中低端路由器的攻击和防范硕士毕业论文(58页).doc

《中低端路由器的攻击和防范硕士毕业论文(58页).doc》由会员分享，可在线阅读，更多相关《中低端路由器的攻击和防范硕士毕业论文(58页).doc（58页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、-中低端路由器的攻击和防范硕士毕业论文-第 51 页低端路由器的攻击与防范摘要当今网络发展很快，安全漏洞也随之增加，安全问题也变成了人们日益关注的问题。有来自局域网的ARP攻击，也有来自广域网的DOS攻击和端口扫描攻击。攻击者会利用这些攻击来获取对用户敏感的技术文档和对个人用户敏感的账号和密码。在大型的网络中都有部署防火墙、IDS（入侵检测系统）等大型的贵重设备来保护网络的安全。但在中小企业网中，为了降低成本，只能购买一些低端的网络设备。然而当今市面上的低端网络设备大多都没有防攻击的功能，这使中小企业的网络安全问题成为了一个空白。本论文就是针对这种需求，在低端的路由器上实现防火墙，IDS（入侵

2、检测系统）的一些防护功能，嵌入到该系统中去，正真能够起到防攻击的作用。本论文会分析当今流行的攻击手段和方法，利用现有的组网环境构造异常的报文攻击网络设备，利用工具截获攻击报文，把该攻击报文解析出来，然后根据网络的知识，对该报文进行分析，找出其中的规律和攻击原理，根据该分析，提出有效的防攻击手段。文中还会描述防攻击在路由器内部的一些详细实现。本文主要通过Linux系统来实现防ARP攻击，防DOS攻击和防端口扫描攻击。关键词：网络安全，防攻击，DOS攻击AbstractWith the rapid development of network, the network security probl

3、em is become vulnerabilities, people pay more attation about the security problem. There are a variety of ARP attacks within local area network; also there are DOS attacks and port scanning attacks within wild area network. Hackers can use these attacks to obtain sensitive technology documents from

4、corporation, and they also can obtain sensitive user account and password to the individual. In a large network environment, there are firewall, IDS (Intrusion Detection System), and other large equipment to protect valuable network security. However, in small and medium business networks, they can

5、not afford to purchase such expensive equipment, in order to reduce costs, have to buy some low-end network equipment. However, low-end network equipment do not have the anti-attack function in todays market, there is a blank in small and medium business networks. This paper can fill the requirement

6、s, embedded the firewall and IDS (Intrusion Detection System) module to the low-end routers. Low-end routers are really able to play the role of anti-attack. This paper will analyze the current attack, constitution the abnormal message attack network equipment, intercepted the attack packets using t

7、ools, resolution the attack packets, then based on the knowledge of network to analysis the attack packets and how to preventing attacks. According to the analysis, we can propose an effective method of preventing attacks. This paper will also introduced some code of prevent attack in the low-end ro

8、uter. In this paper, depend on the Linux system to achieve the anti-ARP attacks, anti-DOS attacks and port scanning attacks prevention.Key Words：Network Security, Anti-attack, DOS attacks目录摘要iAbstractii图目录III表目录IV第1章 绪论11.1 课题背景11.1.1 网络安全发展11.1.2 低端路由器安全问题11.2 主要的工作和方法21.3 低端路由器防攻击需求21.3.1 低端路由器的用户

9、群体21.3.2 低端用户对防攻击的需求21.3.3 满足用户需求的路由器21.4 本文结构组织31.5 本章小结4第2章 数据通信领域安全测试方法52.1 网络安全测试52.2 报文构造52.2.1 网络协议的分层思想52.2.2 TCP报文的结构62.2.3 数据通信中的设备112.2.4 怎么样模拟攻击报文122.3 本章小结13第3章 针对低端路由器的攻击143.1 低端路由器典型的攻击手法143.2 内网的ARP攻击143.2.1 ARP攻击的背景143.2.2 ARP的概念143.2.3 ARP攻击原理173.3 病毒和木马213.4 外网的DOS攻击和端口扫描223.4.1 DO

