網路安全訪問控制acl實戰抓包

㈠ 請教 在網路上，傳說中的抓包是什麼怎樣抓包

抓包就是將網路傳輸發送與接收的數據包進行截獲、重發、編輯、轉存等操作，也用來檢查網路安全，但往往被某些無恥之徒用來網游作弊。
英文名稱為Sniffer，中文可以翻譯為嗅探器，是一種威脅性極大的被動攻擊工具。使用這種工具，可以監視網路的狀態、數據流動情況以及網路上傳輸的信息。當信息以明文的形式在網路上傳輸時，便可以使用網路監聽的方式來進行攻擊。將網路介面設置在監聽模式，便可以將網上傳輸的源源不斷的信息截獲。黑客們常常用它來截獲用戶的口令。據說某個骨幹網路的路由器曾經被黑客攻人，並嗅探到大量的用戶口令。本文將詳細介紹Sniffer的原理和應用。
下面是抓包的方法
1．安裝抓包工具。
目的就是用它分析網路數據包的內容。找一個免費的或者試用版的抓包工具並不難。我使用了一種叫做SpyNet3.12 的抓包工具，非常小巧, 運行的速度也很快。安裝完畢後我們就有了一台抓包主機。你可以通過SpyNet設置抓包的類型，比如是要捕獲IP包還是ARP包，還可以根據目的地址的不同，設置更詳細的過濾參數。
2．配置網路路由。
你的路由器有預設網關嗎？如果有，指向了哪裡？在病毒爆發的時候把預設網關指向另外一台路由器是很危險的（除非你想搞癱這台路由器）。在一些企業網里往往僅指出網內地址段的路由，而不加預設路由，那麼就把預設路由指到抓包主機上吧（它不下地獄誰下地獄？當然這台主機的性能最好是高一點的，否則很容易被病毒沖擊而亡）。這樣可以讓那些病毒主機發出的絕大部分掃描都自動送上門來。或者把網路的出口映像到抓包主機上，所有對外訪問的網路包都會被分析到。
3．開始抓包。
抓包主機已經設置好了，網路里的數據包也已經送過來了，那麼我們看看網路里傳輸的到底是些什麼。打開SpyNet 點擊Capture 你會看到好多的數據顯示出來，這些就是被捕獲的數據包（如圖）。 圖中的主體窗口裡顯示了抓包的情況。列出了抓到數據包的序號、時間、源目的MAC地址、源目的IP地址、協議類型、源目的埠號等內容。很容易看出IP地址為10.32.20.71的主機在極短的時間內向大量的不同主機發出了訪問請求，並且目的埠都是445。
4.找出染毒主機。
從抓包的情況看，主機10.32.20.71值得懷疑。首先我們看一下目的IP地址，這些地址我們網路里存在嗎？很可能網路里根本就沒有這些網段。其次，正常情況下訪問主機有可能在這么短的時間里發起這么多的訪問請求嗎？在毫秒級的時間內發出幾十甚至幾百個連接請求，正常嗎？顯然這台10.32.20.71的主機肯定有問題。再了解一下Microsoft-DS協議，該協議存在拒絕服務攻擊的漏洞，連接埠是445，從而進一步證實了我們的判斷。這樣我們就很容易地找到了染毒主機的IP地址。剩下的工作就是給該主機操作系統打補丁殺病毒了。 既然抓到了病毒包，我們看一下這個數據包二進制的解碼內容： 這些數據包的長度都是62個位元組。數據包前12個位元組包括了目的MAC和源MAC的地址信息，緊跟著的2位元組指出了數據包的類型，0800代表的是IP包格式，0806代表ARP包格式。接著的20個位元組是封裝的IP包頭，包括了源、目的IP地址、IP版本號等信息。剩下的28個位元組封裝的是TCP包頭，包括了源、目的埠，TCP鏈接的狀態信息等。這就構成了一個62位元組的包。可以看出除了這些包頭數據之外，這個包沒有攜帶其他任何的有效數據負荷，所以這是一個TCP要求445埠同步的空包，也就是病毒主機在掃描445埠。一旦染毒主機同步上沒有採取防護措施的主機445埠，便會利用系統漏洞傳播感染。

