校园网安全系统的设计与实现-工学学士毕业论文.doc
目录摘要IABSTRACTII1.绪论11.1选题背景11.2选题目的11.3本文组织结构12.可行性分析22.1 社会可行性22.2 技术可行性22.3 操作可行性22.4 系统开发平台及运行环境22.4.1 系统开发工具及平台22.4.2 运行环境23.校园概况和网络拓扑33.1校园基本构造33.2校园组成机构33.3网络体系结构33.4 网络拓扑总图44.网络安全基础54.1网络安全的定义54.2网络安全的属性54.3网络信息安全因素64.4网络信息安全机制65.安全需求与安全目标85.1 网络安全需求85.2 网络安全策略85.3 系统安全目标86.网络访问安全96.1 VPN 概述96.1.1 VPN简介96.1.2 VPN的特点与应用96.2 路由器实现VPN97.CISCO安全设备127.1 防火墙设计128.网络攻击与防范168.1黑客攻击手段168.2.1 “ARP攻击”的方式和原理168.2. 2 利用“ARP 欺骗”入侵实际操作178.2.3“ARP攻击”防范方法199.结论21参考文献22致谢23摘要随着网络技术蓬勃发展,校园网的迅速发展和普及,对学校日常工作学习和管理而言也起了重要的作用。但不可忽视的是,随着网络的普及,其安全问题也日益突出。如何让校园网正常高效的运行,充分发挥其教学、管理和服务等功能,已成为不可忽视的一个问题。本设计着重分析了如今校园网中存在的安全隐患,提出理论性与实践性的依据,并针对网络设备安全和网络访问安全进行了详细的描述,设计出一个安全、便捷的网络管理方案,其中涉及到的技术有VLAN、STP、VTP、HSRP、ARP欺骗、MAC欺骗等。本设计方案通过模拟设计环境,使用虚拟机Vmware实现了模拟黑客进攻和被攻击者的防御手段。希望能对校园网的安全管理有所帮助,为师生创造一个安全、高效、干净的上网环境。关键词:网络安全;交换机;VPN;HSRP;OSPFAbstractWith the vigorous development of network technology, the rapid development of the campus network and popularization, daily work to school for learning and management also play an important role. But important, along with the network popularization, the security issues are becoming increasingly prominent. How to make the campus network normal and efficient operation and make full use of its teaching, management and service, and other functions, has become a problem cannot be ignored.This design focuses on analyzing the now existing in the campus network security problems, puts forward the theoretical and practical basis, and in the light of the network equipment safety and network access security are described, design a safe, convenient network management plan, which involves technology have VLAN,STP, VTP, HSRP, the ARP deception, MAC cheat, etc. This design scheme through the simulation