【正文】 Entry，將其狀態(tài)置為NUD_INCOMPLETE；如果在指定的時間內(nèi)收到了ARP響應(yīng)，則使用回應(yīng)數(shù)據(jù)包中的MAC地址填充ARP表項中的MAC地址，使用該MAC地址作為數(shù)據(jù)包的目的MAC地址發(fā)送數(shù)據(jù)包，并將該ARP表項的狀態(tài)置為NUD_REACHABLE（只有一個ARP表項處于NUD_REACHABLE狀態(tài)時，才能說明該ARP表項是可信的、可以被使用的）；如果沒有收到相應(yīng)的ARP響應(yīng)，Linux內(nèi)核會采取一定次數(shù)的重傳機制，如果在重傳過程中還是沒有收到ARP響應(yīng)，則將該ARP表項置為NUD_FAILED狀態(tài)，之后該ARP表項會被系統(tǒng)刪除。（2）如果設(shè)備中已經(jīng)存在與目的IP地址對應(yīng)的ARP表項，并且該ARP表項的狀態(tài)為NUD_REACHABLE時。則直接使用該ARP表項中的MAC地址作為數(shù)據(jù)包的目的MAC地址傳輸數(shù)據(jù)包。（3）如果設(shè)備中已經(jīng)存在與目的IP地址對應(yīng)的ARP表項，并且該ARP表項的狀態(tài)為NUD_STALE時。則使用該ARP表項中的MAC地址作為數(shù)據(jù)包的目的MAC地址傳輸數(shù)據(jù)包，并將該ARP表項的狀態(tài)置為NUD_DELAY，同時啟動一個延時檢測定時器。（4）如果設(shè)備中已經(jīng)存在與目的IP地址對應(yīng)的ARP表項，并且該ARP表項的狀態(tài)為NUD_DELAY時。則使用該ARP表項中的MAC地址作為數(shù)據(jù)包的目的MAC地址傳輸數(shù)據(jù)包。如果一個ARP表項在此狀態(tài)時收到一個與其IP地址對應(yīng)的ARP響應(yīng)消息或是收到一個Layer4的回應(yīng)包（），則直接將該ARP表項置為NUD_REACHABLE狀態(tài)，并刪除該表項的延時檢測定時器，以便后續(xù)發(fā)往該IP地址的數(shù)據(jù)包可以直接使用該ARP表項。如果一個ARP表項在此狀態(tài)下，其啟動的延時檢測定時器超時，則將該ARP表項的狀態(tài)置為NUD_PROBE。（5）如果設(shè)備中已經(jīng)存在與目的IP地址對應(yīng)的ARP表項，并且該ARP表項的狀態(tài)為NUD_ PROBE時。則將該數(shù)據(jù)包緩存。當一個ARP表項處于NUD_ PROBE，表明該表項已經(jīng)不可信，需要重現(xiàn)對其檢測，因此在該狀態(tài)下，Linux內(nèi)核會依次使用單播ARP和廣播ARP對該IP地址進行檢測；如果此時收到了ARP響應(yīng)消息或者Layer4回應(yīng)包（），則使用回應(yīng)包中的MAC地址更新該ARP表項，并將該ARP表項的狀態(tài)置為NUD_REACHABLE狀態(tài)；如果在此狀態(tài)下一直收不到回應(yīng)包，超過了指定的時間以及指定的重傳次數(shù)后，該ARP表項被置為NUD_FAILED狀態(tài)，之后該ARP表項會被系統(tǒng)刪除。（6）如果一個ARP表項處于NUD_REACHABLE狀態(tài)，并且在指定的時間內(nèi)沒有應(yīng)用程序使用該表項，則將該ARP表項的狀態(tài)置為NUD_STALE。（7）如果一個ARP表項處于NUD_STALE狀態(tài)，并且在指定的時間內(nèi)沒有應(yīng)用程序使用該表項，則系統(tǒng)會直接將該ARP表項（即Neighbor Entry）刪除。這個時間即業(yè)界通常所說的ARP老化時間。 IP地址與MAC地址綁定實現(xiàn)在了解了Linux中ARP實現(xiàn)的原理后， IP地址和MAC地址綁定的實現(xiàn)就變得簡單了。