【正文】 case IDS_DOS_TEARDROP ………省略…………breakcase IDS_DOS_LAND ………省略…………breakcase IDS_DOS_FRAGGLE ………省略…………breakcase IDS_DOS_PINGOFDEATH ………省略…………breakdefault:break}}}配置好所有的這11中規(guī)則以后，根據(jù)這個配置函數(shù)，用戶就可以下發(fā)相應的規(guī)則到后臺的Linux系統(tǒng)中，實現(xiàn)對攻擊報文的防范。case IDS_DOS_IPSPOOING ………省略…………break。case IDS_DOS_SMUR ………省略…………break?！÷浴? break。iptables t mangle A PREOUTING i wan p tcp syn m limit limit 150 limit burst 1 j RETURN/*該條命令就是指限制新建立的連接時，處理從wan口（指外網(wǎng)）過來的TCP SYN報文，每秒鐘處理150個報文：最多處理1個連接*/iptables t mangle A PREOUTING i wan p tcp syn j DROP/*丟棄從WAN口過來的TCP SYN報文*/break。dos_val)。iIDS_DOS_MAX。比如要下發(fā)UDP Flood規(guī)則，該規(guī)則像高位移1位，就是00000000010，當參數(shù)配置參數(shù)dos_val 11111111111和00000000010與時，最后結果val就是00000000010，當val進入swich分支時設備就會對第二條規(guī)則生效。[15] 防DOS攻擊的實現(xiàn)根據(jù)用戶在頁面上的配置，后臺可以通過配置處理函數(shù)模塊在后臺下發(fā)iptables規(guī)則，從而實現(xiàn)在Linux系統(tǒng)下的防DOS功能。根據(jù)DOS攻擊和端口掃描的不同特征，這兩個的檢測機制上要分別處理：（1） DOS攻擊報文的檢測使用目前netfilter/iptables已有的功能來實現(xiàn)。用戶空間和內(nèi)核空間通過下發(fā)規(guī)則。所有關于netfilter/iptables模塊的參數(shù)和用法在Linux同下查看幫助都能夠查找到，這里就不在一一解釋了。R就是replace替換規(guī)則鏈表中的一條規(guī)則。A就是append添加一條規(guī)則到規(guī)則鏈表末位。常見的選項有：limit、iprange、state等。j用來為匹配這個規(guī)則鏈表的數(shù)據(jù)包定義策略部署，也就是匹配這個規(guī)則鏈表之后的實際操作，有：DROP丟棄、RETURN從該規(guī)則中跳出、LOG記錄日志等等。（5） POSTROUTING鏈表：報文經(jīng)過FORWARD鏈表或者OUTPPUT鏈表之后，需要出站；對于出戰(zhàn)的數(shù)據(jù)包，需要經(jīng)過該鏈表修改源IP地址。（3） OUTPUT鏈表：本地產(chǎn)生的出戰(zhàn)數(shù)據(jù)包，路由做出決定之前需要通過該規(guī)則鏈表。內(nèi)建的規(guī)則鏈表一共有五種：（1） INPUT鏈表：報文經(jīng)過路由之后，如果目的地是本機地址；那么報文首選被送到INPUT規(guī)則鏈表中去處理后，報文才會送上本地。filter是默認的表，如果不加參數(shù)t，就表示默認操作filter表。使用參數(shù)t來指明操作的是哪一張表。要想隨心所欲下發(fā)你所需要的規(guī)則，必須先弄清楚該模塊上各個參數(shù)的意義和原理。