Embed Size (px)
DESCRIPTION
校園網路使用及故障排除 南投區網中心與 NCNU TWAREN GigaPOPs 合辦之資訊安全研討會議 2013 06 05. 國立暨南國際大學 計算機與網路中心 網路組 楊文龍. 大綱. 校園網路簡介 相關指令介紹 校園網路的威脅 非法 DHCP 伺服器 ARP 欺騙 網路迴圈 宿舍網路攻擊事件 總結. (5). (4). (3). (1). (2). Router Switch. 校園網路運作. HiNet. TANet. www.ntu.edu.tw. Source Switch/Router DHCP Server - PowerPoint PPT Presentation
Citation preview
校園網路使用及故障排除南投區網中心與 NCNU TWAREN GigaPOPs 合辦之資訊安全研討會議 2013 06 05
國立暨南國際大學計算機與網路中心網路組 楊文龍
大綱•校園網路簡介
–相關指令介紹•校園網路的威脅
–非法 DHCP 伺服器– ARP 欺騙–網路迴圈–宿舍網路攻擊事件
•總結
NCNUNCNUCampus Campus NetworkNetwork
DHCPServer
DNSServer
ProxyServers
TANet HiNet
Web Filter
(1)
www.ntu.edu.tw
(2)
(3) (4)
(5)
SourceSwitch/RouterDHCP ServerDNS ServerProxy Server/FilterTANet / HiNet / ISPsDestination
校園網路運作
Router
Switch
DHCP(Dynamic Host Configuration Protocol )
•主要功能是讓一部機器能夠透過自己的 Ethernet Address 廣播 , 向 DHCP server 取得有關 ip, netmask, default gateway, dns 等設定 . 這樣網管人員只要把 DHCP server 設定好 , 就可以讓 client machine 透過 DHCP protocol 自動取得 IP 相關的設定 , 而不需要去每一部機器上辛苦地做 IP, netmask, default gateway, dns 等設定
DHCP 組態設定
相關指令介紹• ipconfig/all• ping• tracert• arp• nslookup
簡易網路架構圖DNS Server
DHCP Server
新增 IP分享器DNS Server
DHCP Server
IP分享器
新增 IP分享器DNS Server
DHCP Server
IP分享器
IP 分享器正面
IP 分享器背面
IP 分享器設定 (使用 WAN)
IP 分享器設定只使用 LAN
使用者如何發現非法 DHCP
ARP (Address Resolution Protocol)
• ARP 是 TCP/IP 設計者利用乙太網的廣播性質﹐設計出來的位址解釋協定。它的主要特性和優點是它的位址對應關係是動態的﹐它以查詢的方式來獲得 IP 位址和實體位址的對應。
ARP 運作方式 (一 )Source IP Address 10.10.49.219Source MAC Address 000AE4E3D3E7Target IP Address 10.10.46.206Destination Address FFFFFFFFFFFF(broadcast)
乙太網路
Host AIP 10.10.49.219
MAC 000AE4E3D3E7
Host DIP 10.10.49.133
MAC 001485271b95
Host BIP 10.10.49.206
MAC 000D606D4429
Host CIP 10.10.49.136
MAC 001B2448FEA2
IP Address 10.10.49.206Sorry,It`s not me IP Address 10.10.49.206
Sorry,It`s not me
IP Address 10.10.49.206Hey,that`s me!
I`ll store sender`s address pair
ARP Request
ARP 運作方式 (二 )
Thanks,I`ll cache the address pair
Source IP Address 10.10.49.206Source MAC Address 000D606D4429Destination MAC Address 000AE4E3D3E7
乙太網路
Host AIP 10.10.49.219
MAC 000AE4E3D3E7
Host DIP 10.10.49.133
MAC 001485271b95
Host BIP 10.10.49.206
MAC 000D606D4429
Host CIP 10.10.49.136
MAC 001B2448FEA2
ARP Reply
ARP 檢查
ARP 欺騙運作方式Router
Gateway 10.10.49.254MAC: 000FF810B640
ARP Table10.10.49.219 000AE4E3D3E710.10.49.43 000AE4E3D3E7
SwitchIp :10.10.49.241
MAC:0050BA709C52Switch
Ip:10.10.49.242MAC:0050BA968CEAHost A
Ip:10.10.49.219MAC:000AE4E3D3E7
Host DIp:10.10.49.43
MAC:001A4D399CA0
ARP spoofing封包10.10.49.254 000AE4E3D3E7
ARP spoofing封包10.10.49.43 000AE4E3D3E7
Internet
ARP 網段攻擊案例
ARP 網段攻擊案例
ARP 網段攻擊案例
ARP 網段攻擊案例
ARP 網段攻擊案例解析☻具有ARP病毒及後門程式的網頁伺服器
利用主機A瀏覽網頁時植入ARP病毒及後門程式
☻
主機A利用ARP攻擊欺騙所有電腦Gateway MAC為000AE4E3D3E7
A
BC
D
接收到其他主機的封包,代為轉向真正路由器,並插入具病毒網頁回來
將後門程式植入每台電腦
Router
Switch
Internet
Host AIp:10.10.49.219
MAC:000AE4E3D3E7
Host BIP:10.10.49.205
MAC:0016E6876190
Host CIp:10.10.49.135
MAC:001731CC2461
Host DIp:10.10.49.43
MAC:001A4D399CA0
RouterGateway
10.10.49.254MAC:
000FF810B640
A
B
C
D
ARP Table10.10.49.254 000AE4E3D3E7
ARP Table10.10.49.254 000AE4E3D3E7
ARP Table10.10.49.254 000AE4E3D3E7
ARP 網段攻擊校外阻擋
LOOP 產生狀況一DNS Server
DHCP Server
小型網路交換器
LOOP 產生狀況二DNS Server
DHCP Server
小型網路交換器
舊款小型網路換器
演進中的小型網路交換器
新款網路換器
568A~568B
• 雙絞線共有 8 心,實際作用只有 4 條,即 12 與 36 這兩對銅線。• 12 這對絞線負責傳送資料 (TX+ , TX-) ,而 36 (RX+ , RX-) 這對絞線負責接收資料。
LOOP 紀錄
宿舍網路攻擊事件一
宿舍網路攻擊事件二
總結•非法 DHCP• ARP 欺騙•網路迴圈•宿舍網路攻擊事件
Q&A
