【正文】 （ 6） 碎片包攻擊 ： 網(wǎng)絡(luò)中 為了傳送一個(gè)大的 數(shù)據(jù) 報(bào)文， TCP/IP 協(xié)議支持分片 功能 ，通過(guò) 在 IP 頭中的分片 中的 OFFSET字段 來(lái)進(jìn)行分片的標(biāo)志 ，接收 的網(wǎng)絡(luò)設(shè)備 可以 根據(jù) 這些 IP 分片 OFFSET字段 把 報(bào)文組裝起來(lái)。 （ 3） 這種情況下服務(wù)器一般會(huì)重新傳輸 確認(rèn)報(bào)文 （再次發(fā)送 SYN+ACK 的 報(bào)文 給客戶端）并且 等待一段時(shí)間后丟棄這個(gè)未完成的連接。 第一步：客戶端發(fā)送一個(gè)帶 SYN 位的請(qǐng)求 報(bào)文 ，向服務(wù)器表示需要連接 的請(qǐng)求 ，然后等待服務(wù)器的響應(yīng) 報(bào)文 。 外網(wǎng)的 DOS 攻擊 和端口掃描 DOS 攻擊背景 DOS：即 拒絕服務(wù)的縮寫(xiě) ， Denial Of Service，指故意的攻擊網(wǎng)絡(luò)協(xié)議實(shí)現(xiàn)的缺陷或 者 直接通過(guò)野蠻手段耗盡被攻擊對(duì)象的資源，目的是 讓目標(biāo)計(jì)算機(jī)或網(wǎng)絡(luò)無(wú)法提供正常的服務(wù)或資源訪問(wèn)。 它們 都是不安全 的服務(wù) ： 因?yàn)樗鼈冊(cè)诰W(wǎng)絡(luò)上用明文傳送數(shù)據(jù)、賬號(hào)和 密碼 ， 攻擊者 通過(guò)竊聽(tīng)等網(wǎng)絡(luò)攻擊手段 是 非常容易地就可以截獲這些數(shù)據(jù) 報(bào)文 、用戶帳號(hào)和 密碼 。部分 MAC 芯片在 MAC 地址表學(xué)滿后，不會(huì)學(xué)習(xí)新的地址，這樣會(huì)造成短時(shí)間內(nèi)交換機(jī) 如同 HUB 一樣，將單播報(bào)文全部進(jìn)行廣播處理，嚴(yán)重降低網(wǎng)絡(luò)轉(zhuǎn)發(fā)效率。因此，必須把 IP 目的地址轉(zhuǎn)換成以太網(wǎng)目的 MAC 地址。模擬該報(bào)文可以通過(guò)網(wǎng)絡(luò)報(bào)文的構(gòu)造工具實(shí)現(xiàn)。 A C K ： 確認(rèn)序號(hào)有效。 8 位服務(wù)類型：一般 TOS 字段包括一個(gè) 3bit 的優(yōu)先權(quán)字段， 4bit 的 TOS 字段和 1bit 的未用位。 （ 3） 運(yùn)輸 層： 主要位 PC 機(jī)上的應(yīng)用程序提供端到端的通信 。普通的小企業(yè)和個(gè)人電腦用戶也對(duì)自己的隱私和安全更加重視。 （ 2）其次要能控制內(nèi)網(wǎng)用戶訪問(wèn)外網(wǎng)危險(xiǎn)的服務(wù)。如：中小企業(yè)網(wǎng)和一般的網(wǎng)吧中只有一臺(tái)簡(jiǎn)單的路由器和幾臺(tái)簡(jiǎn)單的交換機(jī)。 本文主要通過(guò) Linux系統(tǒng)來(lái)實(shí)現(xiàn)防 ARP 攻擊，防 DOS 攻擊和防端口掃描攻擊。 本論文就是針對(duì)這種需求 ，在低端的路由器上實(shí)現(xiàn)防火墻， IDS（入侵檢測(cè)系統(tǒng)）的一些防護(hù)功能，嵌入到該 系統(tǒng) 中去，正真能夠起到防攻擊的作用。 低端路由器安全問(wèn)題 本論文主要研究如何在 低端 路由器 上實(shí)現(xiàn)一些預(yù)防網(wǎng)絡(luò)攻擊的模塊，原來(lái)在一般的網(wǎng)絡(luò)中 防攻擊的功能都集中在高端的防火墻和 IDS 中，這些高端的設(shè)備功能極強(qiáng)，能防止網(wǎng)上能夠很多的攻擊手段。針對(duì)以上三種用戶的需 求，路由器的防攻擊必須滿足以下幾點(diǎn)： （ 1）必須能防御內(nèi)網(wǎng)攻擊。 第六章：防 DOS 攻擊和防端口掃描攻擊 在 Linux系統(tǒng)下實(shí)現(xiàn)防 DOS 攻擊和防端口掃描攻擊。 （ 2） 網(wǎng)絡(luò) 層： 又叫互聯(lián)網(wǎng)層，這層主要定義了一個(gè)報(bào)文的怎么樣在網(wǎng)絡(luò)中選路，怎么樣在網(wǎng)絡(luò)中走，應(yīng)該送到哪個(gè)設(shè)備上去 ，應(yīng)該做一些什么事情。 目 的 地 址以 太 網(wǎng) 封 裝 幀源 地 址 類 型 C R C 校 驗(yàn)66 24 1 5 0 0 圖 鏈路層 報(bào)文層格式 構(gòu)造好了二層報(bào)文，只要在其上加一個(gè)網(wǎng)絡(luò)層的 IP 包頭，就成了網(wǎng)絡(luò)層的 IP 報(bào)文，至于 IP 數(shù)據(jù)報(bào)文格式，如圖 所示。 浙江大學(xué)碩士學(xué)位論文 第 2 章 數(shù)據(jù)通信領(lǐng)域安全測(cè)試方法 9 I P 首 部 T C P 首 部 T C P 數(shù) 據(jù) 圖 TCP 數(shù)據(jù)在 IP 中的封裝 3 2 位 序 列 號(hào)1 6 位 源 端 口T C P 數(shù) 據(jù)3 2 位 確 認(rèn) 序 列 號(hào)選 項(xiàng)數(shù) 據(jù)1 6 位 目 的 端 口1 6 位 窗 口 大 小1 6 位 校 驗(yàn) 和 1 6 位 緊 急 指 針T C P 數(shù) 據(jù)ACKPSHRSTSYNFINURG 圖 TCP 包首部 （ 1） 源 、 目的端口號(hào)： 記錄報(bào)文發(fā)送到應(yīng)用層 的哪個(gè)端口 （ 2） 32 位序號(hào)和確認(rèn)序號(hào) ： TCP 是可靠的傳輸協(xié)議，它以確認(rèn)序號(hào)來(lái)表示是否有回應(yīng)。