校园网络规划之网络安全.docx

1、校园网络规划之网络安全 网络安全 专 业：08计算机网络技术 班 级：08网络2班 姓 名： 学 号： 指导教师： 目录第一章 ARP欺骗 31.1 什么是ARP欺骗？ 31.2 为什么黑客能够进行ARP欺骗？ 31.3 能够防止欺骗吗？ 31.4 故障现象及原因分析 41.5 故障诊断 41.6 故障处理 51.7 找出ARP病毒源 5第二章 IP地址盗用 6第三章 非法DHCP服务器 8第四章 无线网络盗用 10第五章 网络嗅探 125.1 嗅探器攻击原理 125.2 嗅探器的安全防范 14第六章 网络蠕虫 17第一章 ARP欺骗1.1 什么是ARP欺骗？在局域网中，黑客经过收到ARP R

2、equest广播包，能够偷听到其它节点的 (IP, MAC) 地址, 黑客就伪装为A，告诉B (受害者) 一个假地址，使得B在发送给A 的数据包都被黑客截取，而A, B 浑然不知。 1.2 为什么黑客能够进行ARP欺骗？ARP 是个早期的网络协议，RFC826在 1980就出版了。早期的互联网采取的是信任模式，在科研、大学内部使用，追求功能、速度，没考虑网络安全。尤其以太网的洪泛特点，能够很方便的用来查询。但这也为日后的黑客开了方便之门。黑客只要在局域网内阅读送上门来的ARP Request就能偷听到网内所有的 (IP, MAC)地址。而节点收到ARP Reply时，也不会质疑。黑客很容易冒充

3、他人 1.3 能够防止欺骗吗？不能。但这种伤害的伤害已经很小。因为局域网的工作环境有了改变， 服务器通常不会和终端主机在同一个局域网。ARP协议的工作原理：在每台装有tcp/ip协议的电脑里都有一个ARP缓存表，表里的ip地址与mac地址是一一对应的，如图arp缓存表以主机A（192.168.1.5）向主机B（192.168.1.1）发送数据为例。当发送数据时，主机A会在自己的ARP缓存表中寻找是否有目标IP地址。如果找到了，也就知道了目标的mac地址，直接把目标的mac地址写入帧里面发送就可以了；如果在ARP缓存表里面没有目标的IP地址，主机A就会在网络上发送一个广播,目标mac地址是“ff

4、-ff-ff-ff-ff-ff”，这表示向同一网段的所有主机发出这样的询问：“192.168.1.1的mac地址是什么呀？”网络上的其他主机并不回应这一询问，只有主机B接受到这个帧时才向A作出回应：“192.168.1.1的mac地址是00-aa-0-62-c6-09。（如上表）”这样，主机A就知道了主机B的mac地址，就可以向主机B发送信息了。同时，它还更新了自己的ARP缓存表，下次再向B发送数据时，直接在ARP缓存表找就可以了。ARP缓存表采用老化的机制，在一段时间里表中的某一行没有使用，就会被删除，这样可以大大减少ARP缓存表的长度，加快查询的速度。1.4 故障现象及原因分析情况一：当局

5、域网内某台主机感染了ARP病毒时，会向本局域网内（指某一网段，比如：10.10.75.0这一段）所有主机发送ARP欺骗攻击谎称自己是这个网端的网关设备，让原本流向网关的流量改道流向病毒主机，造成受害者不能正常上网。 情况二：局域网内有某些用户使用了ARP欺骗程序（如：网络执法官,QQ盗号软件等）发送ARP欺骗数据包，致使被攻击的电脑出现突然不能上网，过一段时间又能上网，反复掉线的现象。 1.5 故障诊断如果用户怀疑中了ARP攻击而无法上网，可以通过如下操作进行诊断： 点击“开始”按钮-选择“运行”-输入“arpd”-点击“确定”按钮，然后重新尝试上网，如果能恢复正常，则说明此次掉线可能是受AR

