CCNP 筆記本

2009 年 02 月 09 日

CCNP-ISCW Module 05 Cisco Device Harding (1)

Filed under: CCNP-ISCW Module 05 — nkongkimo @ 06:38:05

Reconnaissance Attack(資訊收集攻擊)

項目 運作方式 備註
1.Ping Sweeps       (IP secan)   *無法完全消除
2.Port scans
1.SYN scan:
正常的連線方式,有回應表示port active
2.FIN scan:
FIN為連線終止的訊號,當FIN沒回應表示port active
3.UDP scan:
利用ICMP port Unreachable查詢
*查詢IOS設備的類型、版本
*無法完全消除
*用Telnet就可以做了
3.Packet sniffer
(監聽封包)
*安裝sniffer軟體或把網卡設定混亂模式,收集流經的封包並解析封包內容
*需要在同一個collision domain
軟體:Sniffer Ethereal
設備:IPS/IDS
*無法完全消除
4.Internet information queries   *上網查詢漏洞

Access attacks(入侵系統竊取資料)

項目 備註
1.Password attack
(密碼攻擊)
*利用字典、暴力攻擊法,取得密碼
*密碼長度越長強度越佳
*密碼複雜度越高強不越佳
*密碼需要編碼加密
2.Trust exploitation

3.Port redirection
4.Man-in-the-middle attack

(Clean pipe)


*解決方法利用VPN Tunnel加密

DoS & DDoS(阻斷攻擊)

項目 運作狀況 備註
1DoS&DDoS

*耗盡頻寬、系統連線的攻擊,造成服務中斷。
*無法完全消除
*搭配IP偽造的功能
*比雙方資源

IP Spoofing

*ACL:在進入的端口設定deny自己的網段
* RFC 3704(包含RFC 2827):以ISP的角度要做到阻擋10.0.0.0/8、172.16.0.0/12、192.168.0.0/16、224.X.X.X(mutlticast的虛擬IP)、127.0.0.0,可以阻擋大部份IP偽造。
 

IDS/IPS 入侵偵測/入侵防禦系統

入侵偵測系統(IDS)

目的:有效偵測來自內外部網路對單位主機的入侵攻擊行為

分類:入侵偵測系統一般分為主機型(Host)網路型(Network)兩種

1.網路型IDS:會針對網路上的連線狀態及傳輸封包的內容進行監控

2.主機型IDS:可直接與主機伺服器上的作業系統與應用程式做密切的整合,因此可偵測出許多網路型IDS所察覺不出的攻擊模式(如網頁置換、作業系統的kernel竄改)

病毒的種類

項目 行為 防護
1.Worm(蠕蟲) 1.The enabling vulnerability
(掃描系統弱點)
2.Propagation mechanism
(自我修復及擴散能力)
3.Payload
(提升權限)
*運作在一個有弱點的系統
1.Control控制:去區分蠕蟲
2.Inoculate預防:更新Path檔,修補弱點
3.Quarantine隔離:刪除或修補
4.Treat:探討並文件化
2.Virus(病毒)    
3.Trojan Horse(木馬)    

Management protocol

明文 加密 備註
HTTP HTTPS  
SNMPv1、v2 SNMPv3  
TELNET SSH IOS需要支援
FTP    

廣告

發表迴響 »

仍無迴響。

RSS feed for comments on this post. TrackBack URI

發表迴響

Please log in using one of these methods to post your comment:

WordPress.com 標誌

您的留言將使用 WordPress.com 帳號。 登出 /  變更 )

Google photo

您的留言將使用 Google 帳號。 登出 /  變更 )

Twitter picture

您的留言將使用 Twitter 帳號。 登出 /  變更 )

Facebook照片

您的留言將使用 Facebook 帳號。 登出 /  變更 )

連結到 %s

在 WordPress.com 建立免費網站或網誌.

%d 位部落客按了讚: