2022年ARP欺骗攻击和DDOS攻击解决方案 .pdf

《2022年ARP欺骗攻击和DDOS攻击解决方案 .pdf》由会员分享，可在线阅读，更多相关《2022年ARP欺骗攻击和DDOS攻击解决方案 .pdf（20页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、泸 州 职 业 技 术 学 院毕业设计报告ARP 欺骗攻击和 DDOS 攻击解决方案学生姓名王艳所 在 系电子信息工程系班级电 05 信息安全班专业信息安全技术指导教师赵菲 (讲师 ) 夏汛 (助教 ) 2008 年 3 月 24 日名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 1 页，共 20 页 - - - - - - - - - 目录I 目录第一章 选题依据 . 1 1.1 计算机网络安全的基本概念. 1 1.1.1 计算机网络安全的定义 . 1 1.1.2 计算机网络安全威

2、胁 . 2 1.2 计算机网络安全现状和存在主要的问题. 3 1.2.1 计算机网络安全现状 . 3 1.2.2 网络安全存在主要的问题 . 3 第二章 网络攻击技术 . 5 2.1 局域网中常见的网络攻击技术. 5 2.1.1 ARP 欺骗技术原理 . 5 2.2 ARP 欺骗技术 . 6 2.2.1 ARP 欺骗+sniffer交换环境下的嗅探 . 7 2.2.2 防范 ARP欺骗+sniffer交换环境下的嗅探的措施. 10 2.3 DDos 攻击技术 . 12 2.3.1 DDos 技术的原理 . 12 2.3.2 DDos 技术的实现方法 . 13 第三章 总结 . 16 致谢 .

3、17 参考文献 . 18 名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 2 页，共 20 页 - - - - - - - - - 第一章选题依据1 第一章选题依据随着互联网的飞速发展，网络安全逐渐成为一个潜在的巨大问题。网络安全性涉及面很广泛，其中也会涉及到是否构成犯罪。在其最简单的形式中，小型网络它主要关心的是确保非内部人员不能读取，更不能修改传送给接收者的信息。大多数安全性问题的出现都是由于有恶意的人想试图获得某种好处或想试图损害某些别人重要的信息而故意引起的。所以如何预防小型

4、网络的常见网络攻击, 是一件重大而又艰巨的事情。本文从网络安全现状入手，从攻击和防范两个方面分析网络，对网络攻防原理进行深入、细致剖析，分类阐述网络攻防双方的主要手段与实现方法，特别是对目前最常见和危害大的攻击手段和工具做了描述。主要对DOS ，DDOS(SYN FLOOD)攻击， IP 欺骗、 ARP欺骗、口令攻击、网络监听做了细致的分析，给出了他们的攻击原理和实施方法。以及针对一些小型网络（网吧、企业内部网等）的相关问题（ARP欺骗和 DDOS 攻击等）提出了解决方法（相关内容主要解决的问题是ARP 欺骗和分步式拒绝服务攻击以及防止监听、防口令攻击等,确保在一个网络环境里，信息传输的安全性

5、得到保证，详细内容参考下面章节）。1.1 计算机网络安全的基本概念1.1.1 计算机网络安全的定义计算机网络安全是指利用网络管理控制和技术措施，保证在一个网络环境里，数据的机密性、完整性及可使用性受到保护。网络的安全问题实际上包括两方面的内容，一是网络的系统安全，二是网络的信息安全。网络安全的具体含义随充当的角色不同而有不同的定义。从用户( 个人、企业等) 的角度来说，希望涉及个人隐私或企业利益的信息在网络传输时受到机密性、完整性和不可否认性的保护，避免其他人利用窃听、假冒、篡改、抵赖等手段侵犯个人的隐私和企业利益，即用户的利益和隐私不被非法窃取和破坏。从网络管理者角度说，希望其网络的访问权限

6、、读写操作受到保护和控制，来避免出现病毒、越权访问、非法存取、拒绝服务，网络资源非法占用和非法控制等威胁，防御黑客的攻击。对安全保密部门来说，希望对非法的、有害的或涉及国家机密的名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 3 页，共 20 页 - - - - - - - - - 第一章选题依据2 信息进行过滤、筛选和防堵，避免国家机密信息的泄露，避免对社会产生危害，避免给国家造成不可必要的损失。从社会教育角度来讲，对网络上不健康的内容，对人类社会稳定发展造成威胁的，必须对其进行控

