1、浙江大学硕士学位论文 Abstracti低端路由器的攻击与防范摘要当今网络发展很快,安全漏洞也随之增加,安全问题也变成了人们日益关注的问题。有来自局域网的 ARP 攻击,也有来自广域网的 DOS 攻击和端口扫描攻击。攻击 者会利用这些攻击 来获取对用户敏感的技术文档和对个人用户敏感的账号和密码。在大型的网络 中都有部署防火墙、 IDS(入侵检测系统)等大型的贵重设备来保护网络的安全。但在中小企业网中, 为了降低成本,只能购买一些低端的网络设备。然而当今市面上的低端网络设备大多都没有防攻击的功能,这使中小企业的网络安全问题成为了一个空白。本论文就是针对这种需求,在低端的路由器上实现防火墙,IDS
2、(入侵检测系统)的一些防护功能,嵌入到 该系统中去,正真能 够 起到防攻击的作用。本 论文会分析当今流行的攻击手段和方法,利用现有的组网环境构造异常的报文攻击网络设备,利用工具截获攻 击报文,把 该攻击报文解析出来,然后根据网络的知识,对该报 文进行分析,找出其中的规律和攻击原理,根据该分析,提出有效的防攻击手段。文中还会描述防攻击在路由器内部的一些详细实现。本文主要通过 Linux 系统来实现防 ARP 攻击,防 DOS 攻击和防端口扫描攻击。关键词: 网络安全,防攻 击, DOS 攻击浙江大学硕士学位论文 AbstractiiAbstractWith the rapid developme
3、nt of network, the network security problem is become vulnerabilities, people pay more attation about the security problem. There are a variety of ARP attacks within local area network; also there are DOS attacks and port scanning attacks within wild area network. Hackers can use these attacks to ob
4、tain sensitive technology documents from corporation, and they also can obtain sensitive user account and password to the individual. In a large network environment, there are firewall, IDS (Intrusion Detection System), and other large equipment to protect valuable network security. However, in smal
5、l and medium business networks, they can not afford to purchase such expensive equipment, in order to reduce costs, have to buy some low-end network equipment. However, low-end network equipment do not have the anti-attack function in todays market, there is a blank in small and medium business netw
6、orks.This paper can fill the requirements, embedded the firewall and IDS (Intrusion Detection System) module to the low-end routers. Low-end routers are really able to play the role of anti-attack. This paper will analyze the current attack, constitution the abnormal message attack network equipment
7、, intercepted the attack packets using tools, resolution the attack packets, then based on the knowledge of network to analysis the attack packets and how to preventing attacks. According to the analysis, we can propose an effective method of preventing attacks. This paper will also introduced some
8、code of prevent attack in the low-end router. In this paper, depend on the Linux system to achieve the anti-ARP attacks, anti-DOS attacks and port scanning attacks prevention.Key Words: Network Security, Anti-attack, DOS attacks浙江大学硕士学位论文 目录I目录摘要 .iAbstract.ii图目录 .III表目录 .IV第 1 章 绪论 .11.1 课题背景.11.1.
9、1 网络安全发展.11.1.2 低端路由器安全问题.11.2 主要的工作和方法.21.3 低端路由器防攻击需求.21.3.1 低端路由器的用户群体.21.3.2 低端用户对防攻击的需求.21.3.3 满足用户需求的路由器.21.4 本文结构组织.31.5 本章小结.4第 2 章 数据通信领域安全测试方法 .52.1 网络安全测试.52.2 报文构造.52.2.1 网络协议的分层思想.52.2.2 TCP 报 文的结构 .62.2.3 数据通信中的设备.112.2.4 怎么样模拟攻击报文.122.3 本章小结.13第 3 章 针对低端路由器的攻击 .143.1 低端路由器典型的攻击手法.143.
