1、毕 业 设 计 (论 文 )题 目 网络安全与防范在校园网中的应用英文题目 The application of network security and protection in campus network 学生姓名 谢业仲 学 号 07119420 专 业 计算机网络技术与应用 学 院 东华理工大学国际教育学院 指导教师 游胜玉 职称 助教 二零一零年五月 东华理工大学国际学院毕业设计(论文) 摘要I摘 要随着近年来高校信息化建设的开展,各高校的校园网络获得了巨大的发展。各高校校园网的网络基础设施得到了更新,也使的校园网规模得以扩大并覆盖整个校园,校园网技术得到了升级,不断部署各种校园
2、网应用系统。通过科研需求、教学应用、网络办公、网上娱乐等方面,网络应用逐渐渗透到了校园生活的方方面面。网上办公,上网备课,网上教学,网上搜索、学习,接收邮件,网络聊天,游戏娱乐,购物,校园用户联网的时间一天天延长。本文根据校园网的安全需求,给出了校园网安全的解决方法。主要从校园网的物理安全,TCP/IP 协议安全,以及来自校园网内部和外部网络攻击着手,列举相关的安全威胁并提出相应的解决方案。本文研究的主要内容如下:分析当前校园网的建设情况,校园网采用的技术,建设模式,校园网的典型应用服务,校园网的日常管理。分析当前网络尤其是校园网络面对的安全威胁,以及这些威胁和攻击的分类,分析了 TCP/IP
3、 协议的一些与生俱来的安全缺陷。分析了当前的网络安全技术,包括:防火墙技术,VPN, VLAN,策略路由和路由策略的区别及其在安全上的应用,加密技术等网络安全技术。关键词:校园网;网络安全;网络威胁;安全策略;安全技术东华理工大学国际学院毕业设计(论文) ABSTRACTIIABSTRACTwith theses recent years, various campus network has obtained the Huge development opportunity。 various campus network infrastructure obtain the chance of
4、 update, also make our campus networks scale to expand and to cover the entire campus. The campus network technology obtained the promotion, and each kind of campus network application system has been depioyed. Through scientific research demand, teaching application, online work, online entertainme
5、nt and so on, the network application gradually influence every aspects of the campus life. The online network, online studies, receive email, online chats, online game and entertainment, online shopping, the time of the campus user is more and more。This article according to the requirements of camp
6、us security, has given the campus security solutions. Mainly from the campus nets physical security, the TCP/IP agreement security, as well as the campus nets internal and the external network attack, to list the related security threat and to propose the corresponding solution. The main content of