10、S攻击背景223.4.2 典型DOS攻击原理分析233.4.3 DOS攻击类型253.4.4 端口扫描攻击273.5 本章小结28第4章 访问控制控制用户访问294.1 利用访问控制区分流量294.2 报文解析实现原理314.3 访问控制MAC过滤344.3.1 MAC过滤背景344.3.2 MAC过滤实现354.4 访问控制URL过滤374.5 本章小结38第5章 低端路由器防ARP攻击实现395.1 ARP防范395.1.1 IP与MAC绑定原理395.1.2 IP和MAC绑定的缺陷435.1.3 防ARP模块的改进四源绑定435.2 本章小结45第6章 防DOS攻击和防端口扫描攻击的实现

11、466.1 基于Linux系统上的IDS的实现466.1.1 入侵检测系统466.1.2 Linux系统中的netfilter/iptables模块466.2 防DOS攻击的实现486.3 防端口扫描模块的实现506.4 本章小结59第7章 低端路由器防攻击总结607.1 低端路由器防攻击回顾607.2 实现防攻击主要研究607.3 低端路由器防攻击的创新617.4 低端路由器防攻击前瞻61参考文献63作者简历65致谢66图目录图 2.1 链路层报文层格式7图 2.2 IP数据报文格式及首部中的各个字段7图 2.3 TCP数据在IP中的封装9图 2.4 TCP包首部9图 2.5 经过解析后的T

12、CP报文10图 2.6 16进制表示的TCP报文11图 2.7 交换机硬件12图 2.8 路由器硬件12图 3.1 ARP 报文解析图15图 3.2 免费ARP解析图16图 3.3 ARP 报文交互过程17图 3.4 免费ARP攻击原理图18图 3.5 ARP Spoof 原理图19图 3.6 ARP 中间人攻击原理图21图 3.7 TCP连接三次握手机制24图 4.1 TCP流的五元组30图 4.2 TCP报文四层以下结构31图 4.3 TCP报文提取五元组流层图31图 4.4 源MAC地址在报文解析后中的位置35图 4.5 源MAC地址在16进制报文中的位置35图 4.6 MAC过滤处理流

13、程图36图 4.7 HTTP协议中的URL字段37表 5.1 Linux ARP状态转化意义40图 5.1 Linux ARP 状态机41图 5.2 四源绑定原理图45图 6.1 防端口扫描数据结构的组织关系51图 6.2 防端口扫描命中函数流程图54表目录表 5.1 Linux ARP状态转化意义40第1章 绪论1.1 课题背景1.1.1 网络安全发展TCP/IP是现在Internet上使用的最流行的协议之一，它大概在70年代的时候被开发出来，并最终与Linux结合在一起，从那时候起，它就成为了Internet的标准之一。如今，几乎所有的计算机都运行着某种形式的TCP/IP协议。TCP/IP

14、协议可以在各种不同的硬件和操作系统上工作，因而利用TCP/IP可以迅速方便地创建一个网络系统。但是，在1966年Internet刚刚创建的时候，当时的创始者没有对安全问题考虑的太多。当时创建者注重的是网络的通信功能，因此Internet和TCP/IP并没有被过多的考虑安全性的问题。所以现有的安全机制被经常拿来修改以适应现有的网络和TCP/IP协议。经过时间的推移，网络攻击的手段和技术也不断的更新，用户也对网络设备提出更高的要求，网络设备也要对这些攻击有一定的防御能力。随着网络攻击手段的不断变化和发展，网络设备的防攻击能力也随之不断的提高。1.1.2 低端路由器安全问题本论文主要研究如何在低端路

15、由器上实现一些预防网络攻击的模块，原来在一般的网络中防攻击的功能都集中在高端的防火墙和IDS中，这些高端的设备功能极强，能防止网上能够很多的攻击手段。所以在高端的组网中，网络的安全性往往较高。但在低端的市场中，由于组网经费上的限制，设备和组网往往比较简单，不可能有专门的防火墙和入侵检测系统。如：中小企业网和一般的网吧中只有一台简单的路由器和几台简单的交换机。不会有专业的防火墙和IDS这些贵重的设备，所以这些企业和小网吧经常受到各种网络的攻击，用户在网吧中频频掉线，网速大受影响。如今，网络攻击的手段和技术也不断的更新，像当前比较流行的ARP攻击的产生，迫使低端的路由器也有防ARP的一些功能。1.

