局域网安全的攻防测试与分析论文Word文档格式.docx
《局域网安全的攻防测试与分析论文Word文档格式.docx》由会员分享,可在线阅读,更多相关《局域网安全的攻防测试与分析论文Word文档格式.docx(26页珍藏版)》请在冰豆网上搜索。
3.2.3TLAA系统实现……………………………………………………21
3.3实时TIAA框架的设计与实现……………………………………22
3.3.1实时TIAA系统目标………………………………………………23
3.3.2实时系统总体设计………………………………………………23
3.3.3AGENT报警获取流程………………………………………………24
第四章攻击的测试与分析………………………………………………304.1警报检测的整体解决方案…………………………………………304.2扫描攻击的检测………………………………………………………31
4.2.1阻止IP攻击的检测………………………………………………32
4.3策略分析……………………………………………………………344.3.1扫描攻击的警报分析………………………………………………34
4.3.2阻止IP攻击的警报分析…………………………………………38
第五章总结……………………………………………………………40
参考文献……………………………………………………………………42
摘要
随着计算机信息技术的发展,使网络成为全球信息传递和交互的主要途径,改变着人们的生产和生活方式。
网络信息已经成为社会发展的重要组成部分,对政治、经济、军事、文化、教育等诸多领域产生了巨大的影响。
事实上,网络安全已经成为关系国家主权和国家安全、经济繁荣和社会稳定、文化传承和教育进步的重大问题,因此,我们在利用网络信息资源的同时,必须加强网络信息安全技术的研究和开发。
计算机网络通过网络通信技术以及计算机技术,从而实现高校内计算机局域网互连,并通过中国科学院计算机网络、中国教育和科研计算机网与国际互联网络互连,实现资源共享和对外交流(
关键词:
LAN;
攻击;
数据库;
TIAA系统;
Snort
第一章绪论
什么是局域网
局域网(LocalAreaNetwork),简称LAN,是指在某一区域内由多台计算机互联成的计算机组。
“某一区域”指的是同一办公室、同一建筑物、同一公司和同一学校等,一般是方圆几千米以内。
局域网可以实现文件管理、应用软件共享、打印机共享、(扫描仪共享(注:
扫描仪不能共享))工作组内的日程安排、电子邮件和传真通信服务等功能。
局域网是封闭型的,可以由办公室内的两台计算机组成,也可以由一个公司内的上千台计算机组成。
局域网的现有拓扑结构
网络中的计算机等设备要实现互联,就需要以一定的结构方式进行连接,这种连接方式就叫做“拓扑结构”,通俗地讲就是这些网络设备是如何连接在一起的。
目前常见的网络拓扑结构主要有以下四大类:
1.星型结构
这种结构是目前在局域网中应用得最为普遍的一种,在企业网络中几乎都是采用这一方式。
星型网络几乎是Ethernet(以太网)网络专用,它是因网络中的各工作站节点设备通过一个网络集中设备(如集线器或者交换机)连接在一起,各节点呈星状分布而得名。
这类网络目前用的最多的传输介质是双绞线,如常见的五类线、超五类双绞线等。
这种拓扑结构网络的基本特点主要有如下几点:
(1)容易实现:
它所采用的传输介质一般都是采用通用的双绞线,这种传输介质相对来说比较便宜,如目前正品五类双绞线每米也仅1.5元左右,而同轴电缆最便宜的也要2.00元左右一米,光缆那更不用说了。
这种拓扑结构主要应用于IEEE802.2、IEEE802.3标准的以太局域网中;
(2)节点扩展、移动方便:
节点扩展时只需要从集线器或交换机等集中设备中拉一条线即可,而要移动一个节点只需要把相应节点设备移到新节点即可,而不会像环型网络那样“牵其一而动全局”;
(3)维护容易;
一个节点出现故障不会影响其它节点的连接,可任意拆走故障节点;
(4)采用广播信息传送方式:
任何一个节点发送信息在整个网中的节点都可以收到,这在网络方面存在一定的隐患,但这在局域网中使用影响不大;
(5)网络传输数据快:
这一点可以从目前最新的1000Mbps到10G以太网接入速度可以看出。
其实它的主要特点远不止这些,但因为后面我们还要具体讲一下各类网络接入设备,而网络的特点主要是受这些设备的特点来制约的,所以其它一些方面的特点等我们在后面讲到相应网络设备时再补充。
2.环型结构
这种结构的网络形式主要应用于令牌网中,在这种网络结构中各设备是直接通过电缆来串接的,最后形成一个闭环,整个网络发送的信息就是在这个环中传递,通常把这类网络称之为“令牌环网”。
实际上大多数情况下这种拓扑结构的网络不会是所有计算机真的要连接成物理上的环型,一般情况下,环的两端是通过一个阻抗匹配器来实现环的封闭的,因为在实际组网过程中因地理位置的限制不方便真的做到环的两端物理连接。
这种拓扑结构的网络主要有如下几个特点:
(1)这种网络结构一般仅适用于IEEE802.5的令牌网(Tokenringnetwork),在这种网络中,“令牌”是在环型连接中依次传递。
所用的传输介质一般是同轴电缆。
(2)这种网络实现也非常简单,投资最小。
可以从其网络结构示意图中看出,组成这个网络除了各工作站就是传输介质--同轴电缆,以及一些连接器材,没有价格昂贵的节点集中设备,如集线器和交换机。
但也正因为这样,所以这种网络所能实现的功能最为简单,仅能当作一般的文件服务模式;
(3)传输速度较快:
在令牌网中允许有16Mbps的传输速度,它比普通的10Mbps以太网要快许多。
当然随着以太网的广泛应用和以太网技术的发展,以太网的速度也得到了极大提高,目前普遍都能提供100Mbps的网速,远比16Mbps要高。
(4)维护困难:
从其网络结构可以看到,整个网络各节点间是直接串联,这样任何一个节点出了故障都会造成整个网络的中断、瘫痪,维护起来非常不便。
另一方面因为同轴电缆所采用的是插针式的接触方式,所以非常容易造成接触不良,网络中断,而且这样查找起来非常困难,这一点相信维护过这种网络的人都会深有体会。
(5)扩展性能差:
也是因为它的环型结构,决定了它的扩展性能远不如星型结构的好,如果要新添加或移动节点,就必须中断整个网络,在环的两端作好连接器才能连接。
3.总线型结构
这种网络拓扑结构中所有设备都直接与总线相连,它所采用的介质一般也是同轴电缆(包括粗缆和细缆),不过现在也有采用光缆作为总线型传输介质的,如后面我们将要讲的ATM网、CableModem所采用的网络等都属于总线型网络结构。
4.混合型拓扑结构
这种网络拓扑结构是由前面所讲的星型结构和总线型结构的网络结合在一起的网络结构,这样的拓扑结构更能满足较大网络的拓展,解决星型网络在传输距离上的局限,而同时又解决了总线型网络在连接用户数量的限制。
这种网络拓扑结构同时兼顾了星型网与总线型网络的优点,在缺点方面得到了一定的弥补。
这几种结构的特点:
(1)组网费用低:
从示意图可以这样的结构根本不需要另外的互联设备,是直接通过一条总线进行连接,所以组网费用较低;
(2)这种网络因为各节点是共用总线带宽的,所以在传输速度上会随着接入网络的用户的增多而下降;
(3)网络用户扩展较灵活:
需要扩展用户时只需要添加一个接线器即可,但所能连接的用户数量有限;
(4)维护较容易:
单个节点失效不影响整个网络的正常通信。
但是如果总线一断,则整个网络或者相应主干网段就断了。
(5)这种网络拓扑结构的缺点是一次仅能一个端用户发送数据,其它端用户必须等待到获得发送权。
1.3.什么是内网
所谓内网,是对应于外网而言的。
它经常又被称作局域网、LAN、私网。
主要是指在小范围内的计算机互联网络。
这个“小范围”可以是一个家庭,一所学校,一家公司,或者是一个政府部门。
另外光纤到楼、小区宽带、教育网、有线电视CableModem上网虽然地域范围比较大但本质上还是基于以太网技术,所以任然属于内网。
内网上的每一台电脑(或其他网络设备)内部分配得到的局域网IP地址在不同的局域网内是可以重复的,不会相互影响。
内网接入方式:
上网的计算机得到的IP地址是Inetnet上的保留地址,
保留地址有如下3种形式:
10.x.x.x
172.16.x.x至172.31.x.x
192.168.x.x
内网的计算机以NAT(网络地址转换)协议,通过一个公共的网关访问Internet。
内网的计算机可向Internet上的其他计算机发送连接请求,但Internet上其他的计算机无法向内网的计算机发送连接请求。
所谓外网,通常又被称为广域网、WAN、公网。
就是我们通常所说的Internet,它是一个遍及全世界的网络。
外网上的每一台电脑(或其他网络设备)外网IP地址一般需要通过ISP处交费之后才能申请到,并且是不能重复的。
外网接入方式:
上网的计算机得到的IP地址是Inetnet上的非保留地址。
外网的计算机和Internet上的其他计算机可随意互相访问。
一般情况下,内网(广域网、LAN、私网)电脑发起的对外连接请求是不会被路由或网关拦截的,但是来自外网对内网电脑的连接请求,大多数情况下会被路由或网关拦截。
1.3.1.内网与外网的区别
内网指的是局域网.几台或者几十台电脑之间互访
外网指的是我们上的internet网络
内网也叫私网地址如下:
IP等级IP位置
ClassA10.0.0.0-10.255.255.255
ClassB172.16.0.0-172.31.255.255
ClassC192.168.0.0-192.168.255.255
子网掩码一般设为:
255.255.255.0
内网是可以上网的.内网需要一台服务器或路由器做网关,通过它来上网
做网关的服务器有一个公网IP,其它内网电脑的IP可根据它来随意设置,前提是IP前三个数要跟它一样,第四个可从0-255中任选但要跟服务器的IP不同
1.3.2.如何检测公网和内网
请用上面介绍的查看IP地址的办法,检查一下您的电脑里有没有这个IP地址。
如果有,您就是通过公网接入Internet,否则,就是通过内网接入Internet。
请注意:
1、如果您的浏览器里设置了使用代理服务器,请清除代理服务器设置,并刷新本页面,之后再检测。
2、有些学校或大型的机关单位虽然分配公网IP给用户,但学校或单位为了安全起见,会封闭校外对校内的访问请求。
这部分用户虽然有公网IP地址,但依然要用内网动态域名来建网站。
如果您通过校园网或机关单位的网络上网,并检测到自己有公网IP,请您在本机调试好网站后,把防火墙打开,请外网的朋友通过IP地址来访问您的网站。
如果能访问,就是公网;
如果不能访问,就是内网。
第二章局域网的安全与防范
计算机网络安全的概念:
计算机网络安全就是指网络上的信息安全,即指网络系统的数据受到保护,不受到恶意或偶然的更改、泄露、破坏,网络服务不中断,系统可以连续可靠正常的运行。
从广义的角度来说,凡是涉及到网络上信息的真实性、可用性、完整性、可控性以及保密性的相关理论和技术都是网络安全的研究领域。
高校计算机网络存在的安全问题
1.硬件问题
高校计算机网络设备分布范围比较广泛,尤其是室外设备,如电缆、电源、通信光缆等,从而不能进行封闭式管理。
室内的设备经常发生损坏、破坏、被盗等情况,如果包含数据的主机、光碟、软盘等被盗,将可能发生数据泄露或丢失。
不管其中哪一个出现问题,都将导致校网的瘫痪,影响高校各项工作的正常开展。
2.技术问题
目前大多数高校都是利用Internet技术构造的,且连接互联网。
首先互联网的技术具有共享性及开放性,TCP/IP协议是Internet中的重要协议,由于最初设计时没有考虑安全问题,导致IP网在安全问题上的先天缺陷,使高校网落在运行过程中将面临各种安全性威胁(计算机/计算机网络论文
3.管理和使用的问题
网络系统的是否能正常运行离不开系统管理人员对网络系统的管理。
很多高校对网络安全保护不够重视以及资金投入不足等问题,造成管理者心有余而力不足,在管理上无法跟上其他单位。
另外,用户有时因个人操作失误也会对系统造成破坏。
管理人员可以通过对用户的权限进行设置,限制某些用户的某些操作,从而避免用户的故意破坏。
由于对计算机系统的管理不当,会造成设备损坏、信息泄露等。