netfilter/iptables模塊上只要配置好一些參數(shù)，就能下發(fā)一條條的規(guī)則，在每個端口上區(qū)分不同的報文，然后根據(jù)規(guī)則的設定來確定怎么樣來處理這些報文。netfilter/iptables模塊是Linux系統(tǒng)中的防火墻模塊。該系統(tǒng)就是按照一定的安全策略模式，對網(wǎng)絡上經(jīng)過設備的流量進行監(jiān)控，盡可能發(fā)現(xiàn)各種攻擊行為、攻擊企圖，保證網(wǎng)絡系統(tǒng)資源的安全。IDS就是Intrusion Detection Systems。通過這一章的描述，就能圓滿的解決防ARP攻擊的難題了。但綁定IP和MAC不能完全解決ARP攻擊。[14]圖 四源綁定原理圖 本章小結一般的低端路由器為了成本的考慮，用的都是免費的Linux系統(tǒng)，要在該系統(tǒng)之下防ARP攻擊和防ARP欺騙，就必須了解該系統(tǒng)內(nèi)核實現(xiàn)ARP的原理。（4）然后拿這四項與四源綁定的表項做對比，匹配則轉發(fā)該報文，不匹配則不轉發(fā)該報文。（2）ARP報文上到CPU上，CPU解析出該ARP的源IP地址、源MAC地址。而四源綁定機制中每一個ARP協(xié)議都必須經(jīng)過CPU的檢查。該機制就是四源綁定機制，該機制指的四源綁定就是：源IP、源MAC、設備物理端口號和VLAN ID綁定在一起，不光光是IP和MAC的綁定。所以簡單的IP/MAC綁定來訪ARP已經(jīng)落伍了。這種方案有先天的缺陷，就是PC上的綁定列表很容易會被木馬刪除，導致綁定失敗，最后ARP攻擊還是頻頻發(fā)生。這就好比在windows下的DOS命令中用arp –s XXXXXX 來添加ARP靜態(tài)表項。所謂的綁定，就是使IP/MAC表中的狀態(tài)變成NUD_PERMANENT。這個時間即業(yè)界通常所說的ARP老化時間。（6）如果一個ARP表項處于NUD_REACHABLE狀態(tài)，并且在指定的時間內(nèi)沒有應用程序使用該表項，則將該ARP表項的狀態(tài)置為NUD_STALE。則將該數(shù)據(jù)包緩存。如果一個ARP表項在此狀態(tài)下，其啟動的延時檢測定時器超時，則將該ARP表項的狀態(tài)置為NUD_PROBE。則使用該ARP表項中的MAC地址作為數(shù)據(jù)包的目的MAC地址傳輸數(shù)據(jù)包。則使用該ARP表項中的MAC地址作為數(shù)據(jù)包的目的MAC地址傳輸數(shù)據(jù)包，并將該ARP表項的狀態(tài)置為NUD_DELAY，同時啟動一個延時檢測定時器。則直接使用該ARP表項中的MAC地址作為數(shù)據(jù)包的目的MAC地址傳輸數(shù)據(jù)包。則將數(shù)據(jù)包緩存，對該IP地址發(fā)送一個ARP請求并創(chuàng)建一個Neighbor Entry，將其狀態(tài)置為NUD_INCOMPLETE；如果在指定的時間內(nèi)收到了ARP響應，則使用回應數(shù)據(jù)包中的MAC地址填充ARP表項中的MAC地址，使用該MAC地址作為數(shù)據(jù)包的目的MAC地址發(fā)送數(shù)據(jù)包，并將該ARP表項的狀態(tài)置為NUD_REACHABLE（只有一個ARP表項處于NUD_REACHABLE狀態(tài)時，才能說明該ARP表項是可信的、可以被使用的）；如果沒有收到相應的ARP響應，Linux內(nèi)核會采取一定次數(shù)的重傳機制，如果在重傳過程中還是沒有收到ARP響應，則將該ARP表項置為NUD_FAILED狀態(tài)，之后該ARP表項會被系統(tǒng)刪除。由于Linux內(nèi)核中的ARP是在Neighboring Subsystem之上實現(xiàn)的。