7、this article is as follows:Analysis the current solution of campus network construction, campus network technology, construction pattern, campus network typical application, campus network daily management.Analysis the current network threat especially the campus network, as well as these threats an
8、d attacks solution, also has analyzed the shortages of TCP/IP protocols that was borned.Has analysis the current network security technology, Including: Firewall technology, IDS,VLAN, differences between strategy routing and routing policyand in network security application. network security, encryp
9、tion technology and so on。Keywords:Campus Network; Network Security; Network Threat; Security Policy; Security Technology东华理工大学国际学院毕业设计(论文) 目录III目 录绪论 11 校园网安全简介 .31.1 校园网特点 .31.2 校园网在国内外现状 31.2.1 国外现状 31.2.2 国内现状 31.3 校园网安全目标 42 校园网面对的安全威胁 .62.1 物理安全 .62.1.1 自然威胁 .62.1.2 人为威胁 72.2 TCP/IP 的安全性分析 .72
10、.3 内网攻击分析 92.3.1 ARP 攻击 .92.3.2 网络监听 .92.3.3 蠕虫病毒攻击 .112.3.3.1 蠕虫病毒攻击原理 .112.4 外网攻击分析 112.4.1.DOS 攻击 .112.4.2 外部 IP 地址欺骗 123 校园网系统安全的防范 .133.1 物理安全防范 .133.1.1 自然威胁的防范 .133.1.2 人为威胁的防范 .133.2 TCP/IP 安全防范 .143.2.1 对 ICMP 攻击的防范 143.3 基于内网的安全防范 15东华理工大学国际学院毕业设计(论文) 目录IV3.3.1 ARP 的防范 .153.3.2 网络监听的防范 .16
11、3.3.3 蠕虫病毒的防范 .173.4 基于外网的安全防范 .193.4.1 DOS 攻击防范 .193.4.2 外部 IP 地址欺骗攻击的防范 20结论与展望 22致 谢 23参考文献 24东华理工大学国际学院毕业设计(论文) 绪论1绪论校园网的普及和近年来的迅猛发展,对学校实现管理网络化和教学手段现代化,提高学校的管理水平和教学质量,丰富师生业余生活,发挥了积极的作用。但是,校园网具有开放性、互联性和共享性的特点,因此不可避免地受到病毒、黑客、恶意软件和其他不轨行为的安全威胁和攻击,校园网数据丢失、系统被攻击修改、网络瘫痪的事情时有发生。尤其值得注意的是,高校校园网内部有些人员的计算机相
12、关技术水平非常高,甚至超乎管理人员的想像,据统计 80%对校园网的攻击来自于校园网内部。高校校园网的安全环境可以用“内外交迫”来形容。在这种情况下,如何构建高校校园网安全屏障,保证网络的安全、稳定、高效地运行,同时又能提供丰富的网络资源,达到办公、教学以及学生上网的多种需求成为高校必须面对的问题。要达到安全,稳定,高效的校园网目的,高校的网络建设和管理机构应该采取什么办法。一般高校都会采取自己设计或者邀请集成商一起来设计校园网的安全解决办法,但是当前很多高校都处于网络基础设施刚建好或正在扩展,并处于大规模的应用建设阶段,所以对校园网整体的安全解决办法考虑较少。那么随着网络威胁的临近,和网络重要