一般的交換機(jī)交換數(shù)據(jù)報(bào)文都是通過(guò)簡(jiǎn)單的芯片轉(zhuǎn)發(fā)的，但是上升到三層的轉(zhuǎn)發(fā)，一般就需要 CPU 轉(zhuǎn)發(fā)了，這就是路由器轉(zhuǎn)發(fā)。其實(shí)，ARP 中間人攻擊最 嚴(yán)重 危害不僅僅是信息的泄漏，而是充當(dāng)攻擊者的那臺(tái) PC 轉(zhuǎn)發(fā)性能畢竟有限，無(wú)法及時(shí)處理整個(gè) 局域網(wǎng) 報(bào)文轉(zhuǎn)發(fā)，導(dǎo)致 局域網(wǎng) 內(nèi)其他客戶端 PC 頻頻掉線 。 ARP 報(bào)文通常需要設(shè)備的 CPU 進(jìn)行處理和轉(zhuǎn)發(fā)。 受到 ARP 欺騙攻擊的設(shè)備，無(wú)法正常連接網(wǎng)關(guān)設(shè)備。 控制用戶的服務(wù)，比如：只允許用戶上 FTP 服務(wù)器下載，不需內(nèi)網(wǎng)用戶訪問(wèn)一些危險(xiǎn)的網(wǎng)站。 在 TCP 協(xié)議中 有 6 個(gè)標(biāo)志比特中四個(gè)標(biāo)志位，其中 URG 等六個(gè) FLAG 標(biāo)志位是兩個(gè)計(jì)算機(jī)數(shù)據(jù)交流的信息 的 標(biāo)志 位 。 上一節(jié)解釋 了 TCP 協(xié)議中被稱為三次握手。 當(dāng)收到這種報(bào)文時(shí)，許多系統(tǒng)都會(huì) 崩潰或 死機(jī)。 如果攻擊 設(shè)備給目標(biāo)網(wǎng)絡(luò)設(shè)備 一直 只發(fā)送部分的 錯(cuò)誤的分片報(bào)文， 被攻擊的 設(shè)備 便會(huì)一直等待 組裝這些 分片 報(bào)文 ， 一直到一個(gè) 系統(tǒng) 定時(shí)器超時(shí) 。像 TCP SYN Flood 攻擊一樣 ，利用 TCP/IP 協(xié)議的缺陷，構(gòu)造大量異常報(bào)文來(lái)消耗網(wǎng)絡(luò)設(shè)備資源的手法有很多種，接下來(lái)簡(jiǎn)單的列舉一些： （ 1） LAND 攻擊： 這 是一種典型的 攻擊 ， 攻擊者會(huì)發(fā)送 源地址和目標(biāo)地址是相同的 攻擊報(bào)文 ，當(dāng) 主機(jī) 接收到這類數(shù)據(jù)包時(shí)， 操作系統(tǒng) 會(huì) 無(wú)法處理 這種 報(bào)文 ，或者 會(huì) 發(fā)送回應(yīng)的數(shù)據(jù)報(bào)文給自己 ，這樣會(huì) 導(dǎo)致 消耗大量的系統(tǒng) 和網(wǎng)絡(luò) 的資源， 使 被攻擊的 系統(tǒng)崩潰或死機(jī)。向客戶端表示，服務(wù)器 的 連接已經(jīng)準(zhǔn)備好連接了 ，等待客戶端的確認(rèn) 消息 后 ，這時(shí)客戶端接收到消息后，分析得到的信息 報(bào)文 ， 以 準(zhǔn)備發(fā)送確認(rèn)連接信號(hào) 消息 到服務(wù)器 端 。DOS 的攻擊方式有很多種，最基本的 DOS 攻擊就是利用合理的服務(wù)請(qǐng)求來(lái)占用過(guò)多的服務(wù)資源，從而使 CPU 超負(fù)荷， 合法用戶無(wú)法得到服務(wù)。服務(wù)器和 客戶端 之間的數(shù)據(jù)傳送被 “ 中間人 ” 做了手腳之后，就會(huì)出現(xiàn)很嚴(yán)重的問(wèn)題，比如報(bào)文內(nèi)容被竊 聽(tīng)或者篡改等等。 網(wǎng) 關(guān)攻 擊 設(shè) 備計(jì) 算 機(jī) A原 來(lái) 計(jì) 算 機(jī) A 的地 址 是4 4 4 4 . 4 4 4 4 . 4 4 4 4發(fā) 送 源 I P 和 目 的 I P相 同 的 免 費(fèi) A R P 報(bào) 文我 是 計(jì) 算 機(jī) A , 我 的地 址 是4 4 4 4 . 4 4 4 4 . 4 4 4 4我 的 地 址 是3 3 3 3 , 3 3 3 3 , 3 3 3 3我 怎 么 斷 網(wǎng) 了 ，什 么 地 址 都 P I N G 不 通 圖 免費(fèi) ARP 攻擊原理圖 攻擊 設(shè)備 定時(shí)向局域網(wǎng) 內(nèi) 發(fā)送免費(fèi) ARP 報(bào)文， 源 IP 地址和目的 IP 地址均為計(jì)算機(jī) A 的 IP。 ARP 協(xié)議用于將網(wǎng)絡(luò)中的 IP 地址解析為的硬件 的 MAC 地址，以保證通信的順利進(jìn)行。正是本課題的主要目的。 S Y N ： 同步序號(hào)用來(lái)發(fā)起一個(gè)連接。 16 位長(zhǎng)度：這個(gè)長(zhǎng)度是指除了 IP 報(bào)文頭部長(zhǎng)度以外的 IP 長(zhǎng)度。然而 UDP 相比 TCP 而言就是一個(gè)很簡(jiǎn)單的協(xié)議了 ，它只是負(fù)責(zé)把報(bào)文從一端傳輸?shù)搅硗庖欢尉涂梢粤耍欠駛鬏斒』蛘邅G包，它都不會(huì)去關(guān)心。 低端路由器的其他性能也在不斷的向高端靠近，但在成本上卻是要有嚴(yán)格的控制，在低成本的情況下做出高效的有安全模塊的低端 路由器，幾乎是每個(gè)通信公司努力的方向。