design environment, use the virtual machine Vmware realize the hacker attacks and the simulation by an attacker defenses. In hopes of campus network security management help, for the teachers and students create a safe, efficient and clean the Internet environment.Keywords:Network security;Switches;VPN;HSRP;OSPF1.绪论1.1选题背景经过多年的信息化建设之后,我们国内大多数高等院校基本上都建成了自己的校园网。但随着其应用的深入,校园网络的安全性和可靠性也成为院校领导共同关心的问题。校园网络的安全直接影响着学校的日常教学、管理、科研活动的开展。网络安全是指网络系统的硬件、软件及其系统中的数据受到保护,不会由于偶然的或者恶意的原因而遭到破坏、更改和泄露。系统能够连续、可靠、正常地运行,使网络服务不中断。个人信息资料和学院相关网络文件一旦遗失或被盗,学院就会因此蒙受巨大损失,甚至间接的影响到该校教师和学生的人身安全。因此,在全面了解校园网的安全现状基础上,合理构建安全体系结构,改善网络应用环境的工作迫在眉睫。1.2选题目的目前,全国各媒体,网站对国内校园网安全系统的设计与实现进行相关调查,发现目前国内各校园对自己校园网的系统安全设计都有着适合自己的特色以及功能。目前相关的校园网安全系统的设计与实现的相关资料也比比皆是,由于网络技术的飞速发展,越来越多的新的设计理念和创新的想法也逐步被人们领略到。这些都为安全系统设计和实现提供了充足的材料和理论基础。我们的目的就是在这现有的条件,根据自己学到的知识,以华南师范大学增城学院为研究对象去设计出一个校园网的系统安全设计方案。1.3本文组织结构本文主要介绍校园局域网局域网:是指在某一区域内由多台计算机互联成的计算机组。所遇到的网络安全问题以及针对校园的需求设计网络安全的解决方案。本论文的主要内容分为八章。第二章详细的从各个方面分析了我们这个方案的可行性。第三章以华南师范大学增城学院为研究对象,简述校园的基本构造和设计网络拓扑。第四章和第五章主要结合参考文献,整体对网络的安全基础以及安全需求和安全目标做出详细的说明第六章主要对VPN的设计和用路由器实现VPN。第七章CISCO安全设备防火墙的设计。第八章通过用虚拟机的模拟来实现网络攻击与防范。2.可行性分析可行性分析就是在系统调查的基础上,针对新系统的开发是否具备必要性和可能性,对新系统的开发从技术、经济、社会的方面进行分析和研究,以避免投资失误,保证新系统的开发成功。可行性研究的目的就是用最小的代价在尽可能短的时间内确定问题是否能够解决。该系统的可行性分析包括以下几个方面的内容。2.1 社会可行性随着计算机技术的发展和网络人口的增加,网络世界也越来越广博,越来越丰富,校园实现网络办公、网络教学已经是一股潮流了。相信要不了太长有时间,每个校园都会有属于自己的局域网络,都会实现网络办公,网络教学。校园网络系统主要目的是进行保护校园的网络安全,并且严格按照国家法律法规来进行研究和实践,并无法律和政策方面的限制。2.2 技术可行性本系统在Packet Tracer上设计,并在虚拟机Vmware模拟实现,Windows 200 3 Server操作系统。由于在PacketTrace建立网络拓扑,能很方便的设计、配置网络模拟环境;Vmware能为我们的设计做出类似于实际环境的模拟测试。所以使用这两个软件可以说明很好的证明该设计方案和实现的可行性。硬件方面,科技飞速发展的今天,硬件更新的速度越来越快,容量越来越大,可靠性越来越高,价格越来越低,其硬件平台完全能满足此系统的需要。2.3 操作可行性目前,大多数计算机都能运行该系统,该安全系统的安装、调试、运行不会改变原计算机系统的设置和布局,由相关人员指导便能够方便的操作此系统。