【正文】 ............19 圖 ARP 中間人攻擊原理圖 ........................................................................21 圖 TCP 連接三次握手機制 .........................................................................24 圖 TCP 流的五元組 .....................................................................................30 圖 TCP 報文四層以下結(jié)構(gòu) .........................................................................31 圖 TCP 報文提取五元組流層圖 .................................................................31 圖 源 MAC 地址在報文解析后中的位置 .................................................35 圖 源 MAC 地址在 16 進制報文中的位置 ...............................................35 圖 MAC 過濾處理流程圖 ...........................................................................36 圖 HTTP 協(xié)議中的 URL字段 ....................................................................37 表 Linux ARP 狀態(tài)轉(zhuǎn)化意義 ......................................................................40 圖 Linux ARP 狀態(tài)機 .................................................................................41 圖 四源綁定原理圖 ....................................................................................45 圖 防端口掃描數(shù)據(jù)結(jié)構(gòu)的組織關(guān)系 ........................................................51 圖 防端口掃描命中函數(shù)流程圖 ................................................................54 浙江大學碩士學位論文 目錄 IV 表目錄 表 Linux ARP 狀態(tài)轉(zhuǎn)化意義 ......................................................................40 浙江大學碩士學位論文 第 1 章 緒論 1 第 1章 緒論 課題背景 網(wǎng)絡安全發(fā)展 TCP/IP 是現(xiàn)在 Inter 上使用的最流行的協(xié)議 之一 ，它 大概在 70 年代 的時候 被開發(fā)出來，并最終與 Linux 結(jié)合在一起，從那 時候 起，它就成為了 Inter的 標準 之一 。 關(guān)鍵詞： 網(wǎng)絡安全 ， 防攻擊， DOS 攻擊 浙江大學碩士學位論文 Abstract ii Abstract With the rapid development of work, the work security problem is bee vulnerabilities, people pay more attation about the security problem. There are a variety of ARP attacks within local area work。 本論文就是針對這種需求 ，在低端的路由器上實現(xiàn)防火墻， IDS（入侵檢測系統(tǒng)）的一些防護功能，嵌入到該 系統(tǒng) 中去，正真能夠起到防攻擊的作用。 攻擊者 會利用這些攻擊來獲取對 用戶 敏感的技術(shù)文檔 和 對個人用戶敏感的賬號和密碼。 有來自 局域網(wǎng) 的 ARP 攻擊， 也有來自 廣域網(wǎng) 的 DOS 攻擊和端口掃描攻擊。然而當今市面上的低端 網(wǎng)絡設備大多都沒有防攻擊的功能，這使中小企業(yè)的網(wǎng)絡安全問題成為了一個空白。 