié)議可以自動(dòng)為用戶設(shè)置網(wǎng)絡(luò)IP地址、掩碼、網(wǎng)關(guān)、DNS、WINS等參數(shù),簡化了用戶網(wǎng)絡(luò)設(shè)置,提高了管理效率。
但在DHCP管理使用上也存在著一些令網(wǎng)管人員比較頭疼的問題。
1 DHCP 報(bào)文泛洪攻擊
DHCP報(bào)文泛洪攻擊是指利用工具偽造大量DHCP請求報(bào)文發(fā)送到服務(wù)器。
一方面惡意耗盡了IP資源,使得合法用戶無法獲得IP 資源;
另一方面使得服務(wù)器高負(fù)荷運(yùn)行,無法響應(yīng)合法用戶的請求,造成網(wǎng)絡(luò)故障。
解決方案:DHCPsnooping ,比較二層以太網(wǎng)幀的源MAC與DHCP請求報(bào)文中的client MAC是否一直,如果不一致,則丟棄。
2 DHCP Server欺騙攻擊
由于DHCP協(xié)議在設(shè)計(jì)的時(shí)候沒有考慮到客戶端和服務(wù)器端之間的認(rèn)證機(jī)制,如果網(wǎng)絡(luò)上存在多臺(tái)DHCP服務(wù)器將會(huì)給網(wǎng)絡(luò)照成混亂。
通常黑客攻擊是首先將正常的DHCP服務(wù)器所能分配的IP 地址耗盡,然后冒充合法的DHCP服務(wù)器。
最為隱蔽和危險(xiǎn)的方法是黑客利用冒充的DHCP服務(wù)器,為用戶分配一個(gè)經(jīng)過修改的DNS server,在用戶毫無察覺的情況下被引導(dǎo)至預(yù)先配置好的假金融網(wǎng)站或電子商務(wù)網(wǎng)站,騙取用戶帳戶和密碼,這種攻擊后果是非常嚴(yán)重的。
解決方案:DHCPsnooping,設(shè)置信任端口和非信任端口,非信任端口拒絕DHCP offer報(bào)文和DHCP ack報(bào)文。還可以采用DHCP snooping的報(bào)文限速功能,如果報(bào)文速率超過限制值,則端口進(jìn)入errdisable狀態(tài)。
針對 ARP攻擊
ARP作為IP層和鏈路層之間的聯(lián)系紐帶,其作用和責(zé)任非常重大,最主要的使命就是確定IP地址對應(yīng)的鏈路層地址(MAC地址)。
但是由于特定的歷史原因,ARP協(xié)議在設(shè)計(jì)的時(shí)候也沒有考慮到安全因素,因此黑客可以很輕易的針對ARP協(xié)議的漏洞發(fā)起攻擊, 輕松竊取到網(wǎng)絡(luò)信息。
1 ARP流量攻擊
ARP流量攻擊的方式多種多樣,比如偽造大量ARP請求,偽造大量ARP應(yīng)答,偽造目的IP不存在的IP報(bào)文等等。
其最終目的只有一個(gè):增加網(wǎng)絡(luò)中ARP報(bào)文的流量,浪費(fèi)交換機(jī)CPU帶寬和資源,浪費(fèi)內(nèi)存資源,造成CPU繁忙,產(chǎn)生丟包現(xiàn)象,嚴(yán)重的甚至造成網(wǎng)絡(luò)癱瘓。
解決方案:防范ARP流量攻擊通過兩種手段:
1,對端口ARP報(bào)文進(jìn)行限速,當(dāng)端口ARP報(bào)文速率超過設(shè)定值,則down掉端口;
2,對引起ARP解析失敗的目的IP進(jìn)行記錄,當(dāng)在固定時(shí)間內(nèi)該IP引起ARP解析失敗的次數(shù)超過設(shè)定值的時(shí)候下發(fā)ACL,通過硬件將目的IP為此IP的報(bào)文丟棄;
2 ARP 欺騙攻擊
根據(jù)ARP協(xié)議的設(shè)計(jì),為了減少網(wǎng)絡(luò)上過多的ARP數(shù)據(jù)通信,一個(gè)主機(jī)即使收到非本機(jī)的ARP應(yīng)答,也會(huì)對其進(jìn)行學(xué)習(xí)。
這樣,就造成了“ARP 欺騙”的可能。
比如黑客分別向兩臺(tái)主機(jī)發(fā)送一個(gè)ARP應(yīng)答包,讓兩臺(tái)主機(jī)都“誤”認(rèn)為對方的MAC地址是第三方的黑客所在的主機(jī)。
這樣,雙方看似“直接”的通信連接,實(shí)際上都是通過黑客所在的主機(jī)間接進(jìn)行的。
黑客一方面得到了想要的通信內(nèi)容,另一方面,只需要更改數(shù)據(jù)包中的一些信息,成功地做好轉(zhuǎn)發(fā)工作即可。
