精华内容
下载资源
问答
  • 防止arp攻击怎么做? ARP攻击防范是通过对ARP表的控制以及ARP报文的限制、检查等手段来保护网络设备的安全。之所以ARP攻击泛滥是由于ARP协议上的缺陷,没有相应的安全性验证;对于大型网络来说,找出攻击源是比较困难...

    防止arp攻击怎么做? ARP攻击防范是通过对ARP表的控制以及ARP报文的限制、检查等手段来保护网络设备的安全。之所以ARP攻击泛滥是由于ARP协议上的缺陷,没有相应的安全性验证;对于大型网络来说,找出攻击源是比较困难的一件事情,通过网络设备的配置也只能缓解ARP攻击对整个网络造成的压力。新睿云小编也会一一详解!

    免费ARP的用途:

    1 当我更新我得DHCP地址后,发送一份免费的ARP请求,告诉网段内所有的节点我更换了IP地址了,以便更新它们对我的ARP表项

    2.用于检测网段内是否有人跟我使用了相同的IP 地址

    3.用于ARP攻击.

    推荐文章阅读《permitrootlogin是什么?如何保证系统的安全性》

    解决方法一:

    1. 静态绑定IP地址和MAC地址

    2. R1(config)#arp 192.168.100.2 aaaa.bbbb.ccccfastEthernet 0/1

    缺陷:如果是通过DHCP自动获取的地址,租期到了以后,绑定就会失效,病情重新发包请求IP地址.也不会分配到IP地址.扩展性很差。

    2.Dynamic ARP Inspection 动态ARP监测,交换机上开启.

    DAI (Dynamic ARP Inspection) 动态ARP监测,用于基于VLAN的防护机制

    交换机开启DAI后,类似DHCP snooping,交换机上的所有接口都是untrusted接口,untrusted接口接收到ARP或ARP映带的时候,会提取ARP请求和应答中的三层或二层地址,与DHCP binding database中的信息进行对比,查看请求者IP应答或者IP是否合法.如果不合法会丢弃报文,合法才会转发.另外,要启用DAI首先要启用DHCP snooping。

    当交换机接口手工配置为trusted接口,当收到RP请求或者ARP应答,都不会与DHCP binding database中的信息进行对比,如果报文合法就被方形,不合法就直接丢弃。

    因此,在网络拓扑中交换机连接PC的接口应该设置为untrusted接口,交换经济互联的接口以及减缓及连接合法DHCP服务器的接口应该设置为trusted接口。

    交换机全局模式下启动DAI

    SW1(config)#iparp inspection vlan 20

    SW2(config)#iparp inspection vlan 200

    把中继链路的接口设置为 trusted接口

    SW1(config)#interface fastethernet 0/1

    SW1(config-if)#iparp inspection trust

    SW2(config)#interface fastethernet 0/2

    SW2(config-if)#iparp inspection trust

     

     

     

     

    配置DAI的基本步骤:

    1:部署DHCP. 2:部署DHCP Snooping 3:部署DAI 4:把中继接口和连接DHCP服务器的接口设置为trusted接口,并且限制连接PC接口接受ARP报文的速率

    ARP报文的rate limit

    默认DAI untrust接口的rate limit是15个P/S也就是15pps,trust接口则完全没有限制,可以通过iparp inspection limit 这条接口级的命令来修改。

    当接口收到ARP报文超出这个阈值,接口进入err-disable。端口自动关闭.可以使用no shutdown 的方式重新恢复这个接口.或者.使用全局命令errdisble recovery 来让接口在一定时间间隔后自动恢复

    SW1(config)#interface fastethernet 0/1

    SW1(config-if)#iparp inspection limit rate 20

    把接口接受的ARP报文的速率限制20P/S

    当接口设置为err-disable状态,自动回复的时间为30S

    SW1(config)#errdisable recover cause arp-inspection

    SW1(config)#errdisable recovery interval 30

    解决方法二

    1,防火墙开启arp防攻击功能,查看arp异常IP地址或mac地址。

    2,跟踪异常设备,在交换机或防火墙学习异常mac地址所属端口。

    3,防止arp病毒广播扩撒应及时关闭下联端口,根据端口查找下联设备做病毒查杀,另外该网断所有关联设备都要做病毒查杀防止病毒感染。

    ARP欺骗的三个阶段

    初期:ARP欺骗

    这种有目的的发布错误ARP广播包的行为,被称为ARP欺骗。ARP欺骗,最初为黑客所用,成为黑客窃取网络数据的主要手段。黑客通过发布错误的ARP广播包,阻断正常通信,并将自己所用的电脑伪装成别人的电脑,这样原本发往其他电脑的数据,就发到了黑客的电脑上,达到窃取数据的目的。