所謂的綁定，就是使IP/MAC表中的狀態(tài)變成NUD_PERMANENT。在Linux系統(tǒng)中可以通過下發(fā)ip neigh add lladdr X:X:X:X:X:X dev lan1 nud permanent這條命令來使表項變成NUD_PERMANENT狀態(tài)。這就好比在windows下的DOS命令中用arp –s XXXXXX 來添加ARP靜態(tài)表項。[12] IP和MAC綁定的缺陷不要認為只要在局域網(wǎng)中由路由器+PC端雙向綁定IP和MAC就能真正防ARP攻擊了。這種方案有先天的缺陷，就是PC上的綁定列表很容易會被木馬刪除，導(dǎo)致綁定失敗，最后ARP攻擊還是頻頻發(fā)生。[13] 防ARP模塊的改進——四源綁定造成ARP欺騙的根本原因在于ARP沒有一個健全的確認機制，客戶端對于任何ARP報文都會很傻的去學(xué)習(xí)，導(dǎo)致ARP表項錯誤。所以簡單的IP/MAC綁定來訪ARP已經(jīng)落伍了。要正真的防住ARP攻擊，需要在路由器上實現(xiàn)ARP的確認機制。該機制就是四源綁定機制，該機制指的四源綁定就是：源IP、源MAC、設(shè)備物理端口號和VLAN ID綁定在一起，不光光是IP和MAC的綁定。因為ARP協(xié)議是MAC層的協(xié)議，是不需要經(jīng)過三層設(shè)備的，只要經(jīng)過二層的CPU轉(zhuǎn)發(fā)就可以了。而四源綁定機制中每一個ARP協(xié)議都必須經(jīng)過CPU的檢查。：（1）先在四源綁定表中添加好綁定的數(shù)據(jù)。（2）ARP報文上到CPU上，CPU解析出該ARP的源IP地址、源MAC地址。（3）再加上轉(zhuǎn)發(fā)該ARP報文的時候物理端口已經(jīng)知道該報文的物理端口號和VLAN ID號。（4）然后拿這四項與四源綁定的表項做對比，匹配則轉(zhuǎn)發(fā)該報文，不匹配則不轉(zhuǎn)發(fā)該報文。經(jīng)過該確認機制后，ARP會先與正確的表項做對比后再轉(zhuǎn)發(fā)，完美的解決了ARP攻擊的難題。[14]圖 四源綁定原理圖 本章小結(jié)一般的低端路由器為了成本的考慮，用的都是免費的Linux系統(tǒng)，要在該系統(tǒng)之下防ARP攻擊和防ARP欺騙，就必須了解該系統(tǒng)內(nèi)核實現(xiàn)ARP的原理。理解了內(nèi)核原理之后，就知道如何使IP和MAC綁定的原理。但綁定IP和MAC不能完全解決ARP攻擊。本文在此基礎(chǔ)上做了創(chuàng)新，四源綁定機制在路由器上的實現(xiàn)從而完美的解決了防ARP攻擊和防ARP欺騙的功能。通過這一章的描述，就能圓滿的解決防ARP攻擊的難題了。46浙江大學(xué)碩士學(xué)位論文 第6章 防DOS攻擊和防端口掃描攻擊的實現(xiàn)第6章 防DOS攻擊和防端口掃描攻擊的實現(xiàn) 基于Linux系統(tǒng)上的IDS的實現(xiàn) 入侵檢測系統(tǒng)防DOS攻擊和防端口掃描攻擊的實現(xiàn)，實際上就是實現(xiàn)一個IDS系統(tǒng)。IDS就是Intrusion Detection Systems。中文的意思就是入侵檢測系統(tǒng)。該系統(tǒng)就是按照一定的安全策略模式，對網(wǎng)絡(luò)上經(jīng)過設(shè)備的流量進行監(jiān)控，盡可能發(fā)現(xiàn)各種攻擊行為、攻擊企圖，保證網(wǎng)絡(luò)系統(tǒng)資源的安全。 Linux系統(tǒng)中的netfilter/iptables模塊低端路由器為了控制成本，往往選擇免費的操作系統(tǒng)，Linux系統(tǒng)又是免費開源系統(tǒng)中最成熟的系統(tǒng)，所以本文以Linux系統(tǒng)為例實現(xiàn)IDS功能。netfilter/iptables模塊是Linux系統(tǒng)中的防火墻模塊。該模塊實現(xiàn)了Linux系統(tǒng)的訪問控制功能。netfilter/iptables模塊上只要配置好一些參數(shù)，就能下發(fā)一條條的規(guī)則，在每個端口上區(qū)分不同的報文，然后根據(jù)規(guī)則的設(shè)定來確定怎么樣來處理這些報文。接下來就描述一下怎么樣在netfilter/iptables模塊上下發(fā)規(guī)則。要想隨心所欲下發(fā)你所需要的規(guī)則，必須先弄清楚該模塊上各個參數(shù)的意義和原理。Netfilter防火墻有三張規(guī)則表，分別是：filter、NET和mangle表。使用參數(shù)t來指明操作的是哪一張表。如：t filter/NAT/mangle。filter是默認的表，如果不加參數(shù)t，就表示默認操作filter表。這三張表中又有內(nèi)建的規(guī)則鏈表。內(nèi)建的規(guī)則鏈表一共有五種：（1） INPUT鏈表：報文經(jīng)過路由之后，如果目的地是本機地址；那么報文首選被送到INPUT規(guī)則鏈表中去處理后，報文才會送上本地。（2） FORWOED鏈表：報文經(jīng)過路由后，如果報文的目的地址是通往其他設(shè)備；那么報文需要經(jīng)過該鏈表的過濾，通過該鏈表之后，報文才會發(fā)出去。（3） OUTPUT鏈表：本地產(chǎn)生的出戰(zhàn)數(shù)據(jù)包，路由做出決定之前需要通過該規(guī)則鏈表。（4） PREROUTING鏈表：入站數(shù)據(jù)包，到路由做出決定前修改其目的地址。（5） POSTROUTING鏈表：報文經(jīng)過FORWARD鏈表或者OUTPPUT鏈表之后，需要出站；對于出戰(zhàn)的數(shù)據(jù)包，需要經(jīng)過該鏈表修改源IP地址。下面解釋一下netfilter/iptables模塊的一些常見參數(shù)的意義。j用來為匹配這個規(guī)則鏈表的數(shù)據(jù)包定義策略部署，也就是匹配這個規(guī)則鏈表之后的實際操作，有：DROP丟棄、RETURN從該規(guī)則中跳出、LOG記錄日志等等。m是filter表的匹配擴展，用來表示匹配某項特殊的選項，等同于—match。常見的選項有：limit、iprange、state等。N是創(chuàng)建新用戶的自定義規(guī)則鏈表P為內(nèi)建的規(guī)則鏈INPUT、OUTPUT FORWARD定義默認路由。A就是append添加一條規(guī)則到規(guī)則鏈表末位。I就是insert插入一條規(guī)則到規(guī)則鏈表的頭部。R就是replace替換規(guī)則鏈表中的一條規(guī)則。D就是delect刪除規(guī)則鏈表中的規(guī)則。所有關(guān)于netfilter/iptables模塊的參數(shù)和用法在Linux同下查看幫助都能夠查找到，這里就不在一一解釋了?？梢哉fIDS模塊所有的功能實現(xiàn)上，都是通過netfilter/iptables機制來實現(xiàn)。用戶空間和內(nèi)核空間通過下發(fā)規(guī)則。來達到預(yù)定的目的。根據(jù)DOS攻擊和端口掃描的不同特征，這兩個的檢測機制上要分別處理：（1） DOS攻擊報文的檢測使用目前netfilter/iptables已有的功能來實現(xiàn)。（2） 端口掃描的檢測需要從新根據(jù)特征設(shè)計一個netfilter/iptables模塊的portscan來實現(xiàn)相關(guān)功能。[15] 防DOS攻擊的實現(xiàn)根據(jù)用戶在頁面上的配置，后臺可以通過配置處理函數(shù)模塊在后臺下發(fā)iptables規(guī)則，從而實現(xiàn)在Linux系統(tǒng)下的防DOS功能。