A. 計算機網路安全問題及防範措施
對計算機信息構成不安全的因素很多, 其中包括人為的因素、自然的因素和偶發的因素。其中,人為因素是指,一些不法之徒利用計算機網路存在的漏洞,或者潛入計算機房,盜用計算機系統資源,非法獲取重要數據、篡改系統數據、破壞硬體設備、編制計算機病毒。人為因素是對計算機信息網路安全威脅最大的因素,垃圾郵件和間諜軟體也都在侵犯著我們的計算機網路。計算機網路不安全因素主要表現在以下幾個方面:
1、 計算機網路的脆弱性
互聯網是對全世界都開放的網路,任何單位或個人都可以在網上方便地傳輸和獲取各種信息,互聯網這種具有開放性、共享性、國際性的特點就對計算機網路安全提出了挑戰。互聯網的不安全性主要有以下幾項:
(1)網路的開放性,網路的技術是全開放的,使得網路所面臨的攻擊來自多方面。或是來自物理傳輸線路的攻擊,或是來自對網路協議的攻擊,以及對計算機軟體、硬體的漏洞實施攻擊。
(2)網路的國際性,意味著對網路的攻擊不僅是來自於本地網路的用戶,還可以是互聯網上其他國家的黑客,所以,網路的安全面臨著國際化的挑戰。
(3)網路的自由性,大多數的網路對用戶的使用沒有技術上的約束,用戶可以自由地上網,發布和獲取各類信息。
2、操作系統存在的安全問題
操作系統是作為一個支撐軟體,使得你的程序或別的運用系統在上面正常運行的一個環境。操作系統提供了很多的管理功能,主要是管理系統的軟體資源和硬體資源。操作系統軟體自身的不安全性,系統開發設計的不周而留下的破綻,都給網路安全留下隱患。
(1)操作系統結構體系的缺陷。操作系統本身有內存管理、CPU 管理、外設的管理,每個管理都涉及到一些模塊或程序,如果在這些程序裡面存在問題,比如內存管理的問題,外部網路的一個連接過來,剛好連接一個有缺陷的模塊,可能出現的情況是,計算機系統會因此崩潰。所以,有些黑客往往是針對操作系統的不完善進行攻擊,使計算機系統,特別是伺服器系統立刻癱瘓。
(2)操作系統支持在網路上傳送文件、載入或安裝程序,包括可執行文件,這些功能也會帶來不安全因素。網路很重要的一個功能就是文件傳輸功能,比如FTP,這些安裝程序經常會帶一些可執行文件,這些可執行文件都是人為編寫的程序,如果某個地方出現漏洞,那麼系統可能就會造成崩潰。像這些遠程調用、文件傳輸,如果生產廠家或個人在上面安裝間諜程序,那麼用戶的整個傳輸過程、使用過程都會被別人監視到,所有的這些傳輸文件、載入的程序、安裝的程序、執行文件,都可能給操作系統帶來安全的隱患。所以,建議盡量少使用一些來歷不明,或者無法證明它的安全性的軟體。
(3)操作系統不安全的一個原因在於它可以創建進程,支持進程的遠程創建和激活,支持被創建的進程繼承創建的權利,這些機制提供了在遠端伺服器上安裝「間諜」軟體的條件。若將間諜軟體以打補丁的方式「打」在一個合法用戶上,特別是「打」在一個特權用戶上,黑客或間諜軟體就可以使系統進程與作業的監視程序監測不到它的存在。
(4)操作系統有些守護進程,它是系統的一些進程,總是在等待某些事件的出現。所謂守護進程,比如說用戶有沒按鍵盤或滑鼠,或者別的一些處理。一些監控病毒的監控軟體也是守護進程,這些進程可能是好的,比如防病毒程序,一有病毒出現就會被撲捉到。但是有些進程是一些病毒,一碰到特定的情況,比如碰到5月1日,它就會把用戶的硬碟格式化,這些進程就是很危險的守護進程,平時它可能不起作用,可是在某些條件發生,比如5月1日,它才發生作用,如果操作系統有些守護進程被人破壞掉就會出現這種不安全的情況。
(5)操作系統會提供一些遠程調用功能,所謂遠程調用就是一台計算機可以調用遠程一個大型伺服器裡面的一些程序,可以提交程序給遠程的伺服器執行,如telnet。遠程調用要經過很多的環節,中間的通訊環節可能會出現被人監控等安全的問題。
(6)操作系統的後門和漏洞。後門程序是指那些繞過安全控制而獲取對程序或系統訪問權的程序方法。在軟體開發階段,程序員利用軟體的後門程序得以便利修改程序設計中的不足。一旦後門被黑客利用,或在發布軟體前沒有刪除後門程序,容易被黑客當成漏洞進行攻擊,造成信息泄密和丟失。此外,操作系統的無口令的入口,也是信息安全的一大隱患。
(7)盡管操作系統的漏洞可以通過版本的不斷升級來克服, 但是系統的某一個安全漏洞就會使得系統的所有安全控制毫無價值。當發現問題到升級這段時間,一個小小的漏洞就足以使你的整個網路癱瘓掉。
3、資料庫存儲的內容存在的安全問題
資料庫管理系統大量的信息存儲在各種各樣的資料庫裡面,包括我們上網看到的所有信息,資料庫主要考慮的是信息方便存儲、利用和管理,但在安全方面考慮的比較少。例如:授權用戶超出了訪問許可權進行數據的更改活動;非法用戶繞過安全內核,竊取信息。對於資料庫的安全而言,就是要保證數據的安全可靠和正確有效,即確保數據的安全性、完整性。數據的安全性是防止資料庫被破壞和非法的存取;資料庫的完整性是防止資料庫中存在不符合語義的數據。
4 、防火牆的脆弱性
防火牆指的是一個由軟體和硬體設備組合而成、在內部網和外部網之間、專用網與網之間的界面上構造的保護屏障.它是一種硬體和軟體的結合,使Internet 與Intranet 之間建立起一個安全網關(Security Gateway),從而保護內部網免受非法用戶的侵入。
但防火牆只能提供網路的安全性,不能保證網路的絕對安全,它也難以防範網路內部的攻擊和病毒的侵犯。並不要指望防火牆靠自身就能夠給予計算機安全。防火牆保護你免受一類攻擊的威脅,但是卻不能防止從LAN 內部的攻擊,若是內部的人和外部的人聯合起來,即使防火牆再強,也是沒有優勢的。它甚至不能保護你免受所有那些它能檢測到的攻擊。隨著技術的發展,還有一些破解的方法也使得防火牆造成一定隱患。這就是防火牆的局限性。
5、其他方面的因素
計算機系統硬體和通訊設施極易遭受到自然的影響,如:各種自然災害(如地震、泥石流、水災、風暴、物破壞等)對構成威脅。還有一些偶發性因素,如電源故障、設備的機能失常、軟體開發過程中留下的某些漏洞等,也對計算機網路構成嚴重威脅。此外不好、規章制度不健全、安全管理水平較低、操作失誤、瀆職行為等都會對計算機信息安全造成威脅。
