1、上海电机学院上海电机学院课程设计报告课程设计报告课程名称: 计算机网络安全 课题名称: DDOS 攻击与防范技术原理 姓 名: 苏 瀚 班 级: BX1009 学 号: 101003200921 指导老师: 熊鹏 报告日期: 2013 年 06 月 27 日 电 子 信 息 学 院第 0 页上海电机学院实训 /课程设计任务书课程名称 网络安全课程设计 课程代码 033208C1实训/课程设计课题清单1ARP 协议原理攻击及防范技术2DHCP 协议攻击及防范技术3DDOS 攻击与防范技术原理4ACL 包过滤技术应用5. CAM 表攻击与防范技术6. TCP SYN 攻击与防范技术7. 网络设备终
2、端登录原理与安全管理8. 组建高弹性冗余网络设计时间 2013 年 06 月 24 日 2013 年 06 月 28 日一、实训/ 课程设计任务汇总1. 课题分配-23 人一组。2. 最终提供的主操作界面应该方便用户的操作。3. 最后提交的课程设计成果包括:a) 课程设计报告打印稿。b) 课程设计报告电子稿。c) 小组课程设计报告打印稿d) 小组课程设计报告电子稿e) 源程序文件(电子稿)。f) 可执行程序文件。 (电子稿)二、对实训/课程设计成果的要求(包括实训 /课程设计报告、图纸、图表、实物等软硬件要求)分析课程设计题目的要求;写出详细的需求分析;根据功能需求,写出详细的设计说明;(包括
3、工作原理)编写程序代码(有必要的注释) ,调试程序使其能正确运行;设计完成的软件要便于操作和使用,有整齐、美观的使用界面;设计完成后提交课程设计报告(按学校要求装订)和源代码文件的电子文档。报告需要交电子版和打印版,源程序交电子版。第 1 页三、实训/ 课程设计工作进度计划:选择课程设计题目,分析课题的要求,确定需求分析;确定设计方案;第二天 编写详细设计说明;绘制程序流程图;编写与调试程序;第三天 测试系统功能,写课程设计报告; 第四天 交课程设计报告(打印稿及电子稿) ; 第五天 面试或答辩。四、主要参考资料:1 计算机网络安全教程(第二版) 梁亚声 机械工业出版社 2008 年 7 月2
4、 Cisco Press - CCNA Security Official Exam Certification Guide 20123 CCNP.Security.Secure.642-637.Official.Cert.Guide).Sean.Wilkins&Trey.Smith 2011摘要:计算机网络的发展,特别是 Internet 的发展和普及应用,为人类带来了新的工作、学习和生活方式,使人们与计算机网络的联系越来越密切。计算机网络系统提供了丰富的资源以便用户共享,提高了系统的灵活性和便捷性,也正是这个特点,增加了网络系统的脆弱性、网络受威胁和攻击的可能性以及网络的复杂性。分布式拒绝
5、服务(DDoS:Distributed Denial of Service)攻击借助于客户/服务器技术,将多个计算机联合起来作为攻击平台,对一个或多个目标发动 DoS 攻击,从而成倍地提高拒绝服务攻击的威力。通常,攻击者使用一个偷窃帐号将 DDoS 主控程序安装在一个计算机上,在一个设定的时间主控程序将与大量代理程序通讯,代理程序已经被安装在 Internet 上的许多计算机上。代理程序收到指令时就发动攻击。利用客户/服务 器技术,主控程序能在几秒钟内激活成百上千次代理程序的运行。关键字:DDOS, ICMP Flood, UDP Flood, CAR第 2 页目录摘要: .2一、需求分析 .