/*DOS攻擊數(shù)據(jù)描述*/define IDS_DOS_MAX 11define IDS_DOS_SYNFD 1define IDS_DOS_UDPFD 12define IDS_DOS_ICMPFD 13define IDS_DOS_SMUR 14define IDS_DOS_WINNUKE 15define IDS_DOS_IPSPOOING 16define IDS_DOS_FRAGMENT 17define IDS_DOS_TEARDROP 18define IDS_DOS_LAND 19define IDS_DOS_FRAGGLE 110define IDS_DOS_PINGOFDEATH 111 設(shè)置了改數(shù)據(jù)描述后，用戶配置的參數(shù)dos_val可以和移位的上述參數(shù)與，就可以得出是要下發(fā)哪一條規(guī)則。比如要下發(fā)UDP Flood規(guī)則，該規(guī)則像高位移1位，就是00000000010，當參數(shù)配置參數(shù)dos_val 11111111111和00000000010與時，最后結(jié)果val就是00000000010，當val進入swich分支時設(shè)備就會對第二條規(guī)則生效。[16]函數(shù)名 ：ids_cfghandler該函數(shù)是IDS的配置處理函數(shù)，根據(jù)用戶的配置，下發(fā)相應(yīng)的iptables規(guī)則0 表示不匹配 1 表示匹配Int ids_cfghandler(void){/*如果開啟了防止DOS功能的開關(guān)，則設(shè)置相應(yīng)規(guī)則*/ if(dos_en==IDS_ENABLE){for(i=0。iIDS_DOS_MAX。i++)val = ((1i)amp。dos_val)。/*判斷哪幾個標志位已經(jīng)置位，則表示開啟相關(guān)功能，使用iptables下發(fā)規(guī)則 */Swich(val){case IDS_DOS_SYNFD 。iptables t mangle A PREOUTING i wan p tcp syn m limit limit 150 limit burst 1 j RETURN/*該條命令就是指限制新建立的連接時，處理從wan口（指外網(wǎng)）過來的TCP SYN報文，每秒鐘處理150個報文：最多處理1個連接*/iptables t mangle A PREOUTING i wan p tcp syn j DROP/*丟棄從WAN口過來的TCP SYN報文*/break。case IDS_DOS_UDPFD。………省略………… break。case IDS_DOS_ICMPFD ………省略…………break。case IDS_DOS_SMUR ………省略…………break。case IDS_DOS_WINNUKE ………省略…………break。case IDS_DOS_IPSPOOING ………省略…………break。case IDS_DOS_FRAGMENT ………省略…………break。case IDS_DOS_TEARDROP ………省略…………breakcase IDS_DOS_LAND ………省略…………breakcase IDS_DOS_FRAGGLE ………省略…………breakcase IDS_DOS_PINGOFDEATH ………省略…………breakdefault:break}}}配置好所有的這11中規(guī)則以后，根據(jù)這個配置函數(shù)，用戶就可以下發(fā)相應(yīng)的規(guī)則到后臺的Linux系統(tǒng)中，實現(xiàn)對攻擊報文的防范。[17] 防端口掃描模塊的實現(xiàn)端口掃描模塊的主要功能是可以檢測出TCP SYN掃描，Stealth FIN, Xmas Tree, Null掃描，UDP掃描，并可以對這種掃描加以記錄