計算機網路安全的對策,可以從一下幾個方面進行防護:
1、 技術層面對策
對於技術方面,計算機網路安全技術主要有實時掃描技術、實時監測技術、防火牆、完整性保護技術、病毒情況分析報告技術和系統安全管理技術。綜合起來,技術層面可以採取以下對策:
(1)建立安全管理制度。提高包括系統管理員和用戶在內的人員的技術素質和職業修養。對重要部門和信息,嚴格做好開機查毒,及時備份數據,這是一種簡單有效的方法。
(2)網路訪問控制。訪問控制是網路安全防範和保護的主要策略。它的主要任務是保證網路資源不被非法使用和訪問。它是保證網路安全最重要的核心策略之一。訪問控制涉及的技術比較廣,包括入網訪問控制、網路許可權控制、目錄級控制以及屬性控制等多種手段。
(3)資料庫的備份與恢復。資料庫的備份與恢復是資料庫管理員維護數據安全性和完整性的重要操作。備份是恢復資料庫最容易和最能防止意外的保證方法。恢復是在意外發生後利用備份來恢復數據的操作。有三種主要備份策略:只備份資料庫、備份資料庫和事務日誌、增量備份。
(4)應用密碼技術。應用密碼技術是信息安全核心技術,密碼手段為信息安全提供了可靠保證。基於密碼的數字簽名和身份認證是當前保證信息完整性的最主要方法之一,密碼技術主要包括古典密碼體制、單鑰密碼體制、公鑰密碼體制、數字簽名以及密鑰管理。
(5)切斷途徑。對被感染的硬碟和計算機進行徹底殺毒處理,不使用來歷不明的U 盤和程序,不隨意下載網路可疑信息。
(6)提高網路反病毒技術能力。通過安裝病毒防火牆,進行實時過濾。對網路伺服器中的文件進行頻繁掃描和監測,在工作站上採用防病毒卡,加強網路目錄和文件訪問許可權的設置。在網路中,限制只能由伺服器才允許執行的文件。
(7)研發並完善高安全的操作系統。研發具有高安全的操作系統,不給病毒得以滋生的溫床才能更安全。
2、管理層面對策
計算機網路的安全管理,不僅要看所採用的安全技術和防範措施,而且要看它所採取的管理措施和執行計算機安全保護、法規的力度。只有將兩者緊密結合,才能使計算機網路安全確實有效。
計算機網路的安全管理,包括對計算機用戶的安全、建立相應的安全管理機構、不斷完善和加強計算機的管理功能、加強計算機及網路的立法和執法力度等方面。加強計算機安全管理、加強用戶的法律、法規和道德觀念,提高計算機用戶的安全意識,對防止計算機犯罪、抵制黑客攻擊和防止計算機病毒干擾,是十分重要的措施。
這就要對計算機用戶不斷進行法制教育,包括計算機安全法、計算機犯罪法、保密法、數據保護法等,明確計算機用戶和系統管理人員應履行的權利和義務,自覺遵守合法信息系統原則、合法用戶原則、信息公開原則、信息利用原則和資源限制原則,自覺地和一切違法犯罪的行為作斗爭,維護計算機及網路系統的安全,維護信息系統的安全。除此之外,還應教育計算機用戶和全體工作人員,應自覺遵守為維護系統安全而建立的一切規章制度,包括人員管理制度、運行維護和管理制度、計算機處理的控制和管理制度、各種資料管理制度、機房保衛管理制度、專機專用和嚴格分工等管理制度。
3、安全層面對策
要保證計算機網路系統的安全、可靠,必須保證系統實體有個安全的物理環境條件。這個安全的環境是指機房及其設施,主要包括以下內容:
(1)計算機系統的環境條件。計算機系統的安全環境條件,包括溫度、濕度、空氣潔凈度、腐蝕度、蟲害、振動和沖擊、電氣干擾等方面,都要有具體的要求和嚴格的標准。
(2)機房場地環境的選擇。計算機系統選擇一個合適的安裝場所十分重要。它直接影響到系統的安全性和可靠性。選擇計算機房場地,要注意其外部環境安全性、可靠性、場地抗電磁干擾性,避開強振動源和強雜訊源,並避免設在建築物高層和用水設備的下層或隔壁。還要注意出入口的管理。
(3)機房的安全防護。機房的安全防護是針對環境的物理災害和防止未授權的個人或團體破壞、篡改或盜竊網路設施、重要數據而採取的安全措施和對策。為做到區域安全,首先,應考慮物理訪問控制來識別訪問用戶的身份,並對其合法性進行驗證;其次,對來訪者必須限定其活動范圍;第三,要在計算機系統中心設備外設多層安全防護圈,以防止非法暴力入侵;第四設備所在的建築物應具有抵禦各種自然災害的設施。
B. 網路風暴的形成
網路「廣播風暴」知識
一、廣播風暴的定義:
英文:Broadcast Storm
中文:廣播風暴
所屬類別:網路
當主機系統響應一個在網上不斷循環的報文分組或者試圖響應一個沒有應答的系統時就會發生廣播風暴。一般為了改變這種狀態,請求或者響應分組源源不斷地產生出來,常使情況變得更糕。隨著網路上分組數目的增加,擁塞會隨之出現,從而降低網路的性能以至於使之陷入癱瘓。
二、廣播風暴的成因與危害:
處於同一個網路的所有設備,位於同一個廣播域。也就是說,所有的廣播信息會播發到網路的每一個埠,即使交換機、網橋也不能阻止廣播信息的傳播。因此同一時間只能有一個廣播信息在網路中傳送。
對於證券網路,使用的是NOVELL操作系統,所有設備都將在網路中定時播發廣播包,以告知其它設備自己的存在。還有許多其他功能需要使用廣播,如設備開機、消息播送、視頻廣播等。
當網路上的設備越來越多,廣播所佔用的時間也會越來越多,多到一定程度時,就會對網路上的正常信息傳遞產生影響,輕則造成傳送信息延時,重則造成網路設備從網路上斷開,甚至造成整個網路的堵塞、癱瘓,這就是廣播風暴。
因此網路上的設備數量與廣播風暴的產生密切相關。據一些統計資料表明,網路上的設備數量在150~200台時,網路運行正常,且可以達到很高的利用率;當設備數量大於400台後,網路效率將急速下降,容易形成廣播風暴。
我們可以通過觀察交換機的埠上廣播包數及與其他信息包的比率來確定廣播信息是否已對網路的通訊構成危害。
[廣播風暴]
