完整版中低端路由器的攻击和防范硕士毕业设计.docx
《完整版中低端路由器的攻击和防范硕士毕业设计.docx》由会员分享,可在线阅读,更多相关《完整版中低端路由器的攻击和防范硕士毕业设计.docx(58页珍藏版)》请在冰豆网上搜索。
完整版中低端路由器的攻击和防范硕士毕业设计
低端路由器的攻击与防范
摘要
当今网络发展很快,安全漏洞也随之增加,安全问题也变成了人们日益关注的问题。
有来自局域网的ARP攻击,也有来自广域网的DOS攻击和端口扫描攻击。
攻击者会利用这些攻击来获取对用户敏感的技术文档和对个人用户敏感的账号和密码。
在大型的网络中都有部署防火墙、IDS(入侵检测系统)等大型的贵重设备来保护网络的安全。
但在中小企业网中,为了降低成本,只能购买一些低端的网络设备。
然而当今市面上的低端网络设备大多都没有防攻击的功能,这使中小企业的网络安全问题成为了一个空白。
本论文就是针对这种需求,在低端的路由器上实现防火墙,IDS(入侵检测系统)的一些防护功能,嵌入到该系统中去,正真能够起到防攻击的作用。
本论文会分析当今流行的攻击手段和方法,利用现有的组网环境构造异常的报文攻击网络设备,利用工具截获攻击报文,把该攻击报文解析出来,然后根据网络的知识,对该报文进行分析,找出其中的规律和攻击原理,根据该分析,提出有效的防攻击手段。
文中还会描述防攻击在路由器内部的一些详细实现。
本文主要通过Linux系统来实现防ARP攻击,防DOS攻击和防端口扫描攻击。
关键词:
网络安全,防攻击,DOS攻击
Abstract
Withtherapiddevelopmentofnetwork,thenetworksecurityproblemisbecomevulnerabilities,peoplepaymoreattationaboutthesecurityproblem.ThereareavarietyofARPattackswithinlocalareanetwork;alsothereareDOSattacksandportscanningattackswithinwildareanetwork.Hackerscanusetheseattackstoobtainsensitivetechnologydocumentsfromcorporation,andtheyalsocanobtainsensitiveuseraccountandpasswordtotheindividual.Inalargenetworkenvironment,therearefirewall,IDS(IntrusionDetectionSystem),andotherlargeequipmenttoprotectvaluablenetworksecurity.However,insmallandmediumbusinessnetworks,theycannotaffordtopurchasesuchexpensiveequipment,inordertoreducecosts,havetobuysomelow-endnetworkequipment.However,low-endnetworkequipmentdonothavetheanti-attackfunctionintoday'smarket,thereisablankinsmallandmediumbusinessnetworks.
Thispapercanfilltherequirements,embeddedthefirewallandIDS(IntrusionDetectionSystem)moduletothelow-endrouters.Low-endroutersarereallyabletoplaytheroleofanti-attack.Thispaperwillanalyzethecurrentattack,constitutiontheabnormalmessageattacknetworkequipment,interceptedtheattackpacketsusingtools,resolutiontheattackpackets,thenbasedontheknowledgeofnetworktoanalysistheattackpacketsandhowtopreventingattacks.Accordingtotheanalysis,wecanproposeaneffectivemethodofpreventingattacks.Thispaperwillalsointroducedsomecodeofpreventattackinthelow-endrouter.Inthispaper,dependontheLinuxsystemtoachievetheanti-ARPattacks,anti-DOSattacksandportscanningattacksprevention.