    中期:ARP恶意攻击

    后来,有人利用这一原理,制作了一些所谓的“管理软件”,例如网络剪刀手、执法官、终结者等,这样就导致了ARP恶意攻击的泛滥。往往使用这种软件的人,以恶意破坏为目的,多是为了让别人断线,逞一时之快。

    特别是在网吧中,或者因为商业竞争的目的、或者因为个人无聊泄愤,造成恶意ARP攻击泛滥。

    随着网吧经营者摸索出禁用这些特定软件的方法,这股风潮也就渐渐平息下去了。

    现在:综合的ARP攻击

    最近这一波ARP攻击潮,其目的、方式多样化,冲击力度、影响力也比前两个阶段大很多。

    首先是病毒加入了ARP攻击的行列。以前的病毒攻击网络以广域网为主,最有效的攻击方式是DDOS攻击。但是随着防范能力的提高,病毒制造者将目光投向局域网,开始尝试ARP攻击,例如最近流行的威金病毒,ARP攻击是其使用的攻击手段之一。

    相对病毒而言,盗号程序对网吧运营的困惑更大。盗号程序是为了窃取用户帐号密码数据而进行ARP欺骗,同时又会影响到其他电脑上网。  https://www.xinruiyun.cn/zhishiku/2641.html

    展开全文
  • 互联网互联网时代,越来越多的企业或个人站长都做起了线上业务,当网络跨数发展的同时也存在着问题,网站攻击简直防不胜防,那么当网站受到攻击的时候不要过度惊慌失措,要先静下心查看网络攻击的原因,受到什么...

    在这里插入图片描述
    互联网互联网时代,越来越多的企业或个人站长都做起了线上业务,当网络跨数发展的同时也存在着问题,网站攻击简直防不胜防,那么当网站受到攻击的时候不要过度惊慌失措,要先静下心查看网络被攻击的原因,受到什么攻击,具体我们可以为为以下这三部分:

    1、开启IP禁PING,可以防止被扫描。

    2、关闭不需要的端口。

    3、打开网站的防火墙。

    那么有时候是因为网站被黑的原因,那么网站为什么会被黑呢,其中挂马是最让站长头痛的事,那么一般被黑的原因可以分为两种:

    1、服务器空间商的安全 导致被牵连。

    2、网站程序的安全自身的程序安全漏洞被黑被入侵被挂马。有条件的话可以找专业做安全的去看看. 公司的话可以去Sine安全看看听朋友说不错。一般都是网站程序存在漏洞或者服务器存在漏洞而被攻击了。

    网站被黑解决办法:

    1、在程序中很容易找到挂马的代码,直接删除,或则将你没有传服务器的源程序覆盖一次但反反复复被挂就得深入解决掉此问题了。但这不是最好的解决办法。最好的办法还是找专业的程序员解决是最直接的。

    2、清马+修补漏洞=彻底解决所谓的挂马,就是heike通过各种手段,包括SQL注入,网站敏感文件扫描,服务器漏洞,网站程序0day, 等各种方法获得网站管理员账号,然后登陆网站后台,通过数据库 备份/恢复 或者上传漏洞获得一个webshell。利用获得的webshell修改网站页面的内容,向页面中加入恶意转向代码。也可以直接通过弱口令获得服务器或者网站FTP,然后直接对网站页面直接进行修改。当你访问被加入恶意代码的页面时,你就会自动的访问被转向的地址或者下载木马病毒。

    以上是小编通过查找了一些发现网站攻击后的相关解决措施之后,整理出来的一些比较实际应用的方法,希望以上的方法可以为您解决攻击和入侵的烦恼。

    展开全文
  • 怎么防止中间人攻击 浏览器如何验证证书的合法性 浏览器发起HTTPS请求时,服务器会返回网站的SSL证书,浏览器需要对证书做一下验证: 验证域名、有效期等信息是否正确,证书上都有包含这些信息,比较容易完成验证 ...