6、41.1 课设背景 .4二、DDOS 攻击技术 .52.1 简述 DDOS 攻击技术 52.1.1 DOS 攻击概述 52.1.2DDOS 攻击概述 .52.2 DDOS 攻击原理与表现形式 .62.3 DDOS 攻击方式 .72.3.1 ICMP Flood 攻击技术 .72.3.2 UDP Flood 攻击技术 .72.3.3 其他攻击技术 82.4 DDOS 攻击工具 .92.4.1 LOIC 92.4.2 engage packetbuilder .92.4.3 其他辅助工具 102.5 具体实验操作与结果 .102.5.1 实验结构图与流程图 102.5.2 UDP flood 攻击
7、 .112.5.3 ICMP flood 攻击 .13三、DDOS 防御技术 .163.1 简述 DDOS 防御技术 .163.2 防御原理 173.2.1 CAR 173.2.2 uRPF.173.3 利用 CAR 进行 DDOS 防御实验实际操作与结果 18四、遇到的问题与解决 .21五、小结 .22参考文献 .23第 3 页一、需求分析随着 Internet 的迅猛发展,网络与信息安全问题日益突出。病毒肆虐、网络犯罪、黑客攻击等现象时有发生,严重危及我们正常工作。据国际权威机构统计,全球每年因网络安全问题带来的损失高达数百亿美元。网络上的恶意攻击实际上就是寻找一 切可能存在的网络安全缺陷
8、来达到对系统及资源的 损害,从而达到恶意的目的。分布式拒绝服务攻击 (以下称 DDOS) 就是从 1996 年出现,在中国 2002 年开始频繁出现的一种攻击方式。分布式拒绝服务攻击(DDOS 全名是 Distribut- ed Denial of service),DDOS 攻击手段是在传统的 DoS 攻击基础之上产生的一类攻击方式。单一的 DOS 攻击一般是采用一对一方式的,当攻击目标 CPU 速度低、内存小或者网络带宽小等等各项性 能指标不高它的效果是明显的。1.1课设背景随着计算机与网络技术的发展,计算机的处理能力迅速增长,内存 大大增加,同时也出现了千兆级别的网络,这使得 DOS 攻
9、击的困难程度加大了,目标对恶意攻击包的 “ 消化能力 “ 加强了不少,例如:你的攻击软件 每秒钟可以发送 4000 个攻击包,但我的主机与网 络带宽每秒钟可以处理 20000 个攻击包,这样一来 攻击就不会产生什么效果。 分布式拒绝服务攻击使用了分布式客户服务器 功能,加密技术及其它类的功能,它能被用于控制任 意数量的远程机器,以产生随机匿名的拒绝服务攻 击和远程访问。为了有效防范网络入侵和攻击,就必 须熟悉网络入侵和攻击的手段和原理,在此基础上 才能制定行之有效的防范对策和防御措施,从而确 保网络信息的安全。本次实验要求是先进行 DDOS 的 UDP Flood 和 ICMP Flood 的
10、攻击,再利用GNS3 和虚拟机进行 DDOS 攻击的防御,第 4 页二、DDOS 攻击技术2.1简述 DDOS攻击技术2.1.1 DOS攻击概述在了解 DDOS 之前,首先我们来看看 DOS,DOS 的英文全称是 Denial of Service,也就是“拒绝服务”的意思。从网络攻击的各种方法和所产生的破坏情况来看,DOS 算是一种很简单但又很有效的进攻方式。它的目的就是拒绝你的服务访问,破坏组织的正常运行,最终它会使你的部分 Internet 连接和网络系统失效。DOS 的攻击方式有很多种,最基本的 DOS 攻击就是利用合理的服务请求来占用过多的服务资源,从而使合法用户无法得到服务。DOS
11、 攻击的原理如图 1 所示。图 1 DOS 攻击原理从图 1 我们可以看出 DOS 攻击的基本过程:首先攻击者向服务器发送众多的带有虚假地址的请求,服务器发送回复信息后等待回传信息,由于地址是伪造的,所以服务器一直等不到回传的消息,分配给这次请求的资源就始终没有被释放。当服务器等待一定的时间后,连接会因超时而被切断,攻击者会再度传送新的一批请求,在这种反复发送伪地址请求的情况下,服务器资源最终会被耗尽。2.1.2DDOS攻击概述DDOS(分布式拒绝服务) ,它的英文全称为 Distributed Denial of Service,它是一种基于 DOS 的特殊形式的拒绝服务攻击,是一种分布、协