外網(wǎng)發(fā)起的攻擊主要是一些拒絕服務(wù)的攻擊來(lái)消耗設(shè)備的 CPU,降低設(shè)備的性能，從而使設(shè)備不能轉(zhuǎn)發(fā)正常的報(bào)文。 浙江大學(xué)碩士學(xué)位論文 第 1 章 緒論 2 主要的工作和 方法 本文主要根據(jù)用戶的需求對(duì)一些典型網(wǎng)絡(luò)攻擊進(jìn)行了研究。s market, there is a blank in small and medium business works. This paper can fill the requirements, embedded the firewall and IDS (Intrusion Detection System) module to the lowend routers. Lowend routers are really able to play the role of antiattack. This paper will analyze the current attack, constitution the abnormal message attack work equipment, intercepted the attack packets using tools, resolution the attack packets, then based on the knowledge of work to analysis the attack packets and how to preventing attacks. According to the analysis, we can propose an effective method of preventing attacks. This paper will also introduced some code of prevent attack in the lowend router. In this paper, depend on the Linux system to achieve the antiARP attacks, antiDOS attacks and port scanning attacks prevention. Key Words： Network Security, Antiattack, DOS attacks 浙江大學(xué)碩士學(xué)位論文 目錄 I 目錄 摘要 ............................................................................................................................... i Abstract......................................................................................................................... ii 圖目錄 ........................................................................................................................ III 表目錄 ........................................................................................................................ IV 第 1 章 緒論 ................................................................................................................ 1 課題背景 ............................................................................................................ 1 網(wǎng)絡(luò)安全發(fā)展 ............................................................................................. 1 低端路由器安全問(wèn)題 ................................................................................. 1 主要的工作和方法 ............................................................................................ 2 低端路由器防攻擊需求 .................................................................................... 2 低端路由器的用戶群體 ............................................................................. 2 低端用戶對(duì)防攻擊的需求 ......................................................................... 2 滿足用戶需求的路由器 .................................................................