7、制。1.1.2 计算机网络安全威胁安全威胁是指某个实体对某一资源的机密性、完整性、可用性在合法使用时可能造成的危害。这些可能出现的危害，是某些个别人通过一定的攻击手段来实现的。安全威胁可分成故意的( 如系统入侵 )和偶然的 (如将信息发到错误地址) 两类。故意威胁又可分成被动威胁和主动威胁两类。被动威胁只对信息进行监听，而不对其修改和破坏。主动威胁不仅对信息进行监听还对其进行篡改和破坏，使合法用户得到不可用的或错误的信息。(1) 基本的安全威胁网络安全具备四个方面的特征，即机密性、完整性、可用性及可控性。下面的四个基本安全威胁直接针对这四个安全特征。A、信息泄露：信息泄露给未经授权的实体。这种

8、威胁主要来自窃听、搭线等信息探测攻击。B、完整性破坏：数据由于受到未授权的修改、破坏而损害。C、拒绝服务：合法用户对资源的合法访问被阻断。拒绝服务可能由以下原因造成：攻击者对系统进行大量的、反复的非法访问尝试而造成系统资源过载，无法为合法用户提供正常的服务。D、非法使用：某一资源被非授权的人或以越权方式使用。(2) 主要的可实现的威胁主要的可实现的威胁可以直接导致某一基本威胁的实现，主要包括渗入威胁和植入威胁。主要的渗入威胁有：A、假冒：即某个非法实体假冒成另外一个合法授权的实体。这个未授权实体以一定的方式使把关者相信它是一个合法的实体，从而获得合法实体对资源的访问权限。这是攻击者常用的攻击手

9、段。B、旁路：攻击者通过各种手段发现一些系统安全缺陷，并利用这些安全缺陷绕过系统防线渗入到系统内部。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 4 页，共 20 页 - - - - - - - - - 第一章选题依据3 C、授权侵犯：对某一资源具有一定权限的实体，将此权限用于另一未经授权的资源上。主要的植入威胁有：A、特洛伊木马：它是一种基于远程控制的攻击工具，具有隐蔽性和非授权性的特点。隐蔽性是指设计者为了防止木马被发现，会采取多种手段隐藏木马，即使用户发现感染了木马，也不易确

10、定其具体位置。非授权性是指一旦控制端与服务端( 被攻击端 ) 连接后，控制端就能通过木马程序窃取服务端的大部分操作权限，包括修改文件、修改注册表、运行某些程序等。B、陷门：在某个系统或某个文件中预先设置一些操作权限，使得当提供特定的输入时，允许违反安全策略。1.2 计算机网络安全现状和存在主要的问题1.2.1 计算机网络安全现状(1) 网络系统在稳定性和可扩充性方面存在问题。由于系统的设计不规范、不合理以及缺乏安全性考虑，因而使其受到影响。(2) 网络硬件的配置不协调。一是文件服务器。它是网络的神经中枢，其运行稳定性、功能完善性直接影响网络系统的质量。网络应用的需求没有引起足够的重视，设计考虑

11、不够周密，从而使网络功能发挥受阻，影响网络的可靠性、扩充性。二是网卡选配不当导致网络不稳定。(3) 缺乏安全策略。在配置上无意识地扩大了访问权限，忽视了这些权限可能会被其他人员滥用。(4) 访问控制配置的复杂性，容易导致配置错误，从而给别人提供可趁之机。(5) 管理制度不健全，网络管理、维护不好。1.2.2 网络安全存在主要的问题任何一种单一的技术或产品都无法满足网络对安全的要求，只有将技术和管理有机的结合起来，从控制整个网络安全建设、运行和维护的全过程角度入手，才能有效提高网络的整体安全水平。主要存在的问题归结起来一般有以下几个方面：(1) 网络建设单位、管理人员和技术人员缺乏安全防范的意识

12、。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 5 页，共 20 页 - - - - - - - - - 第一章选题依据4 (2) 部门的有关人员对网络的安全现状尚不明确，不知道或不清楚网络存在的隐患。(3) 计算机网络安全防范没有形成完整的体系结构，其缺陷给攻击者有机可行。(4) 计算机网络没有建立完善的管理体系，从而导致安全体系和安全控制措施不能充分地、有效地发挥效能。(5) 网络安全管理人员和技术员缺乏必要的专业安全知识，从而不能安全地配置和管理网络，不能及时发现已经存在的和