13、性的体现,校园网建设者和管理者将不得不面对校园网的整体安全解决方法问题。本文分析的意义有:网络安全问题涉及到众多的网络安全技术:VLAN、ACL、防火墙技术、入侵检测技术、内容过滤技术、数据备份技术、加密与认证技术等安全技术。本课题的分析有助于高校的网络管理、设计、维护人员了解当前校园网络安全所涉及的网络安全技术,并为大家利用这些技术为校园网安全服务打下坚实基础。本课题分析了当前计算机网络所面临的网络安全威胁,并对这些威胁进行了分类,这使各大高校的网络技术相关人员可以了解到校园网所面对的网络威胁,将提高大家对校园网安全的认识,强化起大家的安全意识。校园网络安全负责和管理人员可以采用本课题所提出
14、的校园网络安全策略设计方法以及实施方案,来制定适合各自学校校园网具体情况的网络安全策略。校园网是一个专用网,它有自己的网络边界、网络核心、网络汇聚模块、网络接入模块、DMZ 对外服务模块、内部服务和管理模块。一些其他的如企业专用网络或单位网络也有近似结构,并且多是采用同样的 1000M 以太网技术,因此本课题的分析结果不仅适用于高校校园网络,其他如企业网之类的网络也是适用的。本文的探讨目的就是在分析网络安全技术,分析校园网面对的威胁和校园网体系结构特点的基础上,分析并提出校园网安全策略的设计办法。本文探讨的内容有:东华理工大学国际学院毕业设计(论文) 绪论2探讨了当前计算机网络面对的主要安全问
15、题,并对其进行了分类。介绍了网络设备面对的物理安全和逻辑安全问题,进一步对网络及设备面对的各种逻辑威胁进行了进一步分析和介绍,同时简单分析了 TCP/IP 协议的安全性。探讨了 TCP/IP 五层参考模型,与网络安全相关的理论和安全技术:加密技术,认证技术,防火墙技术,访问控制技术,入侵检测技术,VPN 技术,ACL,VLAN ,路由技术。探讨了校园网的网络体系结构,分析了校园网络体系结构的特点。东华理工大学国际学院毕业设计(论文) 校园网安全简介31 校园网安全简介1.1 校园网特点随着 21 世纪的来临,人类社会的高度国际化、信息化使现代教育面临一系列的改革。尤其是多媒体计算机在教育教学过
16、程中的应用越来越普遍,使校园网络建设成为教育信息化发展的必然趋势。因此,当前各大、中小学的校园网建设项目便纷纷上马。相比而言,高校校园网的建设走得要更快一些。高校校园网在发展过程逐步形成了自身特点:(1)校园网的速度快和规模大(2)校园网中的计算机系统管理比较复杂(3)活跃的用户群体(4)开放的网络环境(5)有限的投入(6)盗版资源泛滥1.2 校园网在国内外现状1.2.1 国外现状据调查 2004 年专门针对美国政府网站的非法入侵事件发生了 5.4 万件,2005年升至 7.9 万件。被入侵的政府网站包括国防部、国务院、能源部、国土安全部等重要政府职能部门。在被调查的 7072 家单位网络中,
17、有 58%曾在 2004 年遭到过攻击。这些单位包括金融机构和国防、商贸、能源和电信等政府部门。 因此,网络与信息安全方面的研究是当前信息行业的研究重点。在国际上信息安全研究已成体系,20 世纪 70 年代就已经开始标准化。当前有多个国际组织致力于网络与信息安全方面的研究。随着信息社会对网络依赖性的不断增加以及 911 等突发事件的出现,以美国为首的各个国家在网络与信息安全方面都在加速研究。1.2.2 国内现状国内经济的快速发展为我们高校的发展提供了有力的财政支持,网络与信息技术的进步为我们校园网的建设提供了技术保障。近年来高校合并,扩大办学规模迅速展开,我们的校园网建设也是一天也没有停止,扩
18、大校园网覆盖范围,连接各个大学校区,更新基础设施,建设应各种校园网应用。现在国内的高校正在开展东华理工大学国际学院毕业设计(论文) 校园网安全简介41000M 或 10000M 以太校园网的建设,同时也在大规模展开校园网信息服务建设,这些建设很少甚至根本没有去考虑网络安全、稳定的因素。国内在 80 年代末就制定了很多的国家信息安全标准,90 年代特别是近年来参照欧美特别是美国和 ISO 的网络与信息安全标准制定了一些列的信息、网络安全标准,但是又有几个校园网在设计、建设时考虑了这些标准、要求呢。高校总的来说校园网建设滞后于学校的发展,特别是应用的建设,因此才会出现上面所说的匆忙的网络基础设施和
19、应用建设,无暇顾及网络的安全。网络规模扩大,网络用户人数增加,来自于校园网内的安全威胁呈不断的上升趋势,一些校园网建设起步较早,财政支持到位,网络技术实力较强的院校也开始自己或是和系统集成商考虑校园网络的安全、管理等问题了。但是如何考虑这个问题,怎么来解决校园网的安全问题,大家都还停留在理论或是摸索着实施阶段。一个科学的、完整的、全面而合理的校园安全解决方案正等着去探索。1.3 校园网安全目标网络安全从其本质上来讲,就是网络信息的安全。因此网络安全的目标就是如何确保网络信息的安全,包括存储信息的安全和传输信息的安全两方面内容。其中,存储信息的安全是指网络上的信息在静态存放下的安全,如禁止非授权
