【正文】 模塊的改進 —— 四源綁定 .......................................................... 43 本章小結 .......................................................................................................... 45 第 6 章 防 DOS 攻擊和防端口掃描攻擊的實現(xiàn) .................................................... 46 基于 Linux系統(tǒng)上的 IDS 的實現(xiàn) .................................................................. 46 入侵檢測系統(tǒng) ........................................................................................... 46 Linux系統(tǒng)中的 filter/iptables 模塊 ...................................................... 46 防 DOS 攻擊的實現(xiàn) ........................................................................................ 48 防端口掃描模塊的實現(xiàn) .................................................................................. 50 本章小結 .......................................................................................................... 59 第 7 章 低端路由器防攻擊總結 .............................................................................. 60 低端路由器防攻擊回顧 .................................................................................. 60 實現(xiàn)防攻擊主要研究 ...................................................................................... 60 低端路由器防攻擊的創(chuàng)新 .............................................................................. 61 低端路由器防攻擊前瞻 .................................................................................. 61 參考文獻 .................................................................................................................... 63 作者簡歷 ......................................................................................錯誤 !未定義書簽。 TCP/IP協(xié)議 可以在各種不同的硬件和操作系統(tǒng)上工作，因而利用 TCP/IP 可以迅速方便地創(chuàng)建一個網(wǎng)絡 系統(tǒng) 。 經(jīng)過時間的推移，網(wǎng)絡攻擊的手段和技術也不斷的更新，用戶也對網(wǎng)絡 設備 提出更高的要求， 網(wǎng)絡設備 也要對這些攻擊有 一定的防御 能力。但在低端的市場中，由于組網(wǎng)經(jīng)費上的限制，設備和組網(wǎng)往往比較簡單，不可能有專門的防火墻和入侵檢測系統(tǒng)。 浙江大學碩士學位論文 第 1 章 緒論 2 主要的工作和 方法 本文主要根據(jù)用戶的需求對一些典型網(wǎng)絡攻擊進行了研究。 低端路由器防攻擊需求 低端路由器的用戶群體 低端路由器的市場十分廣闊，包括中小企業(yè)、網(wǎng)吧、醫(yī)院、大酒店、高校，甚至可以是家庭用戶。 家庭用戶：主要防止瀏覽有病毒的網(wǎng)站，防止外網(wǎng)對內(nèi)網(wǎng)的一些攻擊。針對企業(yè)，除了防 ARP 以外，還要防止惡意用戶接入內(nèi)網(wǎng)造成危害。外網(wǎng)發(fā)起的攻擊主要是一些拒絕服務的攻擊來消耗設備的 CPU,降低設備的性能，從而使設備不能轉(zhuǎn)發(fā)正常的報文。 