12、作的大规模攻击方式,主要瞄准比较大的站点,像商业公司,搜索引擎和政府部门的站点。从图 1 我们可以看出 DOS 攻击只要一台单机和一个 modem 就可实现,与之不同的是 DDOS 攻击是利用一批受控制的机器向一台机器发起攻击,这样来势迅第 5 页猛的攻击令人难以防备,因此具有较大的破坏性。DDOS 的攻击原理如图 2 所示。图 2 DDOS 攻击原理从图 2 可以看出,DDOS 攻击分为 3 层:攻击者、主控端、代理端,三者在攻击中扮演着不同的角色。1、攻击者:攻击者所用的计算机是攻击主控台,可以是网络上的任何一台主机,甚至可以是一个活动的便携机。攻击者操纵整个攻击过程,它向主控端发送攻击命
13、令。2、主控端:主控端是攻击者非法侵入并控制的一些主机,这些主机还分别控制大量的代理主机。在主控端主机上安装了特定的程序,因此它们可以接受攻击者发来的特殊指令,并且可以把这些命令发送到代理主机上。3、代理端:代理端同样也是攻击者侵入并控制的一批主机,它们上面运行攻击器程序,接受和运行主控端发来的命令。代理端主机是攻击的执行者,真正向受害者主机发起攻击。攻击者发起 DDOS 攻击的第一步,就是寻找在 Internet 上有漏洞的主机,进入系统后在其上面安装后门程序,攻击者入侵的主机越多,他的攻击队伍就越壮大。第二步在入侵主机上安装攻击程序,其中一部分主机充当攻击的主控端,一部分主机充当攻击的代理
14、端。最后各部分主机各施其职,在攻击者的调遣下对攻击对象发起攻击。由于攻击者在幕后操纵,所以在攻击时不会受到监控系统的跟踪,身份不容易被发现。2.2 DDOS攻击原理与表现形式DDOS 攻击的表现形式主要有两种,一种为流量攻击,主要是针对网络带宽第 6 页的攻击,即大量攻击包导致网络带宽被阻塞,合法网络包被虚假的攻击包淹没而无法到达主机;另一种为资源耗尽攻击,主要是针对服务器主机的攻击,即通过大量攻击包导致主机的内存被耗尽或 CPU 被内核及应用程序占完而造成无法提供网络服务。2.3 DDOS攻击方式本次实验利用 ICMP Flood 和 UDP Flood 进行攻击。2.3.1 ICMP Fl
15、ood攻击技术ICMP Flood 的攻击属于流量型攻击方式,利用大的流量给服务器带来较大的负载,影响服务器正常运行。ping 使用的是 echo 应答,ping 的速度很慢仅为 1-5包/秒,事实上 ICMP 本身并不慢(由于 ICMP 是 SOCK_RAW 产生的原始报文,速度比 SOCK_STREAM 的 SYN 和 SOCK_DGRAM 的 UDP 要快几乎 10 倍!) ,这样的速度是 ping 程序故意延迟的。并且必须等待目标主机返回 REPLAY 信息,这个过程需要花费大量的时间。而 Flood洪水,是速度极快的,当一个程序发送数据包的速度达到了每秒 1000 个以上,它的性质就
16、成了洪水产生器,洪水数据是从洪水产生器里出来的。但这样还不够,没有足够的带宽,再猛的洪水也只能像公路塞车那样慢慢移动,成了鸡肋。要做真正的洪水,就需要有一条足够宽的高速公路才可以。ICMP flood 攻击分为三种方式:1.直接 flood。直接使用自己的机器去攻击别人,这要求有足够的带宽。直接攻击会暴露自己 IP 地址,一般不常见。2.伪造 IP 的 Flood。它随意伪造一个 IP 来 flood。属于比较隐蔽阴险的 flood。3.反射。用采取这种方式的第一个工具的名称来命名的“Smurf”洪水攻击,把隐蔽性又提高了一个档次,这种攻击模式里,最终淹没目标的洪水不是由攻击者发出的,也不是伪
17、造 IP 发出的,而是正常通讯的服务器发出的。Smurf 方式把源 IP 设置为受害者 IP,然后向多台服务器发送 ICMP 报文(通常是 ECHO 请求) ,这些接收报文的服务器被报文欺骗,向受害者返回 ECHO 应答(Type=0) ,导致垃圾阻塞受害者的门口。第 7 页2.3.2 UDP Flood 攻击技术UDPFlood 是日渐猖厥的流量型 DoS 攻击,原理也很简单。常见的情况是利用大量 UDP 小包冲击 DNS 服务器或 Radius 认证服务器、流媒体视频服务器。100k pps 的 UDPFlood 经常将线路上的骨干设备例如防火墙打瘫,造成整个网段的瘫痪。由于 UDP 协议