20、访问,以防止信息被非法删除、修改和读取。存储信息的安全目标一般是通过设置访问权限、身份识别等访问控制技术,以及局部隔离等物理安全技术来保证的。传输信息的安全主要是指网络信息在网络上动态传输过程的安全,为了达到这一目标,就需要确保传输信息满足以下 5 个网络安全特征:(1)机密性信息不被泄漏给非授权用户、实体或过程,或供其利用的特性。当讨论网络安全的时候,首先想到的就是信息的机密性。因为对个人而一言,信息的机密性是防止个人隐私不被侵犯、保护自身权利的重要保证。(2)完整性信息未经授权不能进行改变的特性,即信息在存储或传输过程中保持不被修改、不被破坏的特性。通俗地讲,信息的完整性就是保证信息在从信
21、源到信宿传输过程前后地一致性。(3)可用性信息可被授权用户或实体访问并按需求进行使用的特性,即当需要时能否存取所需的信息。例如网络环境下拒绝服务、破坏网络和有关系统的正常运行等都属于对可用性的攻击。(4)真实性东华理工大学国际学院毕业设计(论文) 校园网安全简介5信息的真实性是保证信息来源正确,防止信息伪造的特性,即对于由信息发送者 A 发往信息接受者 B 的信息 C 而言,信息的真实性保证了信息 C 是来源于信息发送者 A,而不是其它的发送者。(5)不可否认性信息的不可否认性是建立有效的责任机制,防止用户或实体否认其行为的特性。换句话说,对于由信息发送者 A 发送信息接受者 B 的信息 C
22、而言,信息的不可否认性使得信息发送者 A 不能抵赖曾经向信息接受者 B 发送过信息 C。实际上,信息的不可否认性对于电子商务、电子贸易等网络行为而言是必不可少的。东华理工大学国际学院毕业设计(论文) 校园网面对的安全威胁62 校园网面对的安全威胁2.1 物理安全保证计算机网络系统各种设备的物理安全是整个网络安全的前提。计算机网络的物理安全是在物理介质层次上数据传输、数据存储和数据访问安全。计算机网络的物理安全包括构成网络的相关基础设施的安全,网络的运行环境比如温度、湿度、电源等,自然环境的影响以及人的因素等对计算机网络的物理安全和运行的影响。物理安全是保护计算机网络设备、设施以及其它媒体免遭地
23、震、水灾、火灾等环境事故以及人为操作失误或错误及各种计算机犯罪行为导致的破坏过程。其目的是保护计算机系统、web 服务器、打印机等硬件实体和网络通信设备免受自然灾害、人为破坏和搭线攻击等。2.1.1 自然威胁自然威胁主要是指由于自然原因造成的对网络设备硬件的损坏和网络运行的影响。主要包括以下几方面:自然灾害自然灾害对计算机网络设备或其它相关设施造成的损坏,或对网络运行造成的影响。如:雷击、火灾、水灾、地震等不可抗力造成的网络设备或网络通信线路的损坏,大雾对无线传输的影响。正常使用情况下的设备损坏在网络设中,所有的网络设备都是电子设备,任何电子元件也都会老化,因此由电子元件构成的网络设备都一个有
24、限的正常使用年限,即使严格按照设备的使用环境要求使用,在设备达到使用寿命后均可能出现硬件故障或不稳定现象,从而威胁计算机网络的安全运行。设备运行环境网络的运行是不间断的。保证网络设备的安全运行,运行环境是一个很重要的因素。任何计算机网络都需要一个可靠的运行环境来保证其可靠地运行,其中主要包括周边环境和电源系统两大要素。1)周边环境我们所使用的网络交换设备一般都有自己的散热系统,所以环境因素往往被一些管理员所忽略。随着使用周期的增长,一些设备的散热系统损坏,或在潮湿的天气环境下积尘较多而引起设备运行不稳定,都是不安全因素。因此网络设备的安放都需要比较良好的环境,所以校园网的网络中心机房一般都配备
25、调湿调温并经常保东华理工大学国际学院毕业设计(论文) 校园网面对的安全威胁7洁的环境,以保证设备的运行。在分节点的网络设备,可以采取定期维护保养的措施或分别设置空调设备。2)电源系统电源系统的稳定可靠直接影响到网络的安全运行。如果要保证网络的不间断,就必须保证电源系统的稳定和不间断。校园网的电源系统可分为两部分,一部分主要用于网络设备和主机,由于这些网络设备和主机对电源系统要求较高,且不能间断,所以这部分的供电系统就采用 UPS(不间断电源系统) ,而且最好是采用在线式的,这样可以充分隔离电力系统对网络设备的干扰,保证网络的运行。另一部分主要用于空调设备,其特点是电源容量要求大,可短时间间断,