第二章：數(shù)據(jù)通信領域安全的測試方法 分析網(wǎng)絡攻擊必須了解攻擊報文和網(wǎng)絡設備，本章就簡單的從 TCP/IP 的角度描述了攻擊報文的構造和網(wǎng)絡設備的基本概念。 第五章：低端路由器防 ARP 攻擊的實現(xiàn) 詳細分析了 Linux 系統(tǒng)中的 ARP 原理，在 Linux 系統(tǒng)下實現(xiàn) IP/MAC 綁定原理。 本章小結 隨著計算機技術的不斷發(fā)展，人們對網(wǎng)絡安全的要求越來越高，不單單那些大型的企業(yè)和政府需要有安全設備的保護，不受黑客的攻擊。 低端路由器的其他性能也在不斷的向高端靠近，但在成本上卻是要有嚴格的控制，在低成本的情況下做出高效的有安全模塊的低端 路由器，幾乎是每個通信公司努力的方向。所以接下來要討論攻擊報文的構造 和網(wǎng)絡設備的概念 。 TCP/IP 協(xié)議族一般被分成四層協(xié)議系統(tǒng) ： 4 應用層 3 運 輸層 2 網(wǎng)絡層 1 鏈路層 其中的每一層都有不同的功能和作用，一般也都有這一層的特殊協(xié)議 （ 1） 鏈路層 ： 有時也叫數(shù)據(jù)鏈路層或者接口層 。還有ICMP（互聯(lián)網(wǎng)控制報文協(xié)議），這個協(xié)議最初主要是用來檢測網(wǎng)絡是否能正常通信的協(xié)議。然而 UDP 相比 TCP 而言就是一個很簡單的協(xié)議了 ，它只是負責把報文從一端傳輸?shù)搅硗庖欢尉涂梢粤耍欠駛鬏斒』蛘邅G包，它都不會去關心。 TFTP 就是用 UDP 目的端口號 69 來傳輸報文。它就想鏈路層的身份證一樣，表示了這張網(wǎng)卡的信息。 4 位首部長度：就是指整個 IP 報文頭部一共有多少個字節(jié)，一般 IPV4 位20 個字節(jié)。 16 位長度：這個長度是指除了 IP 報文頭部長度以外的 IP 長度。 TTL：標示報文的生存時間，一般報文經(jīng)過一個路由設備后，該數(shù)據(jù)就會減1，一般該數(shù)值為 32 或者 64，確定該 TTL值主要是不讓報文在網(wǎng)絡中形成死循環(huán)，形成網(wǎng)絡風暴。 最后就是要傳輸報文的數(shù)據(jù)內(nèi)容。 （ 3） 6 個標志比特 ： U R G ： 緊急指針 。 S Y N ： 同步序號用來發(fā)起一個連接。 圖 經(jīng)過解析后的 TCP 報文 如圖 就是 圖 在底層傳輸?shù)?16 進制數(shù)據(jù)。 只在鏈路 層轉(zhuǎn)發(fā)的設備就歸為交換機類，如 圖所示，交換機其實最主要的模塊就是一個轉(zhuǎn)發(fā)芯片， 芯片是全硬件的，一般不需要用軟件來控制。 浙江大學碩士學位論文 第 2 章 數(shù)據(jù)通信領域安全測試方法 12 圖 交換機硬件 圖 路由器硬件 怎么樣模擬攻 擊報文 要了解分析網(wǎng)絡攻擊的手段和方法，必須模擬網(wǎng)絡的攻擊報文。正是本課題的主要目的。嚴重的 ARP 攻擊，能盜取用戶的個人信息，比如銀行的賬號、密碼等。 內(nèi)網(wǎng)的 ARP 攻擊 ARP 攻擊的背景 ARP 攻擊的問題大概是從 20xx 年 開始的 ，在國內(nèi)，尤其是網(wǎng) 吧，大規(guī)模爆發(fā)。 浙江大學碩士學位論文 第 3 章 針對低端路由器的攻擊 15 IP 數(shù)據(jù)包常通過以太網(wǎng)發(fā)送，以太網(wǎng)設備并不識別 32 位 IP 地址，它們是根據(jù) 48 位以太網(wǎng)地址傳輸以太網(wǎng) 數(shù)據(jù) 報文 的 。 ARP 協(xié)議用于將網(wǎng)絡中的 IP 地址解析為的硬件 的 MAC 地址，以保證通信的順利進行。比如 像有些 路由器，設置端口綁定后，是通過發(fā)送單播報文的方式下發(fā) ARP Request 報文的。至此一個完整的 ARP 交互過程順利完成。 浙江大學碩士學位論文 第 3 章 針對低端路由器的攻擊 18 同時，構造出的大量 ARP Request 報文也能瞬間將設備 MAC 地址表占滿。 網(wǎng) 關攻 擊 設 備計 算 機 A原 來 計 算 機 A 的地 址 是4 4 4 4 . 4 4 4 4 . 4 4 4 4發(fā) 送 源 I P 和 目 的 I P相 同 的 免 費 A R P 報 文我 是 計 算 機 A , 我 的地 址 是4 4 4 4 . 4 4 4 4 . 4 4 4 4我 的 地 址 是3 3 3 3 , 3 3 3 3 , 3 3 3 3我 怎 么 斷 網(wǎng) 了 ，什 么 地 址 都 P I N G 不 通 圖 免費 ARP 攻擊原理圖 攻擊 設備 定時向局域網(wǎng) 內(nèi) 發(fā)送免費 ARP 報文， 源 IP 地址和目的 IP 地址均為計算機 A 的 IP。