【正文】 口號(hào)： 記錄報(bào)文發(fā)送到應(yīng)用層 的哪個(gè)端口 （ 2） 32 位序號(hào)和確認(rèn)序號(hào) ： TCP 是可靠的傳輸協(xié)議，它以確認(rèn)序號(hào)來表示是否有回應(yīng)。通常每發(fā)送 一份報(bào)文就會(huì)加 1。 目 的 地 址以 太 網(wǎng) 封 裝 幀源 地 址 類 型 C R C 校 驗(yàn)66 24 1 5 0 0 圖 鏈路層 報(bào)文層格式 構(gòu)造好了二層報(bào)文，只要在其上加一個(gè)網(wǎng)絡(luò)層的 IP 包頭，就成了網(wǎng)絡(luò)層的 IP 報(bào)文，至于 IP 數(shù)據(jù)報(bào)文格式，如圖 所示。 應(yīng)用層最主要的就是端口號(hào)，一般的應(yīng)用程序都是通過不同的端口號(hào)來進(jìn)行相互的通信的，端口號(hào)可以從 0 到 65535。 （ 2） 網(wǎng)絡(luò) 層： 又叫互聯(lián)網(wǎng)層，這層主要定義了一個(gè)報(bào)文的怎么樣在網(wǎng)絡(luò)中選路，怎么樣在網(wǎng)絡(luò)中走，應(yīng)該送到哪個(gè)設(shè)備上去 ，應(yīng)該做一些什么事情。 浙江大學(xué)碩士學(xué)位論文 第 2 章 數(shù)據(jù)通信領(lǐng)域安全測(cè)試方法 5 第 2章 數(shù)據(jù)通信領(lǐng)域安全測(cè)試方法 網(wǎng)絡(luò)安全測(cè)試 網(wǎng)絡(luò)攻 擊從根本上講就是通過構(gòu)造異常的報(bào)文來破環(huán)正常的一些報(bào)文通信規(guī)則，導(dǎo)致一些網(wǎng)絡(luò)設(shè)備工作異常，不能轉(zhuǎn)發(fā)正常的數(shù)據(jù)報(bào)文或者發(fā)出異常的數(shù)據(jù)報(bào)文。 第六章：防 DOS 攻擊和防端口掃描攻擊 在 Linux系統(tǒng)下實(shí)現(xiàn)防 DOS 攻擊和防端口掃描攻擊。 本文結(jié)構(gòu)組織 第一章 ：緒論 主要描述了低端路由器防攻擊的背景和現(xiàn)在尷尬的處境，本文要解決的防攻擊的意義。針對(duì)以上三種用戶的需 求，路由器的防攻擊必須滿足以下幾點(diǎn)： （ 1）必須能防御內(nèi)網(wǎng)攻擊。 并且分析當(dāng)前的防攻擊方法，提出改進(jìn)方法。 低端路由器安全問題 本論文主要研究如何在 低端 路由器 上實(shí)現(xiàn)一些預(yù)防網(wǎng)絡(luò)攻擊的模塊，原來在一般的網(wǎng)絡(luò)中 防攻擊的功能都集中在高端的防火墻和 IDS 中，這些高端的設(shè)備功能極強(qiáng)，能防止網(wǎng)上能夠很多的攻擊手段。 浙江大學(xué)碩士學(xué)位論文 目錄 III 圖目錄 圖 鏈路層報(bào)文層格式 ..................................................................................7 圖 IP 數(shù)據(jù)報(bào)文格式及首部中的各個(gè)字段 ...................................................7 圖 TCP 數(shù)據(jù)在 IP 中的封裝 ..........................................................................9 圖 TCP 包首部 ...............................................................................................9 圖 經(jīng)過解析后的 TCP 報(bào)文 .......................................................................10 圖 16 進(jìn)制表示的 TCP 報(bào)文 ....................................................................... 11 圖 交換機(jī)硬件 ............................................................................................12 圖 路由器硬件 ............................................................................................12 圖 ARP 報(bào)文解析圖 ....................................................................................15 圖 免費(fèi) ARP 解析圖 ...................................................................................16 圖 ARP 報(bào)文交互過程 ................................................................................17 圖 免費(fèi) ARP 