26、但由于我们部分学校所使用的空调系统在恢复供电后都不能自动启动,所以必须让管理人员掌握电源的通断信息。以上海师大校园网为例,网络中心通过对 UPS 电源监控系统的整合,使电源通断信息的变化会及时地反映到网管人员的手机上,这样中心工作人员就能及时了解突发情况。2.1.2 人为威胁人为威胁是指由于人为因素造成的对计算机网络的物理安全威胁,包括故意人为和无意人为威胁。人为故意威胁是指人为主观威胁网络的物理安全。最常见的是人为通过物理接近的方式威胁网络安全,物理接近是其它攻击行为的基础。如通过搭线连接获取网络上的数据信息;或者潜入重要的安全部门窃取口令、密钥等重要的网络安全信息;或者直接破坏网络的物理基
27、础设施(盗割网络通信线缆、盗取或破坏网络设备等) 。这些人为的故意破坏行为严重威胁网络的安全运行。人为无意威胁是人为因素造成但不是故意的物理安全威胁。即使是合法的、技术过硬的操作人员,由于从时间疲劳工作或者其它身体因素的影响,或者自身安全意识不强都可能产生失误和意外疏忽。这些意外和疏忽也可能影响网络的安全运行,有时还会造成重大的损失,如删除了重要的网络配置文件、格式化了存储有重要数据或信息的分区或整个硬盘、没有采取防静电措施插拔硬件等等。2.2 TCP/IP 的安全性分析CP/IP 是现在 Internet 上使用的最流行的协议,它在 70 年代早期被开发出来,现在它就成为了 Internet
28、 的一个标准。今天,几乎所有与 Internet 连接的计算机都运行着某种形式的 TCP/IP 协议。TCP/IP 可以在各种不同的硬件和操作系统上工作,因而利用 TCP/IP 可以迅速方便地创建一个异构网络。但是,在 1966 年东华理工大学国际学院毕业设计(论文) 校园网面对的安全威胁8Internet 创建时,创建者远没有对安全问题考虑的太多。当时创建者注重的是网络的功能,Internet 和 TCP/IP 并没有被过多的考虑安全性。所以现在的安全机制被经常修改以适应现有的网络和 TCP/IP。TCP/IP 力求简单高效,例如 IP 层并没有实现可靠的面向连接的服务,而是把它交给了 TC
29、P 层实现,保证了 IP 层的简单性。事实上有些服务并不需要可靠的面向连接服务,如在 IP 层上加上可靠性控制,对有些服务来说是一种处理能力的浪费。简单高效的特点是 TCP/IP 在 Internet 上大有用武之地的重要原因,但也是 TCP/IP 协议安全性能较低的原因之一。IP 地址是一个 32 位的地址,标识网络中主机的唯一性,IP 数据包中包含一些信息和控制字段,以及 32 位的源 IP 地址和目的 IP 地址。每个 IP 数据报文都是单独的信息,从一个主机传递到另一个主机,主机把收到的 IP 数据包整理成一个可使用的形式,这种开放式的构造使得 IP 层很容易成为黑客的目标。在这一层常
30、见的攻击就是 IP 地址冲突和欺骗。IP 层的主要缺陷是缺乏有效的安全认证和保密机制,其中最主要的因素就是 IP地址问题。TCP/IP 协议用 IP 地址来作为网络节点的惟一标识,许多 TCP/IP 服务,包括 Berkeley 中的 R 命令、NFS、X Window 等都是基于 IP 地址对用户进行认证和授权。当前 TCP/IP 网络的安全机制主要是基于 IP 地址的包过滤(Packet Filtering)和认证(Authentication)技术,它的有效性体现在可以根据 IP 包中的源 IP 地址判断数据的真实性和安全性。然而 IP 地址存在许多问题,协议的最大缺点就是缺乏对 IP
31、地址的保护,缺乏对 IP 包中源 IP 地址真实性的认证机制与保密措施。这也就是引起整个 TCP/IP 协议不安全的根本所在。由于 TCP/UDP 是基于 IP 协议之上的,TCP 分段和 UDP 协议数据包是封装在 IP包中在网络上传输的,因此同样面临 IP 层所遇到的安全威胁。现在人们一直在想办法解决,却仍然无法避免的就是根据 TCP 连接建立时“三次握手”机制的攻击,这些攻击总结起来包括:源地址欺骗(Source Address Spoofing)或 IP 欺骗(IP Spoofing) ;源路由选择欺骗(Source Routing Spoofing) ;路由选择信息协议攻击(RIPA