當局域網(wǎng)內(nèi)設備嘗試請求 IP 地址，攻擊者 為了 偽造 IP 地址與被攻擊目標 IP 相同的 Reply報文，搶先向請求設備應答，造成請求設備的 ARP 表項中寫入錯誤的 MAC 地址。 （ 3）計算機將攻擊設備誤認為是網(wǎng)關，之后計算機要向外發(fā)送的報文都發(fā)送給了攻擊設備。 浙江大學碩士學位論文 第 3 章 針對低端路由器的攻擊 20 中間人攻擊 以前 的網(wǎng)絡服務程序，如 FTP 和 Tel 在 實現(xiàn)原理 和 傳輸機制 上是沒有考慮安全機制的， 最初的設計都是為了 方便通信 和 檢測網(wǎng)絡 。服務器和 客戶端 之間的數(shù)據(jù)傳送被 “ 中間人 ” 做了手腳之后，就會出現(xiàn)很嚴重的問題，比如報文內(nèi)容被竊 聽或者篡改等等。最終，普通用戶通過網(wǎng)關訪問外部網(wǎng)絡的所有業(yè)務報文，都需要經(jīng)過攻擊者進行轉(zhuǎn)發(fā)。 很多攻擊都是由局域網(wǎng)內(nèi)部 發(fā)起的，有些攻擊者接入了局域網(wǎng)，利用非法的身份攻擊局域網(wǎng)內(nèi)的合法用戶，使其不能正常的訪問外網(wǎng)?？梢噪S心所欲的控制內(nèi)網(wǎng)的用戶的操作，使整個網(wǎng)絡環(huán)境更加安全。DOS 的攻擊方式有很多種，最基本的 DOS 攻擊就是利用合理的服務請求來占用過多的服務資源，從而使 CPU 超負荷， 合法用戶無法得到服務。 據(jù)美國聯(lián)邦調(diào)查局（ FBI）和美國計算機犯罪調(diào)查（ CSI）報告指出， 20xx年，美國有 30%的網(wǎng)站遭受到拒絕服務攻擊，平均一次攻擊損失超過 兩 百萬美元。 [4] 浙江大學碩士學位論文 第 3 章 針對低端路由器的攻擊 23 典型 DOS 攻擊原理分析 TCP協(xié)議原理及連接過程 TCP（ transmission control protocol，傳輸控制協(xié)議），是用 坐 在不可靠的 網(wǎng)絡 Inter 上提供可靠的、端到端的 傳輸?shù)?通訊協(xié)議。在沒有連接中，服務器處于 監(jiān)聽 LISTEN 狀態(tài)，等待其他機器發(fā)送連接請求 報文 。向客戶端表示，服務器 的 連接已經(jīng)準備好連接了 ，等待客戶端的確認 消息 后 ，這時客戶端接收到消息后，分析得到的信息 報文 ， 以 準備發(fā)送確認連接信號 消息 到服務器 端 。 最后 發(fā)送數(shù)據(jù) 報文 。值得 注意 的是 ，每次重傳 時候的 等待的時間不一定 會 相同 ，其中有很大的誤差 。 浙江大學碩士學位論文 第 3 章 針對低端路由器的攻擊 25 （ 2） 服務器在發(fā)出 SYN+ACK 報文 應答報文后是無法收到客戶端 用戶 的ACK 報文的（因為第三次握手無法完成） 。像 TCP SYN Flood 攻擊一樣 ，利用 TCP/IP 協(xié)議的缺陷，構造大量異常報文來消耗網(wǎng)絡設備資源的手法有很多種，接下來簡單的列舉一些： （ 1） LAND 攻擊： 這 是一種典型的 攻擊 ， 攻擊者會發(fā)送 源地址和目標地址是相同的 攻擊報文 ，當 主機 接收到這類數(shù)據(jù)包時， 操作系統(tǒng) 會 無法處理 這種 報文 ，或者 會 發(fā)送回應的數(shù)據(jù)報文給自己 ，這樣會 導致 消耗大量的系統(tǒng) 和網(wǎng)絡 的資源， 使 被攻擊的 系統(tǒng)崩潰或死機。 （ 3） UDP Flood： 它的 原理與 SYN Flood 很像 ，攻擊 設備會 發(fā)送大量的 UDP浙江大學碩士學位論文 第 3 章 針對低端路由器的攻擊 26 報文給目標 網(wǎng)絡設備 和服務器 ，導致 網(wǎng)絡設備 和服務器 忙于處理這些 UDP 報文而無法繼續(xù)處理正常的報文。 （ 5） Ping of Death： 這種攻擊 是 攻擊設備發(fā)送給網(wǎng)絡設備 的 大于 65535 字節(jié) 數(shù)據(jù) 報文 。 當一個數(shù)據(jù)包長度超過 65528，就可以判定為一個 Ping of Death攻擊。 如果攻擊 設備給目標網(wǎng)絡設備 一直 只發(fā)送部分的 錯誤的分片報文， 被攻擊的 設備 便會一直等待 組裝這些 分片 報文 ， 一直到一個 系統(tǒng) 定時器超時 。 （ 8） Fraggle 攻擊 ： 這種攻擊與 Smurf 攻擊 很 像。 如果從 Inter 主動 發(fā)起 的 碎片包 ，就 簡單的 判定為是一個 碎片包攻擊 。目標 網(wǎng)絡設備 在處理這些分片 的數(shù)據(jù)報文 時 ，會把先傳輸?shù)?的分片報文緩存，然后一直等待后續(xù)的分片報文 的 全部 到達 之 后 ， 最后把 這些 的報文都組合起來。 當收到這種報文時，許多系統(tǒng)都會 崩潰或 死機。 [6] （ 4） Smurf攻擊 ： 這 是一 種 很 古老 很古老的 攻