作為發現未知設備的主要手段,廣播在網路中起著非常重要的作用。然而,隨著網路計算機數量的增多,廣播包的數量會急劇增加。當廣播包的數量達到30%時,網路傳輸效率將會明顯下降。當網卡或網路設備損壞後,會不停地發送廣播包,從而導致廣播風暴,使網路通信陷於癱瘓。因此,當網路設備硬體有故障時也會引起網速變慢。當懷疑有此類故障時,首先可採用置換法替換集線器或交換機來排除集線設備故障。然後關掉集線器的電源後用ping命令對所涉及計算機逐一測試,找到有故障網卡的計算機,更換新的網卡可恢復網速正常。
三、廣播風暴是怎樣形成的:
幀的傳輸方式,即單播幀(Unicast Frame)、多播幀(Multicast Frame)和廣播幀(Broadcast Frame)。
1、單播幀
單播幀也稱「點對點」通信。此時幀的接收和傳遞只在兩個節點之間進行,幀的目的MAC地址就是對方的MAC地址,網路設備(指交換機和路由器)根據幀中的目的MAC地址,將幀轉發出去。
2、多播幀
多播幀可以理解為一個人向多個人(但不是在場的所有人)說話,這樣能夠提高通話的效率。多播占網路中的比重並不多,主要應用於網路設備內部通信、網上視頻會議、網上視頻點播等。
3、廣播幀
廣播幀可以理解為一個人對在場的所有人說話,這樣做的好處是通話效率高,信息一下子就可以傳遞到全體。在廣播幀中,幀頭中的目的MAC地址是「FF.FF.FF.FF.FF.FF」,代表網路上所有主機網卡的MAC地址。
廣播幀在網路中是必不可少的,如客戶機通過DHCP自動獲得IP地址的過程就是通過廣播幀來實現的。而且,由於設備之間也需要相互通信,因此在網路中即使沒有用戶人為地發送廣播幀,網路上也會出現一定數量的廣播幀。
同單播和多播相比,廣播幾乎佔用了子網內網路的所有帶寬。網路中不能長時間出現大量的廣播幀,否則就會出現所謂的「廣播風暴」(每秒的廣播幀數在1000以上)。拿開會打一個比方,在會場上只能有一個人發言,如果所有人都同時發言的話,會場上就會亂成一鍋粥。廣播風暴就是網路長時間被大量的廣播數據包所佔用,使正常的點對點通信無法正常進行,其外在表現為網路速度奇慢無比。出現廣播風暴的原因有很多,一塊故障網卡就可能長時間地在網路上發送廣播包而導致廣播風暴。
使用路由器或三層交換機能夠實現在不同子網間隔離廣播風暴的作用。當路由器或三層交換機收到廣播幀時並不處理它,使它無法再傳遞到其他子網中,從而達到隔離廣播風暴的目的。因此在由幾百台甚至上千台電腦構成的大中型區域網中,為了隔離廣播風暴,都要進行子網劃分。
使用vlan完全可以隔離廣播風暴。
四、用知識扼殺廣播風暴:
網路風暴是多少個網吧和多少個網管頭疼的現象,他甚至成了乙太網正常運行中的噩夢,簡單的說網路風暴就是大量的廣播報文形成風暴似的數據量,佔用了大量的帶寬,大大降低了整個乙太網的通信性能。防止網路風暴的產生就得將他們有效的扼殺!廢話不多說,我開始了。
首先就是要說到咱們必須要用的網線和水晶頭以及正確的做線方法,如果大家有在乙太網內復制大文件的經驗,就會發現一些奇怪的現象,同樣的文件在不同的計算機間復制都會出現復制時間的不同,就算是同兩台機器換用不同的線時間也會相差很多,當然除了網線的原因還有計算機中的很多因素會影響你的測試數據,最垃圾的線就是在復制過程中提示「網路資源不可用」了。
再有問個常識問題,為什麼網線是八棵芯錢的。而且要雙絞?其實網線只用四棵芯線就可以完成數據傳輸了,如果你能回答出我這問題的話,相信你的網路應該也是健康的,如果你答不上來,請往下看。
八棵芯錢而且要雙絞,通俗的說就是防止網線傳輸的數據產生「串擾」,說白了就是網線自己產生垃圾數據包,你網里的機器越多,這種包就越多,就算你網路流量不大,但是你的網路狀態是非常忙碌的,如果你網路通訊是大數量的,那麼風暴就來啦!這種包就象遊魂野鬼一樣在你的網路里遊走,而且不斷被網路拋棄又不斷的從網路產生,但是這種包不但消耗你的網路資源,而且CPU還會為丟棄這些垃圾包增加正常運算的開銷。。。
那麼說了半天要怎麼做呢?單單用好線和好頭是不夠的,(何況有人更不注意這點,還用垃圾線和垃圾頭。汗死)
其實做線的方法除了要用標準的接法,雙絞線的完全不絞合長度是影響一條線的重要指標,反正俺們玩無盤的線要是不好的話,那這網就死定了,我個人成功案例很多,大部分都是改網線使很多個網路正常運行,正確的標準是雙絞線不絞合長度不能超過1.3厘米!還有,如果沒有電氣干擾請千萬不要用帶屏蔽功能的水晶頭,切記。
HUB和交換機這些就不用說了,這常識也夠普通了,關於VLAN什麼的也自己去研究吧,有時網卡損壞也會產生網路風暴,這里也不做討論了,下面再談一下接入外網注意的事項。
有些網路在「ADSL」指示燈都正常的時候也會出現掉線,而且重新啟動MODEM就好了。這種情況多發生在沒有做代理伺服器,沒有做放火牆或路由器的網路用戶上面,這是為什麼呢?因為在ADSL MODEM上有個「10Base-T」口,這個口是接區域網的,實際上是個HUB口。雖然是10M的埠,但是ADSL的上行帶寬只有幾百bit/s。如果用戶區域網內部是ADSL直接接HUB,HUB再接下面的客戶機,網路內的許多與ADSL無關的數據包將佔用ADSL上行通道,ADSL也無法控制區域網內的廣播風暴,如過超過ADSL上行傳輸能力,數據包將裝入ADSL的緩存,如果數據量繼續增大,緩存溢出,造成ADSL「休眠」現象。這樣只有重新啟動MODEM了。解決辦法是資金不太雄厚的用戶可以做一台雙網卡的代理伺服器(一定要雙網卡)或是拿台老機器裝個軟路由,這樣可以隔斷MODEM與區域網之間的直接通信,避免上述問題。大用戶最好用專門的軟體、硬體防火牆或路由器(不包括幾百元內的家用路由器,這種路由器也會出現「休眠」現象。)。
還有內網的結構中不要有環路,由於網路中有環路存在,造成每一幀都在網路中重復廣播,引起了廣播風暴。要消除這種網路循環連接帶來的網路廣播風暴可以使用 STP協議,大家可以查閱思科等相關的書籍,在這就不多說了。另外,以後我們在做比較大型的網路時,一定要建立詳細的檔案,包括網路布線圖、IP及MAC 對應表等,並在網線上套數碼管。
最後還有注意一點就是網路交換機分布結構要遵守五四三規則,超越這個規則的話,你的網一定正常不了
C. 計算機網路安全的主要的威脅有哪些
計算機網路信息安全面臨的主要威脅有以下幾個:
1.