18、是一种无连接的服务,在 UDPFLOOD 攻击中,攻击者可发送大量伪造源 IP 地址的小 UDP 包。但是,由于 UDP 协议是无连接性的,所以只要开了一个 UDP 的端口提供相关服务的话,那么就可针对相关的服务进行攻击。正常应用情况下,UDP 包双向流量会基本相等,而且大小和内容都是随机的,变化很大。出现 UDPFlood 的情况下,针对同一目标 IP 的 UDP 包在一侧大量出现,并且内容和大小都比较固定。2.3.3其他攻击技术1 SYN/ACK Flood 攻击这种攻击方法是经典最有效的 DDOS 方法,适用于各种系统的网络服务,主要是通过向受害主机发送大量伪造源 IP 和源端口的 SY
19、N 或 ACK 包,导致主机的缓存资源被耗尽或忙于发送回应包而造成拒绝服务,由于源都是伪造的,所以追踪起来比较困难,缺点是实施起来有一定难度,需要高带宽的僵尸主机支持。少量的这种攻击会导致主机服务器无法访问,但却可以 Ping 通,在服务器上用 Netstat -na 命令会观察到存在大量的 SYN_RECEIVED 状态,大量的这种攻击会导致 Ping 失败、TCP/IP 栈失效,并会出现系统凝固现象,即不响应键盘和鼠标。2 TCP 全连接攻击这种攻击是为了绕过常规防火墙的检查而设计的,一般情况下,常规防火墙大多具备过滤 TearDrop、Land 等 DOS 攻击的能力,但对于正常的 TC
20、P 连接是放过的,殊不知很多网络服务程序(如:IIS、Apache 等 Web 服务器)能接受的 TCP 连接数是有限的,一旦有大量的 TCP 连接,即便是正常的,也会导致网站访问非常缓慢甚至无法访问,TCP 全连接攻击就是通过许多僵尸主机不断地与受害服务器建立大量的 TCP 连接,直到服务器的内存等资源被耗尽而被拖跨,从而造成拒绝服务,这种攻击的特点是可绕过一般防火墙的防护而达到攻击目的,缺点是需要找很多僵尸主机,并且由于僵尸主机的 IP 是暴露的,因此容易被追踪。3 刷 Script 脚本攻击第 8 页这种攻击主要是针对存在 ASP、JSP、PHP、CGI 等脚本程序,并调用MSSQLSe
21、rver、MySQLServer、Oracle 等数据库的网站系统而设计的,特征是和服务器建立正常的 TCP 连接,并不断的向脚本程序提交查询、列表等大量耗费数据库资源的调用,典型的以小博大的攻击方法。一般来说,提交一个 GET 或POST 指令对客户端的耗费和带宽的占用是几乎可以忽略的,而服务器为处理此请求却可能要从上万条记录中去查出某个记录,这种处理过程对资源的耗费是很大的,常见的数据库服务器很少能支持数百个查询指令同时执行,而这对于客户端来说却是轻而易举的,因此攻击者只需通过 Proxy 代理向主机服务器大量递交查询指令,只需数分钟就会把服务器资源消耗掉而导致拒绝服务,常见的现象就是网站
22、慢如蜗牛、ASP 程序失效、PHP 连接数据库失败、数据库主程序占用 CPU 偏高。这种攻击的特点是可以完全绕过普通的防火墙防护,轻松找一些 Proxy 代理就可实施攻击,缺点是对付只有静态页面的网站效果会大打折扣,并且有些 Proxy 会暴露攻击者的 IP 地址。2.4 DDOS攻击工具DDOS 攻击实施起来有一定的难度,它要求攻击者必须具备入侵他人计算机的能力。但是很不幸的是一些傻瓜式的黑客程序的出现,这些程序可以在几秒钟内完成入侵和攻击程序的安装,使发动 DDOS 攻击变成一件轻而易举的事情。本次是进行一次简单的实验,所有简单地利用了以下几个工具。2.4.1 LOIC利用傻瓜软件就可以发
23、动 DDoS 攻击的话,为什么还要付费呢?来自系统管理、网络和安全协会互联网风暴中心的消息显示,在这波针对商业公司发起的DDoS 攻击浪潮中,人们开始使用低轨道离子加农炮(Low Orbit Ion Cannon,以下简称 LOIC),一种开源的 DoS 攻击工具来对卡或者维萨卡网站的端口进行攻击。使用者要做的事情仅仅就是用鼠标点击一下,攻击就正式开始了。 LOIC 是一个功能非常强大的工具。它可以使用大规模的垃圾流量对目标网站实施攻击,从而耗尽网络资源,导致网络崩溃,无法提供服务。本次实验利用该工具进行 UDP Flood 攻击操作。2.4.2 engage packetbuilder一个运