16、2 主要的工作和方法本文主要根据用户的需求对一些典型网络攻击进行了研究。分析每一这种攻击的原理和方法，并根据分析的结果，针对每一种典型的攻击手法，在Liunx系统下实现防攻击的模块。并且分析当前的防攻击方法，提出改进方法。本课题旨在通过对需求和攻击的研究，根据TCP/IP的通信原理提出满足低端路由器防攻击的合理方案。1.3 低端路由器防攻击需求1.3.1 低端路由器的用户群体低端路由器的市场十分广阔，包括中小企业、网吧、医院、大酒店、高校，甚至可以是家庭用户。这些群体对于路由器的安全需求虽然没有政府和电信机房的要求那么高，但是也有对网络安全性的基本需求。1.3.2 低端用户对防攻击的需求中小企

17、业：该组网主要完成企业内部协同工作交流，在内网内架设服务器，防止员工做一些有害网络的服务，防止恶意软件的ARP攻击，防止恶意黑客从外网发起的恶意攻击。网吧：该组网情况下对防攻击要求更加高，即要防止内网恶意用户发起的攻击，又要兼顾外网恶意攻击核心路由器，导致核心路由器的瘫痪。家庭用户：主要防止浏览有病毒的网站，防止外网对内网的一些攻击。1.3.3 满足用户需求的路由器防攻击路由器必须满足用户需求。针对以上三种用户的需求，路由器的防攻击必须满足以下几点： （1）必须能防御内网攻击。内网的攻击，针对网吧来说，最主要的就是ARP攻击和ARP欺骗。针对企业，除了防ARP以外，还要防止恶意用户接入内网造成

18、危害。（2）其次要能控制内网用户访问外网危险的服务。控制网内用户的服务，必须要用到访问控制列表(ACL)，用该技术来严格控制报文。（3）能防御外网发起的各种攻击。外网发起的攻击主要是一些拒绝服务的攻击来消耗设备的CPU,降低设备的性能，从而使设备不能转发正常的报文。所以路由器要能识别异常的流量报文，当报文流量达到路由器规定的阀值时，就认为是攻击报文，从而达到保护设备的目的。1.4 本文结构组织第一章：绪论主要描述了低端路由器防攻击的背景和现在尴尬的处境，本文要解决的防攻击的意义。描述了用户对防攻击路由器的需求，本文研究的方法和要解决的问题。第二章：数据通信领域安全的测试方法分析网络攻击必须了解

19、攻击报文和网络设备，本章就简单的从TCP/IP的角度描述了攻击报文的构造和网络设备的基本概念。第三章：针对低端路由器的攻击本章从客户需求分析出用户主要想防范的典型的攻击：ARP攻击、木马病毒和DOS攻击，详细的分析了各种攻击的手法和原理。第四章：访问控制控制用户访问本章详细分析了ACL访问控制列表技术。通过该技术来实现网页访问的控制和用户接入的控制来防止用户访问不安全的网站受到木马的攻击。第五章：低端路由器防ARP攻击的实现详细分析了Linux系统中的ARP原理，在Linux系统下实现IP/MAC绑定原理。提出IP/MAC绑定防ARP的缺陷，提出四源绑定机制来彻底防住ARP攻击。第六章：防DO

20、S攻击和防端口扫描攻击在Linux系统下实现防DOS攻击和防端口扫描攻击。第七章：低端路由器防攻击总结对本文防攻击的回顾，总结主要研究和创新，提出优点和不足，提出以后应该改进的方面。1.5 本章小结随着计算机技术的不断发展，人们对网络安全的要求越来越高，不单单那些大型的企业和政府需要有安全设备的保护，不受黑客的攻击。普通的小企业和个人电脑用户也对自己的隐私和安全更加重视。中小企业用户的需求也不能视而不见。现在业界对低端的路由器也要求有基本的防攻击能力，一般的仅仅能进行报文快速转发的路由器已经不能满足用户的需求。低端路由器的其他性能也在不断的向高端靠近，但在成本上却是要有严格的控制，在低成本的情