KeyWords:
NetworkSecurity,Anti-attack,DOSattacks
图目录
表目录
第1章绪论
1.1课题背景
1.1.1网络安全发展
TCP/IP是现在Internet上使用的最流行的协议之一,它大概在70年代的时候被开发出来,并最终与Linux结合在一起,从那时候起,它就成为了Internet的标准之一。
如今,几乎所有的计算机都运行着某种形式的TCP/IP协议。
TCP/IP协议可以在各种不同的硬件和操作系统上工作,因而利用TCP/IP可以迅速方便地创建一个网络系统。
但是,在1966年Internet刚刚创建的时候,当时的创始者没有对安全问题考虑的太多。
当时创建者注重的是网络的通信功能,因此Internet和TCP/IP并没有被过多的考虑安全性的问题。
所以现有的安全机制被经常拿来修改以适应现有的网络和TCP/IP协议。
经过时间的推移,网络攻击的手段和技术也不断的更新,用户也对网络设备提出更高的要求,网络设备也要对这些攻击有一定的防御能力。
随着网络攻击手段的不断变化和发展,网络设备的防攻击能力也随之不断的提高。
1.1.2低端路由器安全问题
本论文主要研究如何在低端路由器上实现一些预防网络攻击的模块,原来在一般的网络中防攻击的功能都集中在高端的防火墙和IDS中,这些高端的设备功能极强,能防止网上能够很多的攻击手段。
所以在高端的组网中,网络的安全性往往较高。
但在低端的市场中,由于组网经费上的限制,设备和组网往往比较简单,不可能有专门的防火墙和入侵检测系统。
如:
中小企业网和一般的网吧中只有一台简单的路由器和几台简单的交换机。
不会有专业的防火墙和IDS这些贵重的设备,所以这些企业和小网吧经常受到各种网络的攻击,用户在网吧中频频掉线,网速大受影响。
如今,网络攻击的手段和技术也不断的更新,像当前比较流行的ARP攻击的产生,迫使低端的路由器也有防ARP的一些功能。
1.2主要的工作和方法
本文主要根据用户的需求对一些典型网络攻击进行了研究。
分析每一这种攻击的原理和方法,并根据分析的结果,针对每一种典型的攻击手法,在Liunx系统下实现防攻击的模块。
并且分析当前的防攻击方法,提出改进方法。
本课题旨在通过对需求和攻击的研究,根据TCP/IP的通信原理提出满足低端路由器防攻击的合理方案。
1.3低端路由器防攻击需求
1.3.1低端路由器的用户群体
低端路由器的市场十分广阔,包括中小企业、网吧、医院、大酒店、高校,甚至可以是家庭用户。
这些群体对于路由器的安全需求虽然没有政府和电信机房的要求那么高,但是也有对网络安全性的基本需求。
1.3.2低端用户对防攻击的需求
中小企业:
该组网主要完成企业内部协同工作交流,在内网内架设服务器,防止员工做一些有害网络的服务,防止恶意软件的ARP攻击,防止恶意黑客从外网发起的恶意攻击。
网吧:
该组网情况下对防攻击要求更加高,即要防止内网恶意用户发起的攻击,又要兼顾外网恶意攻击核心路由器,导致核心路由器的瘫痪。
家庭用户:
主要防止浏览有病毒的网站,防止外网对内网的一些攻击。
1.3.3满足用户需求的路由器
防攻击路由器必须满足用户需求。
针对以上三种用户的需求,路由器的防攻击必须满足以下几点:
(1)必须能防御内网攻击。
内网的攻击,针对网吧来说,最主要的就是ARP攻击和ARP欺骗。
针对企业,除了防ARP以外,还要防止恶意用户接入内网造成危害。
(2)其次要能控制内网用户访问外网危险的服务。
控制网内用户的服务,必须要用到访问控制列表(ACL),用该技术来严格控制报文。
(3)能防御外网发起的各种攻击。
外网发起的攻击主要是一些拒绝服务的攻击来消耗设备的CPU,降低设备的性能,从而使设备不能转发正常的报文。
所以路由器要能识别异常的流量报文,当报文流量达到路由器规定的阀值时,就认为是攻击报文,从而达到保护设备的目的。
1.4本文结构组织
第一章:
绪论
主要描述了低端路由器防攻击的背景和现在尴尬的处境,本文要解决的防攻击的意义。
描述了用户对防攻击路由器的需求,本文研究的方法和要解决的问题。
第二章:
数据通信领域安全的测试方法
分析网络攻击必须了解攻击报文和网络设备,本章就简单的从TCP/IP的角度描述了攻击报文的构造和网络设备的基本概念。
第三章:
针对低端路由器的攻击
本章从客户需求分析出用户主要想防范的典型的攻击:
ARP攻击、木马病毒和DOS攻击,详细的分析了各种攻击的手法和原理。
第四章:
访问控制控制用户访问
本章详细分析了ACL访问控制列表技术。