24、行在 windows 下的使用 LibNet 和 LibPcap 进行发报测试的工具,具第 9 页有一个简单易用的 gui 界面,可以完全定制各种类型的数据包,并且支持脚本自动发送。是测试 IDS/防火墙的好工具。本次实验利用该工具进行 ICMP Flood 攻击操作。2.4.3其他辅助工具在本次实验中,为了方便利用 DDOS 技术进行的攻击,我们使用了wireshark 进行流量包的检测,可以区别出 ICMP Flood 和 UDP Flood 攻击。2.5具体实验操作与结果本次 DDOS 攻击实验利用了两种工具进行 ICMP Flood 和 UDP Flood 攻击,实验中使用四个主机进行
25、攻击网关测试主机 PC5 地址: 192.168.82.24本主机 PC4 地址: 192.168.82.15网关地址是:192.168.82.2512.5.1实验结构图与流程图结构图:流程图:第 10 页2.5.2 UDP flood攻击1.攻击前,PC5 对网关进行 Ping 操作,确保成功连接并查看延时状况第 11 页2.四台主机同时对网关进行 UDP Flood 攻击操作,下图是我的主机操作:3.在进行攻击时,PC5 再进行 Ping 网关操作第 12 页4.发现延迟很高,大部分是请求超时,表现出攻击成功。2.5.3 ICMP flood攻击1.攻击前,PC5 对网关进行 Ping 操
26、作,确保成功连接并查看延时状况。2.四台主机同时对网关进行 ICMP Flood 攻击操作,下图是我的主机操作:第 13 页3.在进行攻击时,PC5 再进行 Ping 网关操作第 14 页4.发现延迟很高,或者干脆请求超时,表现出攻击成功。两次攻击都很好地完成。第 15 页三、DDOS 防御技术3.1 简述 DDOS防御技术对付 DDOS 是一个系统工程,仅仅依靠某种系统或产品防范 DDOS 是不现实的,可以肯定的是,完全杜绝 DDOS 攻击,目前是不可能的,但通过适当的措施抵御 90%的 DDOS 攻击是可以做到的,基于攻击和防御都有成本开销的缘故,若通过适当的办法增强了抵御 DDOS 的能
27、力,也就意味着加大了攻击者的攻击成本,那么绝大多数攻击者将无法继续下去而放弃,也就相当于成功的抵御了 DDOS 攻击。本次实训,老师还向我们介绍了 policing and shaping。简单的说就是管制和整形:管制和整形的作用是识别流量违约并做出响应。管制和整形使用同样的算法识别流量违约,但是做出的响应不同。管制工具对流量违约进行即时检查,发现违约后立即采取设定的动作进行处理。例如,管制工具可以确定负载是否超出了定义的流量速率,然后对超出部分的流量进行重新标记或者直接丢弃。管制工具可以应用在入接口和出接口上。整形工具是一个与排队机制一起工作的流量平滑工具。整形的目的是将所有的流量发送到同一
28、个接口,并且控制流量永远不超出指定的速率,使流量平滑地通过该接口发送出去。整形工具只可以应用在出接口上。管制与整形相比较,具有以下区别,参见表 22-3。表 22-2:管制与整形比较管制 policing 整形 shaping由于包被丢弃,引起 TCP 重传 通常延迟流量,很少引起 TCP 重传不灵活和不可适应 通过排队机制来适应网络拥塞入接口和出接口工具 出接口工具没有缓存的速率限制 有缓存的速率限制下图能明显显示出 2 种不同的流量限制。第 16 页3.2 防御原理3.2.1 CAR使用 CAR(Control Access Rate)功能限制流速率。如果管理员发现网络中存在DDoS 攻击
29、,并通过 Sniffer 或者其它手段得知发起 DDoS 攻击的数据流的类型,然后可以给该数据流设置一个上限带宽,这样超过了该上限的攻击流量就被丢弃,可以保证网络带宽不被占满。3.2.2 uRPFURPF(Unicast Reverse Path Forwarding,单播反向路径转发)的主要功能是用于防止基于源地址欺骗的网络攻击行为。源地址欺骗攻击为入侵者构造出一系列带有伪造源地址的报文,对于使用基于 IP 地址验证的应用来说,此攻击方法可以导致未被授权用户以他人身份获得访问系统的权限,甚至是以管理员权限来访问。即使响应报文不能达到攻击者,同样也会造成对被攻击对象的破坏。如图 1 所示,在