10、2 内网的 ARP 攻击 .143.2.1 ARP 攻击的背景 .143.2.2 ARP 的概念 .143.2.3 ARP 攻击原理 .173.3 病毒和木马.213.4 外网的 DOS 攻击和端口扫描 .223.4.1 DOS 攻击背景 .223.4.2 典型 DOS 攻击原理分析 .233.4.3 DOS 攻击类型 .25浙江大学硕士学位论文 目录II3.4.4 端口扫描攻击.273.5 本章小结.28第 4 章 访问控制控制用户访问 .294.1 利用访问控制区分流量.294.2 报文解析实现原理.314.3 访问控制 MAC 过滤 .344.3.1 MAC 过滤背景 .344.3.2
11、MAC 过滤实现 .354.4 访问控制 URL 过滤.374.5 本章小结.38第 5 章 低端路由器防 ARP 攻击实现 .395.1 ARP 防范 .395.1.1 IP 与 MAC 绑定原理 .395.1.2 IP 和 MAC 绑定的缺陷 .435.1.3 防 ARP 模块的改进 四源绑定 .435.2 本章小结.45第 6 章 防 DOS 攻击和防端口扫描攻击的实现 .466.1 基于 Linux 系统上的 IDS 的实现.466.1.1 入侵检测系统.466.1.2 Linux 系统中的 netfilter/iptables 模块 .466.2 防 DOS 攻击的实现 .486.3
12、 防端口扫描模块的实现.506.4 本章小结.59第 7 章 低端路由器防攻击总结 .607.1 低端路由器防攻击回顾.607.2 实现防攻击主要研究.607.3 低端路由器防攻击的创新.617.4 低端路由器防攻击前瞻.61参考文献 .63作者简历 .65致谢 .66浙江大学硕士学位论文 目录III图目录图 2.1 链路层报文层格式 .7图 2.2 IP 数据报文格式及首部中的各个字段 .7图 2.3 TCP 数据在 IP 中的封装 .9图 2.4 TCP 包首部 .9图 2.5 经过解析后的 TCP 报文 .10图 2.6 16 进制表示的 TCP 报文 .11图 2.7 交换机硬件 .1
13、2图 2.8 路由器硬件 .12图 3.1 ARP 报文解析图 .15图 3.2 免费 ARP 解析图 .16图 3.3 ARP 报文交互过程 .17图 3.4 免费 ARP 攻击原理图 .18图 3.5 ARP Spoof 原理图 .19图 3.6 ARP 中间人攻击原理图 .21图 3.7 TCP 连 接三次握手机制 .24图 4.1 TCP 流的五元 组 .30图 4.2 TCP 报 文四层以下结构 .31图 4.3 TCP 报 文提取五元组流层图 .31图 4.4 源 MAC 地址在报文解析后中的位置 .35图 4.5 源 MAC 地址在 16 进制报文中的位置 .35图 4.6 MA
14、C 过滤处理流程图 .36图 4.7 HTTP 协议中的 URL 字段 .37表 5.1 Linux ARP 状态转化意义 .40图 5.1 Linux ARP 状态机 .41图 5.2 四源绑定原理图 .45图 6.1 防端口扫描数据结构的组织关系 .51图 6.2 防端口扫描命中函数流程图 .54浙江大学硕士学位论文 目录IV表目录表 5.1 Linux ARP 状态转化意义 .40浙江大学硕士学位论文 第 1 章 绪论1章1章 绪论1.1 课题背景1.1.1 网络安全发展TCP/IP 是现在 Internet 上使用的最流行的协议之一,它大概在 70 年代的时候被开发出来,并最终与 Li
15、nux 结合在一起,从那 时 候起,它就成 为了 Internet 的标准之一。如今,几乎所有的计算机都运行着某种形式的 TCP/IP 协议。TCP/IP协议可以在各种不同的硬件和操作系统上工作,因而利用 TCP/IP 可以迅速方便地创建一个网络系统。但是,在 1966 年 Internet 刚刚创建的时候,当时的创始者没有对安全问题考虑的太多。当时创建者注重的是网络的通信功能,因此Internet 和 TCP/IP 并没有被 过多的考虑安全性的问题。所以现有的安全机制被经常拿来修改以适应现有的网络和 TCP/IP 协议。经过时间的推移,网络攻击的手段和技术也不断的更新,用户也对网络设备提出更