黑客的惡意攻擊。
2.
網路自身和管理存在欠缺。
3.
軟體設計的漏洞或「後門」而產生的問題。
4.
惡意網站設置的陷阱。
5.
用戶網路內部工作人員的不良行為引起的安全問題。
6.
那就還有人為的誤接收病毒文件也是有可能的。
D. 請問網路風暴如何解決...
編輯本段網路風暴-預防(以CISCO catalyst switch為例) 1、首先使用網管分析你網路的baseline,這樣可以明確你的網路當中正常情況下的廣播包比例是多少。 2、目前絕大多數交換機都支持廣播風暴抑制特性,配置了這個特性以後,你可以控制每個埠的廣播包維持在特定的比例之下,這樣可以保留帶寬給必須的應用。 配置:(以CISCO catalyst switch為例) Int XX storm-control broadcast level 20.00 switch#sh storm Interface Filter State Level Current --------- ------------- ------- ------- Fa1/0/1 Forwarding 20.00% 0.00% 3、針對預設STP配置無法排除的網路環路問題,利用STP的BPDUguard特性來預防廣播風暴。此種環路情況示意圖如下: switch——hub(portA——portB) Switch啟用了STP,而hub則被人有意無意的用一根網線聯起來,導致引起了環路。SWITCH的埠不會收到其他交換機或本交換機其他埠的 BPDU,不會觸發該埠的STP決策過程,也就不可能blocking該埠,這樣就會引起廣播風暴。我們可以利用CISCO STP的BPDUguard特性來預防這一點。 int xxx spanning-tree bpguard enable 值得注意的是bpguard可以在全局下配置,也可以在每埠的基礎上配置。如果在全局下配置,則只對配置了portfast的埠起作用,如果在埠下配置,則不用配置portfast。 編輯本段網路風暴-排障(以CISCO catalyst switch為例) [1]如果網路中已經產生了網路風暴(現象通常為網路丟包、響應遲緩、時斷時通等),則可以利用如下的方法來排障 1、首先確認是否是網路風暴或其他異常流量引起的網路異常,在核心交換機上 Switch〉sh proc cpu | e 0.00 CPU utilization for five seconds: 19%/0%; one minute: 19%; five minutes: 19% PID Runtime(ms) Invoked uSecs 5Sec 1Min 5Min TTY Process 15 20170516 76615501 263 0.31% 0.13% 0.12% 0 ARP Input 26 7383266801839439482 401 5.03% 4.70% 5.08% 0 Cat4k Mgmt HiPri 27 8870781921122570949 790 5.67% 7.50% 6.81% 0 Cat4k Mgmt LoPri 43 730060152 341404109 2138 6.15% 5.29% 5.28% 0 Spanning Tree 50 59141788 401057972 147 0.47% 0.37% 0.39% 0 IP Input 56 2832760 3795155 746 0.07% 0.03% 0.01% 0 Adj Manager 58 4525900 28130423 160 0.31% 0.25% 0.18% 0 CEF process 96 20789148 344043382 60 0.23% 0.09% 0.08% 0 Standby (HSRP) 如果交換機的CPU利用率較高,且大部分的資源都被「IP Input」進程佔用,則基本可以確定網路中有大流量的數據 2、查找異常流量是從交換機的那一個埠來的: switch #sh int | i protocol|rate|broadcasts FastEthernet1/0/1 is up, line protocol is up (connected) Queueing strategy: fifo 5 minute input rate 0 bits/sec, 0 packets/sec 5 minute output rate 2000 bits/sec, 3 packets/sec Received 241676 broadcasts (0 multicast) 如果找到一個埠的input rate非常高,且接收到的廣播包也非常多,則基本可以找到來源,如果該埠下聯的也是可管理的交換機,則再次執行此過程,直到找到一個連接PC或者HUB的埠 3、shutdown該埠 int xx shutdown 4、查找產生異常流量的根源 如果是HUB環路,則拆掉環;如果是病毒,則做殺毒處理;如果是網卡異常,則更換網卡。此部分不詳述。 5、確認交換機的CEF功能是否啟用,如果沒有,則需要啟用,可以加速流量的轉發 配置CEF: switch〉sh ip cef 全局模式下輸入 ip cef
E. 網路風暴到底是怎麼回事
你說的是區域網絡上的廣播風暴吧 這個問題一般是出現在HUB和交換機上的 如果你沒用這種設備的話那別擔心是廣播風暴了 在交換機HUB等連接設備的連接出現環路的時間 如果交換機不支持生成樹協議或者開啟了埠加速功能(忽略生成樹協議) 會產生廣播風暴、重復偵、MAC地址表不穩定等毛病 廣播風暴的原理很簡單 我也不願去給你復制了,簡單給你說說吧 比如你有兩個不支持生成樹協議的交換機連接著而且都和一個HUB連接著 這樣會產生一個環路 當某個埠收到一個數據的時間 因為交換機是用儲存轉發的方式,它先存下來,然後找目的地址發送 如果它的MAC地址表裡沒有目的地址,它會使用廣播的方式來尋找目的地址 這時另一個交換機和那個HUB也會收到這個數據包 然後他倆也採取廣播的方式來尋找目的地址 這樣第一個交換機的另一個埠又會收到這個數據包 然後它再廣播發送 就這樣在這個環路中不斷的廣播這個數據包 佔用了教大的網路資源
F. 如何徹底解決ARP風暴
首先還是得說一下什麼是ARP。如果你在UNIX Shell下輸入 arp -a (9x下也是),你的輸出看起來應該是這樣的:
Interface: xxx.xxx.xxx.xxx
Internet Address Physical Address Type
xxx.xxx.xxx.xxx 00-00-93-64-48-d2 dynamic
xxx.xxx.xxx.xxx 00-00-b4-52-43-10 dynamic
...... ......... ....