    密码学基础概念

    公钥和私钥:公钥和私钥是通过一种算法得到的密钥对,公钥是密钥对中公开的部分,私钥是密钥对中非公开的部分,公钥通常用于加密会话密钥,验证数字签名,或加密相应的私钥解密的数据。密钥能保证世界范围内独一,使用这个密钥对时,如果用其中一个加密一段数据,只能用另一个密钥解开。

    对称加密:采用单钥密码系统的加密方法,同一个密钥可以同时用作信息的加密和解密,这种加密方法成为对称加密,也称为单密钥加密。

    非对称加密:非对称加密需要公钥和私钥配合使用,如果用公钥加密,只能用私钥才能解开,正是因为加密和解密是用不同的密钥,所以这种算法叫做非对称加密。

    非对称加密它的思想很简单,计算两个质数的乘积很容易,但反过来分解成两个质数的乘积就很难,要经过极为复杂的运算。非对称加密有两个秘钥,一个是公钥,一个是私钥。公钥加密的内容只有私钥可以解密,私钥加密的内容只有公钥可以解密。一般我们把服务器自己留着,不对外公布的密钥称为私钥,所有人都可以获取的称为公钥。

    HTTPS和HTTP的区别

    HTTP协议是以明文方式发送内容,不提供任何方式的数据加密,如果攻击者截取了Web浏览器和网站服务器之间的传输报文,就可以直接读懂其中的信息,为了解决数据传输的安全问题因此出现了https,https是在http的基础上加入SSL协议,SSL依靠证书来验证服务器的身份,并为浏览器和服务器之间的通信加密。

    因此HTTPS的主要作用有两种:建立一个信息安全通道,来保证数据传输的安全,另一个就是确认网站的真实性。它和HTTP的主要区别:

    • https协议需要ca申请证书,一般免费的证书较少,因而需要一定的费用

    • http是超文本传输协议,信息是明文传输,https则是具有ssl加密传输协议

    • http和https使用的是完全不同的连接方式,用的端口也不一样,http是80,https是443

    • http的连接简单,是无状态的,https协议是由ssl+http协议构建的可进行加密传输、身份认证等。

    HTTPS的实现原理

    在这里插入图片描述

    证书验证阶段

    1.浏览器发起HTTPS请求(浏览器会内置第三方CA的公钥)

    2.服务端收到HTTPS请求,使用第三方CA的私钥加密公钥、以及机构信息、域名等,然后返回CA证书

    3.客户端(浏览器)持有CA的公钥,可以对证书内容解密,然后通过证书中的域名、机构等信息验证证书是否合法,如果不合法则提示告警

    数据传输阶段

    1.证书验证合法后,在本地生成随机数

    2.通过公钥加密随机数,并把加密后的随机数传输到服务端

    3.服务端通过私钥对随机数进行解密

    4.服务端通过客户端传入的随机数构造对称加密算法,对返回结果内容进行加密后传输

    为什么数据传输使用对称协议呢而不直接用非对称加密呢?

    因为非对称加密的加解密效率非常底,为了节省双方的计算时间,非对称加密通常只用来交换密钥。

    另外在https的场景中只有服务端保存了私钥,一对公私钥只能实现单项的加解密,所以https中内容传输加密采用的是对称加密而不是非对称加密。

    用了HTTPS就一定安全了吗?

    使用https可以认证用户和服务器,确保数据以加密的形式发送到正确的客户机和服务器,但并不意味着一定安全,比如客户端生成的随机数被窃取或者dns劫持访问到钓鱼网站、中间人攻击等等。

    在这里插入图片描述

    “中间人攻击”过程原理

    1.本地请求被劫持(如DNS劫持等),所有请求均发送到中间人的服务器

    2.中间人服务器返回中间人自己的证书

    3.客户端创建随机数,通过中间人证书的公钥对随机数加密后传送给中间人,然后凭随机数构造对称加密对传输内容进行加密传输

    4.中间人因为拥有客户端随机数,可以通过对称加密算法进行内容解密

    5.中间人以客户端的请求内容再向正规网站发起请求

    6.因为中间人与服务器的通信过程是合法的,正规网站通过建立的安全通道返回加密后的数据

    7.中间人凭借与正规网站建立的对称加密算法对内容进行解密

    8.中间人通过与客户端建立的对称加密算法对正规内容返回的数据进行加密传输

    9.客户端能通过与中间人建立的对称加密算法对返回结果数据进行解密

    由于缺少对证书的验证,所以客户端虽然发起的是HTTPS请求,单客户端完全不知道自己的网络已经被拦截,传输内容被中间人全部窃取。

    怎么防止中间人攻击

    浏览器如何验证证书的合法性

    浏览器发起HTTPS请求时,服务器会返回网站的SSL证书,浏览器需要对证书做一下验证:

    • 验证域名、有效期等信息是否正确,证书上都有包含这些信息,比较容易完成验证

    • 判断证书来源是否合法,每份签发证书都可以根据验证链查找到对应的根证书,操作系统、浏览器会在本地存储权威机构的根证书,利用本地根证书可以对对应机构签发证书完成来源验证

    • 判断证书是否被篡改,需要与CA服务器进行效验

    • 通过CRL和OCSP可以判断证书是否已吊销,其中OCSP可用于第三步中以减少与CA服务器的交互,提高验证效率

    以上任意情况都满足的情况下浏览器才认为证书合法的

    总结以及补充一些问题(面试题)

    什么是 HTTPS?

