实训4-4：配置交换机保护功能

第4章交换机安全配置实训4-4：配置交换机保护功能（学时）本次课要点学习目标重点难点实训目的掌握交换机的系统保护功能阻止扫描攻击掌握微软的网络监视器的使用学会对捕获数据包的分析实训背景某企业网络管理员发现网络中出现了扫描攻击。由于扫描攻击是任何后续攻击的第一步，为了消除安全隐患，避免由于扫描攻击给网络设备（如交换机）造成的资源消耗，需要阻止扫描攻击。由于网络中的扫描攻击导致的带宽浪费、系统资源消耗以及安全问题等现象，可以使用交换机的系统保护功能解决这一问题。实训拓扑实训设备设备数量服务器（安装windows2000/2003操作系统）1台计算机（安装windows操作系统）1台交换机1台Portscan端口扫描工具1套实训步骤1.按照实训拓扑连接网络2.配置计算机和服务器IP地址3.安装windows自带的网络监视器4.监听黑客与服务器的通信5.配置系统保护6.验证配置1.按照实训拓扑连接网络2.配置计算机和服务器IP地址3.安装windows自带的网络监视器3.安装windows自带的网络监视器（1）选择【开始】【控制面板】【添加或删除程序】菜单，在打开的对话框中选择“添加/删除Windows组件”，如所示。3.安装windows自带的网络监视器（2）选择“管理和监视工具”组件，单击按钮，打开“管理和监视工具”对话框，如所示。详细信息(D)...3.安装windows自带的网络监视器（3）选中“网络监视工具”子组件，单击按钮，然后单击按钮进行安装。确定下一步4.监听黑客与服务器的通信4.监听黑客与服务器的通信（1）安装完成后，选择【开始】【管理工具】【网络监视器】菜单，打开“网络监视器”窗口，如所示。4.监听黑客与服务器的通信（2）单击工具栏上的按钮开始进行数据捕获。（3）在黑客的计算机上运行端口扫描软件，输入扫描的开始和结束IP地址，如所示。4.监听黑客与服务器的通信（4）在端口扫描软件的主窗口，单击按钮开始进行扫描，扫描结果如所示。Scan4.监听黑客与服务器的通信（5）在“网络监视器”窗口，捕获到大量的数据包，如所示。4.监听黑客与服务器的通信（6）单击按钮，停止捕获，显示出捕获数据包的详细窗口，如所示。4.监听黑客与服务器的通信（7）在窗口中可以看到黑客（192.168.1.1）发往服务器（192.168.1.100）的大量数据包。5.配置系统保护5.配置系统保护（1）配置针对目的IP地址变化的扫描的检测阈值为每秒50个不同目的IP的报文Switch(config)#interfacefastEthernetf0/1Switch(config-if)#system-guardenableSwitch(config-if)#system-guardscan-dest-ip-attack-packets50（2）配置隔离时间为1000sSwitch(config-if)#system-guardisolate-time10006.验证配置6.验证配置（1）重行执行第4步让黑客对服务器的端口进行扫描（2）在黑客计算机上上捕获的报文，可以看到PC1正在以大约每秒100多个报文的速率进行扫描：（3）在交换机上可以看到已经检测出攻击，并将IP地址192.168.1.1隔离，并显示日志信息：Nov3002:54:49Switch%7:ip192.168.1.1isisolated!!（4）通过命令查看被隔离的IP地址及其状态：Switch#showsystem-guardisolate-ipinterfaceip-addressisolatereasonremain-time(second)-----------------------------------------------------------6.验证配置Fa0/1192.168.1.1scanipattack990可以看到隔离的原因为目的IP变化的扫描攻击，并且隔离剩余时间为990s。