2.4 系统开发平台及运行环境2.4.1 系统开发工具及平台系统设计是在Packet Tracer 上的。Packet Tracer是由Cisco公司发布的一个辅助学习工具,为学习思科网络课程的初学者去设计、配置、排除网络故障提供了网络模拟环境。用户可以在软件的图形用户界面上直接使用拖曳方法建立网络拓扑,并可提供数据包在网络中行进的详细处理过程,观察网络实时运行情况。可以学习IOS的配置、锻炼故障排查能力。2.4.2 运行环境操作系统:Windows 2000或 Windows XP。浏览器:Internet Explorer6.0及以上版本。3.校园概况和网络拓扑本章主要以华南师范大学增城学院为研究对象,进行系统的分析校园网的具体组成部分以及设计出网络拓扑。3.1校园基本构造建筑规模为行政楼,教学楼,图书馆和师生宿舍。工程设计范围是行政楼,教学楼,图书馆和师生宿舍的网络建设。3.2校园组成机构最高层:董事长办公室、董事会办公室、院长办公室。第二层:行政楼办公室(由第一行政楼和第二行政楼组成,主要办公室有各处长办公室、各系系主任办公室、党委书记办公室、团委书记办公室以及各老师办公室)。第三层:图书馆图书数据库和图书馆办公室(由图书馆馆长办公室和各老师办公室组成)。第四层:教学楼办公室、实验室和多媒体课室。最底层:师生宿舍3.3网络体系结构图3-1 网络体系结构3.4 网络拓扑总图图3-2 网络拓扑图4.网络安全基础4.1网络安全的定义网络安全是指网络系统的硬件、软件及其中数据受到保护,不受偶然的或者恶意的破坏、更改、泄露,保证系统连续可靠地运行,确保网络服务不中断。网络安全是一门涉及计算机科学、网络技术、通信技术、密码技术、信息安全技术、应用数学、数论、信息论等多种学科的综合性科学。4.2网络安全的属性从本质上来讲,计算机网络安全就是网络上的信息安全。凡是涉及网络上信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论都是网络安全的研究领域。网络安全具有以下几个基本属性。1.可靠性可靠性是网络信息系统能够在规定条件下、规定时间内完成规定功能的特性。可靠性是系统安全的基本要求之一,是所有网络信息系统的基本目标。网络信息系统的可靠性包括如下三种特性:抗毁性、生存性和有效性。抗毁性是指系统在人为破坏下的可靠性。例如,部分线路或节点失效后,系统能否继续提供服务。增强抗毁性可以有效地避免因各种灾害造成的大面积网络瘫痪问题。生存性是在随机破坏下系统的可靠性。生存性主要反映随机性破坏和网络拓扑结构对系统可靠性的影响。有效性是一种基于业务性能的可靠性。有效性主要反映在网络信息系统的部件失效情况下,满足业务性能要求的程度。比如,网络部件失效虽然没有引起连接性故障,但是却造成质量指标下降、平均延时增加、线路阻塞等现象1。2.可用性可用性是网络信息可被授权实体访问并按需求使用的特性。即网络信息服务被使用时,允许授权用户或实体使用的特性,或者是网络部分受损或需要降级使用时,仍能为授权用户提供有效服务的特性。可用性是网络信息系统面向用户的安全性能。网络信息系统最基本的功能是向用户提供服务,而用户的需求是随机的、多方面的、有时还有时间要求。可用性一般用系统正常使用时间和整个工作时间之比来度量。可用性还应该满足以下要求:身份识别与确认、访问控制、业务流控制、路由选择控制、审计跟踪。审计跟踪的信息主要包括:事件类型、被管客体等级、事件时间、事件信息、事件回答以及事件统计等方面的信息1。3.保密性保密性是数据信息不被泄露给非授权的用户、实体或供其利用的特性。保密性是在可靠性和可用性基础之上,保障网络信息安全的重要手段。常用的保密技术包括:防侦听、防辐射、信息加密、物理保密。4.完整性完整性是网络信息未经授权不能进行改变的特性。即网络信息在存储或传输过程中保持不被偶然或蓄意地删除、修改、伪造、乱序、重放、插入等破坏和丢失的特性。完整性是一种面向信息的安全性,它要求保持信息的原样,即信息的正确生成和正确存储和传输。完整性与保密性不同,保密性要求信息不被泄露给未授权的人,而完整性则要求信息不致受到各种原因的破坏。