    HTTP协议是以明文方式发送内容,不提供任何方式的数据加密,如果攻击者截取了Web浏览器和网站服务器之间的传输报文,就可以直接读懂其中的信息,为了解决数据传输的安全问题因此出现了https

    https是在http的基础上加入SSL协议,SSL是位于 HTTP 协议与 TCP/IP 协议中间的协议,它依靠证书来验证服务器的身份,并为浏览器和服务器之间的通信加密。

    因此HTTPS的主要作用有两种:建立一个信息安全通道,来保证数据传输的安全,另一个就是确认网站的真实性。

    HTTPS怎么加密传输的?

    首先服务端收到HTTPS的请求回返回给客户端一个证书,证书中包含公钥等其他认证信息,客户端认证证书合法以后创建一个随机数,再通过公钥加密随机数发送给服务端,服务端再通过私钥解密随机数,然后把请求的数据用随机数对称加密返回客户端,客户端用随机数解密,也就说数据是对称加密传输的,而用于对称加密的随机数是非对称加密的。因为使用对称加密一般要比非对称加密快得多,对服务器的运算压力也小得多。所以数据就用对称加密了。

    现在 HTTPS 协议的握手阶段变成了四步:

    1.客户端:发起一个 HTTPS 请求,请给我公钥

    2.服务器:这是我的证书,里面有加密后的公钥

    3.客户端:解密成功以后给服务器用公钥非对称加密后的随机数

    4.服务器:服务器返回确认收到随机数,以后就用它对称加密数据

    这里还有个细节就是第2步和第3步,服务器返回证书中的公钥是加密后的,那么这个公钥怎么解密,答案肯定是用颁发证书的厂商的公钥来解密这个公钥。

    这个公钥不用传输,会直接内置在各大操作系统或者浏览器的出厂设置里。之所以不把每个服务器的公钥内置在电脑里,一方面是因为服务器太多,存不过来。另一方面操作系统也不信任你,凭什么你说你这个就是百度/淘宝的证书呢?所以各个公司要先去权威机构认证,申请证书,然后操作系统只会存储权威机构的公钥。因为权威机构数量有限,所以操作系统厂商相对来说容易管理。如果这个权威机构不够权威,XJB 发证书,就会取消他的资格,比如可怜的沃通。。。。

    如何验证证书的合法性

    浏览器发起HTTPS请求时,服务器会返回网站的SSL证书,浏览器需要对证书做一下验证:

    验证域名、有效期等信息是否正确,证书上都有包含这些信息,比较容易完成验证

    判断证书来源是否合法,每份签发证书都可以根据验证链查找到对应的根证书,操作系统、浏览器会在本地存储权威机构的根证书,利用本地根证书可以对对应机构签发证书完成来源验证

    判断证书是否被篡改,需要与CA服务器进行效验

    通过CRL和OCSP可以判断证书是否已吊销,其中OCSP可用于第三步中以减少与CA服务器的交互,提高验证效率

    怎么知道证书有没有被篡改?

    服务器第一次会返回证书,也就是加密以后的公钥,那我怎么知道这个证书是可靠的呢?

    为了确保原始证书没有被篡改,我们可以在传递证书的同时传递证书的哈希值。就算篡改,但是因为没有私钥, 所以无法正确的加密。所以它再返回给客户端的数据是无效数据,用公钥解析后会得到乱码。即使攻击者通过多次尝试碰巧能够解析,也无法通过哈希校验。

    这样可以防止第三方冒充服务器么(中间人攻击)

    首先真正的服务器下发的内容,无法被别人篡改。他们有权威机构的公钥,可以解密,但是因为没有私钥,所以解密以后的信息无法加密。没有加密或者错误加密的信息被客户端用公钥解密以后,必然无法通过哈希校验。

    但是,如果你一开始请求的就不是真的服务器,而是一个攻击者,此时的他完全有机会进行中间人攻击。第一次握手的时候服务器会下发用于证明自己身份的证书,这个证书会用预设在设备上的公钥来解密。所以要么是经过认证的证书用权威机构的私钥加密,再用权威机构解密,要么是用非权威机构的私钥加密,然后找不到公钥解密。