這里第一列顯示的是ip地址,第二列顯示的是和ip地址對應的網路介面卡的硬體地址(MAC),第三列是該ip和mac的對應關系類型。
可見,arp是一種將ip轉化成以ip對應的網卡的物理地址的一種協議,或者說ARP協議是一種將ip地址轉化成MAC地址的一種協議。它靠維持在內存中保存的一張表來使ip得以在網路上被目標機器應答。
為什麼要將ip轉化成mac呢?簡單的說,這是因為在tcp網路環境下,一個ip包走到哪裡,要怎麼走是靠路由表定義。但是,當ip包到達該網路後,哪台機器響應這個ip包卻是靠該ip包中所包含的mac地址來識別。也就是說,只有機器的mac地址和該ip包中的mac地址相同的機器才會應答這個ip包。因為在網路中,每一台主機都會有發送ip包的時候。所以,在每台主機的內存中,都有一個 arp--> mac 的轉換表。通常是動態的轉換表(注意在路由中,該arp表可以被設置成靜態)。也就是說,該對應表會被主機在需要的時候刷新。這是由於乙太網在子網層上的傳輸是靠48位的mac地址而決定的。
通常主機在發送一個ip包之前,它要到該轉換表中尋找和ip包對應的mac地址。如果沒有找到,該主機就發送一個ARP廣播包,看起來象這樣子:
"我是主機xxx.xxx.xxx.xxx , mac是xxxxxxxxxxx ,ip為xxx.xxx.xxx.xx1的主機請告之你的mac來"
ip為xxx.xxx.xxx.xx1的主機響應這個廣播,應答ARP廣播為:
"我是xxx.xxx.xxx.xx1,我的mac為xxxxxxxxxx2"
於是,主機刷新自己的ARP緩存,然後發出該ip包。
了解這些常識後,現在就可以談在網路中如何實現ARP欺騙了,可以看看這樣一個例子:
一個入侵者想非法進入某台主機,他知道這台主機的火牆只對192.0.0.3(假設)這個ip開放23口(telnet),而他必須要使用telnet來進入這台主機,所以他要這么做:
1、他先研究192.0.0.3這台主機,發現這台95的機器使用一個oob就可以讓他死掉。
2、於是,他送一個洪水包給192.0.0.3的139口,於是,該機器應包而死。
3、這時,主機發到192.0.0.3的ip包將無法被機器應答,系統開始更新自己的arp對應表。將192.0.0.3的項目搽去。
4、這段時間里,入侵者把自己的ip改成192.0.0.3
5、他發一個ping(icmp 0)給主機,要求主機更新主機的arp轉換表。
6、主機找到該ip,然後在arp表中加入新的ip-->mac對應關系。
7、防火牆失效了,入侵的ip變成合法的mac地址,可以telnet了。
現在,假如該主機不只提供telnet,它還提供r命令(rsh,r,rlogin等)那麼,所有的安全約定將無效,入侵者可以放心的使用這台主機的資源而不用擔心被記錄什麼。
有人也許會說,這其實就是冒用ip嘛。是冒用了ip,但決不是ip欺騙,ip欺騙的原理比這要復雜的多,實現的機理也完全不一樣。
上面就是一個ARP的欺騙過程,這是在同網段發生的情況。但是,提醒注意的是,利用交換集線器或網橋是無法阻止ARP欺騙的,只有路由分段是有效的阻止手段。(也就是ip包必須經過路由轉發。在有路由轉發的情況下,ARP欺騙如配合ICMP欺騙將對網路造成極大的危害。從某種角度講,入侵者可以跨過路由監聽網路中任何兩點的通訊,如果設置防火牆,請注意防火牆有沒有提示過類似「某某IP是局域IP但從某某路由來」等這樣的信息。
在有路由轉發的情況下,發送到達路由的ip的主機其arp對應表中,ip的對應值是路由的mac。
比如: 我ping www.xxxx.com後,那麼在我主機中,www. xxxx.com的IP對應項不是xxxx的mac,而是我路由的mac,其ip也是我路由的IP。(有些網路軟體通過交換路由ARP可以得到遠程IP的MAC)。
有興趣做深入一步的朋友可以考慮這樣一種情況:
假設這個入侵者突然想到:我要經過一個路由才可以走到那台有防火牆的主機!!!
於是這個入侵者開始思考:
1、我的機器可以進入那個網段,但是,不是用192.0.0.3的IP。
2、如果我用那個IP,就算那台正版192.0.0.3的機器死了,那個網路里的機器也不會把ip包丟到路由傳給我。
3、所以,我要騙主機把ip包丟到路由。
通過多種欺騙手法可以達到這個目的。所以他開始這樣做:
1、為了使自己發出的非法ip包能在網路上活久一點,開始修改ttl為下面的過程中可能帶來的問題做准備。他把ttl改成255。 (ttl定義一個ip包如果在網路上到不了主機後在網路上能存活的時間,改長一點在本例中有利於做充足的廣播)
2、他掏出一張軟盤,這張軟盤中有他以前用sniffer時保存的各種ip包類型。
3、他用一個合法的ip進入網路,然後和上面一樣,發個洪水包讓正版的192.0.0.3死掉,然後他用192.0.0.3進入網路。
4、在該網路的主機找不到原來的192.0.0.3的mac後,將更新自己的ARP對應表。於是他趕緊修改軟盤中的有關ARP廣播包的數據,然後對網路廣播說"能響應ip為192.0.0.3的mac是我"。
5、好了,現在每台主機都知道了,一個新的MAC地址對應ip 192.0.0.3,一個ARP欺騙完成了,但是,每台主機都只會在區域網中找這個地址而根本就不會把發送給192.0.0.3的ip包丟給路由。於是他還得構造一個ICMP的重定向廣播。
6、他開始再修改軟盤中的有關ICMP廣播包的數據,然後發送這個包,告訴網路中的主機:"到192.0.0.3的路由最短路徑不是區域網,而是路由。請主機重定向你們的路由路徑,把所有到192.0.0.3的ip包丟給路由哦。"
7、主機接受這個合理的ICMP重定向,於是修改自己的路由路徑,把對192.0.0.3 的ip通訊都丟給路由器。
8、入侵者終於可以在路由外收到來自路由內的主機的ip包了,他可以開始telnet到主機的23口,用ip 192.0.0.3。
注意,這只是一個典型的例子,在實際操作中要考慮的問題還不只這些。
現在想想,如果他要用的是sniffer會怎樣?
可見,利用ARP欺騙,一個入侵者可以:
1、利用基於ip的安全性不足,冒用一個合法ip來進入主機。
2、逃過基於ip的許多程序的安全檢查,如NSF,R系列命令等。
他甚至可以栽賬嫁禍給某人,讓他跳到黃河洗不清,永世不得超生!
那麼,如何防止ARP欺騙呢?