影响网络信息完整性的主要因素有:设备故障、误码(传输、处理和存储过程中产生的误码,定时的稳定度和精度降低造成的误码,各种干扰源造成的误码)、人为攻击、计算机病毒等。保障网络信息完整性的主要方法有:协议、纠错编码方法、密码校验和方法、数字签名、公证1。5.不可抵赖性不可抵赖性也称作不可否认性,在网络信息系统的信息交互过程中,确信参与者的真实同一性。即,所有参与者都不可能否认或抵赖曾经完成的操作和承诺。利用信息源证据可以防止发信方不真实地否认已发送信息,利用递交接收证据可以防止收信方事后否认已经接收的信息。6.可控性可控性是对网络信息的传播及内容具有控制能力的特性。可控性最重要的体现是全局监控、预警能力和应急响应处理能力。全局预警就是要建立全局性的安全状况收集系统,对于新的安全漏洞和攻击方法能及时了解,针对体系内局部发生的安全入侵等事件进行响应1。4.3网络信息安全因素网络系统的安全威胁主要表现在主机可能会受到非法入侵者的攻击,网络中的敏感数据有可能泄露或被修改,从内部网向公共网传送的信息可能被他人窃听或篡改等。典型的网络安全威胁如表4-1所示。表4-1典型的网络安全威胁威胁描述窃听网络中传输的敏感信息被窃听重传攻击者事先获得部分信息或全部信息,以后将此信息发送给接收者伪造攻击者将伪造的信息发送给接收者篡改攻击者对合法用户之间的通信信息进行修改、删除、插入、再发送给接收者非授权访问通过假冒、身份攻击、系统漏洞等手段获取系统访问权,从而使非法用户进入网络系统读取、删除、修改、插入信息等拒绝服务攻击攻击者通过某种方法使系统响应减慢甚至瘫痪,阻止合法用户获得服务行为否认通信实体否认已经发生的行为旁路控制攻击者发掘系统的缺陷或安全脆弱性电磁/射频截获攻击者从点子或机电设备所发出的无线射频或其他电磁辐射中提取信息人员疏忽已授权人为了利益或由于粗心将信息泄露给未授权人影响计算机网络安全的因素有很多,如人为的疏忽、人为的恶意攻击、网络软件的漏洞、非授权访问、信息泄露或丢失、破坏数据完整性2。4.4网络信息安全机制网络信息安全机制定义了实现网络信息安全服务的技术措施,包括所使用的可能方法,主要是利用密码算法对重要而敏感的数据进行处理。网络信息安全机制包括如下八种。1.加密机制加密是提供数据保密的基本方法,用加密方法和认证机制相结合,可提供数据的保密性和完整性。2.数字签名机制数字签名是解决信息安全特殊问题的一种方法,适用于通信双方发生了下列情况的安全验证。3.访问控制机制访问控制是指处理主体对客体访问的权限设置的合法性问题,一个主体只能访问经过授权使用的给定客体。否则,访问控制机制的审计跟踪系统会自动拒绝访问,并给出事件报告的跟踪审计信息。4.数据完整性机制数据完整性主要解决数据单元的完整性和数据单元序列的完整性。5.鉴别交换机制鉴别交换是在通信进程中,以双方互换约定信息方式确认实体身份机制。26.通信业务填充机制目的是对抗非法攻击者在传输信道上监听以及非法进行流量和流向分析。7.路由控制机制在复杂的网络环境中,路由控制机制在于引导信息发送者选择代价小且安全的特殊路径,保证数据能由源节点出发,经选择路由,安全到达目标节点。8.公证机制公证机制在于解决通信的矛盾双方,因事故和信用危机导致责任问题的公证仲裁 3。5.安全需求与安全目标5.1 网络安全需求通过对局域网结构、应用及安全威胁分析,可以看出其安全问题主要集中在对服务器的安全保护、防黑客和病毒、重要网段的保护及管理安全上。因此,要采用相应的安全措施杜绝安全隐患,应该做到以下几点4。1. 公开服务器的安全保护2. 防止黑客从外部攻击3. 入侵检测与监控4. 信息审计与记录5. 病毒防护6. 数据安全保护7. 数据备份与恢复8. 网络的安全管理5.2 网络安全策略安全策略是指在一个特定的环境里,为保证提供一定级别的安全保护所必须遵守的规则。改安全策略模型包括建立安全环境的三个重要组成部分12:1.法律规章。安全的基石是社会法律、法规、规章制度与相应的制裁手段,在这基础上建立一套安全管理的办法。既通过建立与信息安全相关的法律、法规和单位的规章制度,使不法分子摄于法律,不敢轻举妄动。2.先进技术。