    所以如果不小心安装过非权威机构的根证书,比如黑客提供的恶意证书,这时候设备上就多了一个预设的公钥,那么用恶意私钥加密的证书就能被正常解析出来。所以千万不要随便装根证书,这等于是为那些恶意证书留了一扇门。

    当然,凡是都有两面性。我们知道 Charles 可以调试 HTTPS 通信,它的原理就是需要用户安装 Charles 的根证书,然后我们的请求会被代理到 Charles 服务器,它下发的 Charles 证书才能被正确解析。另一方面,Charles 会作为客户端,从真正的服务器哪里拿到正确的 https 证书并用于后续通信。幸好 Charles 不是流氓软件,或者它的私钥一旦泄露,对用户都会造成很大的影响。点击查看图解https的认证过程详情。

    我可以举一个例子,证书有多个种类,最贵的叫 EV (Extended Validation),它需要公司营业执照等多个文件才能申请人工审核,好处也很明显,可以在浏览器地址栏左侧准确显示公司名称,比如 Bitbucket 的官网:

    在这里插入图片描述

    HTTPS 握手会影响性能么

    TCP 有三次握手,再加上 HTTPS 的四次握手,会不会影响性能?

    影响肯定有,但是可以接受,首先,HTTPS 肯定会更慢一点,时间主要花费在两组 SSL 之间的耗时和证书的读取验证上,对称算法的加解密时间几乎可以忽略不计。而且如果不是首次握手,后续的请求并不需要完整的握手过程。客户端可以把上次的加密情况直接发送给服务器从而快速恢复。

    除此以外,SSL 握手的时间并不是只能用来传递加密信息,还可以承担起客户端和服务器沟通 HTTP2 兼容情况的任务。因此从 HTTPS 切换到 HTTP2.0 不会有任何性能上的开销,反倒是得益于 HTTP2.0 的多路复用等技术,后续可以节约大量时间。

    如果把 HTTPS2.0 当做目标,那么 HTTPS 的性能损耗就更小了,远远比不上它带来的安全性提升。

    冒用证书问题

    证书是公开的,所以中间人想发起攻击,可以在官网下载一份证书作为我的服务器证书,那客户端肯定认同这个证书是合法的,如果避免这种证书冒用的情况?

    其实着就是非对称加密的作用,虽然中间人可以得到证书,但是私钥无法获取,中间人即使拿到证书,也无法伪装成合法服务端,因为无法对客户端传入的加密数据进行解密。

    只有认证机构可以生成证书吗?

    如果需要浏览器不提示安全风险,那只能使用认证机构签发的证书,但浏览器通常只是提示安全风险,并不限制网站不能访问,所以从技术上谁都可以生成证书,只要有证书就可以完成网站的HTTPS传输,例如早期的12306采用的就是手动安装私有证书的形式实现HTTPS访问

    本地随机数被窃取了怎么办?

    证书验证是采用非对称加密实现的,但是传输过程是采用对称加密,而其中对称加密算法中重要的随机数是由本地生产并且存储于本地的,HTTPS如何保证随机数不会被窃取呢?

    其实HTTPS并不包含对随机数的安全保证,HTTPS保证的只是传输过程安全,而随机数存储于本地,本地的安全属于另一安全范畴,应对的措施有安装杀毒软件、反木马、浏览器升级修复漏洞等。

    用了HTTPS会被抓包吗?

    HTTPS的数据是加密的,常规下抓包工具代理请求后抓到的包内容是加密状态,无法直接查看,如果用户授权仍任可以继续访问网站,完成请求,因此只要客户端是我们自己的终端,我们授权的情况下,便可以组件中间人网络,而抓包工具便是作为中间人的代理,通常HTTPS抓包工具的使用方法是会生成一个证书,用户需要把证书安装到客户端,然后终端发起的所有请求通过该证书完成于抓包工具的交互,然后抓包工具再转发请求到服务器,最后把服务器返回的结果在控制台输出后再返回给终端,从而完成整个请求的闭环。

    参考文章:https://mp.weixin.qq.com/s/1NEnOdoeIelBtdpRztDoEg

    在这里插入图片描述

    公众号内有完整网络与IO系列文章,回复关键字“资源”,可以免费领取架构师、大数据、AI等课程以及大厂面试视频讲解

    展开全文
  • 怎么接入WAPI网络防止被蹭网

    千次阅读 2017-02-20 16:16:24
    而且如果别人随便就能接入我们家的无线网络,那么可想而知通过攻击获取我们的信息有多容易,哪天被盗号、盗银行卡号密码也不一定了。 经过一番搜索,尝试了多种方法无果,其间也看到有一些讲无线局域网安全技术的...