本文主要通過 Linux系統(tǒng)來實現(xiàn)防 ARP 攻擊，防 DOS 攻擊和防端口掃描攻擊。 致謝 ..............................................................................................錯誤 !未定義書簽。但是， 在 1966 年 Inter 剛剛 創(chuàng) 建 的時候 ， 當時的 創(chuàng)始者 沒有對安全問題考慮的太多。隨著網(wǎng)絡攻擊手段的不斷變化和發(fā)展，網(wǎng)絡 設備 的防攻擊能力也隨之不斷 的提高。如：中小企業(yè)網(wǎng)和一般的網(wǎng)吧中只有一臺簡單的路由器和幾臺簡單的交換機。 分析每一這種攻擊的原理和方法， 并根據(jù)分析的結(jié)果，針對每一種典型的攻擊手法，在 Liunx系統(tǒng)下實現(xiàn) 防攻擊的模塊。這些群體對于路由器的安全需求雖 然沒有政府和電信機房的要求那么高，但是也有 對網(wǎng)絡安全性的基本需求 。 滿足用戶需求的路由器 防攻擊 路由器必須滿足用戶需求。 （ 2）其次要能控制內(nèi)網(wǎng)用戶訪問外網(wǎng)危險的服務。所以 路由器 要能識別異常的流量報文，當報文流量達到 路由器 規(guī)定的閥值時，就認為是攻擊報文，從而達到保護設備的目的。 第三章：針對低端路由器的攻擊 本章從客戶需求分析 出用戶主要想防范的典型的攻擊： ARP 攻擊、木馬病毒和 DOS 攻擊，詳細的分析了各種 攻擊的手法和原理。提出 IP/MAC 綁定防 ARP 的缺陷，提出四源綁定機制來徹底防住 ARP 攻擊。普通的小企業(yè)和個人電腦用戶也對自己的隱私和安全更加重視。低端 設備 也要向更高的安全性方向發(fā)展。 報文構(gòu)造 網(wǎng)絡協(xié)議的分層思想 網(wǎng)絡協(xié)議一般都按照不同的層次來 開發(fā)，各個層次都會有自己的功能和用處，每個層次也有不同的 協(xié)議族。 一般就是指操作系統(tǒng)中的設備驅(qū)動程序和計算機網(wǎng)卡等，它們往往通過電纜和光纖來傳輸類似 0101 的二進制代碼，電纜通過電信號電頻的高低來傳 輸，光纖就通過光信號來傳輸。 （ 3） 運輸 層： 主要位 PC 機上的應用程序提供端到端的通信 。 （ 4） 應用層 ： 這一層主要負責 PC 上各種應用程序的通信細節(jié) 。還有就是大名鼎鼎的 HTTP 協(xié)議， 用戶 上網(wǎng)打開網(wǎng)頁用的都是該協(xié)議，該協(xié)議就是通過TCP 的目的端口 80 來傳輸報文的，當 PC 接收到該報文后，把報文中的數(shù)據(jù)部分解析出來就是 HTML文件 ，所以 用戶 在 PC 上就 打開 網(wǎng)頁了。之后有兩位是類型，該類型表示鏈路層上一層網(wǎng)絡層的協(xié)議是什么，如果是 OX0800 就表示上層協(xié)議是 IP 協(xié)議，還有IPX 協(xié)議等。 8 位服務類型：一般 TOS 字段包括一個 3bit 的優(yōu)先權(quán)字段， 4bit 的 TOS 字段和 1bit 的未用位。 標志位：該標志字段主要唯一的標識了主機發(fā)送的每一分報文。 8 位協(xié)議：該 8 位協(xié)議和鏈路層協(xié)議原理一樣，是指網(wǎng)絡層的上一層傳輸層的協(xié)議，一般 TCP 為 OX06，還有 UDP 等。 在 IP 報文的基礎上，再加上一個 TCP 頭，就可以構(gòu)造成一個傳輸層的 TCP報文， TCP 報文頭格式如圖 。 A C K ： 確認序號有效。 F I N ： 發(fā)端完成發(fā)送任務。其實這些數(shù)據(jù)都是在網(wǎng)線上以高低電平的形式來傳輸?shù)?2 進制數(shù)據(jù)。 路由器類相比交換機增加了網(wǎng)絡層的概念。模擬該報文可以通過網(wǎng)絡報文的構(gòu)造工具實現(xiàn)。 浙江大學碩士學位論文 第 2 章 數(shù)據(jù)通信領(lǐng)域安全測 試方法 13 本 章小結(jié) 在數(shù) 據(jù) 通 性 設備 中，報文相關(guān)的 模擬 測試在整個測試活動中可以說是重中之重， 要想設計出防攻擊的模塊，必須對各種攻擊進行模擬。 （ 2） 用戶訪問不安全網(wǎng) 頁時收到的攻擊：當用戶打開危險的網(wǎng)站或者下載一些有病毒的軟件時 ，一些木馬和病毒就植入了 PC 機內(nèi)，用戶就中毒了，輕則電腦無法正常使用，重則丟失一些機密的密碼和口令。常用手段最 嚴重 的不外乎 于 進行中間人攻擊，監(jiān)聽報文 和 竊據(jù)密碼。因此，必須把 IP 目的地址轉(zhuǎn)換成以太網(wǎng)目的 MAC 地址。 