NUD_PERMANENT該狀態(tài)表示當前Neighbor Entry中所指定的Layer2地址是靜態(tài)配置的，不需要動態(tài)學習。NUD_STALENUD_DELAY NUD_PROBE這三個狀態(tài)都為臨時過渡狀態(tài)，在內(nèi)核需要確定該Neighbor Entry中存放的信息是否可應用時使用這幾個狀態(tài)。NUD_REACHABLE該狀態(tài)表示當前Neighbor Entry中存放的地址信息有效，可以直接使用。而每一個Neighbor Entry都包含有自己的狀態(tài)，可能的狀態(tài)有以下幾種： 表 Linux ARP狀態(tài)轉化意義狀態(tài)描述NUD_NONE該狀態(tài)用于表示一個Neighbor Entry剛剛被創(chuàng)建，還沒有獲得任何狀態(tài)。 Linux內(nèi)核ARP實現(xiàn)Linux內(nèi)核中ARP的實現(xiàn)是基于Neighboring Subsystem之上的。 Linux內(nèi)核中的ARP 在通常情況下，當設備需要向網(wǎng)絡中某一IP地址發(fā)送數(shù)據(jù)包的時候，其首先會查找自己的ARP表，如果在ARP表中存在與目的IP地址一致的表項，則使用該表項中的MAC地址作為該數(shù)據(jù)包的目的MAC地址；如果在ARP表中沒有與該IP地址相對應的表項，則設備首先會發(fā)送一個ARP請求報文，在網(wǎng)絡中請求目的IP地址的MAC地址，收到ARP響應報文后，將響應報文中返回的MAC地址作為數(shù)據(jù)包的目的MAC地址。IP/MAC的正確對應關系是怎么樣被綁定在一起的呢。網(wǎng)吧專用路由器最先面世。該訪問控制機制在防ARP攻擊和防DOS攻擊中也會起到很大的作用。[10] 本章小結本章主要描述了基于防火墻的一個訪問控制機制，該機制主要通過流量的分類來控制網(wǎng)絡用戶的行為，控制用戶的訪問權限和范圍。最后根據(jù)提取出來的字符串做對比，把匹配預期字符串的報文丟棄掉。很多不安全的網(wǎng)頁都帶有病毒和木馬，所以過濾URL已經(jīng)成為企業(yè)中必須啟用的功能，過濾URL主要通過處理上網(wǎng)的HTTP協(xié)議，HTTP協(xié)議是承載目的端口為80的TCP流上，在該流中有幾個字段是表示URL的字符串，只要訪問控制在URL字符串中有匹配，就表示該條TCP為非法流，圖 HTTP協(xié)議中的URL字段可以在訪問控制中提取報文中的URL字符串，主要是通過以下的流程來提取該字符串的：先根據(jù)協(xié)議號確定是HTTP報文。互聯(lián)網(wǎng)訪問在產(chǎn)生巨大生產(chǎn)力的同時，也帶來了極大的風險。 /* 協(xié)議號/}。 /*源ip地址*/ uint32_t d_ip。圖 源MAC地址在報文解析后中的位置圖 源MAC地址在16進制報文中的位置以下是MAC地址過濾的具體實現(xiàn)的流程圖：圖 MAC過濾處理流程圖具體函數(shù)結構如下所示：該函數(shù)對二層報文進行解析，二層報文一共14個字節(jié)，第1個字節(jié)到第6個字節(jié)為目的IP地址，第7個字節(jié)到第12個字節(jié)為源IP地址，最后兩個字節(jié)表明第3層的協(xié)議號。 MAC過濾實現(xiàn)控制接入用戶就可以通過源MAC地址來過濾用戶，當訪問控制中解析報文，發(fā)現(xiàn)該報文的源MAC地址不是訪問控制中允許的地址時，就禁止這類報文通過。網(wǎng)卡的MAC地址與IP地址之間的關系和網(wǎng)站IP地址與域名之間的關系有些類似，后者的存在主要用于幫助人們記憶。