21、况下做出高效的有安全模块的低端路由器，几乎是每个通信公司努力的方向。低端设备也要向更高的安全性方向发展。第2章 数据通信领域安全测试方法2.1 网络安全测试网络攻击从根本上讲就是通过构造异常的报文来破环正常的一些报文通信规则，导致一些网络设备工作异常，不能转发正常的数据报文或者发出异常的数据报文。在数据通信安全领域安全的测试方法归根到底也是要分析异常的数据报文对网络设备的影响，所以对网络攻击的分析就是对攻击报文的分析和对网络设备的影响。所以接下来要讨论攻击报文的构造和网络设备的概念。2.2 报文构造2.2.1 网络协议的分层思想网络协议一般都按照不同的层次来开发，各个层次都会有自己的功能和用处

22、，每个层次也有不同的协议族。每个协议族都维护着各自的协议。通信的时候，报文就经过一层层的解析，然后分析每一层的协议族来获取报文中的信息。TCP/IP协议族一般被分成四层协议系统：4 应用层 3 运输层 2 网络层 1 链路层 其中的每一层都有不同的功能和作用，一般也都有这一层的特殊协议（1）链路层：有时也叫数据链路层或者接口层。一般就是指操作系统中的设备驱动程序和计算机网卡等，它们往往通过电缆和光纤来传输类似0101的二进制代码，电缆通过电信号电频的高低来传输，光纤就通过光信号来传输。（2）网络层：又叫互联网层，这层主要定义了一个报文的怎么样在网络中选路，怎么样在网络中走，应该送到哪个设备上去

23、，应该做一些什么事情。比如：这层最有名的协议就是IP协议了，它主要定义了源IP地址和目的IP地址，网络层主要通过该IP地址的信息来把报文从一个设备传输到另一个设备。还有ICMP（互联网控制报文协议），这个协议最初主要是用来检测网络是否能正常通信的协议。（3）运输层：主要位PC机上的应用程序提供端到端的通信。在TCP/IP协议族中一般就是指TCP协议（传输控制协议）和UDP协议（用户数据报协议）。TCP一般为PC之间提供可靠性极高的传输，是有连接的传输，在传输之前会先同过一些测试报文来把药传输的通道先连接起来，当传输通道连接起来以后再开始传输数据报文，而且当报文传输失败时，还会重传。然而UDP相

24、比TCP而言就是一个很简单的协议了，它只是负责把报文从一端传输到另外一段就可以了，是否传输失败或者丢包，它都不会去关心。（4）应用层：这一层主要负责PC上各种应用程序的通信细节。应用层最主要的就是端口号，一般的应用程序都是通过不同的端口号来进行相互的通信的，端口号可以从0到65535。比如FTP就是用TCP目的端口号20和21来传输报文的，通过20端口来建立传输通道，当传输通道建立好了以后，再用21端口来传输数据报文。TFTP就是用UDP目的端口号69来传输报文。还有就是大名鼎鼎的HTTP协议，用户上网打开网页用的都是该协议，该协议就是通过TCP的目的端口80来传输报文的，当PC接收到该报文后

25、，把报文中的数据部分解析出来就是HTML文件，所以用户在PC上就打开网页了。1史蒂文斯.TCP/IP详解M.北京:机械工业出版社，2000. 2.2.2 TCP报文的结构要想测试设备安全性，首先需要构造报文，尽管有些工具提供了报文构造的便捷途径，但是要做构造大量的精确的报文，必须要掌握最基础的报文构造原理和方法，就拿构造一个TCP报文来说，因为TCP报文属于传输层报文，那么必须先构造一个链路层报文，然后在这个链路层报文的基础上加上一个网络层的包头形成三层的报文网络报文，最后在加上一个TCP包头，就成为了传输层的TCP报文。如何构造链路层报文，如图2.1该链路层报文包括目的MAC地址和源MAC地

26、址，该MAC地址是6位的长度，表示了网络上网卡的身份。它就想链路层的身份证一样，表示了这张网卡的信息。之后有两位是类型，该类型表示链路层上一层网络层的协议是什么，如果是OX0800就表示上层协议是IP协议，还有IPX协议等。图 2.1 链路层报文层格式构造好了二层报文，只要在其上加一个网络层的IP包头，就成了网络层的IP报文，至于IP数据报文格式，如图2.2所示。 图 2.2 IP数据报文格式及首部中的各个字段4位版本：目前业界用的最广泛的是IPV4，就是第四版本的意思，但随着网络中的IP地址越来越不够用了，所以以后IPV6，就是第六版本的IP会出现，会来克服IPV4地址不足的问题。4位首部长