30、Router A 上伪造源地址为 2.2.2.1/8 的报文,向服务器 Router B 发起请求,Router B 响应请求时将向真正的 “2.2.2.1/8”发送报文。这种非法报文对 RouterB 和 Router C 都造成了攻击。URPF 技术可以应用在上述环境中,阻止基于源地址欺骗的攻击。第 17 页3.3 利用 CAR进行 DDOS防御实验实际操作与结果1.本次 CAR 防范是利用 GNS3 进行实验的,首先在 GNS3 中铺设结构,将本地物理网卡配置到 C 1,将虚拟网卡 VMnet1 配置到 C2 上,对 R1 两个端口进行配置:F0/0: 192.168.82.144F0/
31、1: 192.168.100.144配置好后,如下图所示,2.打开虚拟机,选好网卡,运行 cmd,ping 192.168.100.144,能够成功 ping 通。第 18 页Ping 192.168.82.144,也能成功 ping 通。3.在 GNS3 中的路由器上输入限速命令,并将其应用至 f0/1 端口。4.配置后在虚拟机中 Ping 192.169.82.144 -t 未发现丢包现象,在 R1 中特权模式下show interfaces rate-limit,未出现丢包现象。第 19 页4.配置后进行 ping 192.168.82.144 t l 3100,由于之前的限速配置时将限
32、制在1500Byte,偶尔允许 2000Bype 通过。但这里是 3100,所以出现大量丢包。限速后,在 GNS3 中 R1 输入 show interfaces rate-limit,出现丢包现象如下图所示。第 20 页由上可知,本次防范实验成功完成。四、遇到的问题与解决1.在虚拟机中,无法 ping 到相应网关。解决:在虚拟机上为选择相应虚拟网卡,之后在老师指导下才知道.2.刚开始时,由于老师演示过快,我们没记住怎么进行 icmp flood 攻击解决:在老师再次讲解下,我们会使用 engage packetbuilder 工具。3.在防范实验中,使用 GNS3 时,无法将路由器拖拽进实验
33、板。解决:因为在刚刚打开 GNS3 时没将相应 IOS 导入 gns3 中,之后导入后,可以将路由器拖入,但是还是忘记开启路由器了,经过很多次的操作,终于能正确地使用 GNS3。4.CAR 防范时,无法导入虚拟机的虚拟网卡解决:因为虚拟网卡被禁用,之前没注意。第 21 页五、小结通过这次课程设计我们懂得了理论与实际相结合的重要性,只有理论知识是远远不够的,只有把所学的理论知识与实践相结合起来,才能提高自己的实际动手能力和独立思考的能力。在设计的过程中遇到问题,可以说得是困难重重,这毕竟第一次做的,难免会遇到过各种各样的问题,同时在设计的过程中发现了自己的不足之处。对所学的知识理解得不够深刻,掌
34、握得不够牢固,比如说对 engage packetbuilder 工具的应用,以及 Smurf 攻击等边边角角的零碎但都很重要的知识通过这次课程设计之后,学到了很多新的知识,对 DoS 与DDoS 的区别有了认识,以及 DDoS 攻击的攻击原理有了非常准确的把握,能够比较清楚的对其工作原理进行描述,了解其攻击工作机制。网络攻击与防御技术是我们对所学专业建立感性认识、巩固所学理论知识、培养专业技能和实际工作能力的重要环节。通过课程的学习,可加强防范对信息资源的非法访问和抵御黑客的袭击,提高抗威胁能力,最大限度的减少或避免因信息泄露、破坏等安全问题所造成的经济损失及对其形象的影响。使我们了解本专业实际的知识,培养我们理论联系实际及初步的独立工作能力,为今后从事信息安全相关工作打下基础。第 22 页参考文献1. 计算机网络安全教程 (第二版) 梁亚声 机械工业出版社 2008 年 7 月2. Cisco Press - CCNA Security Official Exam Certification Guide 20123. CCNP.Security.Secure.642-637.Official.Cert.Guide).Sean.Wilkins&Trey.Smith 2011