13、随时可能出现的安全问题，对突发的事件不能有效的做出反应和补救措施。(6) 攻击者攻击手段多样化，信息容易被攻击者窃听。(7) 网络协议自身带有很多缺陷。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 6 页，共 20 页 - - - - - - - - - 第二章网络攻击技术5 第二章网络攻击技术2.1 局域网中常见的网络攻击技术2.1.1 ARP 欺骗技术原理在讲 ARP欺骗首先明确一下ARP协议以及其原理：在局域网中，通过ARP协议来完成 IP 地址转换为第二层物理地址（即MAC

14、地址）的。ARP协议对网络安全具有重要的意义。通过伪造IP 地址和 MAC 地址实现 ARP欺骗，能够在网络中产生大量的ARP通信量使网络阻塞。ARP协议是“ Address Resolution Protocol”（地址解析协议）的缩写, 在局域网中，网络中实际传输的是“帧”，帧中内容包含有源主机MAC 地址和目标主机的 MAC 地址的。在一个以太网中，一个主机要和另一个主机进行直接通信，必须要知道目标主机的MAC 地址。ARP 协议的基本功能就是通过目标设备的IP 地址，查询目标设备的MAC 地址，以保证双方通信的顺利进行。通过了解 ARP 原理我们可以对ARP 欺骗作出定义 , ARP

15、欺骗又大致分为两种：一种是对网关进行欺骗ARP欺骗其实就是攻击者伪造IP 地址和 MAC 地址，多次主动让发送主机知道他就是将要接收信息的目标主机，让发送主机误以为目标主机的 MAC 就是攻击者伪造的MAC 地址； 另一种是对内网 PC机的欺骗这种欺骗方式是通过发布假的ARP 信息， 伪造网关，误导其他的 PC机向假网关发送数据，而不是通过正常的路由进行访问的，造成在同一网关的所有PC 机都无法访问外网。如图 2-1ARP欺骗原理图例，明确显示了第一种ARP 欺骗方式 ( 对网关进行欺骗) 这一过程。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - -

16、- - - - - 名师精心整理 - - - - - - - 第 7 页，共 20 页 - - - - - - - - - 第二章网络攻击技术6 如图 2-1 2.2 ARP 欺骗技术嗅探攻击的原理：网络的一个特点就是数据总是在流动中，当你的数据从网络的一台电脑到另一台电脑的时候，通常会经过大量不同的网络设备，在传输过程中，有人可能会通过特殊的设备（嗅探器）窃取这些传输网络数据的报文。嗅探攻击主要有两种途径，一种是针对简单地采用集线器（Hub ）连接的局域网，黑客只要能把嗅探器安装到这个网络中的任何一台计算机上就可以实现对整个局域网的侦听，这是因为共享Hub获得一个需要接收的数据时，并不是直接

17、发送到指定主机，而是通过广播方式发送到每个电脑。正常情况下，数据接受的目标电脑会处理该数据，而其他非接受者的电脑就会过滤掉这些数据，但被攻击者安装了嗅探器的电脑则会接受所有数据，所以一般用户不会使用此方法传输数据。另一种是针对交换网络的，由于交换网络的数据是从一台计算机发出到预定的计算机，而不是广播的，所以黑客必须将嗅探器放到像网关服务器、路由器这样的设备上名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 8 页，共 20 页 - - - - - - - - - 第二章网络攻击技术7

18、才能监听到网络上的数据。交换环境下的Sniffer往往是通过对交换机进行ARP欺骗, 变成一个中间人进行截获数据不易被发现。共享环境下不能实现这种中间人转发，所有攻击者会使用交换环境下的嗅探（下面一章就是用的这种嗅探）。2.2.1 ARP 欺骗+sniffer交换环境下的嗅探攻击者进行 ARP欺骗不可能只单于让你上不了网，他们目的是通过这种方法进行一些非法活动，比如嗅探客户有用的密码和账号等。进行ARP欺骗+sniffer交 换 环 境 下 的 嗅 探 , 将 用 到 的 工 具 软 件 ： cn-snifferpro4.70.530.exe，winpcap_3_1.exe ，WinArpAt