先进的安全技术是信息安全的根本保障,用户对自身面临的威胁进行风险评估,决定对其需要的安全服务种类,选择相应的安全机制和先进的安全技术。3.严格管理。各网络使用机构、校园和单位应建立相宜的信息安全管理办法,加强内部管理,建立审计和跟踪体系,提供整体的信息安全意识。5.3 系统安全目标局域网络系统安全应该实现以下的目标5:1 建立一套完整可行的网络安全与网络管理策略2 将内部网络、公共服务器网络和外网进行有效隔离,避免与外部网络的直接通信3 建立网站各主机和服务器的安全保护措施,保证系统安全4 对网络服务请求内容进行控制,使非法访问在到达主机前被拒绝5 加强合法用户的访问认证,同时将用户的访问权限控制在最低限度6 全面监视对公共服务器的访问,及时防线和拒绝不安全的操作和黑客攻击行为6.网络访问安全6.1 VPN 概述VPN是专用网络的扩展,是一种通过公共网络把两个私有网络连接在一起的安全访问技术,通常作为大型校园网络的补充,用于实现远程安全接入和管理。VPN技术通过一系列的验证和加密技术,使建立VPN连接的两端虚拟的组成一条排他的专用线路,就好像是一条建立在校园两端的Intranet专线一样,只不过这条线路是通过因特网建立的。6.1.1 VPN简介VPN(Virtual Private Network),虚拟专用网络。VPN被定义为通过一个公用网络建立一个临时的、安全的连接,是一条稳定的隧道。虚拟专用网是对校园内部网的扩展,可以让远程用户、校园的内部网建立可信的安全连接,并保证数据的安全传输。6.1.2 VPN的特点与应用1安全保障 虽然实现VPN的技术和方式很多,但所有的VPN均应保证通过公用网络平台传输数据的专用性和安全性。在非面向连接的公用IP网络上建立一个逻辑的、点对点的连接,称之为建立一个隧道,可以利用加密技术对经过隧道传输的数据进行加密,以保证数据仅被指定的发送者和接收者了解,从而保证了数据的私有性和安全性。2服务质量保证(QoS)VPN网应当为校园数据提供不同等级的服务质量保证。不同的用户和业务对服务质量保证的要求差别较大。如移动办公用户,提供广泛的连接和覆盖性是保证VPN服务的一个主要因素;而对于拥有众多分支机构的专线VPN网络,交互式的内部校园网应用则要求网络能提供良好的稳定性;对于其它应用(如视频等)则对网络提出了更明确的要求,如网络时延及误码率等。QoS通过流量预测与流量控制策略,可以按照优先级分配带宽资源,实现带宽管理,使得各类数据能够被合理地先后发送,并预防阻塞的发生。 3可扩充性和灵活性VPN必须能够支持通过Intranet和Extranet的任何类型的数据流,方便增加新的节点,支持多种类型的传输媒介,可以满足同时传输语音、图像和数据等新应用对高质量传输以及带宽增加的需求。4可管理性从用户角度和运营商角度应可方便地进行管理、维护。VPN管理的目标为:减小网络风险、具有高扩展性、经济性、高可靠性等优点。事实上,VPN管理主要包括安全管理、设备管理、配置管理、访问控制列表管理、QoS管理等内容10。6.2 路由器实现VPN在本方案中,以一个学生宿舍与学院之间实现用VPN通信为例,以下为拓扑图:图6-2 VPN通信拓扑其中,学院(R2)的详细配置如下,第一步:配置端口地址;R2(config)#int e0/1R2(config-if)#ip address 202.3.1.2 255.255.255.0第二步:配置隧道;R2(config)#int tunnel 10R2(config-if)#ip address 172.168.1.1 255.255.255.0R2(config-if)#tunnel source 202.3.1.2R2(config-if)#tunnel destination 202.2.2.2第三步:配置连接内部的端口地址,并设置静态路由;R2(config)#int e0/3 R2(config-if)#no shutdown R2(config-if)#ip address 10.5.7.1 255.255.255.0R2(config-if)#ip route 0.0.0.0 0.0.0.0 202.3.1.1实践效果如图6-3所示:图6-3 