【正文】 綜上所述，訪問控制為了區(qū)分網(wǎng)絡(luò)上的流量，主要靠五元組來區(qū)分流量。例如控制特定用戶的上網(wǎng)流量，上網(wǎng)的流主要是用TCP協(xié)議，目的端口為80端口。訪問控制就是通過這樣來區(qū)分不同的流量。，可以解析出源、目的MAC地址。根據(jù)協(xié)議號調(diào)用不同的報文頭函數(shù)來解析函數(shù)內(nèi)的字段。然后根據(jù)第24字節(jié)的協(xié)議號，得出第四層的報文頭是什么類型，OX11是UDP頭，OX06是TCP頭。再解析20個字節(jié)的TCP報文，解析出源端口號、目的端口號。 /*源MAC地址*/ uint32_t d_MAC。 /* 協(xié)議號/}。 /*源IP地址*/ uint32_t d_IP。 /* 協(xié)議號/}。 /*源端口號*/ uint32_t d_port。ETH層解析函數(shù)主要功能：解析報文二層的源MAC地址，目的MAC地址，三層協(xié)議號函數(shù)輸入為：空函數(shù)輸出為:源MAC地址，目的MAC地址，三層協(xié)議號resolution_ipt_eth IP層解析函數(shù)主要功能：解析報文三層的源IP地址，目的IP地址，四層協(xié)議號函數(shù)輸入為：空函數(shù)輸出為:源IP地址，目的IP地址，四層協(xié)議號resolution_ipt_ip TCP層解析函數(shù)主要功能：解析報文四層的源端口號，目的端口號函數(shù)輸入為：空函數(shù)輸出為:源端口號，目的端口號resolution_ipt_TCP 根據(jù)存在緩存中的報文，調(diào)用resolution_ipt_eth函數(shù)resolution_ipt_ethswitch (eth_type) { case ox0800: /*IP包頭*/ resolution_ipt_ip /*進(jìn)行IP包頭解析*/ 輸出源、目的IP地址 break。 break。 }檢查第四層包頭協(xié)議switch (ip_type) { case ox06: /*TCP包頭*/ resolution_ipt_tcp /*進(jìn)行TCP包頭解析*/ 輸出源、目的端口號break。 case 其他協(xié)議: 這里不再累贅 default: break。[9] 訪問控制MAC過濾 MAC過濾背景在局域網(wǎng)中，為了安全考慮，對用戶接入內(nèi)網(wǎng)要有一個認(rèn)證的過程。MAC地址是唯一的，MAC地址通俗點說就是網(wǎng)卡的物理地址，在網(wǎng)絡(luò)中查找網(wǎng)卡的存在都是依靠這個地址進(jìn)行的。由于一般用戶很難更改網(wǎng)卡的MAC地址，所以具有網(wǎng)絡(luò)管理功能的網(wǎng)絡(luò)硬件就會把這個地址用于集中管理時使用，利用MAC地址來完成對網(wǎng)絡(luò)用戶的識別、上網(wǎng)權(quán)限的管理、服務(wù)與責(zé)任的明確等。源MAC地址在報文中就是以太網(wǎng)頭的從第7個字節(jié)到第12個字節(jié)（），只要在所有的報文中提取出源MAC地址與僅允許的MAC地址做對比后，不匹配地址的報文則丟棄，匹配的報文則轉(zhuǎn)發(fā)。struct ipt_eth { uint32_t s_ip。 /*目的ip地址*/ uint32_t eth_type。if(s_ip = 僅允許MAC)（允許報文通過）else( 禁止報文同過)； 訪問控制URL過濾目前，互聯(lián)網(wǎng)為人們提供了巨大的資源，方便了通信并提供對于巨大信息的便捷訪問。公司互聯(lián)中網(wǎng)流量中近40%與業(yè)務(wù)無關(guān)，這對員工的生產(chǎn)效率和網(wǎng)絡(luò)資源造成巨大的浪費。