19、tacker.exe外观如图 2-2 所示。如图 2-2 cn-snifferpro4.70.530.exe，主要起一个嗅探作用， winpcap_3_1.exe, 是一个底层网络包捕获驱动程序，要想运行WinArpAttacker.exe必须先安装它，意思是想进行 ARP欺骗必须安装 Winpcap_3_1.exe， 就如同你要使用一个摄相头必须安装一个摄相头驱动一样。 WinArpAttacker.exe只是进行欺骗攻击。为了更明确的说明这一流程，我们将举一事例说明：我们利用这三个软件来进行攫取客户机登录服务器时明文传送的账号和密码。首先攻击者要进行相应的设置，首先打开注册表的 IP 路由

20、功能，实现中间人转发。(当主机 A和机 B通信时 , 都由主机 C来为其“转发” , 而 A、B之间并没有真正意思上的直接通信, 他们之间的信息传递由C作为中介来完成 , 但是 A、B却不会意识到 , 而以为它们之间是在直接通信这就是所谓的中间人转发。 ) 进行 ARP 欺骗+sniffer状态下的嗅探大致分为以下几个步骤：第一步：首先攻击者要修改自己的注册表，打开路由功能来实现中间人转发。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 9 页，共 20 页 - - - - - -

21、- - - 第二章网络攻击技术8 HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters 项里 IPEnableRouter 键值修改为 1，图 2-3 所示。图 2-3 第二步：攻击者还要添加静态的ARP 表，将自己的 IP 与 MAC 地址绑定，以及网关的 IP 与 MAC 地址绑定，以免在发送 ARP 欺骗包时，本机连网也不稳定， 绑定如图 2-4 所示。如图 2-4 名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - -

22、- - 第 10 页，共 20 页 - - - - - - - - - 第二章网络攻击技术9 第三步： 绑定后就会使用静态的arp 表， 运行 sniffer与 WinArpAttacker.exe只要客户机登录服务器输入登录密码和账号，便可以嗅探到登录密码和账号。第四步：查看受害主机在被攻击之前，它维护的ARP表如图 2-5 所示。图 2-5 第五步：运行 sniffer与 WinArpAttacker.exe进行攻击，嗅探结果如图2-6所示登录用户名为wangyan86 密码为 866155， 这就是结合 sniffer交换状态下进行的 ARP 欺骗所得的结果。如图 2-6 名师资料总结

23、- - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 11 页，共 20 页 - - - - - - - - - 第二章网络攻击技术10 第六步：查看受害主机被攻击后的ARP表，运行 arp a，结果如图 2-7 所示如图 2-7 第七步：对比受害主机在被攻击之前和被攻击之后的差别，发现它所维护的ARP表网关 MAC 地址由 00-03-0f-00-d8-ee变成了 00-e0-4c-75-2a-26， 这样受害主机就会向假网关00-e0-4c-75-2a-26（攻击方）发送数据包，造成信息丢失。2.2

24、.2 防范 ARP欺骗+sniffer交换环境下的嗅探的措施第一步：绑定自己IP 与 MAC 地址和网关的 IP 与 MAC 地址，这样就使用静态的 ARP表，而不会理会攻击者发送的任何干扰消息。绑定方式如图2-8 所示如图 2-8 名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 12 页，共 20 页 - - - - - - - - - 第二章网络攻击技术11 第二步：现在再次运行WinArpAttacker.exe进行欺骗攻击， 2-9 与 2-5、对比发现，受害主机的ARP 缓

25、存表里，网关的MAC 地址此时没有变化，还是未攻击之前的正确 MAC 地址，如图 2-9 所示。这样主机就不会向假网关发送数据包，从而不会造成信息泄露，有效的防范了ARP 欺骗攻击。如图 2-9 第三步： 为了使主机自身处于更安全的环境中, 我们必须做好其他的预防措施,关于 ARP 欺骗防范务必落到实处，养成良好的习惯。(1) 增强安全意识 , 设置好登录控制 , 和权限控制；(2) 不要下载和安装盗版的、不可信任的软件或者程序；(3) 不要随便打开不明来历的电子邮件；(4) 不要随便点击聊天工具上发来的链接信息；(5) 共享文件，要设置好访问权限不同的用户应具有不同的使用权限；(6) 及时修