㈡ 如何抓包分析報文防護 DDoS 攻擊

1、使用 ip verfy unicast reverse-path 網路介面命令 這個功能檢查每一個經過路由器的數據包。在路由器的CEF（Cisco Express Forwarding）表該數據包所到達網路介面的所有路由項中，如果沒有該數據包源IP地址的路由，路由器將丟棄該數據包。例如，路由器接收到一個源IP地址為1.2.3.4的數據包，如果CEF路由表中沒有為IP地址1.2.3.4提供任何路由（即反向數據包傳輸時所需的路由），則路由器會丟棄它。 單一地址反向傳輸路徑轉發（Unicast Reverse Path Forwarding）在ISP（局端）實現阻止SMURF攻擊和其它基於IP地址偽裝的攻擊。這能夠保護網路和客戶免受來自互聯網其它地方的侵擾。使用Unicast RPF需要打開路由器的"CEF swithing"或"CEF distributed switching"選項。不需要將輸入介面配置為CEF交換（switching）。只要該路由器打開了CEF功能，所有獨立的網路介面都可以配置為其它交換（switching）模式。RPF（反向傳輸路徑轉發）屬於在一個網路介面或子介面上激活的輸入端功能，處理路由器接收的數據包。 在路由器上打開CEF功能是非常重要的，因為RPF必須依靠CEF。Unicast RPF包含在支持CEF的Cisco IOS 12.0及以上版本中，但不支持Cisco IOS 11.2或11.3版本。 2、使用訪問控制列表（ACL）過濾RFC 1918中列出的所有地址 參考以下例子： interface xy ip access-group 101 in access-list 101 deny ip 10.0.0.0 0.255.255.255 any access-list 101 deny ip 192.168.0.0 0.0.255.255 any access-list 101 deny ip 172.16.0.0 0.15.255.255 any access-list 101 permit ip any any 3、參照RFC 2267，使用訪問控制列表（ACL）過濾進出報文 參考以下例子： {ISP中心} -- ISP端邊界路由器 -- 客戶端邊界路由器 -- {客戶端網路} ISP端邊界路由器應該只接受源地址屬於客戶端網路的通信，而客戶端網路則應該只接受源地址未被客戶端網路過濾的通信。以下是ISP端邊界路由器的訪問控制列表（ACL）例子： access-list 190 permit ip {客戶端網路} {客戶端網路掩碼} any access-list 190 deny ip any any [log] interface {內部網路介面} {網路介面號} ip access-group 190 in 以下是客戶端邊界路由器的ACL例子： access-list 187 deny ip {客戶端網路} {客戶端網路掩碼} any access-list 187 permit ip any any access-list 188 permit ip {客戶端網路} {客戶端網路掩碼} any access-list 188 deny ip any any interface {外部網路介面} {網路介面號} ip access-group 187 in ip access-group 188 out 如果打開了CEF功能，通過使用單一地址反向路徑轉發（Unicast RPF），能夠充分地縮短訪問控制列表（ACL）的長度以提高路由器性能。為了支持Unicast RPF，只需在路由器完全打開CEF；打開這個功能的網路介面並不需要是CEF交換介面。 4、使用CAR（Control Access Rate）限制ICMP數據包流量速率 參考以下例子： interface xy rate-limit output access-group 2020 3000000 512000 786000 conform-action transmit exceed-action drop access-list 2020 permit icmp any any echo-reply 請參閱IOS Essential Features 獲取更詳細資料。

㈢ 訪問控制列表ACL是什麼在實踐中有哪些具體的應用服務

1.網路安全
2.服務質量
3.網路地址翻譯（net)
這就是ACL的作用

實際中 只允許 經理辦公室10.0.0.1 10.0.0.2 訪問財務 10.0.1.2 其他不準訪問 就要用的訪問控制列表

㈣ 如何配置網卡對埠鏡像進行抓包分析

鏡像口，是整個交換機的數據量 的鏡像， 單一交換機口， 是按 ACL 來訪問的。
ACL 的主要作用是過濾掉外面沒有授權的IP地址來訪問內部的資源從而做到讓內部主機或伺服器更安全。簡而言之，ACL可以過濾網路中的流量，是控制訪問的一種網路技術手段。
因ACL 的存在，你抓的包就不完全了。失去了網路監控的意義。
而鏡像口正是為解決此問題而存在的。

㈤ ACL是什麼

訪問控制列表(ACL)是一種基於包過濾的訪問控制技術。

它可以根據設定的條件對介面上的數據包進行過濾，允許其通過或丟棄。訪問控制列表被廣泛地應用於路由器和三層交換機，藉助於訪問控制列表，可以有效地控制用戶對網路的訪問，從而最大程度地保障網路安全。

訪問控制列表具有許多作用，如限制網路流量、提高網路性能；通信流量的控制，例如ACL可以限定或簡化路由更新信息的長度，從而限制通過路由器某一網段的通信流量；提供網路安全訪問的基本手段。

ACL的功能：

1、限制網路流量、提高網路性能。例如，ACL可以根據數據包的協議，指定這種類型的數據包具有更高的優先順序，同等情況下可預先被網路設備處理。

2、提供對通信流量的控制手段。

3、提供網路訪問的基本安全手段。

4、在網路設備介面處，決定哪種類型的通信流量被轉發、哪種類型的通信流量被阻塞。

以上內容參考：網路—ACL

㈥ 訪問控制列表有幾種類型說出不同訪問控制列表可控制訪問的元素有哪些

標准訪問控制列表，擴展訪問控制列表，命名訪問控制列表，定時訪問控制列表。

一個標准IP訪問控制列表匹配IP包中的源地址或源地址中的一部分，可對匹配的包採取拒絕或允許兩個操作。編號范圍是從1到99的訪問控制列表是標准IP訪問控制列表。

擴展IP訪問控制列表比標准IP訪問控制列表具有更多的匹配項，包括協議類型、源地址、目的地址、源埠、目的埠、建立連接的和IP優先順序等。編號范圍是從100到199的訪問控制列表是擴展IP訪問控制列表。

(6)網路安全訪問控制acl實戰抓包擴展閱讀：

訪問控制列表具有許多作用，如限制網路流量、提高網路性能；通信流量的控制，例如ACL可以限定或簡化路由更新信息的長度，從而限制通過路由器某一網段的通信流量；提供網路安全訪問的基本手段；在路由器埠處決定哪種類型的通信流量被轉發或被阻塞，例如，用戶可以允許E-mail通信流量被路由，拒絕所有的 Telnet通信流量等。