通过该技术来实现网页访问的控制和用户接入的控制来防止用户访问不安全的网站受到木马的攻击。
第五章:
低端路由器防ARP攻击的实现
详细分析了Linux系统中的ARP原理,在Linux系统下实现IP/MAC绑定原理。
提出IP/MAC绑定防ARP的缺陷,提出四源绑定机制来彻底防住ARP攻击。
第六章:
防DOS攻击和防端口扫描攻击
在Linux系统下实现防DOS攻击和防端口扫描攻击。
第七章:
低端路由器防攻击总结
对本文防攻击的回顾,总结主要研究和创新,提出优点和不足,提出以后应该改进的方面。
1.5本章小结
随着计算机技术的不断发展,人们对网络安全的要求越来越高,不单单那些大型的企业和政府需要有安全设备的保护,不受黑客的攻击。
普通的小企业和个人电脑用户也对自己的隐私和安全更加重视。
中小企业用户的需求也不能视而不见。
现在业界对低端的路由器也要求有基本的防攻击能力,一般的仅仅能进行报文快速转发的路由器已经不能满足用户的需求。
低端路由器的其他性能也在不断的向高端靠近,但在成本上却是要有严格的控制,在低成本的情况下做出高效的有安全模块的低端路由器,几乎是每个通信公司努力的方向。
低端设备也要向更高的安全性方向发展。
第2章数据通信领域安全测试方法
2.1网络安全测试
网络攻击从根本上讲就是通过构造异常的报文来破环正常的一些报文通信规则,导致一些网络设备工作异常,不能转发正常的数据报文或者发出异常的数据报文。
在数据通信安全领域安全的测试方法归根到底也是要分析异常的数据报文对网络设备的影响,所以对网络攻击的分析就是对攻击报文的分析和对网络设备的影响。
所以接下来要讨论攻击报文的构造和网络设备的概念。
2.2报文构造
2.2.1网络协议的分层思想
网络协议一般都按照不同的层次来开发,各个层次都会有自己的功能和用处,每个层次也有不同的协议族。
每个协议族都维护着各自的协议。
通信的时候,报文就经过一层层的解析,然后分析每一层的协议族来获取报文中的信息。
TCP/IP协议族一般被分成四层协议系统:
4应用层
3运输层
2网络层
1链路层
其中的每一层都有不同的功能和作用,一般也都有这一层的特殊协议
(1)链路层:
有时也叫数据链路层或者接口层。
一般就是指操作系统中的设备驱动程序和计算机网卡等,它们往往通过电缆和光纤来传输类似0101的二进制代码,电缆通过电信号电频的高低来传输,光纤就通过光信号来传输。
(2)网络层:
又叫互联网层,这层主要定义了一个报文的怎么样在网络中选路,怎么样在网络中走,应该送到哪个设备上去,应该做一些什么事情。
比如:
这层最有名的协议就是IP协议了,它主要定义了源IP地址和目的IP地址,网络层主要通过该IP地址的信息来把报文从一个设备传输到另一个设备。
还有ICMP(互联网控制报文协议),这个协议最初主要是用来检测网络是否能正常通信的协议。
(3)运输层:
主要位PC机上的应用程序提供端到端的通信。
在TCP/IP协议族中一般就是指TCP协议(传输控制协议)和UDP协议(用户数据报协议)。
TCP一般为PC之间提供可靠性极高的传输,是有连接的传输,在传输之前会先同过一些测试报文来把药传输的通道先连接起来,当传输通道连接起来以后再开始传输数据报文,而且当报文传输失败时,还会重传。
然而UDP相比TCP而言就是一个很简单的协议了,它只是负责把报文从一端传输到另外一段就可以了,是否传输失败或者丢包,它都不会去关心。
(4)应用层:
这一层主要负责PC上各种应用程序的通信细节。
应用层最主要的就是端口号,一般的应用程序都是通过不同的端口号来进行相互的通信的,端口号可以从0到65535。
比如FTP就是用TCP目的端口号20和21来传输报文的,通过20端口来建立传输通道,当传输通道建立好了以后,再用21端口来传输数据报文。
TFTP就是用UDP目的端口号69来传输报文。
还有就是大名鼎鼎的HTTP协议,用户上网打开网页用的都是该协议,该协议就是通过TCP的目的端口80来传输报文的,当PC接收到该报文后,把报文中的数据部分解析出来就是HTML文件,所以用户在PC上就打开网页了。
[1]
2.2.2TCP报文的结构
要想测试设备安全性,首先需要构造报文,尽管有些工具提供了报文构造的便捷途径,但是要做构造大量的精确的报文,必须要掌握最基础的报文构造原理和方法,就拿构造一个TCP报文来说,因为TCP报文属于传输层报文,那么必须先构造一个链路层报文,然后在这个链路层报文的基础上加上一个网络层的包头形成三层的报文网络报文,最后在加上一个TCP包头,就成为了传输层的TCP报文。