1、不要把你的網路安全信任關系建立在ip基礎上或mac基礎上,(rarp同樣存在欺騙的問題),理想的關系應該建立在ip+mac基礎上。
2、設置靜態的mac-->ip對應表,不要讓主機刷新你設定好的轉換表。
3、除非很有必要,否則停止使用ARP,將ARP做為永久條目保存在對應表中。
4、使用ARP伺服器。通過該伺服器查找自己的ARP轉換表來響應其他機器的ARP廣播。確保這台ARP伺服器不被黑。
5、使用"proxy"代理ip的傳輸。
6、使用硬體屏蔽主機。設置好你的路由,確保ip地址能到達合法的路徑。(靜態配置路由ARP條目),注意,使用交換集線器和網橋無法阻止ARP欺騙。
7、管理員定期用響應的ip包中獲得一個rarp請求,然後檢查ARP響應的真實性。
8、管理員定期輪詢,檢查主機上的ARP緩存。
9、使用防火牆連續監控網路。注意有使用SNMP的情況下,ARP的欺騙有可能導致陷阱包丟
失。
以下收集的資料,供做進一步了解ARP協議
ARP的緩存記錄格式:
每一行為:
IF Index:Physical Address:IP Address:Type
其中: IF Index 為:
1 乙太網
2 實驗乙太網
3 X.25
4 Proteon ProNET (Token Ring)
5 混雜方式
6 IEEE802.X
7 ARC網
ARP廣播申請和應答結構
硬體類型:協議類型:協議地址長:硬體地址長:操作碼:發送機硬體地址:
發送機IP地址:接受機硬體地址:接受機IP地址。
其中:協議類型為: 512 XEROX PUP
513 PUP 地址轉換
1536 XEROX NS IDP
2048 Internet 協議 (IP)
2049 X.752050NBS
2051 ECMA
2053 X.25第3層
2054 ARP
2055 XNS
4096 伯克利追蹤者
21000 BBS Simnet
24577 DEC MOP 轉儲/裝載
24578 DEC MOP 遠程式控制制台
24579 DEC 網 IV 段
24580 DEC LAT
24582 DEC
32773 HP 探示器
32821 RARP
32823 Apple Talk
32824 DEC 區域網橋
如果你用過NetXRay,那麼這些可以幫助你了解在細節上的ARP欺騙如何配合ICMP欺騙而讓一個某種類型的廣播包流入一個.
G. 2016信息安全威脅和趨勢主要來自於哪些方面
隨著2015年即將接近尾聲,我們可以預期,在2016年相關網路罪犯活動的規模、嚴重程度、危害性、復雜性都將繼續增加,一家負責評估安全和風險管理問題的非營利性協會:信息安全論壇(ISF)的總經理史蒂夫·德賓代表其成員表示說。「在我看來,2016年可能將會是網路安全風險最為嚴峻的一年。」德賓說。「我這樣說的原因是因為人們已經越來越多的意識到這樣一個事實:即在網路運營正帶來了其自己的特殊性。」德賓說,根據ISF的調研分析,他們認為在即將到來的2016年,五大安全趨勢將占據主導。
當我們進入2016年,網路攻擊將進一步變得更加具有創新性、且更為復雜,德賓說:「不幸的是,雖然現如今的企業正開發出新的安全管理機制,但網路犯罪分子們也正在開發出新的技術來躲避這些安全管理機制。在推動企業網路更具彈性的過程中,企業需要將他們的風險管理的重點從純粹的信息保密性、確保數據信息的完整性和可用性轉移到包括風險規模,如企業聲譽和客戶渠道保護等方面,並充分認識到網路空間活動可能導致的意想不到的後果。通過為未知的各種突發狀況做好萬全的准備,企業才能過具有足夠的靈活性,以抵禦各種意外的、高沖擊性的安全事件。」德賓說,ISF所發現的這些網路安全威脅趨勢並不相互排斥。他們甚至可以結合起來,創造更具破壞性的網路安全威脅配置文件。他補充說,我們預計明年將為出現新的網路安全威脅。
1、國家干預網路活動所導致的意外後果
德賓說,在2016年,有官方背景參與的網路空間相關活動或將對網路安全造成附帶的損害,甚至造成不可預見的影響和後果。而這些影響和後果的危害程度將取決於這些網路活動背後所依賴的官方組織。並指出,改變監管和立法將有助於限制這些活動,無論其是否是以攻擊企業為目標。但他警告說,即使是那些並不受牽連的企業也可能會遭受到損害。
德賓說:「我們已經看到,歐洲法院宣布歐美數據《安全港協議》無效。同時,我們正看到越來越多的來自政府機構關於重視數據隱私的呼籲,盡管某些技術供應商會表示說,』我們已經徹底執行了端到端的加密。』但在一個連恐怖主義都變得日趨規范的世界裡,當看到一個網路物理鏈接時,我們要如何面對這一問題?」展望未來,企業必須了解政府部分的相關監管要求,並積極與合作夥伴合作,德賓說。
德賓說:「立法者必須將始終對此高度重視,並及時跟上最新網路攻擊技術的步伐,我甚至認為立法者本身也需要參與到預防網路安全威脅的過程中來。他們所探討的一直是如何應對昨天已經發生的網路安全事件,但事實上,網路安全更多的是關於明天的。」
2、大數據將引發大問題
現如今的企業在他們的運營和決策過程中,正越來越多的運用到大數據分析了。但這些企業同時也必須認識到:數據分析其實是有人為因素的。對於那些不尊重人的因素的企業而言,或將存在高估了大數據輸出價值的風險,德賓說。並指出,信息數據集完整性較差,很可能會影響分析結果,並導致糟糕的業務決策,甚至錯失市場機會,造成企業品牌形象受損和利潤損失。
德賓說:「當然,大數據分析是一個巨大的誘惑,而當您訪問這些數據信息時,必須確保這些數據信息是准確的。」這個問題關乎到數據的完整性,對我來說,這是一個大問題。當然,數據是當今企業的生命線,但是我們真的對其有充分的認識嗎?」「現如今,企業已經收集了大量的信息。而最讓我所擔憂的問題並不是犯罪份子竊取這些信息,而是企業實際上是在以其從來不會去看的方式來操縱這些數據。」他補充道。例如,他指出,相當多的企業已經將代碼編寫工作進行外包多年了。他說:「我們並不知道在那些代碼中有沒有可能會讓您企業泄露數據信息的後門。」事實上,這是有可能的。而您更需要懷疑的是:不斷提出假設的問題,並確保從數據信息中獲得的洞察分析正是其實際上所反映的。」當然,您所需要擔心的並不只是代碼的完整性。您更需要了解所有數據的出處。「如果企業收集並存儲了相關數據信息,務必要明白了解其出處。」他說。一旦您開始分享這些數據,您就是把自己也打開了。您需要知道這些信息是如何被使用的,與誰進行了分享,誰在不斷增加,以及這些數據是如何被操縱的。」
3、移動應用和物聯網
德賓說,智能手機和其他移動設備迅速普及正在使得物聯網(IoT)日漸成為網路犯罪份子進行惡意行為的首要目標。隨著攜帶自己的設備辦公(BYOD)、以及工作場所可穿戴技術的不斷推出,在未來的一年裡,人們對工作和家庭移動應用程序的要求會不斷增加。而為了滿足這一需求的增加,開發商們在面臨強大的工作壓力和微薄的利潤空間的情況下,很可能會犧牲應用程序的安全性,並盡快在未經徹底測試的情況下,以低成本交付產品,導致質量差的產品更容易被不法分子或黑客所攻擊。「不要把這和手機簡單的相混淆了。」德賓說。移動性遠不只有這么一點,智能手機只是移動性的一個組成部分。他注意到,越來越多的企業員工也和他一樣,需要不斷地出差到各地辦公。「我們沒有固定的辦公室。」他說。上次我登陸網路是在一家旅館。而今天則是在別人的辦公環境。我如何確保真的是我史蒂夫本人登錄的某個特別的系統呢?我可能只知道這是一款來自史蒂夫的設備登錄的,或者我相信是史蒂夫的設備登錄的,但我怎麼能夠知道這是否是用史蒂夫的另一款設備的呢?