32、ttacks) ;鉴别攻击(AuthenticationAttacks) ;TCP 序号欺骗(TCPSequence number spoofing) ;TCP/IP 协议数据流采用明文传输;TCP 序列号轰炸攻击(TCP SYN FloodingAttack) ,简称 SYN 攻击网管员都熟悉的因特网控制信息协议(ICMP) ,它是 TCP/IP 协议组的一个基本网络管理工具,在帮助网络管理人员排除网络故障中立下了汗马功劳,同时 ICMP 攻击却十分猖狂。最明显的是 ICMP 重定向报文,它被网关用来为主机提供好的路由,却不能被用来给主机的路由表进行主动的变化。如果入侵者已经攻破一个对目标主
33、机来说可利用的次要网关,而不是基本网关,入侵者就可以通过有危险的次要网关给信任主机设置一个错误的路由。多数的服务主机在 ICMP 重定向报文上不实行有效检查,这种攻击的影响和基于 RIP 的攻击相似。另外,ICMP 也可以被用来进行拒绝东华理工大学国际学院毕业设计(论文) 校园网面对的安全威胁9服务攻击。个别的报文如目标不可达或者超时,就可以用来重置目前的连接,如果入侵者知道 TCP 连接的本地及远端的端口号,将生成该连接的 ICMP 报文。有时这样的信息可以通过 NETSTAT 服务来实现。一个更普遍的拒绝服务攻击是发送伪造的子网掩码回应报文。无论主机是否查询,它们都将接受该报文,一个错误的
34、报文就可能阻塞目标主机的所有连接。2.3 内网攻击分析2.3.1 ARP 攻击在以太局域网内数据包传输依靠的是 MAC 地址,IP 地址与 MAC 对应的关系依靠ARP 表,每台主机(包括网关)都有一个 ARP 缓存表。在正常情况下这个缓存表能够有效的保证数据传输的一对一性,也就是说主机 A 与主机 C 之间的通讯只通过网关 1 和网关 2,像主机 B 之类的是无法截获 A 与 C 之间的通讯信息的。但是在 ARP缓存表的实现机制中存在一个不完善的地方,当主机收到一个 ARP 的应答包后,它并不会去验证自己是否发送过这个 ARP 请求,而是直接将应答包里的 MAC 地址与 IP对应的关系替换掉
35、原有的 ARP 缓存表里的相应信息。这就导致主机 B 截取主机 A 与主机 C 之间的数据通信成为可能。首先主机 B 向主机 A 发送一个 ARP 应答包说192.168.1.1 的 MAC 地址是 03-03-03-03-03-03,主机 A 收到这个包后并没有去验证包的真实性而是直接将自己 ARP 列表中的 192.168.1.1 的 MAC 地址替换成 03-03-03-03-03-03,同时主机 B 向网关 1 发送一个 ARP 响应包说 192.168.1.2 的 MAC 是03-03-03-03-03-03,同样网关 1 也没有去验证这个包的真实性就把自己 ARP 表中的192.1
36、68.1.2 的 MAC 地址替换成 03-03-03-03-03-03。当主机 A 想要与主机 C 通讯时,它直接把应该发送给网关 1(192.168.1.1)的数据包发送到 03-03-03-03-03-03 这个MAC 地址,也就是发给了主机 B,主机 B 在收到这个包后经过修改再转发给真正的网关 1,当从主机 C 返回的数据包到达网关 1 后,网关 1 也使用自己 ARP 表中的 MAC,将发往 192.168.1.2 这个 IP 地址的数据发往 03-03-03-03-03-03 这个 MAC 地址也就是主机 B,主机 B 在收到这个包后再转发给主机 A 完成一次完整的数据通讯,这样
37、就成功的实现了一次 ARP 欺骗攻击。因此简单点说 ARP 欺骗的目的就是为了实现全交换环境下的数据监听与篡改。也就是说欺骗者必须同时对网关和主机进行欺骗。2.3.2 网络监听2.3.2.1 网络监听原理网络监听是黑客们常用的一种方法。当黑客成功地登录进一台网络上的主机、东华理工大学国际学院毕业设计(论文) 校园网面对的安全威胁10并取得这台主机超级用户的权限之后,往往要扩大战果,尝试登录或者获取网络中其他主机的控制权。网络监听就是一种最简单而且最有效的方法,它常常能轻易地获得用其他方法很难获得的信息。在网络上,监听效果最好的是网关、路由器、防火墙一类的设备,这些设备通常由网络管理员来操作。对
