中低端路由器的攻击和防范硕士毕业论文(编辑修改稿)

中低端路由器的攻击和防范硕士毕业论文(编辑修改稿)内容摘要：

......37 表 Linux ARP 状态转化意义 ......................................................................40 图 Linux ARP 状态机 .................................................................................41 图 四源绑定原理图 ....................................................................................45 图 防端口扫描数据结构的组织关系 ........................................................51 图 防端口扫描命中函数流程图 ................................................................54 浙江大学硕士学位论文 目录 IV 表目录 表 Linux ARP 状态转化意义 ......................................................................40 浙江大学硕士学位论文 第 1 章 绪论 1 第 1章 绪论 课题背景 网络安全发展 TCP/IP 是现在 Inter 上使用的最流行的协议 之一 ，它 大概在 70 年代 的时候 被开发出来，并最终与 Linux 结合在一起，从那 时候 起，它就成为了 Inter的 标准 之一。 如 今 ，几乎所有 的 计算机都运行着某种形式的 TCP/IP 协议。 TCP/IP协议 可以在各种不同的硬件和操作系统上工作，因而利用 TCP/IP 可以迅速方便地创建一个网络 系统。 但是， 在 1966 年 Inter 刚刚 创 建 的时候 ， 当时的 创始者 没有对安全问题考虑的太多。 当时创建者注重的是网络的 通信 功能，因此Inter 和 TCP/IP 并没有被过多的考虑安全性 的 问题。 所以现 有 的安全机制被经常 拿来 修改以适应现有的网络和 TCP/IP 协议。 经过时间的推移，网络攻击的手段和技术也不断的更新，用户也对网络 设备 提出更高的要求， 网络设备 也要对这些攻击有 一定的防御 能力。 随着网络攻击手段的不断变化和发展，网络 设备 的防攻击能力也随之不断 的提高。 低端路由器安全问题 本论文主要研究如何在 低端 路由器 上实现一些预防网络攻击的模块，原来在一般的网络中 防攻击的功能都集中在高端的防火墙和 IDS 中，这些高端的设备功能极强，能防止网上能够很多的攻击手段。 所以在高端的组网中，网络的安全性往往较高。 但在低端的市场中，由于组网经费上的限制，设备和组网往往比较简单，不可能有专门的防火墙和入侵检测系统。 如：中小企业网和一般的网吧中只有一台简单的路由器和几台简单的交换机。 不会有专业的防火墙和IDS 这些贵重的设备，所以这些企业和小网吧经常受到各种网络的攻击，用户在网吧中频频掉线，网速大受影响。 如今，网络攻击的手段和技术也不断的更新，像当前比较流行的 ARP攻击的产生，迫使低端 的路由器也有防 ARP的一些功能。 浙江大学硕士学位论文 第 1 章 绪论 2 主要的工作和 方法 本文主要根据用户的需求对一些典型网络攻击进行了研究。 分析每一这种攻击的原理和方法， 并根据分析的结果，针对每一种典型的攻击手法，在 Liunx系统下实现 防攻击的模块。 并且分析当前的防攻击方法，提出改进方法。 本课题旨在通过 对需求和攻击的研究 ，根据 TCP/IP 的通信原理提出满足低端路由器防攻击的合理方案。 低端路由器防攻击需求 低端路由器的用户群体 低端路由器的市场十分广阔，包括中小企业、网吧、医院、大酒店、高校，甚至可以是家庭用户。 这些群体对于路由器的安全需求虽 然没有政府和电信机房的要求那么高，但是也有 对网络安全性的基本需求。 