然后根據(jù)源、目的IP地址確定該報文是由指定源發(fā)往目的主機(jī)的最后根據(jù)每一層的關(guān)系，把Hypertext Transfer Protocol解析出來根據(jù)Hypertext Transfer Protocol層中的關(guān)鍵字段HOST，HOST ASCII轉(zhuǎn)化成16進(jìn)制是OX48 OX6f OX73 OX74,然后提取后面的16進(jìn)制數(shù)轉(zhuǎn)換成ASCII碼后就是URL字符串了。上述過程就是禁止訪問想對應(yīng)URL網(wǎng)站的過程。限制用戶的訪問權(quán)限使網(wǎng)絡(luò)便的更加安全，防止非法用戶接入破壞網(wǎng)絡(luò)，杜絕了一些不安全的因素。39浙江大學(xué)碩士學(xué)位論文 第5章 低端路由器防ARP攻擊實現(xiàn)第5章 低端路由器防ARP攻擊實現(xiàn) ARP防范 IP與MAC綁定原理，其實造成ARP欺騙的原因在于ARP沒有一個健全的確認(rèn)機(jī)制，客戶端對于任何ARP報文都會很傻的去學(xué)習(xí)，導(dǎo)致ARP表項錯誤。早期的網(wǎng)吧路由器主要通過在設(shè)備上設(shè)置客戶端MAC地址和IP地址正確的對應(yīng)關(guān)系，阻止攻擊者對網(wǎng)關(guān)（即路由器）進(jìn)行ARP Spoof。本文以Linux系統(tǒng)為例詳細(xì)分析一下。但是Linux內(nèi)核中的ARP實現(xiàn)卻并非如此簡單。內(nèi)核中的每一個ARP表項（包含IP地址、MAC地址、網(wǎng)絡(luò)接口等相關(guān)信息）都對應(yīng)著一個Neighbor Entry。NUD_INCOMPLETE該狀態(tài)表示已經(jīng)發(fā)送一個請求報文，但是還未收到任何回應(yīng)報文，此時沒有硬件地址可以使用。NUD_FAILED該狀態(tài)表示當(dāng)前Neighbor Entry中存放的地址信息無效，不能使用。NUD_NOARP該狀態(tài)表示當(dāng)前Neighbor Entry不需要任何協(xié)議來進(jìn)行Layer3到Layer2的地址轉(zhuǎn)換。 Entry在內(nèi)核中的生命周期，以及其在各個狀態(tài)之間的切換過程。當(dāng)設(shè)備接收到對本設(shè)備的ARP請求報文時：如果當(dāng)前設(shè)備中不包含與ARP報文中源IP地址對應(yīng)的ARP表項，則為該IP/MAC地址創(chuàng)建一個對應(yīng)的Neighbor Entry（即相應(yīng)的ARP表項），并將其狀態(tài)置為NUD_STALE；如果當(dāng)前設(shè)備中已經(jīng)包含了與該IP地址對應(yīng)的ARP表項，則使用ARP請求報文中的源IP/MAC地址更新該ARP表項，并將其狀態(tài)置為NUD_STALE；圖 Linux ARP 狀態(tài)機(jī)[11] Christian Benvenuti .Understanding Linux Network Internals[M].東南大學(xué)出版社，2005.1]當(dāng)設(shè)備需要從某一接口發(fā)送數(shù)據(jù)包時：（1）如果設(shè)備中不存在與該數(shù)據(jù)包目的IP地址對應(yīng)的ARP表項時。（2）如果設(shè)備中已經(jīng)存在與目的IP地址對應(yīng)的ARP表項，并且該ARP表項的狀態(tài)為NUD_REACHABLE時。（3）如果設(shè)備中已經(jīng)存在與目的IP地址對應(yīng)的ARP表項，并且該ARP表項的狀態(tài)為NUD_STALE時。（4）如果設(shè)備中已經(jīng)存在與目的IP地址對應(yīng)的ARP表項，并且該ARP表項的狀態(tài)為NUD_DELAY時。