    自从有了各种破解Wi-Fi密码的软件之后,笔者家里的Wi-Fi密码不管怎么设置,设置得多么复杂,总是会被别人破解,甚至有时一些蹭网的人会下载电影或者在线看电影,家里的网速被拖慢很多,被逼得实在没办法,只能一次又一次地更改无线网络密码。相信很多人也遇到过这种情况。而且如果别人随便就能接入我们家的无线网络,那么可想而知通过攻击获取我们的信息有多容易,哪天被盗号、盗银行卡号密码也不一定了。

    经过一番搜索,尝试了多种方法无果,其间也看到有一些讲无线局域网安全技术的文章,有人推荐WAPI技术,稍做研究决定试一试,所以购买了一台WAPI路由器,价格还算亲民。设置成功后,终于完美地解决了这个问题,详细过程是这样的。

    WAPI是什么

    引用搜索来的部分WAPI技术介绍:

    随着无线局域网技术和市场的迅速发展,其安全问题日益受到人们的关注。数据通过射频无线电传输,这为恶意攻击者实施窃听提供了极为便利的条件。与有线网络相比较,无线网络难以采用物理控制措施,因此保护无线网络的安全难度要远大于保护有线网络。

    WAPI中文全称是无线局域网鉴别与保密基础结构(WLAN Authentication and Privacy Infrastructure,WAPI),是一种无线局域网安全协议。它是国内外首次提出的一种终端与网络对等鉴别技术思想和框架方法,普遍适用于无线、有线网络。该普适性网络安全接入技术保障了“合法终端接入合法网络”的安全需求。

    这两段看起来很是高大上和晦涩。个人简单理解是这样的,WAPI是一种有更高安全性的安全模式,用WAPI这种安全模式可以摆脱被蹭网、钓鱼AP、用户数据被截获伪造等等的无线网络安全问题。

    WAPI安全无线路由器长啥样

    WAPI安全无线路由器和其它无线路由器在外观上并没有明显区别。笔者秀一把自己的WAPI路由器:


    图1  TOTOLINK WAPI家庭版安全路由器

    那么WAPI无线路由器该怎么用?答案很简单:和其它无线路由器基本是一样的。如果你使用过其它的无线路由器,那么给你一个WAPI无线路由器也不会造成多大的困扰,因为大部分配置都一样。

    怎么设置WAPI网络

    拿到这台WAPI家庭版安全路由器后,把原先的无线路由器替换了,网线连接方式都不变,仍然是WAN口接外网(我家是直连小区宽带,有用到modem的话路由器WAN口连到modem),电脑接LAN口。

    接下来登录路由器,登录地址就不说了,在操作手册上有(也可以自己改地址,我是用默认地址登录后改的)。第一步配置的就是上网方式,这部分配置所有的无线路由器都是大同小异。


    图2  PPPoE方式上网配置

     

    静态地址、动态地址、PPPoE三种上网方式选择一种进行配置。笔者是PPPoE方式即如上图示,输入从运营商得到的账号密码来拨号上网。

    第二步配置无线网络,从这里开始才和WAPI有关。在无线局域网页面点击添加或修改对无线SSID、加密方式进行配置。


    图3  配置无线网络

     

    图4  配置SSID


    图5  配置安全类型为WAPI-Cert

     

    红框处可选的安全类型有常见的WPA/WPA2等;还有WAPI-PSK和WAPI-Cert推荐最高安全级别的WAPI-Cert即WAPI证书模式,选择WAPI-Cert后确认。

    WAPI证书模式需要给路由器和手机、平板电脑这些设备安装证书,这里有一个新的概念——WAPI鉴别服务器,其主要作用就是给WAPI无线路由器和手机、平板等终端颁发证书,以及鉴别证书是否合法。终端接入时鉴别服务器对无线路由器、终端双方的身份(证书)进行验证,任一方身份不合法则拒绝接入,从而保证终端和接入的网络都是合法的。WAPI安全无线路由器内置了WAPI鉴别服务器。

    如下图6所示,登录内置WAPI鉴别服务器颁发证书。无线路由器安装的是ASU证书和AE证书,终端安装的是ASU证书和ASUE证书。ASU证书在页面上方红字处导出保存到本地,AE证书和ASUE证书颁发时需选择对应类型,填写有效期,点颁发后选择保存到本地。


    图6  内置AS导出ASU证书,颁发AP证书、用户证书

    证书保存到本地后回到WAPI无线路由器,在高级配置中浏览选择刚导出的ASU证书和颁发的AE证书,确认后显示证书已安装,到这里WAPI-Cert模式的无线网络就准备好了。


    图7  WAPI无线路由器证书安装

    怎么接入WAPI网络

    手机等终端接入WAPI-Cert安全模式的无线网络需要安装ASU证书和ASUE证书,那么证书怎么在手机安装呢?