企業應做好准備迎接日益復雜的物聯網,並明白物聯網的到來對於他們的意義何在,德賓說。企業的首席信息安全官們(CISO)應積極主動,確保企業內部開發的各款應用程序均遵循了公認的系統開發生命周期方法,相關的測試准備步驟是不可避免的。他們還應該按照企業現有的資產管理策略和流程管理員工用戶的設備,將用戶設備對於企業網路的訪問納入企業現有管理的標准,以創新的方式推動和培養員工們的BYOD風險意識。
4、網路犯罪造成的安全威脅風暴
德賓說,網路犯罪高居2015年安全威脅名單榜首,而這一趨勢在2016年並不會減弱。網路犯罪以及黑客活動的增加,迫使企業必須遵從不斷提升的監管要求,不懈追求技術進步,這使得企業在安全部門的投資激增,而這些因素結合起來,可能形成安全威脅風暴。那些採用了風險管理辦法的企業需要確定那些企業的業務部門所最為依賴的技術,並對其進行量化,投資於彈性。
網路空間對於網路犯罪分子和恐怖分子而言,是一個越來越有吸引力的攻擊動機、和賺錢來源,他們會製造破壞,甚至對企業和政府機構實施網路攻擊。故而企業必須為那些不可預測的網路事件做好准備,以便使他們有能力能夠承受住不可預見的,高沖擊性的網路事件。「我看到越來越多日益成熟的網路犯罪團伙。」德賓說。他們的組織非常復雜和成熟,並具有良好的協調。我們已經看到網路犯罪作為一種服務的增加。這種日益增加的復雜性將給企業帶來真正的挑戰。我們真的進入了一個新的時代,您根本無法預測一個網路犯罪是否會找您。從企業的角度來看,您要如何防禦呢?
問題的部分原因在於,許多企業仍然還處在專注於保衛企業外部邊界的時代,但現如今的主要威脅則是由於企業內部的人士,無論其是出於惡意目的或只是無知採取了不當的安全實踐方案,這使得網路威脅日漸已經開始向外圍滲透了「不管是對是錯,我們一直是將網路犯罪視為是從外部攻擊的角度來看,所以我們試圖採用防火牆來簡單應對。」德賓說。 「但企業還存在來自內部的威脅。這讓我們從企業的角度來看,是一個非常不舒服的地方。」事實的真相是,企業根本無法對付網路犯罪,除非他們採取更具前瞻性的方法。「幾個星期前,我在與一名大公司的擁有九年工作經驗的首席信息安全官交談時,他告訴我說,藉助大數據分析,他現在已經在整個企業幾乎完全實現了可視化。在從業了九年後,他發現網路罪犯的這種能力也在不斷積累。而我們的做法只是不斷地被動反應,而不是主動的防禦。」「網路犯罪分子的工作方式卻不是這樣的。」他補充說。「他們總是試圖想出一個新的方法。我認為我們還不擅長打防守。我們需要真正將其提高到同一水平。我們永遠不會想出新的方法。而在我們企業內部甚至還存在這樣的想法:即然我們還沒有被攻破,為什麼我們要花所有這些錢呢?」
5、技能差距將成為信息安全的一個無底深淵
隨著網路攻擊犯罪份子的能力日益提高,信息安全專家們正變得越來越成熟,企業對於信息安全專家的需求越來越多。而網路犯罪分子和黑客也在進一步深化他們的技能,他們都在努力跟上時代的步伐,德賓說。企業的首席信息安全官們需要在企業內部建立可持續的招募計劃,培養和留住現有人才,提高企業網路的適應能力。德賓說,在2016年,隨著超連通性的增加,這個問題將變得更糟。首席信息安全官在幫助企業及時獲得新的技能方面將需要更積極。「在2016年,我認為我們將變得更加清楚,也許企業在其安全部門並沒有合適的人才。」他說。我們知道,企業有一些很好的技術人員可以安裝和修復防火牆等。但真正好的人才則是可以在確保企業網路安全的情況下,滿足業務的挑戰和業務發展。這將是一個明顯的弱點。企業的董事會也開始意識到,企業網路是他們做生意的重要方式。我們還沒有在業務和網路安全實踐之間建立起聯系。」
在某些情況下,企業根本沒有合適的首席信息安全官會變得相當明顯。而其他企業也必須問自己,安全本身是否被放在了恰當的位置。
德賓說:「您企業無法避免每一次嚴重的事件,雖然許多企業在事件管理方面做得很好,但很少有企業建立了一套有組織的方法來評估哪些是錯誤的。」因此,這會產生不必要的成本,並讓企業承擔不適當的風險。各種規模的企業均需要對此給予高度重視,以確保他們對於未來的這些新興的安全挑戰做好了充分的准備,並能夠很好的應對。通過採用一個切實的,具有廣泛基礎的,協作的方式,提高網路安全和應變能力,政府部門、監管機構、企業的高級業務經理和信息安全專業人士都將能夠更好地了解網路威脅的真實本質,以及如何快速作出適當的反應。」
H. 導致網路不通的原因及解決方法
1、整個網路奇怪的不通
在實際的故障解決過程中,對於一些較大型的網路還容易出現整個網路不通的奇怪故障。說它奇怪,是因為所有的現象看起來都正常,指示燈、配置都經過檢查了,任何問題都沒有,但網路就是不通;而且更另人叫絕的是在不通的過程中偶爾還能有一兩台計算機能夠間隙性的訪問。其實這就是典型的網路風暴現象,多發生在一些大中型網路中。既網路中存在著很多病毒,然後彼此之間進行流竄相互感染,由於網路中的計算機比較多,這樣數據的傳輸量很大,直接就佔領了埠,使正常的數據也無法傳輸。對於這種由病毒引發的網路風暴解決的最直接的辦法就是找出風暴的源頭,這時只需要在網路中的.一台計算機上安裝一個防火牆,例如金山網鏢,啟用防火牆後你就會發現防火牆不停的報警,打開後可以在“安全狀態”標簽的安全日誌中看到防火牆攔截來自同一個IP地址的病毒攻擊,這時你只要根據IP地址找出是哪一台計算機,將其與網路斷開進行病毒查殺,一般即可解決問題。