因此科学合理的管理是必须的。
网络安全的分析
确保网络安全应从以下四个方面着手:
①运行系统的安全。
硬件系统的可靠安全运行,计算机操作系统和应用软件的安全,数据库系统的安全,侧重于保证系统正常地运行,其本质是保护系统的合法操作和正常运行。
②网络上系统信息的安全,即确保用户口令鉴别、用户存取权限控制,数据存取权限、数据加密、计算机病毒防治等方面的安全。
③网络上信息传播的安全。
信息传播后的安全,包括信息过滤等。
其侧重于防止和控制非法、有害的信息传播产生的后果,避免网络上传输的信息失控。
④网络上信息内容的安全。
即保护信息的保密性、真实性和完整性。
保护用户的利益和隐私。
3网络安全的攻略
网络的任何一部分都存在安全隐患,针对每一个安全隐患需要采取具体的措施加以防范。
目前常用的安全技术有包过滤技术、加密技术、防火墙技术、入侵检测技术等。
下面分别介绍:
①包过滤技术。
它可以阻止某些主机随意访问另外一些主机。
包过滤功能通常在路由器中实现,具有包过滤功能的路由器叫包过滤路由器。
网络管理员可以配置包过滤路由器,来控制哪些包可以通过,哪些包不可以通过。
②加密技术。
凡是用特种符号按照通信双方约定的方法把数据的原形隐藏起来,不为第三者所识别的通信方式称为密码通信。
在计算机通信中,采用密码技术将信息隐蔽起来,再将隐蔽后的信息传播出去,是信息在传输过程中即使被窃取或截获,窃取者也不能了解信息的内容,从而保证信息传输的安全。
③防火墙技术。
防火墙将网络分为内部和外部网络,内部网络是安全的和可信赖的,而外部网络则是不太安全。
它是一种计算机硬件和软件的结合,对内部网络和外部网络之间的数据流量进行分析、检测、管理和控制,从而保护内部网络免受外部非法用户的侵入。
④入侵检测技术。
通过对计算机网络和主机系统中的关键信息进行实时采集和分析,从而判断出非法用户入侵和合法用户滥用资源的行为,并作出适当反应的网络安全技术。
根据入侵检测系统的技术与原理的不同,可以分为异常入侵检测、误用入侵检测和特征检测三种。
异常入侵检测技术。
收集一段时间内合法用户行为的相关数据,然后使用统计方法来考察用户行为,来断定这些行为是否符合合法用户的行为特征。
如果能检测所有的异常活动,就能检测所有的入侵性活动。
误用入侵检测技术。
假设具有能够被精确地按某种方式编码的攻击,并可以通过捕获攻击及重新整理,确认入侵活动是基于同一弱点进行攻击的入侵方法的变种。
它是通过按照预先定义好的入侵模式以及观察到入侵发生情况进行模式匹配来检测。
特征检测。
此方法关注的是系统本身的行为,定义系统行为轮廓,并将系统行为与轮廓进行比较,对未指明为正常行为的事件定义为入侵。
网络安全已经成为网络发展的瓶颈,也是一个越来越引起世界关注的重要问题。
只有重视了网络安全,才能将可能出现的损失降到最低。
技术上的安全防护措施
目前,网络安全技术防护措施主要包括:
防火墙技术、身份验证、入侵检测技术、杀毒技术加密技术、访问控制等内容。
针对高校网络来说,应采取一下几点措施:
(1)防火墙技术
按照某种规则对互联网和专网,或者对互联网的部分信息交换进监控和审计,从而阻止不希望发生的网络间通信。
它可以有效地将外部网与内网隔离开,从而保证校网不受到XX的访问者侵入。
(2)VLAN技术
VLAN技术即虚拟局域网技术,其核心是网络分段,按照不同的安全级别以及不同的应用业务,将网络进行分断并隔离,从而实现访问的相互间控制,可以限制用户的非法访问。
(3)防病毒技术
选择合适的网络杀毒软件,对网络定期进行查毒、杀毒、网络修复等。
与此同时,对杀毒软件要及时升级换代,从而确保其“杀伤力”。
(4)入侵检测技术
入侵检测技术是防火墙的合理补充,帮助系统对付网络攻击,扩展系统管理员的安全管理能力,提高信息安全基础结构的完整性。
2.管理上的安全防护措施
(1)网络设备科学合理的管理。
对网络设备进行合理的管理,必定能增加高校网络的安全性。
比如将一些重要的设备尽量进行集中管理,如主干交换机、各种服务器等;
对各种通信线路尽量进行架空、穿线或者深埋,并做好相应的标记;
