网络攻防学习笔记 Day127

自反访问列表（reflexive access list）会根据一个方向的访问控制列表自动创建出一个反方向的控制列表（源地址和目的地址、源端口和目的端口完全相反的一个控制列表），并且有一定的时间限制，过了规定时间就会超时，这个新创建的列表就会消失，这样大大增加了安全性。

网络准入控制（NAC）是一项由思科发起、多家厂商参加的计划，其宗旨是防止病毒和蠕虫等新兴黑客技术对企业安全造成危害。借助 NAC，客户可以只允许合法的、值得信任的终端设备（例如 PC、服务器、PDA）接入网络，而不允许其他设备接入。使用得最多的准入控制技术是 802.1X 标准。

DHCP Snooping 是 DHCP 的一种安全特性，主要应用在交换机上，作用是屏蔽接入网络中的非法的 DHCP 服务器。即开启 DHCP Snooping 功能后，网络中的客户端只有从管理员指定的 DHCP 服务器获取 IP 地址。

在局域网中，威胁最大的便是 ARP 攻击，可以利用 ARP 进行中间人攻击、劫持流量信息、挂马等，DAI 技术依托 DHCP Snooping 映射表，对 MAC 地址、VLAN 地址、IP 地址的合法性进行检查，并可以设置某个端口的 ARP 请求报文数量，通过这些技术可以防范“中间人”攻击。

APT（Advanced Persistent Threat，高级可持续威胁）是时下比较热门的安全话题，也是具有很大威胁的网络攻击之一。这种目的性很强的攻击行为具有高度的潜伏性、专业性及隐蔽性。可以针对特定对象，长期有计划、有组织地窃取机密数据，可以对企业、国家、造成重大的损失。

ARP 欺骗：黑客（或者病毒）通过 ARP 欺骗、修改受害人的网关，进行流量劫持，从而窃取受害人的信息或植入木马等。

DHCP 问题：私接带有 DHCP 功能的设备，发送虚假的 DHCP OFFER 信息，造成网络混乱。黑客也可以在恶意耗尽正常 DHCP 可分配 IP 资源后，提供虚假 DHCP 服务，受害人网关被指定为黑客所控制的服务器，造成流量被劫持的风险