6、P欺骗所致。 注：arp-d命令用于清除并重建本机arp表。arpd命令并不能抵御ARP欺骗，执行后仍有可能再次遭受ARP攻击。1.6 故障处理1.中毒者：建议使用趋势科技SysClean工具或其他杀毒软件清除病毒。 2.被害者：(1)绑定网关mac地址。具体方法如下： 1）首先，获得路由器的内网的MAC地址（例如网关地址10.10.75.254的MAC地址为0022aa0022aa）。2）编写一个批处理文件AntiArp.bat内容如下： echooffarp-darp-s10.10.75.25400-22-aa-00-22-aa 将文件中的网关IP地址和MAC地址更改为您自己的网关IP地址

7、和MAC地址即可，计算机重新启动后需要重新进行绑定，因此我们可以将该批处理文件AntiArp.bat文件拖到“windows-开始-程序-启动”中。这样开机时这个批处理就被执行了。 (2)使用ARP防火墙(例如AntiArp)软件抵御ARP攻击。 AntiArp软件会在提示框内出现病毒主机的MAC地址 1.7 找出ARP病毒源第一招：使用Sniffer抓包 在网络内任意一台主机上运行抓包软件，捕获所有到达本机的数据包。如果发现有某个IP不断发送 ARPRequest请求包，那么这台电脑一般就是病毒源。原理：无论何种ARP病毒变种，行为方式有两种，一是欺骗网关，二是欺骗网内的所有主机。最终的结果

8、是，在网关的ARP缓存表中，网内所有活动主机的MAC地址均为中毒主机的MAC地址；网内所有主机的ARP缓存表中，网关的MAC地址也成为中毒主机的MAC地址。前者保证了从网关到网内主机的数据包被发到中毒主机，后者相反，使得主机发往网关的数据包均发送到中毒主机。 第二招：使用arp-a命令任意选两台不能上网的主机，在DOS命令窗口下运行arp-a命令。例如在结果中，两台电脑除了网关的IP，MAC地址对应项，都包含了192.168.0.186的这个IP，则可以断定192.168.0.186这台主机就是病毒源。原理：一般情况下，网内的主机只和网关通信。正常情况下，一台主机的ARP缓存中应该只有网关的M

9、AC地址。如果有其他主机的MAC地址，说明本地主机和这台主机最后有过数据通信发生。如果某台主机（例如上面的192.168.0.186）既不是网关也不是服务器，但和网内的其他主机都有通信活动，且此时又是ARP病毒发作时期，那么，病毒源也就是它了。 第三招：使用tracert命令在任意一台受影响的主机上，在DOS命令窗口下运行如下命令：tracert61.135.179.148。假定设置的缺省网关为10.8.6.1，在跟踪一个外网地址时，第一跳却是10.8.6.186，那么，10.8.6.186就是病毒源。原理：中毒主机在受影响主机和网关之间，扮演了“中间人”的角色。所有本应该到达网关的数据包，由

10、于错误的MAC地址，均被发到了中毒主机。此时，中毒主机越俎代庖，起了缺省网关的作用。第二章 IP地址盗用目前IP地址盗用行为非常常见，许多“不法之徒”用盗用地址的行为来逃避追踪、隐藏自己的身份。IP地址的盗用行为侵害了网络正常用户的权益，并且给网络安全、网络的正常运行带来了巨大的负面影响，因此研究IP地址盗用的问题，找出有效的防范措施，是当前的一个紧迫课题。IP地址盗用是指盗用者使用XX的IP地址来配置网上的计算机。IP地址的盗用通常有以下两种方法: 一是单纯修改IP地址的盗用方法。如果用户在配置或修改配置时，使用的不是合法获得的IP地址，就形成了IP地址盗用。由于IP地址是一个协议逻辑地址，