如何构造链路层报文,如图2.1该链路层报文包括目的MAC地址和源MAC地址,该MAC地址是6位的长度,表示了网络上网卡的身份。
它就想链路层的身份证一样,表示了这张网卡的信息。
之后有两位是类型,该类型表示链路层上一层网络层的协议是什么,如果是OX0800就表示上层协议是IP协议,还有IPX协议等。
图2.1链路层报文层格式
构造好了二层报文,只要在其上加一个网络层的IP包头,就成了网络层的IP报文,至于IP数据报文格式,如图2.2所示。
图2.2IP数据报文格式及首部中的各个字段
4位版本:
目前业界用的最广泛的是IPV4,就是第四版本的意思,但随着网络中的IP地址越来越不够用了,所以以后IPV6,就是第六版本的IP会出现,会来克服IPV4地址不足的问题。
4位首部长度:
就是指整个IP报文头部一共有多少个字节,一般IPV4位20个字节。
8位服务类型:
一般TOS字段包括一个3bit的优先权字段,4bit的TOS字段和1bit的未用位。
TOS字段分别表示:
最大延时、最大吞吐量、最高可靠性和最小费用。
这些字段的标示说明了该报文要传输时最看重什么,设备会根据这些报文TOS字段来区别对待这些报文。
16位长度:
这个长度是指除了IP报文头部长度以外的IP长度。
标志位:
该标志字段主要唯一的标识了主机发送的每一分报文。
通常每发送一份报文就会加1。
片位移:
数据报文在发送以前需要先把大包分成一个个的小包才能传输过去,就是通过片位移在报文上做好标记,当这几个小包发送到目的地后再根据这些片位移把报文组装回去。
TTL:
标示报文的生存时间,一般报文经过一个路由设备后,该数据就会减1,一般该数值为32或者64,确定该TTL值主要是不让报文在网络中形成死循环,形成网络风暴。
8位协议:
该8位协议和链路层协议原理一样,是指网络层的上一层传输层的协议,一般TCP为OX06,还有UDP等。
首部检验和:
它是来检验在传输过程中有没有发生差错,是对首部中的每一个16bit进行二进制反码求和,把这个结果存在检验和里,当对端收到该报文后也进行检验和的检查。
接下来就是常见的源IP地址和目的IP地址。
最后就是要传输报文的数据内容。
在IP报文的基础上,再加上一个TCP头,就可以构造成一个传输层的TCP报文,TCP报文头格式如图2.3。
图2.3TCP数据在IP中的封装
图2.4TCP包首部
(1)源、目的端口号:
记录报文发送到应用层的哪个端口
(2)32位序号和确认序号:
TCP是可靠的传输协议,它以确认序号来表示是否有回应。
确认序号包含发送确认的一端所期望收到的下一个序号。
(3)6个标志比特:
URG:
紧急指针。
ACK:
确认序号有效。
PSH:
接收方应该尽快将这个报文段交给应用层。
RST:
重建连接。
SYN:
同步序号用来发起一个连接。
FIN:
发端完成发送任务。
(4)窗口大小:
(5)其他的字段,构造报文工具都会自动生成。
(比如:
校验和,数据)[2]
图2.5就是一个完整的TCP包的分层结构,上面提到的每个层次和字段在表中都有明确的意义。
图2.5经过解析后的TCP报文
如图2.6就是图2.5在底层传输的16进制数据。
其实这些数据都是在网线上以高低电平的形式来传输的2进制数据。
把图2.6中的16进制数转化成2进制就是在网络中传输的01代码,这就是报文在网络中传输的原理。
图2.616进制表示的TCP报文
2.2.3数据通信中的设备
要了解如何防范攻击,就要了解网络中的报文是通过什么设备传输的,上一节说明了TCP/IP的四层结构,网络设备可以根据处理数据报文层次的进行划分。
只在链路层转发的设备就归为交换机类,如2.7图所示,交换机其实最主要的模块就是一个转发芯片,芯片是全硬件的,一般不需要用软件来控制。
路由器类相比交换机增加了网络层的概念。
一般的交换机交换数据报文都是通过简单的芯片转发的,但是上升到三层的转发,一般就需要CPU转发了,这就是路由器转发。
所以在设备中的报文传输中,路由器在底层芯片不能转发报文的时候,就是上升到CPU网络层来转发,当网络层找不到路由不能转发时,或者是把报文丢弃或者是让报文匹配默认的路由。
图2.7交换机硬件
图2.8路由器硬件
2.2.4怎么样模拟攻击报文
要了解分析网络攻击的手段和方法,必须模拟网络的攻击报文。
模拟该报文可以通过网络报文的构造工具实现。