同時(shí)黑客連續(xù)不斷地向這兩臺(tái)主機(jī)發(fā)送這種虛假的ARP響應(yīng)包,讓這兩臺(tái)主機(jī)一直保存錯(cuò)誤的ARP表項(xiàng),使其可以一直探聽這兩臺(tái)主機(jī)之間的通信。
解決方案:對于ARP 欺騙攻擊,利用接入層交換機(jī)上已經(jīng)記錄了Snooping表項(xiàng)或(和)靜態(tài)綁定了合法用戶的信息進(jìn)行報(bào)文合法性判斷。
當(dāng)交換機(jī)端口上收到ARP報(bào)文,將報(bào)文中的IP和MAC地址提取出來,然后與上述表項(xiàng)進(jìn)行對比,若IP、MAC以及收到報(bào)文的端口信息在表項(xiàng)中,則認(rèn)為是合法報(bào)文,正常處理,否則認(rèn)為是非法報(bào)文予以丟棄。
3 IP/MAC欺騙攻擊
常見的欺騙種類有MAC欺騙、IP 欺騙、IP/MAC欺騙,黑客可以偽造源地址進(jìn)行攻擊。
例如:以公網(wǎng)上的DNS 服務(wù)器為目標(biāo),希望通過使DNS服務(wù)器對偽造源地址的響應(yīng)和等待,造成DOS攻擊,并以此擴(kuò)大攻擊效果。
此外IP/MAC欺騙的另一個(gè)目的為了偽造身 份或者獲取針對IP/MAC的特權(quán)。
解決方案:防止IP/MAC欺騙,處理類似上面講到的防止ARP欺騙,也是利用Snooping 表項(xiàng)和靜態(tài)綁定表項(xiàng)檢測IP報(bào)文中IP、MAC和端口號(hào)的正確性。
所不同的是IP地址檢查特性配置在交換機(jī)的端口上,對該端口生效,不是通過軟件丟棄報(bào)文,而是直接在端口下發(fā)ACL規(guī)則,由硬件直接丟棄非法報(bào)文,極大降低了 偽IP報(bào)文對交換機(jī)處理效率的影響。
針對網(wǎng)絡(luò)的攻擊解決方案
邊界安全(防火墻):訪問控制列表和防火墻類似于建筑物外墻上的門鎖,只讓經(jīng)過授權(quán)的用戶(擁有鑰匙或者胸牌的用戶)進(jìn)出。
邊界安全可以控制對關(guān)鍵性應(yīng)用、服務(wù)和數(shù)據(jù)的訪問,使得只有合法的用戶和信息才能從一個(gè)網(wǎng)絡(luò)(信任域)進(jìn)入另外一個(gè)網(wǎng)絡(luò)。
基本的實(shí)施是訪問控制和防火墻(訪問攻擊,緩解DOS攻擊,檢測掃描攻擊及作出相應(yīng)措施)。
入侵防范(IDS,IPS):入侵檢測系統(tǒng)的作用類似于現(xiàn)實(shí)生活中的監(jiān)視攝像機(jī)。
它們可以不間斷地掃描網(wǎng)絡(luò)流量(通過將流量拷貝一份到傳感器),查找可疑的數(shù)據(jù)分組。
利用一個(gè)跟蹤特征數(shù)據(jù)庫,它們可以記錄任何不正常的情況,并采取相應(yīng)的措施:發(fā)出警報(bào), 重置攻擊者的TCP連接,或者禁止攻擊者的IP地址再次登錄網(wǎng)絡(luò)。
網(wǎng)絡(luò)IDS(NIDS)檢則器通常可以利用一個(gè)不可尋址的混和接口卡監(jiān)聽某個(gè)子網(wǎng)上的所有流量,并通過另外一個(gè)更加可靠的接口發(fā)送任何警報(bào)和記錄的流量。(檢測攻擊代碼,如木馬、病毒,掃描攻擊)
安全連接(VPN):利用互聯(lián)網(wǎng)協(xié)議安全標(biāo)準(zhǔn)(IPS)的虛擬專用網(wǎng)(VPN)可以提供信息的機(jī)密性、完整性和終端身份認(rèn)證(防止數(shù)據(jù)被非法用戶竊取,防止中間人的攻擊)
身份識(shí)別(802.1X,AAA):只有通過認(rèn)證的用戶才能訪問網(wǎng)絡(luò)(非法用戶不能接入,防止密碼攻擊)。
準(zhǔn)入控制( NAC/EAD(H3C) ):NAC為完全符合安全策略的終端設(shè)備提供網(wǎng)絡(luò)接入,且有助于確保拒絕不符合策略的設(shè)備接入,將其放入隔離區(qū)以修復(fù),或僅允許其有限地訪問資源(解決網(wǎng)絡(luò)威脅)
行為管理:限制網(wǎng)絡(luò)用戶對網(wǎng)絡(luò)的濫用(解決網(wǎng)絡(luò)威脅)
集成化產(chǎn)品安全:在提供傳統(tǒng)防火墻、VPN 功能基礎(chǔ)上,同時(shí)提供病毒防護(hù)、URL 過濾、漏洞攻擊防護(hù)、垃圾郵件防護(hù)、P2P/IM 應(yīng)用層流量控制和用戶行為審計(jì)等安全功能。