11、是一个需要用户设置并随时修改的值，因此无法限制用户修改本机的IP地址。 二是同时修改IP-MAC地址的方法。针对单纯修改IP地址的问题，很多单位都采用IP-MAC捆绑技术加以解决。但IP-MAC捆绑技术无法防止用户对IP-MAC的修改。MAC地址是网络设备的硬件地址，对于以太网来说，即俗称的网卡地址。每个网卡上的MAC地址在所有以太网设备中必须是惟一的，它由IEEE分配，固化在网卡上一般不得随意改动。但是，一些兼容网卡的MAC地址却可以通过配置程序来修改。如果将一台计算机的IP和MAC地址都修改为另一台合法主机对应的IP和MAC地址，那么IP-MAC捆绑技术就无能为力了。另外，对于一些MAC地

12、址不能直接修改的网卡，用户还可以通过软件修改MAC地址，即通过修改底层网络软件达到欺骗上层软件的目的。 目前发现IP地址盗用比较常用的方法是定期扫描网络各路由器的ARP(address resolution protocol)表，获得当前正在使用的IP地址以及IP-MAC对照关系，与合法的IP地址表，IP-MAC表对照，如果不一致则有非法访问行为发生。另外，从用户的故障报告(盗用正在使用的IP地址会出现MAC地址冲突的提示)也可以发现IP地址的盗用行为。在此基础上，常用的防范机制有:IP-MAC捆绑技术、代理服务器技术、IP-MAC-USER认证授权以及透明网关技术等。 这些机制都有一定的局限

13、性，比如IP-MAC捆绑技术用户管理十分困难;透明网关技术需要专门的机器进行数据转发，该机器容易成为瓶颈。更重要的是，这些机制都没有完全从根本上防止IP地址盗用行为所产生的危害，只是防止地址盗用者直接访问外部网络资源。事实上，由于IP地址盗用者仍然具有IP子网内完全活动的自由，因此一方面这种行为会干扰合法用户的使用:另一方面可能被不良企图者用来攻击子网内的其他机器和网络设备。如果子网内有代理服务器，盗用者还可以通过种种手段获得网外资源。 利用端口定位及时阻断IP地址盗用 交换机是局域网的主要网络设备，它工作在数据链路层上，基于MAC地址来转发和过滤数据包。因此，每个交换机均维护着一个与端口对应

14、的MAC地址表。任何与交换机直接相连或处于同一广播域的主机的MAC地址均会被保存到交换机的MAC地址表中。通过SNMP(Simple Network Management protocol)管理站与各个交换机的SNMP代理通信可以获取每个交换机保存的与端口对应的MAC地址表，从而形成一个实时的Switch-Port-MAC对应表。将实时获得的Switch-Port-MAC对应表与事先获得的合法的完整表格对照，就可以快速发现交换机端口是否出现非法MAC地址，进一步即可判定是否有IP地址盗用的发生。如果同一个MAC地址同时出现在不同的交换机的非级联端口上，则意味着IP-MAC成对盗用。 发现了地址

15、盗用行为后，实际上也已经将盗用行为定位到了交换机的端口。再通过查询事先建立的完整的Switch-Port-MAC对应表，就可以立即定位到发生盗用行为的房间。 发生了地址盗用行为后，可以立即采取相应的方法来阻断盗用行为所产生的影响，技术上可以通过SNMP管理站向交换机代理发出一个SNMP消息来关断发生盗用行为的端口，这样盗用IP地址的机器无法与网络中其他机器发生任何联系，当然也无法影响其他机器的正常运行。 端口的关断可以通过改变其管理状态来实现。在MIB(Management Information Base)中有一个代表端口管理状态的可读写对象ifAdminStatus(对象标识符号为1.3.

16、6.1.2.1.2.2.1.7)，给ifAdminStatus赋不同的值，可以改变端口的管理状态，即“1”开启端口，“2”关闭端口，“3”供测试用。 这样，通过管理站给交换机发送赋值信息(Set Request)，就可以关闭和开启相应的端口，比如要关闭某一交换机(192.168.1.1)的2号端口，可以向该交换机发出如下信息: set(private 192.168.1.1 1.3.6.1，2.1.2.2.1.7.2.0.2). 结合IP-MAC绑定技术，通过交换机端口管理，可以在实际使用中迅速发现并阻断IP地址的盗用行为，尤其是解决了IP-MAC成对盗用的问题，同时也不影响网络的运行效率。第