小提示:作為網路管理員,即使在正常情況下也有必要安裝金山網鏢這樣的防火牆,找出網路中流串的病毒源頭,作出預防,避免危害進一步的擴大。
但是要避免網路風暴最佳的辦法還是劃分子網和安裝網路版殺毒軟體。劃分子網,這樣每個子網內的計算機比較少,這樣病毒即使相互傳播,產生的數據量也不大,不會危及整個網路,而安裝網路版殺毒軟體則可以保持整個網路高速暢通的運轉。
2、組策略導致網路不通
這種故障主要存在於Windows 2000/XP/2003系統之間,是因為組策略設置了禁止從網路訪問。因此我們可以在“運行”窗口中輸入“Gpedit.msc”並回車,在打開的組策略窗口中依次選擇“本地計算機策略—計算機配置—Windows設置—安全設置—本地策略—用戶權利指派”,然後雙擊右側的“拒絕從網路訪問這台計算機”,在打開的窗口中將裡面的帳戶列表選中並刪除即可。
3、信號指示燈不亮
如果信號指示燈不亮,那麼則說明沒有信號進行傳輸,但可以肯定的是線路之間是正常的。那麼不防使用替換法將連接計算機的網線換到另外一台計算機上試試,或者使用測試儀檢查是否有信號傳送,如果有信號傳送那麼則是本地網卡的問題。在實際的工作經驗證明網卡導致沒有信息傳送是比較普遍的故障。對此可以首先檢查一下網卡安裝是否正常、IP設置是否錯誤,可以嘗試Ping一下本機的IP地址,如果能夠Ping通則說明網卡沒有太大問題。如果不通,則可以嘗試重新安裝網卡驅動來解決,另外對於一些使用了集成網卡或質量不高的網卡,容易出現不穩定的現象,即所有設置都正確,但網路卻不通。對此可以將網卡禁用,然後再重新啟用的方法,也會起到意想不到的效果。
4、網上鄰居無法訪問
網路是暢通的,與Interne或區域網內部的連接全部正常,但是通過網上鄰居訪問區域網其它計算機時卻無法訪問的症狀。造成這種故障的原因比較多,筆者在這里可以給大家提供一個簡單的解決辦法。即直接在“運行”窗口中按照“計算機名(IP地址)共享名”的格式來訪問網內其它計算機上的共享文件夾,這樣不僅可以繞開這個故障,而且也比通過網上鄰居訪問要更加快捷。
5、防火牆導致網路不通
在區域網中為了保障安全,很多朋友都安裝了一些防火牆。這樣很容易造成一些“假”故障,例如Ping不通但是卻可以訪問對方的計算機,不能夠上網卻可以使用QQ等。判斷是否是防火牆導致的故障很簡單,你只需要將防火牆暫時關閉,然後再檢查故障是否存在。而出現這種故障的原因也很簡單,例如用戶初次使用IE訪問某個網站時,防火牆會詢問是否允許該程序訪問網路,一些用戶因為不小心點了不允許這樣以後都會延用這樣的設置,自然導致網路不通了。比較徹底的解決辦法是在防火牆中去除這個限制即可。
6、降速使用
很多網卡都是使用10M/100M自適應網卡,雖然網卡的默認設置是“自適應”,但是受交換機速度或網線的製作方法影響,可能出現一些不匹配的情況。這個時候不防試試把網卡速度直接設為10M。其方法是右擊“本地連接”打開其屬性窗口,在“常規”選項卡中單擊“配置”按鈕,將打開的網卡屬性窗口切換到“高級”選項卡,在“屬性”列表中選中“Link Speed/Duplex Mode”,在右側的“值”下拉菜單中選擇“10 Full Mode”,依次單擊“確定”按鈕保存設置。
7、連接指示燈不亮
觀察網卡後側RJ45一邊有兩個指示燈。它們分別為連接狀態指示燈和信號傳輸指示燈,其中正常狀態下連接狀態指示燈呈綠色並且長亮,信號指示燈呈紅色,正常應該不停的閃爍。如果我們發現連接指示燈,也就是綠燈不亮,那麼表示網卡連接到HUB或交換機之間的連接有故障。對此可以使用測試儀進行分段排除,如果從交換機到網卡之間是通過多個模塊互連的,那麼可以使用二分法進行快速定位。而一般情況下這種故障發生多半是網線沒有接牢、使用了劣質水晶頭等原因。而且故障點大多是連接的兩端有問題,例如交換機的埠處和連接計算機的網卡處的接頭,藉助測試儀可以很輕松的就以找出故障進行解決。
8、配置錯誤導致網路不通
這種故障的外部表現多是網路指示燈正常,也能夠Ping通,有時可以訪問內網資源,但無法訪問外網資源,有時還會表現出訪問網站時只能通過IP地址,而不能通過域名訪問。這就是典型的網路配置不當所產生的,即沒有設置正確的網卡和DNS。如果網關設置錯誤,那麼該台計算機只能在區域網內部訪問,如果DNS設置錯誤,那麼訪問外部網站時不能進行解析。對此我們只需要打開本地連接的屬性窗口,打開“Internet協議(TCP/IP)”屬性窗口,然後設置正確的默認網關和DNS伺服器地址即可。
網路不通是一個復雜多變的故障,但只要我們掌握其本質,了解網路構建的步驟,熟悉故障的易發點,這樣就可以做到以不變應萬變,輕松解決網路不通的問題。
I. 網路安全防範措施有哪些
大面積的部署國產信息化網路安全管理設備,如UniAccess終端安全管理、UniNAC網路准入控制、UniBDP數據防泄露這類網路安全管理監控系統,也成了重中之重的一件事。用這類管理系統,對各個終端的安全狀態,對重要級敏感數據的訪問行為、傳播進行有效監控,及時發現違反安全策略的事件並實時告警、記錄、進行安全事件定位分析,准確掌握網路系統的安全狀態,為我們的網路安全起著保駕護航的作用。