低端用户对防攻击的需求 中小企业：该组网主要完成企业内部协同工作交流，在内网内架设服务器，防止员工做一些有害网络的服务，防止恶意软件的 ARP 攻击，防止恶意黑客从外网发起的恶意攻击。 网吧：该组网情况下对防攻击要求更加高，即要防止内网恶意用户发起的攻击，又要兼顾外网恶意攻击核心路由器，导致核心路由器的瘫痪。 家庭用户：主要防止浏览有病毒的网站，防止外网对内网的一些攻击。 满足用户需求的路由器 防攻击 路由器必须满足用户需求。 针对以上三种用户的需 求，路由器的防攻击必须满足以下几点： （ 1）必须能防御内网攻击。 内网的攻击，针对网吧来说，最主要的就是 ARP攻击和 ARP 欺骗。 针对企业，除了防 ARP 以外，还要防止恶意用户接入内网造成危害。 （ 2）其次要能控制内网用户访问外网危险的服务。 控制网内用户的服务，必须浙江大学硕士学位论文 第 1 章 绪论 3 要用到访问控制列表 (ACL)，用该技术来严格控制报文。 （ 3）能防御外网发起的各种攻击。 外网发起的攻击主要是一些拒绝服务的攻击来消耗设备的 CPU,降低设备的性能，从而使设备不能转发正常的报文。 所以 路由器 要能识别异常的流量报文，当报文流量达到 路由器 规定的阀值时，就认为是攻击报文，从而达到保护设备的目的。 本文结构组织 第一章 ：绪论 主要描述了低端路由器防攻击的背景和现在尴尬的处境，本文要解决的防攻击的意义。 描述了用户对防攻击路由器的需求，本文研究的方法和要解决的问题。 第二章：数据通信领域安全的测试方法 分析网络攻击必须了解攻击报文和网络设备，本章就简单的从 TCP/IP 的角度描述了攻击报文的构造和网络设备的基本概念。 第三章：针对低端路由器的攻击 本章从客户需求分析 出用户主要想防范的典型的攻击： ARP 攻击、木马病毒和 DOS 攻击，详细的分析了各种 攻击的手法和原理。 第四章：访问控制控制用户访问 本章详细分析了 ACL访问控制列表技术。 通过该技术来实现网页访问的控制和用户接入的控制来防止用户访问不安全的网站受到木马的攻击。 第五章：低端路由器防 ARP 攻击的实现 详细分析了 Linux 系统中的 ARP 原理，在 Linux 系统下实现 IP/MAC 绑定原理。 提出 IP/MAC 绑定防 ARP 的缺陷，提出四源绑定机制来彻底防住 ARP 攻击。 第六章：防 DOS 攻击和防端口扫描攻击 在 Linux系统下实现防 DOS 攻击和防端口扫描攻击。 第七章：低端路由器防攻击总结 浙江大学硕士学位论文 第 1 章 绪论 4 对本文防攻击的 回顾，总结主要研究和创新，提出优点和不足，提出以后应该改进的方面。 本章小结 随着计算机技术的不断发展，人们对网络安全的要求越来越高，不单单那些大型的企业和政府需要有安全设备的保护，不受黑客的攻击。 普通的小企业和个人电脑用户也对自己的隐私和安全更加重视。 中小企业用户的需求也不能视而不见。 现在业界对低端的路由器也要求有基本的防攻击能力，一般的仅仅能进行报文快速转发的路由器已经不能满足用户的需求。 低端路由器的其他性能也在不断的向高端靠近，但在成本上却是要有严格的控制，在低成本的情况下做出高效的有安全模块的低端 路由器，几乎是每个通信公司努力的方向。 低端 设备 也要向更高的安全性方向发展。 浙江大学硕士学位论文 第 2 章 数据通信领域安全测试方法 5 第 2章 数据通信领域安全测试方法 网络安全测试 网络攻 击从根本上讲就是通过构造异常的报文来破环正常的一些报文通信规则，导致一些网络设备工作异常，不能转发正常的数据报文或者发出异常的数据报文。 在数据通信安全领域安全的测试方法归根到底也是要分析 异常的 数据报文 对网络设备的影响 ，所以对网络攻击的分析就是对攻击报文的分析 和对网络设备的影响。 所以接下来要讨论攻击报文的构造 和网络设备的概念。 报文构造 网络协议的分层思想 网络协议一般都按照不同的层次来 开发，各个层次都会有自己的功能和用处，每个层次也有不同的 协议族。 每个协议族都维护着各自的协议。 通信的时候，报文就经过一层层的解析，然后分析每一层的协议族来获取报文中的信息。 TCP/IP 协议族一般被分成四层协议系统 ： 4 应用层 3 运 输层 2 网络层 1 链路层 其中的每一层都有不同的功能和作用，一般也都有这一层的特殊协议 （ 1） 链路层 ： 有时也叫数据链路层或者接口层。 