攻擊原理圖 ...........................................................................18 圖 ARP Spoof 原理圖 .................................................................................19 圖 ARP 中間人攻擊原理圖 ........................................................................21 圖 TCP 連接三次握手機(jī)制 .........................................................................24 圖 TCP 流的五元組 .....................................................................................30 圖 TCP 報(bào)文四層以下結(jié)構(gòu) .........................................................................31 圖 TCP 報(bào)文提取五元組流層圖 .................................................................31 圖 源 MAC 地址在報(bào)文解析后中的位置 .................................................35 圖 源 MAC 地址在 16 進(jìn)制報(bào)文中的位置 ...............................................35 圖 MAC 過濾處理流程圖 ...........................................................................36 圖 HTTP 協(xié)議中的 URL字段 ....................................................................37 表 Linux ARP 狀態(tài)轉(zhuǎn)化意義 ......................................................................40 圖 Linux ARP 狀態(tài)機(jī) .................................................................................41 圖 四源綁定原理圖 ....................................................................................45 圖 防端口掃描數(shù)據(jù)結(jié)構(gòu)的組織關(guān)系 ........................................................51 圖 防端口掃描命中函數(shù)流程圖 ................................................................54 浙江大學(xué)碩士學(xué)位論文 目錄 IV 表目錄 表 Linux ARP 狀態(tài)轉(zhuǎn)化意義 ......................................................................40 浙江大學(xué)碩士學(xué)位論文 第 1 章 緒論 1 第 1章 緒論 課題背景 網(wǎng)絡(luò)安全發(fā)展 TCP/IP 是現(xiàn)在 Inter 上使用的最流行的協(xié)議 之一 ，它 大概在 70 年代 的時(shí)候 被開發(fā)出來，并最終與 Linux 結(jié)合在一起，從那 時(shí)候 起，它就成為了 Inter的 標(biāo)準(zhǔn) 之一 。 本論文就是針對(duì)這種需求 ，在低端的路由器上實(shí)現(xiàn)防火墻， IDS（入侵檢測(cè)系統(tǒng)）的一些防護(hù)功能，嵌入到該 系統(tǒng) 中去，正真能夠起到防攻擊的作用。 有來自 局域網(wǎng) 的 ARP 攻擊， 也有來自 廣域網(wǎng) 的 DOS 攻擊和端口掃描攻擊。 本文主要通過 Linux系統(tǒng)來實(shí)現(xiàn)防 ARP 攻擊，防 DOS 攻擊和防端口掃描攻擊。但是， 在 1966 年 Inter 剛剛 創(chuàng) 建 的時(shí)候 ， 當(dāng)時(shí)的 創(chuàng)始者 沒有對(duì)安全問題考慮的太多。如：中小企業(yè)網(wǎng)和一般的網(wǎng)吧中只有一臺(tái)簡(jiǎn)單的路由器和幾臺(tái)簡(jiǎn)單的交換機(jī)。這些群體對(duì)于路由器的安全需求雖 然沒有政府和電信機(jī)房的要求那么高，但是也有 對(duì)網(wǎng)絡(luò)安全性的基本需求 。 （ 2）其次要能控制內(nèi)網(wǎng)用戶訪問外網(wǎng)危險(xiǎn)的服務(wù)。 第三章：針對(duì)低端路由器的攻擊 本章從客戶需求分析 出用戶主要想防范的典型的攻擊： ARP 攻擊、木馬病毒和 DOS 攻擊，詳細(xì)的分析了各種 攻擊的手法和原理。