17、三章 非法DHCP服务器一般学校内部都会有一个DHCP服务器来给客户端计算机提供必要的网络参数信息的，例如IP地址，子网掩码，网关，DNS等地址，很多情况路由器就可以担当此重任。每次客户端计算机启动后都会向网络中发送广播包寻找DHCP服务器（前提是该计算机被设置为自动获得IP地址），广播包随机发送到网络中，当有一台DHCP服务器收到这个广播包后就会向该包源MAC地址的计算机发送一个应答信息，同时从自己的地址池中抽取一个IP地址分配给该计算机。为什么非法DHCP会被客户端计算机认为是合法的？根据DHCP的服务机制，客户端计算机启动后发送的广播包会发向网络中的所有设备，究竟是合法DHCP服务器还是

18、非法DHCP服务器先应答是没有任何规律的，客户端计算机也没有区分合法和非法的能力。这样网络就被彻底扰乱了，原本可以正常上网的机器再也不能连接到intelnet。解决方法：1.ipconfig /release 和 ipconfig /renew我们可以通过多次尝试广播包的发送来临时解决这个问题，直到客户机可以得到真实的地址为止。即先使用ipconfig /release释放非法网络数据，然后使用ipconfig /renew尝试获得网络参数，如果还是获得错误信息则再次尝试/release与/renew直到得到正确信息。提醒：这种方法治标不治本，反复尝试的次数没有保证，另外当DHCP租约到期后客

19、户端计算机需要再次寻找DHCP服务器获得信息，故障仍然会出现。2.通过“域”的方式对非法DHCP服务器进行过滤将合法的DHCP服务器添加到活动目录（Active Directory）中，通过这种认证方式就可以有效的制止非法DHCP服务器了。原理就是没有加入域中的DHCP Server在相应请求前，会向网络中的其他DHCP Server发送DHCPINFORM查询包， 如果其他DHCP Server有响应，那么这个DHCP Server就不能对客户的要求作相应，也就是说网络中加入域的DHCP服务器的优先级比没有加入域的DHCP服务器要高。这样当合法DHCP存在时非法的就不起任何作用了。提醒：这种

20、方法效果虽然不错，但需要域的支持。要知道对于众多中小企业来说“域”对他们是大材小用，基本上使用工作组就足以应对日常的工作了。所以这个方法，效果也不错，但不太适合实际情况。3.在路由交换设备上封端口DHCP服务主要使用的是UDP的67和68端口，DHCP服务器端应答数据包使用68端口，67端口为客户机发送请求时使用。所以我们可以在路由器上保留服务器的68端口，封闭客户机的68端口，就能达到过滤非法DHCP服务器的目的。提醒：如果计算机很多的话，操作起来不方便，而且会增加路由器的负担，影响到网络速度。4.查出非法DHCP服务器幕后黑手，进行屏蔽DHCP服务器也充当着网关的作用，如果获得了非法网关地

21、址，也就是知道了非法DHCP服务器的IP地址。通过ping ip 查到主机名，通过arp 主机名 查出MAC地址。知道了MAC地址，就可以在路由器中屏蔽这个MAC，或者是屏蔽该MAC的68端口。或者其他的方法都行，幕后黑手都找到了，怎么处置就随你了。第四章 无线网络盗用很多家庭和单位现在都在使用无线网络，享受无线带给大家的方便，但是，无线网络中已经出现了这些不和谐的声音，针对这些蹭网的情况，那么应该如何防范呢？这里为大家祭出几个妙招。1. WEP/WPA加密首先，应该在不用网络的时候把无线路由器关掉，这是最保险的硬办法，这样就可以避免别人在自己不在的时候使用自家的网络。其次，对无线网络进行加密