27、度：就是指整个IP报文头部一共有多少个字节，一般IPV4位20个字节。8位服务类型：一般TOS字段包括一个3bit的优先权字段，4bit的TOS字段和1bit的未用位。TOS字段分别表示：最大延时、最大吞吐量、最高可靠性和最小费用。这些字段的标示说明了该报文要传输时最看重什么，设备会根据这些报文TOS字段来区别对待这些报文。16位长度：这个长度是指除了IP报文头部长度以外的IP长度。标志位：该标志字段主要唯一的标识了主机发送的每一分报文。通常每发送一份报文就会加1。片位移：数据报文在发送以前需要先把大包分成一个个的小包才能传输过去，就是通过片位移在报文上做好标记，当这几个小包发送到目的地后再根

28、据这些片位移把报文组装回去。TTL：标示报文的生存时间，一般报文经过一个路由设备后，该数据就会减1，一般该数值为32或者64，确定该TTL值主要是不让报文在网络中形成死循环，形成网络风暴。8位协议：该8位协议和链路层协议原理一样，是指网络层的上一层传输层的协议，一般TCP为OX06，还有UDP等。首部检验和：它是来检验在传输过程中有没有发生差错，是对首部中的每一个16bit进行二进制反码求和，把这个结果存在检验和里，当对端收到该报文后也进行检验和的检查。接下来就是常见的源IP地址和目的IP地址。最后就是要传输报文的数据内容。在IP报文的基础上，再加上一个TCP头，就可以构造成一个传输层的TCP

29、报文，TCP报文头格式如图2.3。图 2.3 TCP数据在IP中的封装图 2.4 TCP包首部（1）源、目的端口号：记录报文发送到应用层的哪个端口（2）32位序号和确认序号：TCP是可靠的传输协议，它以确认序号来表示是否有回应。确认序号包含发送确认的一端所期望收到的下一个序号。（3）6个标志比特：U R G ：紧急指针。A C K ：确认序号有效。P S H ：接收方应该尽快将这个报文段交给应用层。R S T ：重建连接。S Y N ：同步序号用来发起一个连接。F I N ：发端完成发送任务。（4）窗口大小：（5）其他的字段，构造报文工具都会自动生成。（比如：校验和，数据）2图2.5就是一个完

30、整的TCP包的分层结构，上面提到的每个层次和字段在表中都有明确的意义。图 2.5 经过解析后的TCP报文如图2.6就是图2.5在底层传输的16进制数据。其实这些数据都是在网线上以高低电平的形式来传输的2进制数据。把图2.6中的16进制数转化成2进制就是在网络中传输的01代码，这就是报文在网络中传输的原理。图 2.6 16进制表示的TCP报文2.2.3 数据通信中的设备要了解如何防范攻击，就要了解网络中的报文是通过什么设备传输的，上一节说明了TCP/IP的四层结构，网络设备可以根据处理数据报文层次的进行划分。只在链路层转发的设备就归为交换机类，如2.7图所示，交换机其实最主要的模块就是一个转发芯

31、片，芯片是全硬件的，一般不需要用软件来控制。路由器类相比交换机增加了网络层的概念。一般的交换机交换数据报文都是通过简单的芯片转发的，但是上升到三层的转发，一般就需要CPU转发了，这就是路由器转发。所以在设备中的报文传输中，路由器在底层芯片不能转发报文的时候，就是上升到CPU网络层来转发，当网络层找不到路由不能转发时，或者是把报文丢弃或者是让报文匹配默认的路由。图 2.7 交换机硬件图 2.8 路由器硬件2.2.4 怎么样模拟攻击报文要了解分析网络攻击的手段和方法，必须模拟网络的攻击报文。模拟该报文可以通过网络报文的构造工具实现。在通信领域一般都用SmartBits这个设备来模拟攻击的报文，然后