路由器R2路由表图6-4 路由器R2 ping通效果图 宿舍R3的配置如下所示:R3(config)#int e0/2R3(config-if)#ip address 202.2.2.2 255.255.255.0R3(config)#int tunnel 10R3(config-if)#ip address 172.168.1.2 255.255.255.0R3(config-if)#tunnel source 202.2.2.2R3(config-if)#tunnel destination 202.3.1.2R3(config-if)#no shutdown 图6-5 路由器R3路由表以上可以看到,从R2路由器可以成功ping通道R3的路由器。证明本方案的VPN通道是可以通信的。7.Cisco安全设备7.1 防火墙设计所谓防火墙指的是一个由软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障。它是一种计算机硬件和软件的结合,使Internet与Intranet之间建立起一个安全网关(Security Gateway),从而保护内部网免受非法用户的侵入,防火墙主要由服务访问规则、验证工具、包过滤和应用网关4个部分组成。网络防火墙的主要特点是只能通过对它的数据包进行拦截和过滤,通常需要部署在被保护网络的边界,如局域网接入Internet时,就应该将防火墙部署在局域网的出口处。网络防火墙可以应用于如下四种网络环境7。1.内部网络与Internet的连接这是一种应用最广,也是最重要的防火墙应用环境。在这种应用环境下,防火墙主要保护内部网络不遭受互连网用户的攻击。这也是目前绝大多数校园采用防火墙的目的。在这种应用环境中,一般情况下防火墙网络可划分为三个不同级别的安全区域,如图7-1所示。图7-1 防火墙三个级别安全区域内部网络:这是防火墙要保护的对象,包括全部的校园内部网络设备及用户主机,这个区域是防火墙的可信区域。外部网络:这是防火墙要防护的对象,包括外部互连网主机和设备。这个区域为防火墙的非可信网络区域。DMZ(非军事区):它是从校园内部网络中划分的一个小区域,在其中就包括内部网络中用于公众服务的外部服务器,如Web服务器、邮件服务器、FTP服务器等,他们都是为互连网提供某种信息服务8。2.局域网和广域网的连接局域网和广域网之间的连接有两种方式可供选择,网络用户可以根据自己的实际需求来选择。如果校园原来已有边界路由器,则此可充分利用原有设备,利用边界路由器的包过滤功能,添加相应的防火墙设置,这样原来的路由器也就具有防火墙功能了。然后再利用防火墙和需要保护的内部网络连接5。对于DMZ区中的公用服务器,则可直接和边界路由器相连,只经过路由器的简单防护,而不用经过防火墙。网络拓扑结构如图7-2所示。图7-2 存在边界路由器网络连接在此拓扑结构中,边界路由器和防火墙就一起组成了两道安全防线,并且在这两者之间能设置一个DMZ区,用来放置那些允许外部用户访问的公用服务器设施。如果校园原来没有边界路由器,此时仅由防火墙来保护内部网络。此时DMZ区域和需要保护的内部网络分别连接防火墙的不同LAN网络接口。因此需要对这两部分网络设置不同的安全策略。这种网络虽然只有一道安全防线,但对于大多数中、小校园来说是可以满足的。这种应用环境的网络拓扑结构如图7-3所示。图7-3 无边界路由器的网络连接3.内部网络不同部门之间的连接这种应用环境就是在一个校园内部网络之间,对一些安全敏感的部门进行隔离保护,比如人事部门、财务部门和市场部门等。通过防火墙保护内部网络中敏感部门的资源不被非法访问。这些部门网络主机中的数据对于校园来说是非常重要,他的工作不能完全离开校园网络,但其中的数据又不能随便给网络用户访问4。这时有几种解决方案,一种是采用VLAN设置,但这种方法设置方法较为复杂。另一种有效的方法就是采用防火墙进行隔离,在防火墙上进行相关的设置。通过防火墙隔离后,尽管同属于一个内部局域网,不过其他用户的访问都需要经过防火墙的过滤,符合条件的用户才能访问。网络拓扑结构如图7-4所示。图7-4 连接内部子网络4.