38、于目前很流行的以太网协议,其工作方式是:将要发送的数据包发往连接在一起的所有主机,包中包含着应该接收数据包主机的正确地址,只有与数据包中目标地址一致的那台主机才能接收。但是,当主机工作监听模式下,无论数据包中的目标地址是什么,主机都将接收(当然只能监听经过自己网络接口的那些包) 。2.3.2.2 网络监听过程当同一网络中的两台主机通信的时候,源主机将写有目的的主机地址的数据包直接发向目的主机。但这种数据包不能在 IP 层直接发送,必须从 TCP/IP 协议的 IP层交给网络接口,也就是数据链路层,而网络接口是不会识别 IP 地址的,因此在网络接口数据包又增加了一部分以太帧头的信息。在帧头中有两
39、个域,分别为只有网络接口才能识别的源主机和目的主机的物理地址,这是一个与 IP 地址相对应的 48位的地址。传输数据时,包含物理地址的帧从网络接口(网卡)发送到物理的线路上,如果局域网是由一条粗缆或细缆连接而成,则数字信号在电缆上传输,能够到达线路上的每一台主机。当使用集线器时,由集线器再发向连接在集线器上的每一条线路,数字信号也能到达连接在集线器上的每一台主机。当数字信号到达一台主机的网络接口时,正常情况下,网络接口读入数据帧,进行检查,如果数据帧中携带的物理地址是自己的或者是广播地址,则将数据帧交给上层协议软件,也就是 IP层软件,否则就将这个帧丢弃。对于每一个到达网络接口的数据帧,都要进
40、行这个过程。然而,当主机工作在监听模式下,所有的数据帧都将被交给上层协议软件处理。而且,当连接在同一条电缆或集线器上的主机被逻辑地分为几个子网时,如果一台主机处于监听模式下,它还能接收到发向与自己不在同一子网(使用了不同的掩码、IP 地址和网关)的主机的数据包。也就是说,在同一条物理信道上传输的所有信息都可以被接收到。另外,现在网络中使用的大部分协议都是很早设计的,许多协议的实现都是基于一种非常友好的、通信的双方充分信任的基础之上,许多信息以明文发送。因此,如果用户的账户名和口令等信息也以明文的方式在网上传输,而此时一个黑客或网络攻击者正在进行网络监听,只要具有初步的网络和 TCP/IP 协议
41、知识,便能轻易地从监听到的信息中提取出感兴趣的部分。同理,正确的使用网络监听技术也可以发现入侵并对入侵者进行追踪定位,在对网络犯罪进行侦查取证时获取有关犯罪行为的重要信息,成为打击网络犯罪的有力手段。东华理工大学国际学院毕业设计(论文) 校园网面对的安全威胁112.3.3 蠕虫病毒攻击2.3.3.1 蠕虫病毒攻击原理蠕虫也是一种病毒,因此具有病毒的共同特征。一般的病毒是需要的寄生的,它可以通过自己指令的执行,将自己的指令代码写到其他程序的体内,而被感染的文件就被称为”宿主” ,例如,windows 下可执行文件的格式为 pe 格式(Portable Executable),当需要感染 pe 文
42、件时,在宿主程序中,建立一个新节,将病毒代码写到新节中,修改的程序入口点等,这样,宿主程序执行的时候,就可以先执行病毒程序,病毒程序运行完之后,在把控制权交给宿主原来的程序指令。可见,病毒主要是感染文件,当然也还有像 DIRII 这种链接型病毒,还有引导区病毒。引导区病毒他是感染磁盘的引导区,如果是软盘被感染,这张软盘用在其他机器上后,同样也会感染其他机器,所以传播方式也是用软盘等方式。2.3.3.2 蠕虫病毒入侵过程蠕虫病毒攻击主要分成三步:扫描:由蠕虫的扫描功能模块负责探测存在漏洞的主机。当程序向某个主机发送探测漏洞的信息并收到成功的反馈信息后,就得到一个可传播的对象。攻击:攻击模块按漏洞
43、攻击步骤自动攻击步骤 1 中找到的对象,取得该主机的权限(一般为管理员权限) ,获得一个 shell。复制:复制模块通过原主机和新主机的交互将蠕虫程序复制到新主机并启动。2.4 外网攻击分析2.4.1.DOS 攻击2.4.1.1 DOS 攻击原理DoS 是 Denial of Service 的简称,即拒绝服务,造成 DoS 的攻击行为被称为DoS 攻击,其目的是使计算机或网络无法提供正常的服务。最常见的 DoS 攻击有计算机网络带宽攻击和连通性攻击。带宽攻击指以极大的通信量冲击网络,使得所有可用网络资源都被消耗殆尽,最后导致合法的用户请求就无法通过。连通性攻击指用大量的连接请求冲击计算机,使
44、得所有可用的操作系统资源都被消耗殆尽,最终计算机无法再处理合法用户的请求。DoS 攻 击 中,由于攻击者不需要接收来自受害主机或网络的回应,它的 IP 包的源地址就常常是伪造的。特别是对 DDoS 攻击,最后实施攻击的若干攻击器本身就东华理工大学国际学院毕业设计(论文) 校园网面对的安全威胁12是受害者。若在防火墙中对这些攻击器地址进行 IP 包过滤,则事实上造成了新的DDS 攻击。为有效地打击攻击者,必须设法追踪到攻击者的真实地址和身份。2.4.1.2 DOS 攻击的未来发展趋势根据对以前各种 DOS 攻击事件和手段的经验,结合网络协议特别是 TCP/IP 协议的先天缺陷,DOS 攻击的发展