32、用抓包工具把攻击的报文抓下来进行分析，如图2.5就是通过抓包工具抓下来的TCP报文结构，与上几节说明的报文结构可以一一对应。通过这些专业的构包工具来模拟攻击报文，构造精确的流量，达到攻击网络设备的目的，然后通过抓包工具分析这些攻击报文，对报文字段进行分析，对攻击原理进行解剖，从而设计一个可以防范各种攻击的模块。正是本课题的主要目的。2.3 本章小结在数据通性设备中，报文相关的模拟测试在整个测试活动中可以说是重中之重，要想设计出防攻击的模块，必须对各种攻击进行模拟。运用SmartBits构造模拟报文，用抓包工具解析报文是了解攻击和破解攻击的必要手段。第3章 针对低端路由器的攻击3.1 低端路由器

33、典型的攻击手法在1.2节中，描述了低端路由器防攻击的需求情况，低端路由器的攻击的主要是以下三个方面：（1）针对内网的攻击：ARP攻击，简单的ARP攻击能使内网用户经常掉线。严重的ARP攻击，能盗取用户的个人信息，比如银行的账号、密码等。（2）用户访问不安全网页时收到的攻击：当用户打开危险的网站或者下载一些有病毒的软件时，一些木马和病毒就植入了PC机内，用户就中毒了，轻则电脑无法正常使用，重则丢失一些机密的密码和口令。（3）来自外网的攻击：主要是DOS攻击和端口扫描攻击，DOS攻击会消耗网络设备的CPU，使网络设备瘫痪，导致不能转发正常的报文。端口扫描主要是黑客用来探测网络环境的手段，黑客利用端

34、口扫描可以探测出用户主机哪一些服务处于工作状态，然后进行有针对性的攻击。3.2 内网的ARP攻击3.2.1 ARP攻击的背景ARP攻击的问题大概是从2006年开始的，在国内，尤其是网吧，大规模爆发。常用手段最严重的不外乎于进行中间人攻击，监听报文和窃据密码。其实，ARP中间人攻击最严重危害不仅仅是信息的泄漏，而是充当攻击者的那台PC转发性能毕竟有限，无法及时处理整个局域网报文转发，导致局域网内其他客户端PC频频掉线。3.2.2 ARP的概念ARP，全称地址解析协议，英文中文名为Address Resolution Protocol，它工作在数据链路层，在本层和硬件接口联系，同时对上层提供服务。

35、 IP数据包常通过以太网发送，以太网设备并不识别32位IP地址，它们是根据48位以太网地址传输以太网数据报文的。因此，必须把IP目的地址转换成以太网目的MAC地址。在以太网中，一个主机要和另一个主机进行直接通信，必须要知道目标主机的MAC地址。它就是通过地址解析协议获得的。ARP协议用于将网络中的IP地址解析为的硬件的MAC地址，以保证通信的顺利进行。 图 3.1 ARP 报文解析图ARP在整个通信的交互过程中主要有3种类型的报文，分别是ARP Request（ARP请求）、ARP Reply（ARP应答）和Gratuitous ARP（免费ARP）。ARP Request和ARP Reply

36、报文是通过协议中的Opcode进行区别，ARP Request的OP位为1，ARP Reply的OP位为2。ARP Request既有广播方式发送，也可能有以单播方式发送。比如像有些路由器，设置端口绑定后，是通过发送单播报文的方式下发ARP Request报文的。Gratuitous ARP是一种特殊的ARP Request（OP位为1），它请求的目的IP地址与源IP地址相同，主要作用是确认网络中是否存在使用相同IP的设备，以防止出现IP冲突。免费ARP设计的初衷是避免冲突，却成为了许多恶意软件的主要攻击手段之一。图 3.2 免费ARP解析图以下是一个典型的ARP报文交互的过程：PC 1通过广

37、播方式的ARP Request报文，请求IP为192.168.0.2设备的MAC地址；报文中目的MAC是全0；PC 2通过单播方式的ARP Reply报文进行应答，PC 2将自己的MAC地址填入报文中的源MAC地址位置；PC 1收到ARP Reply报文后，更新自己的ARP 缓存或者ARP表项。至此一个完整的ARP交互过程顺利完成。图 3.3 ARP 报文交互过程3.2.3 ARP攻击原理3.2.3.1 ARP FloodARP泛洪攻击就是在短时间内向攻击目标发送大量的ARP Request报文，造成被攻击设备短时间内超负荷而无法响应正常的网络请求。ARP报文通常需要设备的CPU进行处理和转发

