1 简述端口镜像的含义和作用

参考答案

Port Mirroring,端口镜像 —— 指的是在交换机或者路由器上,把一个或多个源端口的所有网络流量重发一份到另一个目的端口,从而实现流量的复制,方便对网络的监管

镜像口:指的是被复制流量的源端口(1)。

观察口:指的是集合复制后流量的目的端口(2),用于流量分析。

2 MITM 指的是什么,有哪些常见的方式

参考答案

MITM,Man-In-The-Middle Attack 中间人攻击 —— 指的是攻击者通过技术手段将一台受控机放置在网络中的两台计算机之间,这台受控机就称为 “中间人。

中间人攻击可以拦截其他计算机的通信数据,根据需要窃取信息、篡改信息,而通信双方却毫不知情。

典型的中间人攻击类别包括:ARP 欺骗、DNS 欺骗、SMB 会话劫持。

3 简述 ARP 欺骗的基本防御思路

参考答案

ARP 欺骗的基本防御思路:

1)部署 ARP 防火墙、终端安全系统。

2)或者设置静态 ARP 绑定条目,敏感主机双向绑定。

3)服务端改用加密通信协议,比如 HTTPS、SMTPS、IMAPS 等等。

4)合理规划 VLAN,缩小交换网络范围。

4 在 Wind10 系统中如何设置静态 ARP 条目

参考答案

1)先获取网卡索引号,找第一列 Idx 对应的数字,比如下列结果中的 6

  3. 1.  C:\Windows\system32>netsh  interface ipv4 show  interface
  5. 3.  Idx     Met         MTU          状态                名称
  6. 4.  \-\-\-  \-\-\-\-\-\-\-\-\-\-  \-\-\-\-\-\-\-\-\-\-  \-\-\-\-\-\-\-\-\-\-\-\-  \-\-\-\-\-\-\-\-\-\-\-\-\-\-\-\-\-\-\-\-\-\-\-\-\-\-\-
  7. 5.  .. ..
  8. 6.   1          75  4294967295  connected     Loopback Pseudo-Interface 1
  9. 7.  23          35        1500  connected     VMware Network Adapter VMnet1
  10. 8.    6          35        1500  connected     VMware Network Adapter VMnet8
  11. 9.   .. ..

2)然后再根据正确呃 IP 地址、MAC 地址设置 ARP 静态绑定

  3. 1.  C:\Windows\system32> netsh  -c "interface ipv4"  add  neighbors  6  192.168.10.200 54-89-98-E4-4C-71

3)确认设置结果

  3. 1.  C:\Windows\system32>netsh -c "i i" show neighbors 6  
  5. 3.  接口 6: VMware Network Adapter VMnet8
  7. 6.  Internet 地址                                 物理地址           类型
  8. 7.  \-\-\-\-\-\-\-\-\-\-\-\-\-\-\-\-\-\-\-\-\-\-\-\-\-\-\-\-\-\-\-\-\-\-\-\-\-\-\-\-\-\-\-\-  \-\-\-\-\-\-\-\-\-\-\-\-\-\-\-\-\-  \-\-\-\-\-\-\-\-\-\-\-
  9. 8.  192.168.10.2                                  00-00-00-00-00-00  无法访问
  10. 9.  192.168.10.200                                54-89-98-e4-4c-71  永久          
  11. 10.  192.168.10.211                                00-0c-29-75-59-0f  停滞
  12. 11.  192.168.10.255                                ff-ff-ff-ff-ff-ff  永久
  13. 12.  .. ..

5 华为路由器如何开启 TCP syn 泛洪防御,并降低收包率

参考答案

1)启用 TCP syn 泛洪防御(默认)

  3. 1.  \[AR1\] anti-attack  tcp-syn  enable

2)降低报文接收率(默认为 155000000bit/s)

  3. 1.  \[AR1\] anti-attack  tcp-syn  car  cir  8000

3)查看分片报文攻击的统计数据

  3. 1.  \[AR1\] display  anti-attack  statistics  tcp-syn  
  4. 2.  Packets Statistic Information:
  5. 3.  \-\-\-\-\-\-\-\-\-\-\-\-\-\-\-\-\-\-\-\-\-\-\-\-\-\-\-\-\-\-\-\-\-\-\-\-\-\-\-\-\-\-\-\-\-\-\-\-\-\-\-\-\-\-\-\-\-\-\-\-\-\-\-\-\-\-\-\-\-\-\-\-\-\-\-\-\-\-\-
  6. 4.  AntiAtkType  TotalPacketNum        DropPacketNum         PassPacketNum
  7. 5.                            (H)        (L)                (H)        (L)                  (H)        (L)        
  8. 6.  \-\-\-\-\-\-\-\-\-\-\-\-\-\-\-\-\-\-\-\-\-\-\-\-\-\-\-\-\-\-\-\-\-\-\-\-\-\-\-\-\-\-\-\-\-\-\-\-\-\-\-\-\-\-\-\-\-\-\-\-\-\-\-\-\-\-\-\-\-\-\-\-\-\-\-\-\-\-\-
  9. 7.  Tcp-syn              0          2237             0          0                      0          2237       
  10. 8.  \-\-\-\-\-\-\-\-\-\-\-\-\-\-\-\-\-\-\-\-\-\-\-\-\-\-\-\-\-\-\-\-\-\-\-\-\-\-\-\-\-\-\-\-\-\-\-\-\-\-\-\-\-\-\-\-\-\-\-\-\-\-\-\-\-\-\-\-\-\-\-\-\-\-\-\-\-\-\-

https://tts.tmooc.cn/ttsPage/NTD/NTDTN202109/NETSEC/DAY04/EXERCISE/01/index_answer.html