对终端设备实行落实到人,进行严格管理,如工作站以及其他转接设备等。
(2)网络的安全管理。
制定一套安全管理制度,此外还必须对管理人员进行安全管理意识培训。
安全管理的工作相当复杂,涉及到各院系、部的人员和业务,因此学校必须成立信息安全管理委员会,建立起安全管理分级负责的组织体系。
加强对管理员安全技术和用户安全意识的培训工作。
(3)建立安全实时响应和应急恢复的整体防护。
设备坏了可以换,但是数据一旦丢失或被破坏是很难被修复或恢复的,从而造成的损失也是无法估计和弥补的。
因此,必须建立一套完整的数据备分和恢复措施。
从而确保网络发生故障或瘫痪后数据丢失、不损坏。
(4)完善相关的法律法规,加强宣传教育,普及安全常识。
计算机网络是一种新生事物。
它的一些行为都是无章可循、无法可依的,从而导致计算机网络上的犯罪十分猖獗。
目前国内外都相继出台了一些关于计算机网络安全的法律法规,各高校也制度了一些管理制度。
与此同时还要进行大量的宣传,使计算机网络安全常识普及。
第三章局域网策略分析工具的研究
3.1策略分析的意义
上一章节提到的Snort等工具,只能通过对数据报的嗅探和分析,来确定一个攻击的产生,攻击的相关信息,如数据报内容,包括IP地址,使用报文和端口(如果有)、发生时间等都被记录在特定的结构中。
但是,Snort无法对攻击进行深层的挖掘。
从攻击者得角度看,发起的每一次攻击都有明确的目的,或者为下一次攻击做准备或者完成一个特定动作。
我们可以总结网络攻击的特点:
。
攻击有着明确的目的性
不同的攻击可能拥有同一个最终目标
不同的攻击之间有内在的关联关系
所以,通过对源地址和目的地址相同的攻击报文进行关联分析,根据攻击之间的次序及IP地址等信息,找到其内在联系,最终发现攻击者的攻击意图和攻击策略。
攻击者的意图是网络中产生攻击的根本目的。
在通常的网络攻击中,攻击者采取的一系列的手段,比如,扫描主机以确定主机的存在并获取主机地址信息,对主机进行DOS攻击,冒用主机身份,窃取他人通信信息。
在上述一系列攻击过程中,冒用他人身份进行信息的窃取是攻击者得攻击意图,儿攻击者的攻击策略如图3-1:
图3-1攻击策略示例
基于对以往的攻击策略及攻击意图进行分析,得出攻击之间的关系作为分析结果集,在日常的攻击检测过程中,按照结果集中的定义,对已出现的攻击进行匹配和关联,按照匹配结果确定攻击意图,预测将要发生的攻击。
比如,我们根据以往的经验确定了上述的攻击策略,假如在网络监控过程中,我们发现了扫描攻击、DoS攻击和虚假宣告的出现,那么盗用连接窃取信息可能会再将来发生。
通过攻击的匹配和关联,可以在一定程度上对未发生的攻击进行预测。
更重要的是,网络监控过程中会产生大量的攻击警报,而其中关于对攻击意图的警报才是最有价值的,对网络攻击进行匹配和关联,有利于忽略低价值警报,突出高价值警报,有利于警报的归类和攻击策略的分析。
3.2警报关联的框架结构
在一系列攻击中,由攻击者发起的前期的攻击为后续的攻击准备作条件,前期攻击的结构与后续攻击的先决条件通常有很强的联系。
如果一
前期的攻击是为后续的攻击做准备,那么前期攻击的结果至少会部分满足后续攻击的先决条件。
我们的方法就是通过识别各种不同攻击的先决条件(例如,易受攻击服务的存在)和结果(例如,易受攻击服务的发现)然后进行匹配(攻击所对应的)前期的警报的结果和(攻击所对应的)后续的警报的先决条件来关联入侵检测系统所检测到的攻击的警报。
应当注意攻击者并不一定会执行前期的攻击为后期的攻击做准备,即使后续的攻击存在特定的先决条件。
换句话说,我们不应该把一个攻击的先决条件与前期攻击存在的必要性混淆起来。
然而如果攻击者发起一个攻击为后续的攻击做准备,我们的方法可以关联被入侵检测系统所探测到的攻击。
3.2.1理论基础
谓词是描述供给先决条件和结果的基本结构。
例如一个扫描攻击可能发现UDP服务易受某种缓存溢出的攻击。
我们就可以用谓词:
UDPVulnerableToBOF(VIctimPort)
来描述攻击者的发现。
同样
升级会员 