45、趋势有以下 5 个方面:(1)DOS 攻击的隐蔽性更好,如采用 IP 欺骗技术或者利用木马程序,以达到难以追查的目的。(2)DOS 攻击将更多采用分布式技术,由单一攻击源发起进攻转变为由多个攻击源对单一目标进攻。(3)DOS 攻击工具将更易操作,功能将更完善,破坏性更大,这样使得怀有恶意的非黑客人员也能够使用以进行破坏。(4)DOS 攻击将会更多的针对路由器和网关的弱点进行,如利用路由器的多点传送功能将攻击破坏程度扩大若干倍。(5)DOS 攻击将会更多的针对 TCP/IP 协议的先天缺陷而进行,如半连接 SYN攻击和 ACK 攻击。2.4.2 外部 IP 地址欺骗IP 欺骗技术就是伪造某台主机
46、的 IP 地址的技术。通过 IP 地址的伪装使得某台主机能够伪装另外的一台主机,而这台主机往往具有某种特权或者被另外的主机所信任。假设现在有一个合法用户(1.1.1.1)已经同服务器建立了正常的连接,攻击者构造攻击的 TCP 数据,伪装自己的 IP 为 1.1.1.1,并向服务器发送一个带有 RST位的 TCP 数据段。服务器接收到这样的数据后,认为从 1.1.1.1 发送的连接有错误,就会清空缓冲区中建立好的连接。这时,如果合法用户 1.1.1.1 再发送合法数据,服务器就已经没有这样的连接了,该用户就必须从新开始建立连接。攻击时,伪造大量的 IP 地址,向目标发送 RST 数据,使服务器不
47、对合法用户服务。虽然 IP 欺骗攻击有着相当难度,但我们应该清醒地意识到,这种攻击非常广泛,入侵往往由这里开始。预防这种攻击还是比较容易的,比如删除 UNIX 中所有的/etc/hosts.equiv、$HOME/.rhosts 文件,修改/etc/inetd.conf 文件,使得 RPC 机制无法应用。另外,还可以通过设置防火墙过滤来自外部而信源地址却是内部 IP 的报文。东华理工大学国际学院毕业设计(论文) 校园网系统安全的防范133 校园网系统安全的防范3.1 物理安全防范3.1.1 自然威胁的防范物理安全是保护计算机网络设备、设施以及其它媒体免遭地震、水灾、火灾等环境事故以及人为操作失
48、误或错误及各种计算机犯罪行为导致的破坏过程。保证校园网络系统中各种设备的物理安全是实现系统安全控制的前提。物理安全包括:通信线路的安全(防盗、抗干扰、防止电磁泄露等) 、物理设备的安全(防盗、防毁、防电磁信息辐射泄露、抗电磁干扰等) 、机房环境的安全(温度、湿度、烟尘、通风、防雷等) 。针对校园网物理层存在的各种安全隐患,改善校园网的物理环境,主要需要做如下几项工作:完善防雷和防静电措施;完善温度控制(一般在 18-22 摄氏度) ,增加湿度控制(40%-60%) ;增设校园网主机房门禁系统;保障和完善主机房电源供应;与保卫等相关部门合作,保障通讯线路的安全。电梯和楼梯不能直接进入机房保证供电
49、设备的富裕量,能够紧急供电,由 UPS 电源供电;辅助设备配电系统,主要为机房内的空调、新风、辅助插座、共组照明等辅助设备提供电源,由市电直接供电。提供火灾报警系统和灭火措施外不容易接近的进出口要有栅栏和监视系统采用内层基材材料,防止电磁辐射,具有良好的防静电、防火等功能,且性价比较高。3.1.2 人为威胁的防范制定各类人员的岗位责任制是保证网络不受内网攻击的一项重要措施。具体要做到:操作人员在指定的计算机上操作程序员,管理员,操作员分开禁止作于工作无关的事情东华理工大学国际学院毕业设计(论文) 校园网系统安全的防范14不越权运行程序,不查阅无关参数操作异常,立刻报警人员调离时要采取相应的安全措施非操作人员不准上机操作值班人员要做好值班记录3.2 TCP/IP 安全防范3.2.1 对 ICMP 攻击的防范对于利用 ICMP 产生的拒绝服务攻击可以采取下面的方法:方法一:在路由器或主机端拒绝所有的 ICMP 包:方法二:在该网段路由器对 ICMP 包进行带宽限制(或限制ICMP 包的数量),控制其在一定的范围内。ICMP 的另一个特性就是允许向某设备发送的报文重定向到不同的下一跳(hop)IP 地址的设备。如果这种报文发送到一个路由器,黑客可以把