26、补系统漏洞、修复不安全的设置；(7) 软件升级控制；(8) 关闭不必要的系统服务和禁用不必要的端口；(9) 安装正版的杀毒软件，经常更新病毒库；第四步：临时处理对策在能上网时，进入 DOS ，输入命令： arp a 查看网关 IP 对应的正确 MAC 地址，将其记录下来。如果已经不能上网，则先运行一次命令arp d 将 arp 缓存删空，手工在 MS-DOS 窗口下运行以下命令： arp s 网关 IP 网关 MAC 第五步：安装 ARP 防火墙。360ARP防火墙通过在系统内核层拦截ARP攻击数据包，确保网关正确的MAC名师资料总结 - - -精品资料欢迎下载 - - - - - - - -

27、 - - - - - - - - - - 名师精心整理 - - - - - - - 第 13 页，共 20 页 - - - - - - - - - 第二章网络攻击技术12 地址不被篡改，可以保障数据流向正确，不经过第三者；在系统内核层直接拦截本机和外部的全部ARP 攻击；并提供本机ARP 木马病毒准确追踪和及时查杀，保持网络畅通及通讯安全； 保证通讯数据不受第三者控制， 很好的解决局域网内ARP攻击问题。2.3 DDos 攻击技术2.3.1 DDos 技术的原理DDos攻击技术中文全称“分布式拒绝服务攻击”，英文全称为（ Distributed Denial of Service ） ，它是一

28、种基于 DoS的特殊形式的拒绝服务攻击，DoS(Denial Of Service ，拒绝服务的缩写 )DoS 是指故意的攻击网络实现的或直接通过野蛮手段, 耗尽被攻击对象的资源，目的是让目标计算机或网络无法提供正常的服务或资源访问，使目标服务系统停止响应甚至崩溃。而 DDOS 的攻击策略侧重于通过很多“僵尸主机”向受害主机发送大量看似合法的网络包，从而造成网络阻塞或服务器资源耗尽而导致拒绝服务，分布式拒绝服务攻击一旦被实施，攻击网络包就会犹如洪水般涌向受害主机，从而把合法用户的网络包淹没，导致合法用户无法正常访问服务器的网络资源，常见的DDos攻击如图 2-10 所示。攻击者通过 clien

29、t控制多个 Handler 。每个 Hander 上都运行着攻击程序， 并且可以控制多台 Agent。攻击者通过 Agent 来向攻击目标发送大量的通信报文，从而达到消耗目标的通信带宽，形成对目标计算机的拒绝服务。由于这种攻击的攻击源并不是真正的控制计算机，而且加上攻击源可以分布在网络的任何地方，所以这种攻击称为“分布式拒绝服务攻击” 。如图 2-10 名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 14 页，共 20 页 - - - - - - - - - 第二章网络攻击技术13

30、2.3.2 DDos 技术的实现方法DDos攻击的是通过一些攻击手段来实现的，以SYN Flood 来说明。1、SYN/ACK Flood攻击是非常难于防御的攻击方式，它的目的使服务器不能够为正常访问的用户提供服务。所以，对一些依靠互联网开展业务的企业带来了致命的威胁。它利用TCP三次握手协议的缺陷，向目标主机发送大量的伪造源地址的SYN连接请求，消耗目标主机的资源，从而不能够为正常用户提供服务。(1) TCP 连接建立的过程A、客户端向服务器端发送一个SYN标志的 TCP报文，包含客户端使用的端口号和初始序列号 x；B、服务器端收到客户端发送的SYN报文后，向客户端回送一个SYN 和 ACK

31、 标志的 TCP报文，包含确认号为x1 和服务器的初始序列号y；C、客户端收到服务器返回的SYN ACK 报文后，向服务器返回一个确认号为y1 序号为 x1 的 ACK报文，一个标准的TCP连接完成；(2) SYN Flood攻击原理在 SYN Flood 攻击中，黑客机器向受害主机发送大量伪造源地址的TCP SYN报文，受害主机分配必要的资源，然后向源地址返回SYN ACK包，并等待源端返回 ACK包，由于源地址是伪造的，所以源端永远都不会返回ACK报文，受害主机继续发送 SYN ACK 包，并将半连接放入端口的积压队列中，虽然一般的主机都有超时机制和默认的重传次数，但半连接队列会很快填满，