圖 ARP 報文解析圖 ARP 在 整個 通信的 交互過程中主要有 3 種類型的報文，分別是 ARP Request（ ARP 請求）、 ARP Reply（ ARP 應答）和 Gratuitous ARP（免費 ARP）。 Gratuitous ARP 是一種特殊的 ARP Request（ OP 位為 1） ， 它請求的目的 IP地址與源 IP 地址相同，主要作用是確認網(wǎng)絡中是否存在使用相同 IP 的設備，以防止出現(xiàn) IP 沖突。 圖 ARP 報文交互過程 ARP 攻擊原理 ARP Flood ARP 泛洪攻擊就是在短時間內(nèi)向攻擊目標發(fā)送大量的 ARP Request 報文 ，造成被攻擊設備短時間內(nèi) 超負荷而 無法響應正常的網(wǎng)絡請求。部分 MAC 芯片在 MAC 地址表學滿后，不會學習新的地址，這樣會造成短時間內(nèi)交換機 如同 HUB 一樣，將單播報文全部進行廣播處理，嚴重降低網(wǎng)絡轉(zhuǎn)發(fā)效率。 一方面，局域網(wǎng)內(nèi)其他設備會更新自己的 ARP 表項 ，將計算機 A 的 IP 地址與 攻擊 設備的 MAC 地址對應。 網(wǎng) 關(guān)攻 擊 設 備計 算 機 A計 算 機 尋 找 網(wǎng) 關(guān)我 是 網(wǎng) 關(guān) ， 請 把 報 文 發(fā) 給 我 圖 ARP Spoof 原理圖 這里 舉一個 Spoof例子：如圖 。攻擊設備就可以截取計算機向外發(fā)出的報文。 它們 都是不安全 的服務 ： 因為它們在網(wǎng)絡上用明文傳送數(shù)據(jù)、賬號和 密碼 ， 攻擊者 通過竊聽等網(wǎng)絡攻擊手段 是 非常容易地就可以截獲這些數(shù)據(jù) 報文 、用戶帳號和 密碼 。 通過 ARP 實現(xiàn)中間人攻擊，實際就相當于雙向 ARP Spoof。攻擊者通過對報文的控制，可以輕易獲取普通用戶的上網(wǎng)信息、賬號和密碼，或者對普通用戶 權(quán)限和 網(wǎng)絡連接速度 進行限制 。怎么樣讓合法的浙江大學碩士學位論文 第 3 章 針對低端路由器的攻擊 22 用戶接入，讓非法的用戶接入不了局域網(wǎng)。 外網(wǎng)的 DOS 攻擊 和端口掃描 DOS 攻擊背景 DOS：即 拒絕服務的縮寫 ， Denial Of Service，指故意的攻擊網(wǎng)絡協(xié)議實現(xiàn)的缺陷或 者 直接通過野蠻手段耗盡被攻擊對象的資源，目的是 讓目標計算機或網(wǎng)絡無法提供正常的服務或資源訪問。 DOS 最早可追述到 1998 年。美國政府網(wǎng)站、白宮、 百度 、 Yahoo， ZDNet、 eBay、紐約時報等網(wǎng)站都遭受過拒絕服務攻擊。 它的具體結(jié)構(gòu)已描述過了，這里就不再累贅，這里主要對它的協(xié)議機制再進一步進行描述，典型的 DOS 攻擊就是根據(jù)這些協(xié)議的設計缺陷來設計攻擊網(wǎng)絡中的設備。 第一步：客戶端發(fā)送一個帶 SYN 位的請求 報文 ，向服務器表示需要連接 的請求 ，然后等待服務器的響應 報文 。 第三步：客戶端發(fā)送確認建立連接的消息 報文 給服務器。這是一個基本的請求 報文 和連接 報文 過程。 半連接存活時間：是指 沒有完全建立連接時 的條目存活的最長時間， 就是指 服務 器 從收到 SYN 報文 到確認這個報文無法形成連接 的最長時間， 這段 時間是所有重傳請求報文 的最長等待時間的累加 。 （ 3） 這種情況下服務器一般會重新傳輸 確認報文 （再次發(fā)送 SYN+ACK 的 報文 給客戶端）并且 等待一段時間后丟棄這個未完成的連接。 設備 外網(wǎng) 收到 源 地址和目的地址相同 （包括 10 域、 127 域、 域、 到 域） 則 認為 是 Land 攻擊 。 所以從 Inter 發(fā)起的 UDP 包達到一定速率的 時候 ，就可以判定是 UDP Flood 攻擊 事件的發(fā)生。 TCP/IP 協(xié)議支持分片 的 功能，如果發(fā)送的數(shù)據(jù)包大于該條通路 的MTU 值 （一般為 1500 字節(jié)） ，則該數(shù)據(jù)包被分拆成 小 于 MTU 值 的數(shù)據(jù)報文 片段。 （ 6） 碎片包攻擊 ： 網(wǎng)絡中 為了傳送一個大的 數(shù)據(jù) 報文， TCP/IP 協(xié)議支持分片 功能 ，通過 在 IP 頭中的分片 中的 OFFSET字段 來進行分片的標志 ，接收 的網(wǎng)絡設備 可以 根據(jù) 這些 IP 分片 OFFSET字段 把 報文組裝起來。如果 攻擊設備 發(fā)送了大量的錯誤分片報文 ，就會消耗掉目標設備的CPU 資源， 這也是一種 DOS