22、也是一个好方法。具体操作如下：在浏览器中输入192.168.0.1进行无线路由器的配置（以D-Link无线路由器为例），在最后一步“设定无线通讯联机”中设置无线网络密码。802.11标准定义了一个安全协议，称为有线等效隐私WEP（Wired Equivalent Privacy），WEP能够对无线数据包进行加密，使得攻击者不能够轻松地读取这些数据包。这里提供了两种强度的加密：64位和128位。选择其中一种，然后在“WEP密码”输入密码，然后点击“下一步”完成配置即可。经过加密后的无线网络，再次连接时，将提示你“此网络需要网络密钥”：点击“连接”，在新的窗口中，只有输入密码才能正常连接。设置好密

23、码后，这类问题就不会出现了。 2. 使用更安全的WPA2加密 可能有的用户也听说了，WPA加密前一阵也被破解了，那么无线安全还有什么好的解决办法呢？大家也不必过分担心，首先真正能破解WPA，也不是很容易的事儿，其次，还可以使用更安全的WPA2方式来加密。WPA2加密使用的高级加密标准AES，所以不会受到WPA的破解方法影响，所以说目前使用WPA2方式加密数据通讯可以为无线网络提供足够的安全，但是WPA2方式还不是很成熟，并不是所有用户都可以顺利使用的，部分无线设备也不支持WPA2加密，所以对于这些用户和无线网络设备来说，我们只能被迫停留在不安全的WPA加密技术上。未来与WPA2相关的更多安全协

24、议会逐步推出，例如更可靠标准的WPA XP，还有WPA KB Preview，还有WPA beta正式版，以及WPA正式版SP1，这些标准与协议都会大大提高无线网络安全性的。提示：有的用户可能在无线加密设置中没有看到WPA2加密方式的选项，这是由于Windows系统的问题，Windows XP Sp2默认只支持到WPA加密，不过微软已经推出了相应的补丁，安装之后即可使用WPA2加密了，下载地址是：3. 隐藏SSIDSSID，即Service Set Identifier的简称，让无线客户端对不同无线网络的识别，类似我们的手机识别不同的移动运营商的机制。参数在设备缺省设定中是被AP无线接入点广播

25、出去的，客户端只有收到这个参数或者手动设定与AP相同的SSID才能连接到无线网络。而我们如果把这个广播禁止，一般的漫游用户在无法找到 SSID的情况下是无法连接到网络的。 提示：需要注意的是，如果黑客利用其他手段获取相应参数，仍可接入目标网络，因此，隐藏SSID适用于一般SOHO环境当作简单口令安全方式。4. MAC地址过滤这种方式就是通过对AP的设定，将指定的无线网卡的物理地址(MAC地址)输入到AP中。而AP对收到的每个数据包都会做出判断，只有符合设定标准的才能被转发，否则将会被丢弃。提示：这种方式比较麻烦，而且不能支持大量的移动客户端。另外，如果黑客盗取合法的MAC地址信息，仍可以通过各

26、种方法适用假冒的MAC地址登陆网络。第五章 网络嗅探5.1 嗅探器攻击原理嗅探器(sniffer) 是利用计算机的网络接口截获目的地为其他计算机的数据报文的一种技术。它工作在网络的底层，把网络传输的全部数据记录下来. 嗅探器可以帮助网络管理员查找网络漏洞和检测网络性能.嗅探器可以分析网络的流量，以便找出所关心的网络中潜在的问题。不同传输介质的网络的可监听性是不同的。一般来说，以太网被监听的可能性比较高，因为以太网是一个广播型的网络;FDDI Token被监听的可能性也比较高，尽管它并不是一个广播型网络，但带有令牌的那些数据包在传输过程中，平均要经过网络上一半的计算机;微波和无线网被监听的可能性

27、同样比较高，因为无线电本身是一个广播型的传输媒介，弥散在空中的无线电信号可以被很轻易的截获。一般情况下，大多数的嗅探器至少能够分析下面的协议：标准以太网TCP/IPIPXDECNETFDDI Token微波和无线网。实际应用中的嗅探器分软、硬两种。软件嗅探器便宜易于使用，缺点是往往无法抓取网络上所有的传输数据(比如碎片)，也就可能无法全面了解网络的故障和运行情况;硬件嗅探器的通常称为协议分析仪，它的优点恰恰是软件嗅探器所欠缺的，但是价格昂贵。目前主要使用的嗅探器是软件的。嗅探器捕获真实的网络报文。嗅探器通过将其置身于网络接口来达到这个目的-例如将以太网卡设置成杂收模式。数据在网络上是以帧(Fr