32、服务器拒绝新的连接，将导致该端口无法响应其他机器进行的连接请求，最终使受害主机的资源耗尽。2、两种解决 SYN Flood 的方法(1) SYN cookie 技术一般情况下，当服务器收到一个TCP SYN报文后，马上为该连接请求分配缓冲区，然后返回一个SYN ACK报文，这时形成一个半连接。SYN Flood 正是利用了这一点，发送大量的伪造源地址的SYN连接请求，而不完成连接。这样就大量的消耗的服务器的资源。SYN cookie 技术针对标准 TCP连接建立过程资源分配上的这一缺陷，改变了资源分配的策略。当服务器收到一个SYN报文后，不立即为其分配缓冲区，而是利用连接的信息生成一个cook

33、ie 函数， 并将这个 cookie 作为将要返回的 SYN ACK报文的初始序列号。当客户端返回一个ACK报文时，根据包头信息计算cookie ，名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 15 页，共 20 页 - - - - - - - - - 第二章网络攻击技术14 与返回的确认序列号（初始的序列号1）的前 24 位进行对比，如果相同，则是一个正常连接，然后分配资源，建立连接。该技术的巧妙之点在于避免了在连接信息未完全到达前就进行资源分配，使SYN Flood攻击失效。此

34、技术实现的关键之处在于cookie 计算。 cookie 的计算应该做到包含本次连接的状态信息，使攻击者不能伪造cookie ，cookie 的计算过程如下：A、服务器收到一个SYN 包后，计算一个消息摘要mac ；mac = MAC （D ，k） ；MAC 是密码学中的一个消息认证码函数， D 为客户和服务器双方的IP 地址和端口号以及参数 t 的组合；D= SOURCE_IP | SOURCE_PORT | DST_IP | DST_PORT | t ；K为服务器独有的密钥；时间参数 t 为 32比特长的时间计数器，每64 秒加 1；B、生成 cookie ；cookie = mac （0

35、:24） ：表示取 mac值的第 0 到 24比特位；C、 设置将要返回的SYN+ACK 报文的初始序列号， 设置过程如下三个步骤所示；超出 24 位用 cookie 代替；接下来的 3 比特位用客户要求的最大报文长度MMS 代替；最后 5 比特位为 t mod 32 ；客户端收到来自服务器SYN+ACK 报文后，返回一个ACK报文，这个 ACK报文将带一个 cookie （确认号为服务器发送过来的SYN ACK 报文的初始序列号加1，所以不影响前 24 位） ，在服务器端重新计算cookie ，与确认号的前 24 位比较，如果相同，则说明未被修改，连接合法，然后，服务器完成连接的建立过程。S

36、YN-cookie 技术由于在连接建立过程中不需要在服务器端保存任何信息，实现了无状态的三次握手，从而有效的防御了SYN Flood 攻击。2、地址状态监控的解决方法地址状态监控是利用监控工具对网络中的有关TCP连接的数据包进行监控，并对监听到的数据包进行处理。处理的主要依据是连接请求的源地址。每个源地址都有一个状态与之对应，总共有四种状态。(1) 初态：任何源地址刚开始的状态；(2)NEW状态：第一次出现或出现多次不能断定存在的源地址的状态；(3)GOOD 状态：断定存在的源地址所处的状态；名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - -

37、- - - 名师精心整理 - - - - - - - 第 16 页，共 20 页 - - - - - - - - - 第二章网络攻击技术15 (4)BAD状态：源地址不存在或不可达时所处的状态；3、具体的动作和状态转换根据TCP头中的位码值决定(1) 监听到 SYN 包，如果源地址是第一次出现，则置该源地址的状态为NEW 状态；如果是 NEW 状态或 BAD状态；则将该包的RST位置 1 然后重新发出去，如果是 GOOD 状态不作任何处理。(2) 监听到 ACK 或 RST包，如果源地址的状态为NEW 状态，则转为 GOOD 状态；如果是 GOOD 状态则不变；如果是BAD 状态则转为 NEW