在通信领域一般都用SmartBits这个设备来模拟攻击的报文,然后用抓包工具把攻击的报文抓下来进行分析,如图2.5就是通过抓包工具抓下来的TCP报文结构,与上几节说明的报文结构可以一一对应。
通过这些专业的构包工具来模拟攻击报文,构造精确的流量,达到攻击网络设备的目的,然后通过抓包工具分析这些攻击报文,对报文字段进行分析,对攻击原理进行解剖,从而设计一个可以防范各种攻击的模块。
正是本课题的主要目的。
2.3本章小结
在数据通性设备中,报文相关的模拟测试在整个测试活动中可以说是重中之重,要想设计出防攻击的模块,必须对各种攻击进行模拟。
运用SmartBits构造模拟报文,用抓包工具解析报文是了解攻击和破解攻击的必要手段。
第3章针对低端路由器的攻击
3.1低端路由器典型的攻击手法
在1.2节中,描述了低端路由器防攻击的需求情况,低端路由器的攻击的主要是以下三个方面:
(1)针对内网的攻击:
ARP攻击,简单的ARP攻击能使内网用户经常掉线。
严重的ARP攻击,能盗取用户的个人信息,比如银行的账号、密码等。
(2)用户访问不安全网页时收到的攻击:
当用户打开危险的网站或者下载一些有病毒的软件时,一些木马和病毒就植入了PC机内,用户就中毒了,轻则电脑无法正常使用,重则丢失一些机密的密码和口令。
(3)来自外网的攻击:
主要是DOS攻击和端口扫描攻击,DOS攻击会消耗网络设备的CPU,使网络设备瘫痪,导致不能转发正常的报文。
端口扫描主要是黑客用来探测网络环境的手段,黑客利用端口扫描可以探测出用户主机哪一些服务处于工作状态,然后进行有针对性的攻击。
3.2内网的ARP攻击
3.2.1ARP攻击的背景
ARP攻击的问题大概是从2006年开始的,在国内,尤其是网吧,大规模爆发。
常用手段最严重的不外乎于进行中间人攻击,监听报文和窃据密码。
其实,ARP中间人攻击最严重危害不仅仅是信息的泄漏,而是充当攻击者的那台PC转发性能毕竟有限,无法及时处理整个局域网报文转发,导致局域网内其他客户端PC频频掉线。
3.2.2ARP的概念
ARP,全称地址解析协议,英文中文名为AddressResolutionProtocol,它工作在数据链路层,在本层和硬件接口联系,同时对上层提供服务。
IP数据包常通过以太网发送,以太网设备并不识别32位IP地址,它们是根据48位以太网地址传输以太网数据报文的。
因此,必须把IP目的地址转换成以太网目的MAC地址。
在以太网中,一个主机要和另一个主机进行直接通信,必须要知道目标主机的MAC地址。
它就是通过地址解析协议获得的。
ARP协议用于将网络中的IP地址解析为的硬件的MAC地址,以保证通信的顺利进行。
图3.1ARP报文解析图
ARP在整个通信的交互过程中主要有3种类型的报文,分别是ARPRequest(ARP请求)、ARPReply(ARP应答)和GratuitousARP(免费ARP)。
ARPRequest和ARPReply报文是通过协议中的Opcode进行区别,ARPRequest的OP位为1,ARPReply的OP位为2。
ARPRequest既有广播方式发送,也可能有以单播方式发送。
比如像有些路由器,设置端口绑定后,是通过发送单播报文的方式下发ARPRequest报文的。
GratuitousARP是一种特殊的ARPRequest(OP位为1),它请求的目的IP地址与源IP地址相同,主要作用是确认网络中是否存在使用相同IP的设备,以防止出现IP冲突。
免费ARP设计的初衷是避免冲突,却成为了许多恶意软件的主要攻击手段之一。
图3.2免费ARP解析图
以下是一个典型的ARP报文交互的过程:
PC1通过广播方式的ARPRequest报文,请求IP为192.168.0.2设备的MAC地址;报文中目的MAC是全0;
PC2通过单播方式的ARPReply报文进行应答,PC2将自己的MAC地址填入报文中的源MAC地址位置;
PC1收到ARPReply报文后,更新自己的ARP缓存或者ARP表项。
至此一个完整的ARP交互过程顺利完成。
图3.3ARP报文交互过程
3.2.3ARP攻击原理
3.2.3.1ARPFlood
ARP泛洪攻击就是在短时间内向攻击目标发送大量的ARPRequest报文,造成被攻击设备短时间内超负荷而无法响应正常的网络请求。
ARP报文通常需要设备的CPU进行处理和转发。
当短时间内构造大量的ARP报文攻击设备时,会造成CPU利用率直线上升,甚至造成CPU满负荷工作,短时间内无法响应外界正常的请求。
同时,构造出的大
升级会员 