一般就是指操作系统中的设备驱动程序和计算机网卡等，它们往往通过电缆和光纤来传输类似 0101 的二进制代码，电缆通过电信号电频的高低来传 输，光纤就通过光信号来传输。 （ 2） 网络 层： 又叫互联网层，这层主要定义了一个报文的怎么样在网络中选路，怎么样在网络中走，应该送到哪个设备上去 ，应该做一些什么事情。 比如：这层最有名的协议就是 IP 协议了，它主要定义了源 IP 地址和目的 IP 地址，浙江大学硕士学位论文 第 2 章 数据通信领域安全测试方法 6 网络层主要通过该 IP 地址的信息来把报文从一个设备传输到另一个设备。 还有ICMP（互联网控制报文协议），这个协议最初主要是用来检测网络是否能正常通信的协议。 （ 3） 运输 层： 主要位 PC 机上的应用程序提供端到端的通信。 在 TCP/IP 协议族中一般就是指 TCP 协议（传输控制协议）和 UDP 协议（用户数据报协议）。 TCP 一般为 PC 之间提供可靠性极高的传输，是有连接的传输，在传输之前会先同过一些测试报文来把药传输的通道先连接起来，当传输通道连接起来以后再开始传输数据报文，而且当报文传输失败时，还会重传。 然而 UDP 相比 TCP 而言就是一个很简单的协议了 ，它只是负责把报文从一端传输到另外一段就可以了，是否传输失败或者丢包，它都不会去关心。 （ 4） 应用层 ： 这一层主要负责 PC 上各种应用程序的通信细节。 应用层最主要的就是端口号，一般的应用程序都是通过不同的端口号来进行相互的通信的，端口号可以从 0 到 65535。 比如 FTP 就是用 TCP 目的端口号 20和 21 来传输报文的，通过 20 端口来建立传输通道，当传输通道建立好了以后，再用 21端口来传输数据报文。 TFTP 就是用 UDP 目的端口号 69 来传输报文。 还有就是大名鼎鼎的 HTTP 协议， 用户 上网打开网页用的都是该协议，该协议就是通过TCP 的目的端口 80 来传输报文的，当 PC 接收到该报文后，把报文中的数据部分解析出来就是 HTML文件 ，所以 用户 在 PC 上就 打开 网页了。 [1] TCP 报文的结构 要想测试设备安全性，首先需要构造报文，尽管有些工具提供了报文构造的便捷途径，但是要做构造 大量的精确的报文，必须要掌握最基础的报文构造原理和方法，就拿构造一个 TCP 报文来说，因为 TCP 报文属于传输层报文，那么必须先构造一个链路层报文，然后在这个链路层报文的基础上加上一个网络层的包头形成三层的报文网络报文，最后在加上一个 TCP 包头，就成为了传输层的 TCP 报文。 [1]史蒂文斯 .TCP/IP 详解 [M].北京 :机械工业出版社 ， 20xx. 浙江大学硕士学位论文 第 2 章 数据通信领域安全测试方法 7 如何构造链路层报文，如图 该链路层报文包括目的 MAC 地址和源 MAC地址，该 MAC 地址是 6 位的长度，表示了网络上网卡的身份。 它就想链路层的身份证一样，表示了这张网卡的信息。 之后有两位是类型，该类型表示链路层上一层网络层的协议是什么，如果是 OX0800 就表示上层协议是 IP 协议，还有IPX 协议等。 目 的 地 址以 太 网 封 装 帧源 地 址 类 型 C R C 校 验66 24 1 5 0 0 图 链路层 报文层格式 构造好了二层报文，只要在其上加一个网络层的 IP 包头，就成了网络层的 IP 报文，至于 IP 数据报文格式，如图 所示。 4 位 版 本0 1 5 1 64 位 首 部 长度8 位 服 务 类 型（ T O S ）3 2 位 源 I P 地 址1 6 位 长 度 （ 字 节 数 ）1 3 位 片 位 移1 6 位 标 志1 3 位 标 志8 位 生 存 时 间（ T T L ）8 位 协 议 1 6 位 首 部 检 验 和3 2 位 目 的 I P 地 址选 项数 据3 1 图 IP 数据报文格式及首部中的各个字段 浙江大学硕士学位论文 第 2 章 数据通信领域安全测试方法 8 4 位版本：目前 业界 用的最广泛的是 IPV4，就是第四版本的意思，但随着网络中的 IP 地址越来越不够用了，所以以后 IPV6，就是第六版本的 IP 会出现，会来克服 IPV4 地址不足的问题。 4 位首部。