38、 状态。(3) 监听到从服务器来的SYN ACK报文（目的地址为address） ，表明服务器已经为从 address 发来的连接请求建立了一个半连接，为防止建立的半连接过多，向服务器发送一个ACK 包，建立连接，同时，开始计时，如果超时，还未收到ACK报文，证明 address 不可达，如果此时address 的状态为 GOOD 则转为 NEW 状态；如果 address 的状态为 NEW 状态则转为 BAD状态；如果为 address 的状态为 BAD状态则不变。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理

39、- - - - - - - 第 17 页，共 20 页 - - - - - - - - - 第三章总结16 第三章总结通过做这次毕业论文使我收获了很多有用的的东西, 学到了以前没有学到的知识，比如设计报告内容中写到的有关ARP欺骗的解决方法，在没有写此其之前只是稍对其有点印象， 并没有太多这方面的了解， 更不用说面对此类的问题 , 需要用何种解决方法，但是通过我查询资料和老师的指导对这方面稍有了较深的了解，无论是专业知识还是其他技能知识，都在原来的基础上得到了一定的提高，在此过程中，我清楚地认识到自己存在的许多不足之处, 不但专业知识掌握不牢固, 而且分析问题有时候也太过于片面, 不能从多方面

40、角度来分析、 考虑一个问题， 每次都必须在老师的帮助和讲解下才能得以解决, 才能把一切没有理清的思路全部整理完好 , 经过这次的经历 , 我总结出：在做每一件事情时，首先都不能过于急躁,要一步一步规划好。 平时间应把最基础的知识掌握好, 理解其中的原理， 这样才有做更深入的研究和学习 , 学到的知识不但不容易忘记而且自己明白其中的原理, 更能充分灵活的运用。有句名言形容恰入十分：“合抱之木，生于毫末，九层之台，起于垒土，千里之行，始于足下。 ”所以在以后的学习或者工作中，我将从这几方面提高自己的觉悟性，一步一步的学习，循序渐进。现在网络安全是信息时代最为关注的代名词， 也这方面也有较大的兴趣，

41、 我在以后的工作中也会继续学习，让自己对在这块领域有所长，学到宝贵的知识, 精彩自己的人生。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 18 页，共 20 页 - - - - - - - - - 致谢17 致谢首先非常感谢尊敬的各位答辩老师, 在百忙之中抽出时间来聆听我的答辩。其次要感谢我的导师夏汛老师和赵菲老师的细心指导，你们严谨细致、一丝不苟的工作作风是我工作、学习中的榜样；你们循循善诱的教导和不拘一格的思路给予我无尽的启迪。 没有你们的精心指导 , 我也不能顺利地完成我的毕

42、业设计报告，因为通过你们的指导和建议，才使我知道自己的报告缺陷所在，老师正是你们给出我非常好的建议，从而我才知道努力地从各方面进行修改，更让我学到更多的知识, 了解更多的信息 , 写出自已稍满意的毕业设计报告！所以我真心的道出我的谢意于我的两位指导老师。除此之外我也要感谢我的一些其他任课老师，他们在平时对于我的学习方面非常关心，细心讲解我不懂的问题，如果没有他们的教导，我也不会学到实用的知识，更不能用于我的毕业设计报告之中，所以有了这些知识我才将学以至用，完成我的毕业设计报告。最后真心的祝愿所有老师们会在以后的路途中越走越顺，桃李满天下！名师资料总结 - - -精品资料欢迎下载 - - - -

43、 - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 19 页，共 20 页 - - - - - - - - - 参考文献18 参考文献1 杨富国著 . 网络设备安全与防为墙. 清华大学出版社,2005.3 2 蔡立军著 . 计算机网络安全技术. 北京水利水电出版社,2005.7 3 石铁峰 . 计算机网络技术. 北京水利水电出版社,2006.8 4 戚文静 . 网络安全与管理. 北京水利水电出版社,2003.8 5 (美)kennethD.Reed 网络互连设备 . 北京电子出版社,2004.1 6 邓亚平 . 计算机网络 . 电子工业出版社, 2005.9 7 陶文娣 . 陶文华 . 网络安全技术措施.J电脑开发与应用,2006.1 8 赵江主著 . 局域网应用精讲. 人民邮电出版社,2006.1 9 谢希仁著 . 计算机网络教程. 人民邮电出版社,2005.3 10 张庆华著 . 网络安全与黑客攻防宝典. 电子工业出版社,2004.5 名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 20 页，共 20 页 - - - - - - - - -