如果一個ARP表項在此狀態(tài)時收到一個與其IP地址對應(yīng)的ARP響應(yīng)消息或是收到一個Layer4的回應(yīng)包（），則直接將該ARP表項置為NUD_REACHABLE狀態(tài)，并刪除該表項的延時檢測定時器，以便后續(xù)發(fā)往該IP地址的數(shù)據(jù)包可以直接使用該ARP表項。（5）如果設(shè)備中已經(jīng)存在與目的IP地址對應(yīng)的ARP表項，并且該ARP表項的狀態(tài)為NUD_ PROBE時。當(dāng)一個ARP表項處于NUD_ PROBE，表明該表項已經(jīng)不可信，需要重現(xiàn)對其檢測，因此在該狀態(tài)下，Linux內(nèi)核會依次使用單播ARP和廣播ARP對該IP地址進(jìn)行檢測；如果此時收到了ARP響應(yīng)消息或者Layer4回應(yīng)包（），則使用回應(yīng)包中的MAC地址更新該ARP表項，并將該ARP表項的狀態(tài)置為NUD_REACHABLE狀態(tài)；如果在此狀態(tài)下一直收不到回應(yīng)包，超過了指定的時間以及指定的重傳次數(shù)后，該ARP表項被置為NUD_FAILED狀態(tài)，之后該ARP表項會被系統(tǒng)刪除。（7）如果一個ARP表項處于NUD_STALE狀態(tài)，并且在指定的時間內(nèi)沒有應(yīng)用程序使用該表項，則系統(tǒng)會直接將該ARP表項（即Neighbor Entry）刪除。 IP地址與MAC地址綁定實現(xiàn)在了解了Linux中ARP實現(xiàn)的原理后， IP地址和MAC地址綁定的實現(xiàn)就變得簡單了。在Linux系統(tǒng)中可以通過下發(fā)ip neigh add lladdr X:X:X:X:X:X dev lan1 nud permanent這條命令來使表項變成NUD_PERMANENT狀態(tài)。[12] IP和MAC綁定的缺陷不要認(rèn)為只要在局域網(wǎng)中由路由器+PC端雙向綁定IP和MAC就能真正防ARP攻擊了。[13] 防ARP模塊的改進(jìn)——四源綁定造成ARP欺騙的根本原因在于ARP沒有一個健全的確認(rèn)機(jī)制，客戶端對于任何ARP報文都會很傻的去學(xué)習(xí)，導(dǎo)致ARP表項錯誤。要正真的防住ARP攻擊，需要在路由器上實現(xiàn)ARP的確認(rèn)機(jī)制。因為ARP協(xié)議是MAC層的協(xié)議，是不需要經(jīng)過三層設(shè)備的，只要經(jīng)過二層的CPU轉(zhuǎn)發(fā)就可以了。：（1）先在四源綁定表中添加好綁定的數(shù)據(jù)。（3）再加上轉(zhuǎn)發(fā)該ARP報文的時候物理端口已經(jīng)知道該報文的物理端口號和VLAN ID號。經(jīng)過該確認(rèn)機(jī)制后，ARP會先與正確的表項做對比后再轉(zhuǎn)發(fā)，完美的解決了ARP攻擊的難題。理解了內(nèi)核原理之后，就知道如何使IP和MAC綁定的原理。本文在此基礎(chǔ)上做了創(chuàng)新，四源綁定機(jī)制在路由器上的實現(xiàn)從而完美的解決了防ARP攻擊和防ARP欺騙的功能。46浙江大學(xué)碩士學(xué)位論文 第6章 防DOS攻擊和防端口掃描攻擊的實現(xiàn)第6章 防DOS攻擊和防端口掃描攻擊的實現(xiàn) 基于Linux系統(tǒng)上的IDS的實現(xiàn) 入侵檢測系統(tǒng)防DOS攻擊和防端口掃描攻擊的實現(xiàn)，實際上就是實現(xiàn)一個IDS系統(tǒng)。中文的意思就是入侵檢測系統(tǒng)。 Linux系統(tǒng)中的netfilter/iptables模塊低端路由器為了控制成本，往往選擇免費的操作系統(tǒng)，Linux系統(tǒng)又是免費開源系統(tǒng)中最成熟的系統(tǒng)，所以本文以Linux系統(tǒng)為例實現(xiàn)IDS功能。