38、。当短时间内构造大量的ARP报文攻击设备时，会造成CPU利用率直线上升，甚至造成CPU满负荷工作，短时间内无法响应外界正常的请求。同时，构造出的大量ARP Request报文也能瞬间将设备MAC地址表占满。部分MAC芯片在MAC地址表学满后，不会学习新的地址，这样会造成短时间内交换机如同HUB一样，将单播报文全部进行广播处理，严重降低网络转发效率。3.2.3.2 免费ARP攻击免费ARP攻击，也是一种常见的攻击手段。如图4.6为免费ARP攻击原理图。图 3.4 免费ARP攻击原理图攻击设备定时向局域网内发送免费ARP报文，源IP地址和目的IP地址均为计算机A的IP。一方面，局域网内其他设备会更

39、新自己的ARP 表项，将计算机A的IP地址与攻击设备的MAC地址对应。如果是网关设备进行了ARP 表项更新，会导致计算机A无法正常连接外部网络；另一个方面，计算机A的操作系统也会频繁出现IP冲突的提示，影响正常操作。3.2.3.3 ARP SpoofARP欺骗是更加进一步的攻击手段。当局域网内设备尝试请求IP地址，攻击者为了伪造IP地址与被攻击目标IP相同的Reply报文，抢先向请求设备应答，造成请求设备的ARP表项中写入错误的MAC地址。图 3.5 ARP Spoof 原理图这里举一个Spoof例子：如图3.5。（1）首先，计算机（被欺骗设备）向局域网广播ARP Request报文，请求网关

40、设备或者服务器的位置。（2）当网关还没来得及反应的时候，攻击设备抢先向计算机应答，冒充自己是网关。（3）计算机将攻击设备误认为是网关，之后计算机要向外发送的报文都发送给了攻击设备。攻击设备就可以截取计算机向外发出的报文。受到ARP欺骗攻击的设备，无法正常连接网关设备。当然，攻击者最终的目标并不是断开被攻击设备的网络连接（部分恶意攻击软件除外），而是实现中间人攻击。3.2.3.4 中间人攻击以前的网络服务程序，如FTP和Telnet在实现原理和传输机制上是没有考虑安全机制的，最初的设计都是为了方便通信和检测网络。它们都是不安全的服务：因为它们在网络上用明文传送数据、账号和密码，攻击者通过窃听等网

41、络攻击手段是非常容易地就可以截获这些数据报文、用户帐号和密码。而且，这些网络服务程序的简单安全验证方式也有很多弱点，很容易受到“中间人”（man-in-the-middle）的这种攻击方式的攻击。 之所谓“中间人”的攻击方式，就是“中间人”冒充真正的服务器接收客户端你传给服务器的数据报文，然后再冒充客户端把数据报文传给真正的服务器。服务器和客户端之间的数据传送被“中间人”做了手脚之后，就会出现很严重的问题，比如报文内容被窃听或者篡改等等。通过ARP实现中间人攻击，实际就相当于双向ARP Spoof。一方面，攻击设备向所有客户端欺骗自己是网关，所有上行流量转发到攻击设备；另外一方面，攻击设备向网

42、关欺骗自己是客户端，将上行流量转发到网关，然后将网关回应的报文向客户端转发。 图 3.6 ARP 中间人攻击原理图图3.6是受到中间人攻击后的局域网流量简图，在计算机A的ARP表项中，计算机A对应的网关IP是攻击设备的MAC；而真实网关的ARP表项中，普通用户IP对应的是攻击设备的MAC。最终，普通用户通过网关访问外部网络的所有业务报文，都需要经过攻击者进行转发。攻击者通过对报文的控制，可以轻易获取普通用户的上网信息、账号和密码，或者对普通用户权限和网络连接速度进行限制。显而易见，中间人攻击才是ARP攻击的精髓所在。33.3 病毒和木马内网用户往往通过访问不安全的网站或网页而感染病毒或木马，中