有人介意用屏蔽IP地址來防止非法用戶接入局域網(wǎng)，這種方法是不可取的，因為在一般的局域網(wǎng)內(nèi)都是以DHCP的方式作為服務器的，所有用戶的登入都是自動獲取IP地址的，所以同一臺主機每次接入局域網(wǎng)都會改變其IP地址，所以屏蔽IP地址無法防止非法用戶接入。 }通過上述函數(shù)就可以得到流的五元組，源IP地址，目的IP地址，協(xié)議號，源端口號，目的端口號，然后和配置下發(fā)規(guī)則做對比，匹配則轉發(fā)，不匹配就丟棄。 case ox011: /*UDP包頭*/ 進行UDP層解析 break。 case 其他協(xié)議: 這里不再累贅 default: break。 case ox0806: /*ARP包頭*/ 進行ARP層解析 goto out_no_match。 /*目的端口號*/}。struct ipt_tcp { uint32_t s_port。 /*目的IP地址*/ uint32_t ip_type。struct ipt_ip { uint32_t s_IP。 /*目的MAC地址*/ uint32_t eth_type。具體函數(shù)實現(xiàn)：struct ipt_eth { uint32_t s_MAC。根據(jù)協(xié)議號調(diào)用不同的報文頭函數(shù)來解析函數(shù)內(nèi)的字段。解析20個字節(jié)IP頭字段，解析出源IP地址、目的IP地址。然后根據(jù)第13和第14字節(jié)的協(xié)議號，得出第三層的報文頭是什么類型，OX0800是IP頭，OX0806是ARP頭。 報文解析實現(xiàn)原理圖 TCP報文四層以下結構圖 TCP報文提取五元組流層圖，然后再與擬定的規(guī)則做比較，與規(guī)則匹配的則允許通過，與規(guī)則不匹配的則禁止通過。比如：，只要在訪問控制模塊中先識別出協(xié)議類型是TCP,目的端口是80，就說明這條流是上網(wǎng)的流。所以設備上只要配置的五元組的過濾模式，就可以控制該流量。比如：FTP服務就是通過協(xié)議TCP來傳輸數(shù)據(jù)的，剛開始建立連接的時候是通過目的端口號21，建立連接以后是通過端口號20來傳輸數(shù)據(jù)的。協(xié)議號主要表明這條流量是哪一種協(xié)議，以TCP協(xié)議為例，該協(xié)議的協(xié)議號用16進制表示為OX06。源IP地址和目的IP地址主要用來確定這條流從哪個設備發(fā)出，最終目的地是到哪一個設備。報文的字段很多，網(wǎng)絡設備區(qū)分流量主要靠五個字段（）：源IP地址、目的IP地址、協(xié)議號、源端口、目的端口。病毒和木馬的傳播途徑大部分都是由瀏覽不安全網(wǎng)頁產(chǎn)生的，要怎么樣去控制用戶上網(wǎng)成了最關鍵的問題。主要詳細分析內(nèi)網(wǎng)ARP的攻擊原理和手段。所以要防范黑客的攻擊，首先要防止黑客了解整個網(wǎng)絡拓撲，所以首先要防止端口掃描。 Null掃描：攻擊者會發(fā)送一個沒有任何標志位都沒有置位的TCP報文，如果被攻擊的目標主機的相應端口是不打開的話，應該會發(fā)送回一個TCP RST數(shù)據(jù)報文。如果沒有報文回應任何報文，那么這個主機的端口服務是關閉的；當主機回應了一個TCP RST報文，那么就說明該主機是在這個網(wǎng)絡中，但是沒有在監(jiān)聽這個端口。如果TCP SYN|ACK報文的回應返回，攻擊者就會馬上發(fā)送一個TCP RST報文來中斷這個連接請求。一個TCP SYN|ACK報文會表明該端口是是打開的。攻擊者一般先使用端口掃描的方式來先入侵的主機，掌握目標主機的端口打開情況，然后再采取一些相應的入侵措施。首先要對網(wǎng)絡進行探測方式里，還有一項——端口掃描。檢查進入設備的UDP報文，如果目的端口號