    笔者将前面颁发的ASU证书和ASUE证书拷贝到手机根目录,在系统设置àWLANà高级àWAPI证书管理 选项下“添加”证书按照弹出提示安装。安装后点击对应的SSID,选择证书后确定连接,一次认证成功后即可一键连接。


    图8  安卓手机安装证书、连接WAPI-Cert网络

    笔者了解了一下,目前终端的WAPI证书下载主要有三种方式(如下),其中第二种第三种都是比较方便操作的,终端和WAPI路由器也都是支持的。

    第一种方法:

    笔者用了这种方法。Android操作的终端,将证书拷贝到手机存储的根目录,在终端的系统设置àWLANà高级àWAPI证书管理选项下“添加”证书按照弹出提示安装。

    iOS操作系统的终端,将证书文件以邮件附件发送到终端,终端直接打开证书文件,按照提示安装。

    第二种方法:使用WAPI证书自动下载APP。先安装WAPI证书自动下载APP(如北京CA的“WAPI凭证管理”APP,需要和对应WAPI鉴别服务器配合使用),在APP中需要输入鉴别服务器地址和申请信息即可一键下载,自动安装证书。

    第三种方法:在线申请证书。用终端从WAPI鉴别服务器申请证书后下载安装,如图6。

    总结

    用了这台WAPI路由器后,再也没人能蹭笔者的无线网了,破解软件也没用。使用WAPI证书模式的安全无线网络,大幅度提高了笔者家中无线网络安全性。虽然终端首次接入WAPI网络需安装证书,但是一次连接成功后即可一键连接,无需重复安装,用稍微复杂的操作换来的安全性大提升,还是很值的。

    展开全文
  • 怎么防止域名劫持

    千次阅读 2019-01-10 11:01:20
    域名是网站的门户,对网站来说是一项重要的存在,可以说一旦域名出现问题,那么你的网站就有可能被找不到。所以域名安全直接关乎网站的安全访问,但是一旦域名出现...域名劫持是现在互联网攻击的一种方式,通过攻击...
  • SQL注入是比较常见的网络攻击方式之一,它不是利用操作系统的BUG来实现攻击,而是针对程序员编程时的疏忽,通过SQL语句,实现无帐号登录,甚至篡改数据库。java后台防止sql注入方法:1.采用预编译语句集,它内置了...
  • 对于任何组织来说,其应用的公共云被破解,使其数据处于开放和易受攻击的状态,而这...在这个时代,遭遇网络攻击是很平常的事,处理黑客攻击并确保IT基础设施的健壮性必须成为任何组织业务连续性策略的一部分。虽然具有
  • 转自:http://pfw.sky.net.cn/article/5789.html 由于ADSL用户在线时间长、速度快,因此...要怎么保卫自己的网络安全呢?不妨看看以下方法。 一、取消文件夹隐藏共享 如果你使用了Windows2000/XP系统,右键单击C盘或
  • 用arp 命令防止arp欺骗和arp攻击

    千次阅读 2007-08-01 13:28:00
    到底arp攻击怎么一回事呢?通俗的讲法,你的服务器的数据是要通过机房的网关服务器出去的。arp攻击有两种,一种就是伪装成你,一种就是伪装成网关,不管哪种方式,都可以造成你的服务器网络中断或者截获修改你的...
  • 现在随着互联网的发展,网络攻击也是越来越频繁,其中服务器遭到DDoS攻击就是常见的一种网络攻击方式。现在很多服务器被DDoS攻击的时候,都不会轻易发现,最后直接导致网站不能正常运行。为了防止服务器被恶意攻击给...
  • 网站防御是指在网络层面和代码层面防止XSS的形成。在编写程序时,我们应该仔细处理将输出到页面的每个参数,始终记住用户的任何输入都可能不可靠,并过滤常规参数,如<,>,=,等敏感符号。在操作富文本元素时...
  • 课程要点: 1.隐私泄漏案例分析; 2.中间人是如何攻击截获隐私的(密码); 3.防止隐私泄漏的具体方法。
  • 课程要点: 1.隐私泄漏案例分析; 2.中间人是如何攻击截获隐私的(密码); 3.防止隐私泄漏的具体方法。
  • JAVA中的防SQL注入攻击