普通的小企業(yè)和個(gè)人電腦用戶也對(duì)自己的隱私和安全更加重視。 報(bào)文構(gòu)造 網(wǎng)絡(luò)協(xié)議的分層思想 網(wǎng)絡(luò)協(xié)議一般都按照不同的層次來 開發(fā)，各個(gè)層次都會(huì)有自己的功能和用處，每個(gè)層次也有不同的 協(xié)議族。 （ 3） 運(yùn)輸 層： 主要位 PC 機(jī)上的應(yīng)用程序提供端到端的通信 。還有就是大名鼎鼎的 HTTP 協(xié)議， 用戶 上網(wǎng)打開網(wǎng)頁用的都是該協(xié)議，該協(xié)議就是通過TCP 的目的端口 80 來傳輸報(bào)文的，當(dāng) PC 接收到該報(bào)文后，把報(bào)文中的數(shù)據(jù)部分解析出來就是 HTML文件 ，所以 用戶 在 PC 上就 打開 網(wǎng)頁了。 8 位服務(wù)類型：一般 TOS 字段包括一個(gè) 3bit 的優(yōu)先權(quán)字段， 4bit 的 TOS 字段和 1bit 的未用位。 8 位協(xié)議：該 8 位協(xié)議和鏈路層協(xié)議原理一樣，是指網(wǎng)絡(luò)層的上一層傳輸層的協(xié)議，一般 TCP 為 OX06，還有 UDP 等。 A C K ： 確認(rèn)序號(hào)有效。其實(shí)這些數(shù)據(jù)都是在網(wǎng)線上以高低電平的形式來傳輸?shù)?2 進(jìn)制數(shù)據(jù)。模擬該報(bào)文可以通過網(wǎng)絡(luò)報(bào)文的構(gòu)造工具實(shí)現(xiàn)。 （ 2） 用戶訪問不安全網(wǎng) 頁時(shí)收到的攻擊：當(dāng)用戶打開危險(xiǎn)的網(wǎng)站或者下載一些有病毒的軟件時(shí) ，一些木馬和病毒就植入了 PC 機(jī)內(nèi)，用戶就中毒了，輕則電腦無法正常使用，重則丟失一些機(jī)密的密碼和口令。因此，必須把 IP 目的地址轉(zhuǎn)換成以太網(wǎng)目的 MAC 地址。 Gratuitous ARP 是一種特殊的 ARP Request（ OP 位為 1） ， 它請(qǐng)求的目的 IP地址與源 IP 地址相同，主要作用是確認(rèn)網(wǎng)絡(luò)中是否存在使用相同 IP 的設(shè)備，以防止出現(xiàn) IP 沖突。部分 MAC 芯片在 MAC 地址表學(xué)滿后，不會(huì)學(xué)習(xí)新的地址，這樣會(huì)造成短時(shí)間內(nèi)交換機(jī) 如同 HUB 一樣，將單播報(bào)文全部進(jìn)行廣播處理，嚴(yán)重降低網(wǎng)絡(luò)轉(zhuǎn)發(fā)效率。 網(wǎng) 關(guān)攻 擊 設(shè) 備計(jì) 算 機(jī) A計(jì) 算 機(jī) 尋 找 網(wǎng) 關(guān)我 是 網(wǎng) 關(guān) ， 請(qǐng) 把 報(bào) 文 發(fā) 給 我 圖 ARP Spoof 原理圖 這里 舉一個(gè) Spoof例子：如圖 。 它們 都是不安全 的服務(wù) ： 因?yàn)樗鼈冊(cè)诰W(wǎng)絡(luò)上用明文傳送數(shù)據(jù)、賬號(hào)和 密碼 ， 攻擊者 通過竊聽等網(wǎng)絡(luò)攻擊手段 是 非常容易地就可以截獲這些數(shù)據(jù) 報(bào)文 、用戶帳號(hào)和 密碼 。攻擊者通過對(duì)報(bào)文的控制，可以輕易獲取普通用戶的上網(wǎng)信息、賬號(hào)和密碼，或者對(duì)普通用戶 權(quán)限和 網(wǎng)絡(luò)連接速度 進(jìn)行限制 。 外網(wǎng)的 DOS 攻擊 和端口掃描 DOS 攻擊背景 DOS：即 拒絕服務(wù)的縮寫 ， Denial Of Service，指故意的攻擊網(wǎng)絡(luò)協(xié)議實(shí)現(xiàn)的缺陷或 者 直接通過野蠻手段耗盡被攻擊對(duì)象的資源，目的是 讓目標(biāo)計(jì)算機(jī)或網(wǎng)絡(luò)無法提供正常的服務(wù)或資源訪問。美國(guó)政府網(wǎng)站、白宮、 百度 、 Yahoo， ZDNet、 eBay、紐約時(shí)報(bào)等網(wǎng)站都遭受過拒絕服務(wù)攻擊。 第一步：客戶端發(fā)送一個(gè)帶 SYN 位的請(qǐng)求 報(bào)文 ，向服務(wù)器表示需要連接 的請(qǐng)求 ，然后等待服務(wù)器的響應(yīng) 報(bào)文 。這是一個(gè)基本的請(qǐng)求 報(bào)文 和連接 報(bào)文 過程。 （ 3） 這種情況下服務(wù)器一般會(huì)重新傳輸 確認(rèn)報(bào)文 （再次發(fā)送 SYN+ACK 的 報(bào)文 給客戶端）并且 等待一段時(shí)間后丟棄這個(gè)未完成的連接。 所以從 Inter 發(fā)起的 UDP 包達(dá)到一定速率的 時(shí)候 ，就可以判定是 UDP Flood 攻擊 事件的發(fā)生。 （ 6） 碎片包攻擊 ： 網(wǎng)絡(luò)中 為了傳送一個(gè)大的 數(shù)據(jù) 報(bào)文， TCP/IP 協(xié)議支持分片 功能 ，通過 在 IP 頭中的分片 中的 OFFSET字段 來進(jìn)行分片的標(biāo)志 ，接收 的網(wǎng)絡(luò)設(shè)備 可以 根據(jù) 這些 IP 分片 OFFSET字段 把 報(bào)文組裝