用户与中心服务器之间的连接对于一个服务器中心而言,比如主机托管中心,大多数服务器需要对第三方开放,不过所有这些服务器分别属于不同用户所有,其安全策略也各不相同。如果把他们都定义在同一个安全区域中,显然不能满足各用户的不同需求,这时我们就得分别设置。按不同安全策略保护这些服务器,根据实施方式的不同又可以分为以下两种网络环境10。1.为每个服务器独立设置一个独立的防火墙。这种方案是一种最容易实现的方法,但这种方案无论从经济上、还是从使用和管理的灵活可靠性上都不是最佳的。2.采用虚拟网络防火墙。这主要是利用三层交换机的VLAN功能,先在三层交换机上将有不同安全需求的服务器划分至不同的VLAN。然后通过对高性能防火墙对VLAN子网的设置,将一个高性能防火墙划分为多个虚拟防火墙。其拓扑结构如图7-5所示。图7-5 虚拟防火墙虽然这种方案配置较为复杂,但配置完成后,随后的使用和管理将相当的方便,就像用交换机管理多个VLAN子网一样来管理每个用户服务器,而且该方案在现实中比较经济可行。8.网络攻击与防范8.1黑客攻击手段随着Internet 的发展,对Internet的攻击方式也层出不穷。目前为止,以报道的攻击方式达500多种。大致分为以下7类:1.地址欺骗地址欺骗是基于地址的证实,即攻击者将自己的地址伪装成主机认为可信赖的地址,如内部网地址,从而欺骗主机的信任,达到攻击的目的。2.TCP盗用由于TCP是基于有连接的通信,这样攻击者通过监听摄取连接信息,一旦合法的连接建立后,攻击者即可插入数据包,甚至接管客户的TCP连接。在这种情况下,即使经过很强的证实后,也容易接管Telent和FTP的会话操作。3.业务否决攻击者通过向被攻击者发送大量的数据流使被攻击主机淹没在信息处理的汪洋中,对正常业务请求无法处理,从而否决正常业务。例如,攻击者可向网上其他主机发出请求,使这些主机向被攻击主机发送邮件。这样被攻击主机就被大量的邮件阻塞。4.对域名系统和基础设施的破坏攻击者通过对域名系统,路由器等网络设施进行破坏,从而使受害主机在域名系统中消失,或无法找到路由。这在动态路由器中可采用欺骗路由应答等方式进行攻击。5.利用Web破坏数据库攻击者在进行Web访问时,通过对数据库的访问查询有关内容。此时很可能对Web数据库进行恶意操作,从而导致整个Web服务器不能正常工作甚至瘫痪。6.社会工程这种攻击方式主要通过一些日常社会交往获取有用信息,从而利用这些有用信息进行攻击。7.口令猜测这是最早的攻击方式,到现在为止依然广泛被使用,目前黑客已经收集口令并形成字典,使得口令猜测成功率明显提高。这种攻击的危害性很大,因为它可能使黑客猜测到系统管理员的口令而破坏整个系统。8.2.1 “ARP攻击”的方式和原理 从影响网络连接通畅的方式来看,ARP攻击大概可以分为两种。一种是对路由器ARP表的欺骗,这种方法可以破坏系统的ARP缓存表,从而组成内外IP地址的混乱。另一种是对局域网内计算机的网关欺骗,让网内计算机系统的数据报通过假网关来发送。 第一种ARP 欺骗是截获网关数据。它通知路由器一系列错误的内网MAC地址,并按照一定的频率不断进行地址的更换,使真实的地址信息无法通过更新保存在路由器中,结果路由器的所有数据只能发送给错误的MAC地址,从而造成计算机访问黑客精心构建的网络陷阱。 第二种ARP 欺骗是伪造网关。它的原理是建立假网关,让被它欺骗的计算机向假网关发数据,而不是通过正常的路由器途径上网。 8.2. 2 利用“ARP 欺骗”入侵实际操作黑客要利用“ARP 欺骗”入侵计算机,只需要一个前提条件,就是进行入侵的计算机和被攻击的计算机要在同一个局域网的网段中。由于ARP欺骗是通过数据包进行欺骗的,所以在进行操作以前要在本地计算机安装一个驱动程序,为数据传输做准备。我们可以通过一个很出名的ARP攻击工具WinArpAttacker来实现入侵的过程。1.打开虚拟机,主机运行WinArpAttacker.EXE,扫描局域网的机器,会发现用虚拟机运行的机器,如图8-1所示图8-1 扫描的结果截图2.在要攻击的机器前面打勾,然后点击攻击的按钮就可以实现攻击了。