該模塊實現(xiàn)了Linux系統(tǒng)的訪問控制功能。接下來就描述一下怎么樣在netfilter/iptables模塊上下發(fā)規(guī)則。Netfilter防火墻有三張規(guī)則表，分別是：filter、NET和mangle表。如：t filter/NAT/mangle。這三張表中又有內(nèi)建的規(guī)則鏈表。（2） FORWOED鏈表：報文經(jīng)過路由后，如果報文的目的地址是通往其他設(shè)備；那么報文需要經(jīng)過該鏈表的過濾，通過該鏈表之后，報文才會發(fā)出去。（4） PREROUTING鏈表：入站數(shù)據(jù)包，到路由做出決定前修改其目的地址。下面解釋一下netfilter/iptables模塊的一些常見參數(shù)的意義。m是filter表的匹配擴(kuò)展，用來表示匹配某項特殊的選項，等同于—match。N是創(chuàng)建新用戶的自定義規(guī)則鏈表P為內(nèi)建的規(guī)則鏈INPUT、OUTPUT FORWARD定義默認(rèn)路由。I就是insert插入一條規(guī)則到規(guī)則鏈表的頭部。D就是delect刪除規(guī)則鏈表中的規(guī)則?？梢哉fIDS模塊所有的功能實現(xiàn)上，都是通過netfilter/iptables機(jī)制來實現(xiàn)。來達(dá)到預(yù)定的目的。（2） 端口掃描的檢測需要從新根據(jù)特征設(shè)計一個netfilter/iptables模塊的portscan來實現(xiàn)相關(guān)功能。/*DOS攻擊數(shù)據(jù)描述*/define IDS_DOS_MAX 11define IDS_DOS_SYNFD 1define IDS_DOS_UDPFD 12define IDS_DOS_ICMPFD 13define IDS_DOS_SMUR 14define IDS_DOS_WINNUKE 15define IDS_DOS_IPSPOOING 16define IDS_DOS_FRAGMENT 17define IDS_DOS_TEARDROP 18define IDS_DOS_LAND 19define IDS_DOS_FRAGGLE 110define IDS_DOS_PINGOFDEATH 111 設(shè)置了改數(shù)據(jù)描述后，用戶配置的參數(shù)dos_val可以和移位的上述參數(shù)與，就可以得出是要下發(fā)哪一條規(guī)則。[16]函數(shù)名 ：ids_cfghandler該函數(shù)是IDS的配置處理函數(shù)，根據(jù)用戶的配置，下發(fā)相應(yīng)的iptables規(guī)則0 表示不匹配 1 表示匹配Int ids_cfghandler(void){/*如果開啟了防止DOS功能的開關(guān)，則設(shè)置相應(yīng)規(guī)則*/ if(dos_en==IDS_ENABLE){for(i=0。i++)val = ((1i)amp。/*判斷哪幾個標(biāo)志位已經(jīng)置位，則表示開啟相關(guān)功能，使用iptables下發(fā)規(guī)則 */Swich(val){case IDS_DOS_SYNFD 。case IDS_DOS_UDPFD。case IDS_DOS_ICMPFD ………省略…………break。case IDS_DOS_WINNUKE ………省略…………break。case IDS_DOS_FRAGMENT ………省略…………break。[17] 防端口掃描模塊的實現(xiàn)端口掃描模塊的主要功能是可以檢測出TCP SYN掃描，Stealth FIN, Xmas Tree, Null掃描，UDP掃描，并可以對這種掃描加