    2019-11-10 21:12:37
    要想知道怎么防SQL注入攻击,就要先了解什么是SQL注入攻击。SQL注入攻击网络中一种常见的攻击方式, 它利用程序中的疏忽,在参数中加入一些关键字对SQL语句... 那么怎么防止SQL注入攻击呢,方式其实有很多。这...
  •  如果我们无法防止这种攻击,那么怎么做才能最大限度地保护企业网络呢?  首先你应该清楚的了解DDoS攻击的三个阶段,然后再学习如何将这种攻击的危害降到最低。  理解DDoS攻击  一个DDoS攻击一般分为三个阶段...
  • sql注入是比较常见的网络攻击,它可以利用程序员编程出现疏忽时实现无账号登录甚至篡改数据库。在Python Web开发的过程都会使用到关系型的数据库,sql注入是就是通过这个而出现的。那么,我们需要怎么做来解决这个...
  • 防止恶意数据包进入网络。 建立 ARPspoofperf.py使用检测模块创建测试设置。 ARPspoofperfwithoutsol.py创建没有检测模块的测试设置。 l2_learning_arp_mitigation.py在POX控制器上具有ARP缓解模块。 算法: 请...
  • 经常在网络上冲浪,十有八九避免不了网络病毒的攻击,用专业杀毒程序清除了这些病毒程序并重新启动计算机系统后,我们有时会发现先前已经被清除干净的病毒又卷土重来了,这是怎么回事呢?
  • 经常在网络上冲浪,十有八九避免不了网络病毒的攻击,用专业杀毒程序清除了这些病毒程序并重新启动计算机系统后,我们有时会发现先前已经被清除干净的病毒又卷土重来了,这是怎么回事呢?
  •  其实我一直蛮想了解黑客是怎么工作的,然后计算机又是怎么防止攻击。开发者在开发过程中怎么样避免一些常规的漏洞。  一旦发现了漏洞该怎么办呢? 然后我去百度了黑客  “黑客”(Hacker)当中的中文音译...
  • 最近使用手机微信朋友圈访问文章信息时,经常存在移动流程充值广告,这类利用 iframe 劫持网站弹广告的方式实在太下作了,其实就是一种变相的网络攻击行为。而且这种类型的广告经常会让正常网站的访问用户误解,影响...
  • 怎么保卫自己的网络安全呢?有效防止电脑黑客呢?不妨看看以下方法。 一、拒绝恶意代码 恶意网页成了宽带的最大威胁之一。以前使用Modem,因为打开网页的速度慢,在完全打开前关闭恶意网页还有避免中招
  • 设备根据这些规则对数据包进行分类,并针对不同类型的报文进行不同的处理,从而可以实现对网络访问行为的控制、限制网络流量、提高网络性能、防止网络攻击等。访问控制列表是由permit或deny语句组成的一系列有顺序的...
  • 最近家里的光纤宽带在访问一些特定的行业网站的时候总时不时的被电信弹窗,这类利用 iframe 劫持网站弹广告的方式实在太下作了,其实就是一种变相的网络攻击行为。而且这种类型的广告经常会让正常网站的访问用户...
  • 1、采用高性能的网络设备 首先需要保证路由器、交换机、硬件防火墙等网络设备的性能,当发生DDoS攻击的时候,用足够性能的机器、容量去承受...首先要确保服务器软件没有任何漏洞,防止攻击者入侵。确保服务器采用最...
  • 僵尸网络文档介绍

    2020-05-19 09:59:38
    僵尸网络 Botnet 是指采用一种或多种传播手段,将大量主机感染bot程序(僵尸程序)病毒,从而在控制者和被感染主机之间所形成的一个可一对多控制的网络攻击者通过各种途径传播僵尸程序感染互联网上的大量主机,而被...
  • 带双引号的“绿坝”最近成为一个网络热门词,不过,这个词汇多少带点讽刺意味。原本是一道绿色的防护坝,却没有想到,这道防护坝很可能在遭受安全攻击时成为第一道垮塌的坝。所以,智慧的网友用“绿坝”一词来形容不...
  • 根据俄罗斯《消息报》报道,俄罗斯非营利组织Ростехе(Rostec,俄罗斯技术国家集团)建立了“反黑客中心”,目的是预防和防止受到网络攻击。 随着网络信息快速发展,网络战已经成为一种新型战争形态。据消息...
  • 网络安全类常见知识: 1、怎么样提高局域网安全? 第一:安全漏洞时时修补 ...第六:防止黑客从外部攻击,进行入侵检测与监控,信息审计与记录,病毒防护,数据安全保护,数据备份与恢复。 2、针对135端口的攻...

空空如也

空空如也

1 2 3 4
收藏数 73
精华内容 29
关键字:

怎么防止网络攻击