16、高的要求,网络设备 也要对这些攻击有一定的防御能力。随着网络攻击手段的不断变化和发展,网络设备的防攻击能力也随之不断的提高。1.1.2 低端路由器安全问题本论文主要研究如何在低端路由器上实现一些预防网络攻击的模块,原来在一般的网络中防攻击的功能都集中在高端的防火墙和 IDS 中,这些高端的设备功能极强,能防止网上能 够很多的攻击手段。所以在高端的组网中,网 络的安全性往往较高。但在低端的市 场中,由于 组网经费上的限制,设备和组网往往比较简单,不可能有专门的防火 墙和入侵检测系统。如:中小企业网和一般的网吧中只有一台简单的路由器和几台简单的交换机。不会有专业的防火墙和 IDS 这些贵重的设备,
17、所以这些企 业和小网吧经常受到各种网络的攻击,用户在网吧中频频掉线,网速大受影响。如今,网络攻击的手段和技术也不断的更新,像当前浙江大学硕士学位论文 第 1 章 绪论2比较流行的 ARP 攻击的产生,迫使低端的路由器也有防 ARP 的一些功能。1.2 主要的工作和方法本文主要根据用户的需求对一些典型网络攻击进行了研究。分析每一这种攻击的原理和方法,并根据分析的结果, 针对每一种典型的攻击手法,在 Liunx系统下实现防攻击的模块。并且分析当前的防攻击方法,提出改进方法。本 课题旨在通过对需求和攻击的研究,根据 TCP/IP 的通信原理提出 满足低端路由器防攻击的合理方案。1.3 低端路由器防攻
18、击需求1.3.1 低端路由器的用户群体低端路由器的市场十分广阔,包括中小企业、网吧、医院、大酒店、高校,甚至可以是家庭用户。这些群体 对于路由器的安全需求虽然没有政府和电信机房的要求那么高,但是也有对 网络安全性的基本需求。1.3.2 低端用户对防攻击的需求中小企业:该组网主要完成企业内部协同工作交流,在内网内架设服务器,防止员工做一些有害网络的服务,防止恶意软件的 ARP 攻击,防止 恶意黑客从外网发起的恶意攻击。网吧:该组网情况下对防攻击要求更加高,即要防止内网恶意用户发起的攻击,又要兼顾外网恶意攻击 核心路由器, 导致核心路由器的瘫痪。家庭用户:主要防止浏览有病毒的网站,防止外网对内网的
19、一些攻击。1.3.3 满足用户需求的路由器防攻击路由器必须满足用户需求。针对以上三种用户的需求,路由器的防攻击必须满足以下几点: (1)必须能防御内网攻击。内网的攻击, 针对网吧来说,最主要的就是 ARP 攻击浙江大学硕士学位论文 第 1 章 绪论3和 ARP 欺骗。针对企业,除了防 ARP 以外,还要防止恶意用户接入内网造成危害。(2)其次要能控制内网用户访问外网危险的服务。控制网内用户的服务,必须要用到访问控制列表(ACL) ,用该技术来严格控制报文。(3)能防御外网发起的各种攻击。外网发起的攻击主要是一些拒绝服务的攻击来消耗设备的 CPU,降低设备的性能,从而使 设备不能转发正常的报文。
20、所以路由器要能识别异常的流量报文,当报文流量达到路由器规定的阀值时,就认为是攻击报文,从而达到保护设备的目的。1.4 本文结构组织第一章:绪论主要描述了低端路由器防攻击的背景和现在尴尬的处境,本文要解决的防攻击的意义。描述了用户对 防攻击路由器的需求,本文研究的方法和要解决的问题。第二章:数据通信领域安全的测试方法分析网络攻击必须了解攻击报文和网络设备,本章就简单的从 TCP/IP 的角度描述了攻击报文的构造和网络设备的基本概念。第三章:针对低端路由器的攻击本章从客户需求分析出用户主要想防范的典型的攻击:ARP 攻击、木马病毒和 DOS 攻击 ,详细的分析了各种攻击的手法和原理。第四章:访问控
21、制控制用户访问本章详细分析了 ACL 访问控制列表技术。通过该技术来实现网页访问的控制和用户接入的控制来防止用户访问不安全的网站受到木马的攻击。第五章:低端路由器防 ARP 攻击的实现详细分析了 Linux 系统中的 ARP 原理,在 Linux 系统下实现 IP/MAC 绑定原理。提出 IP/MAC 绑定防 ARP 的缺陷,提出四源绑定机制来彻底防住 ARP 攻浙江大学硕士学位论文 第 1 章 绪论4击。第六章:防 DOS 攻击和防端口扫描攻击在 Linux 系统下实现防 DOS 攻击和防端口扫描攻 击。第七章:低端路由器防攻击总结对本文防攻击的回顾,总结主要研究和创新,提出 优点和不足,提出以后 应该改进的方面。1.5 本章小结随着计算机技术的不断发展,人们对网络安全的要求越来越高,不单单那些大型的企业和政府需要有安全设备的保护,不受黑客的攻击。普通的小企业和个人电脑用户也对自己的隐私和安全更加重视。中小企业用户的需求也不能视而不见。现 在业界对低端的路由器也要求有基本的防攻击能力,一般的仅仅能进行报文快速转发的路由器已经不能满足用户的需求。低端路由器的其他性能也在不断的向高端靠近,但在成本上却是要有严格的控制,在低成本的情况下做出高效的有安全模块的低端路由器,几乎是每个通信公司努力的方向。低端设备 也要向更高的安全性方向发展。