28、ame)的单位传输的。帧通过特定的称为网络驱动程序的软件进行成型，然后通过网卡发送到网线上。通过网线到达它们的目的机器，在目的机器的一端执行相反的过程。接收端机器的以太网卡捕获到这些帧，并告诉操作系统帧的到达，然后对其进行存储。就是在这个传输和接收的过程中，每一个在LAN上的工作站都有其硬件地址。这些地址唯一地表示着网络上的机器。当用户发送一个报文时，这些报文就会发送到LAN上所有可用的机器。在一般情况下，网络上所有的机器都可以听到通过的流量，但对不属于自己的报文则不予响应。如果某在工作站的网络接口处于杂收模式，那么它就可以捕获网络上所有的报文和帧，如果一个工作站被配置成这样的方式，它(包括其

29、软件)就是一个嗅探器。这也是嗅探器会造成安全方面的问题的原因。通常使用嗅探器的入侵者，都必须拥有基点用来放置嗅探器。对于外部入侵者来说，能通过入侵外网服务器、往内部工作站发送木马等获得需要，然后放置其嗅探器，而内部破坏者就能够直接获得嗅探器的放置点，比如使用附加的物理设备作为嗅探器(例如，他们可以将嗅探器接在网络的某个点上，而这个点通常用肉眼不容易发现。除非人为地对网络中的每一段网线进行检测，没有其他容易方法能够识别出这种连接(当然，网络拓扑映射工具能够检测到额外的IP地址)。嗅探器可能造成的危害：嗅探器能够捕获口令.能够捕获专用的或者机密的信息.可以用来危害网络邻居的安全，或者用来获取更高级

30、别的访问权限.分析网络结构，进行网络渗透。5.2 嗅探器的安全防范1、检测嗅探器。检测嗅探器可以采用检测混杂模式网卡的工具。由于嗅探器需要将网络中入侵的网卡设置为混杂模式才能工作，能够检测混杂模式网卡的AntiSniff是一个工具。软件可以在证明你的网络有嗅探器有两条经验：网络通讯丢包率非常高： 通过一些网管软件，可以看到信息包传送情况，最简单是ping命令。它会告诉你掉了百分之多少的包。如果你的网络结构正常，而又有20%-30%数据包丢失以致数据包无法顺畅的流到目的地。就有可能有人在监听，这是由于嗅探器拦截数据包导致的。网络带宽出现反常：通过某些带宽控制器，可以实时看到目前网络带宽的分布情况

31、，如果某台机器长时间的占用了较大的带宽，这台机器就有可能在监听。应该也可以察觉出网络通讯速度的变化。对于SunOS、和其它BSD Unix系统可以使用lsof(该命令显示打开的文件)来检测嗅探器的存在。lsof的最初的设计目地并非为了防止嗅探器入侵，但因为在嗅探器入侵的系统中，嗅探器会打开其输出文件，并不断传送信息给该文件，这样该文件的内容就会越来越大。如果利用lsof发现有文件的内容不断的增大，我们就怀疑系统被嗅探。因为大多数嗅探器都会把截获的TCP/IP数据写入自己的输出文件中。这里可以用：ifconfig le0检查端口.然后用：#/usr/sbin/lsof test#vi test 或 grep 打开的端口号检测文件大小的变化。注意如果你确信有人接了嗅探器到自己的网络上，可以去找一些进行验证的工具。这种工具称为时域反射计量器(Time Domaio Reflectometer，TDR)。TDR对电磁波的传播和变化进行测量。将一个TDR连接到网络上，能够检测到未授权的获取网络数据的设备。不过很多中小公司没有这种价格昂贵的工具。2、将数据隐藏，使嗅探器无法发现。嗅探器非常难以被发