43、了木马的主机会执行一些木马和病毒的程序，有些会直接把用户在银行网站上的用户名和密码直接通过网络发给用户，有些病毒又会在在局域网中传播，使网内主机发生瘫痪。很多攻击都是由局域网内部发起的，有些攻击者接入了局域网，利用非法的身份攻击局域网内的合法用户，使其不能正常的访问外网。怎么样让合法的用户接入，让非法的用户接入不了局域网。控制用户的服务，比如：只允许用户上FTP服务器下载，不需内网用户访问一些危险的网站。或者不允许用户连接特定的IP地址。可以随心所欲的控制内网的用户的操作，使整个网络环境更加安全。3.4 外网的DOS攻击和端口扫描3.4.1 DOS攻击背景DOS：即拒绝服务的缩写，Denial

44、 Of Service，指故意的攻击网络协议实现的缺陷或者直接通过野蛮手段耗尽被攻击对象的资源，目的是让目标计算机或网络无法提供正常的服务或资源访问。从网络攻击的方法和所产生的破坏情况来看，DOS 算是一种很有效的很简单的进攻方式。它的目的就是拒绝客户端的服务访问，破坏系统的正常运行，最终它会使客户端的部分Internet 连接失败。DOS 的攻击方式有很多种，最基本的DOS 攻击就是利用合理的服务请求来占用过多的服务资源，从而使CPU超负荷，合法用户无法得到服务。 DOS最早可追述到1998年。2004年5月份，网易、eBay等著名网站遭受黑客攻击，网易中断服务达3个小时，eBay被迫关闭。

45、2005年9月份，新浪遭受黑客攻击长达19个小时，致使电子邮箱系统完全瘫痪。据美国联邦调查局（FBI）和美国计算机犯罪调查（CSI）报告指出，2006年，美国有30%的网站遭受到拒绝服务攻击，平均一次攻击损失超过两百万美元。美国政府网站、白宫、百度、Yahoo，ZDNet、eBay、纽约时报等网站都遭受过拒绝服务攻击。平均每星期有超过4000起的拒绝服务攻击。商业公司的网站如eBay，在26个小时的攻击之后，股票价格下降29%。43.4.2 典型DOS攻击原理分析3.4.2.1 TCP协议原理及连接过程TCP（transmission control protocol，传输控制协议），是用坐在

46、不可靠的网络Internet上提供可靠的、端到端的传输的通讯协议。它的具体结构已描述过了，这里就不再累赘，这里主要对它的协议机制再进一步进行描述，典型的DOS攻击就是根据这些协议的设计缺陷来设计攻击网络中的设备。在TCP协议中有6个标志比特中四个标志位，其中URG 等六个FLAG 标志位是两个计算机数据交流的信息的标志位。TCP 连接握手过程可以简单地分为三个过程。在没有连接中，服务器处于监听LISTEN 状态，等待其他机器发送连接请求报文。第一步：客户端发送一个带SYN 位的请求报文，向服务器表示需要连接的请求，然后等待服务器的响应报文。第二步：服务器接收到这样的请求报文后，查看是否是指定的

47、端口，不然，就发送RST=1报文应答客户端，拒绝建立连接服务。如果接收连接的报文，那么服务器发送确认报文给客户端，SYN请求为服务器的一个内码，ACK报文则是客户端的请求序号加1，用这样的数据报文发送给客户端。向客户端表示，服务器的连接已经准备好连接了，等待客户端的确认消息后，这时客户端接收到消息后，分析得到的信息报文，以准备发送确认连接信号消息到服务器端。第三步：客户端发送确认建立连接的消息报文给服务器。确认信息报文的SYN 位的报文是服务器发送的ACK 位报文，ACK位报文是服务器发送的SYN 位的报文加1。这时，连接的信息已经建立好了。最后发送数据报文。这是一个基本的请求报文和连接报文过程。图 3.7 TCP连接三次握手机制3.4.2.2 如何利用TCP 协议缺陷实现DOS 攻击SYN Flood 是当前比较流行的DOS方式，它就是利用TCP 协议缺陷，发送大量伪造的TCP SYN连接请求报文，从而使得被攻击的设备CPU资源耗尽，而无法转发正常的数据报文。SYN-ACK 报文重传次数：