攻击的方式有以下几种:一、Flood: 连续并且大量地发送“Ip Conflict”包(此功能有会导致对方DOWN机)。效果如图8-2所示图8-2网络阻塞攻击二、BanGateway:发包欺骗网关,告诉网关错误的目标机MAC地址,导致目标机无法接收到网关发送的包。三、Ip Conflict: 发送一个IP一样但Mac地址不一样的包至目标机,导致目标机IP冲突。(频繁发送此包会导致机器断网),如果被攻击,效果很明显,在你机器的右下角会有个IP冲突的标志。如图8-3所示图8-3 Ip冲突效果截图四、Sniffgateway: 同时ARP欺骗网关和目标机,使你可以监听目标机的通信。五、SniffHosts:欺骗多个主机,使你可以监听他们之间的通信。六、SniffLan:欺骗局域网的所有机器,说是你才是网关,然后通过这个你可以监听整个网络。七、修改arp缓存表:修改局域网内某台机器的arp缓存表,实现MAC地址欺骗,以达到窃取信息的目的,具体演示如下:1.打开虚拟机,主机运行WinArpAttacker.EXE,扫描局域网的机器,会发现用虚拟机运行的机器,如图8-1所示图8-1 扫描的结果截图2.虚拟机的ip地址为192.168.1.22,MAC地址为08-00-27-7E-91-9B,使用arp a命令查看其arp缓存表:图8-4 虚拟机的arp缓存表3.在主机上使用WinArpAttacker制作arp攻击包,并发送给虚拟机:图8-5 arp攻击包的制作4.在虚拟机上查看被修改后的arp缓存表:图8-6 被修改的arp缓存表8.2.3“ARP攻击”防范方法 对于ARP攻击进行有效防范是同时在客户端和路由器上做双向的绑定工作,这样的话无论ARP攻击是伪造本机的IP地址、MAC地址还是网关地址,都不会出现上网掉线或者大面积断线等情况。可以使用以下两种方法来防范 “ARP 欺骗”攻击:1、激活防ARP攻击的相关项目 进入路由器Web管理页面后,选择“防火墙配置”选项中的“基本页面”,然后激活“防止ARP病毒攻击”即可。这样以后就可以避免利用ARP攻击的木马病毒传播了。 2、本地绑定IP地址和MAC地址正常进入计算机系统后打开其中的命令提示符窗口,通过arp s命令或者批处理命令来实现系统的绑定工作,命令格式为:arp s 路由器IP地址 路由器MAC地址,回车确定以后完成每台计算机的绑定。3、配置DHCP服务器防范arp攻击实现IP地址与MAC地址绑定策略打开DHCP服务器控制台,展来已经建立好的DHCP服务器,右键单击“保留”选项,这时我们选择“新建保留”选项。弹出的对话框中,在“名称”里输入保留的计算机名,在“IP地址”的选项中,是需要绑定MAC地址的IP地址,这里我们输入网关的地址 192.168.1.1,在“MAC地址”的选项当中,将之前在客户机中看到的MAC地址添加到其中。这样,我们就为网络上的网关设备路由器添加了一个MAC地址绑定,就再也不会出现这个地址被盗用的情况了。图8-7 配置DHCP服务器9.结论通过这次的毕业设计,我较全面的掌握了网络安全方面的基本知识,并在开发过程中我的分析能力和动手能力得到了进一步的提高。 在开发过程中我学到了一些经验:系统分析的好坏将决定着的系统开发成功与否,一份好分析设计将是成功开发主要因素。我们应有较长的时间去把分析做好,做好各部分设计工作,写出相关的开发文档等。然后再去设计实现以及用虚拟机的测试,这样做到每做一个环节都心底有数,有条不紊。当然也有些还需待继续深入地方如:其他方式的黑客攻等。此外,我还觉得,我个人在这次设计中走了很多弯路。主要是因为平时很少接触我是学软件工程专业的,对于网络安全是白纸一张,在应用方面缺乏经验,以后还需要更多的努力。对我来说,这次设计的本身所产生的影响,还远远没有结束,我从本次毕业设计中学到了许多课本上没有的知识。从设计任务配件的下达到今天基本实现任务配件中的设计要求。通过自己的学习和努力;通过老师的指导和教育,使我不仅仅在知识水平和解决实际问题的能力上有了很大的提高。还从思想的深处体会到,要把自己的所学变成现实时所将面对的种种难题。系统不免有错误和待改进之处,真诚欢迎各位师长、同行提出宝贵意见。