ARP欺骗攻击和DDOS攻击解决专项方案.doc

1、泸 州 职 业 技 术 学 院毕业设计汇报ARP欺骗攻击和DDOS攻击处理方案学生姓名王 艳所 在 系电子信息工程系班 级电05 信息安全班专 业信息安全技术指导老师赵菲(讲师)夏汛(助教)3月24日目 录第一章 选题依据11.1 计算机网络安全基础概念11.1.1 计算机网络安全定义11.1.2 计算机网络安全威胁21.2 计算机网络安全现实状况和存在关键问题31.2.1 计算机网络安全现实状况31.2.2 网络安全存在关键问题3第二章 网络攻击技术52.1 局域网中常见网络攻击技术52.1.1 ARP欺骗技术原理52.2 ARP欺骗技术62.2.1 ARP欺骗+sniffer交换环境下嗅探

2、72.2.2 防范ARP欺骗+sniffer交换环境下嗅探方法102.3 DDos攻击技术122.3.1 DDos技术原理122.3.2 DDos技术实现方法13第三章 总结16致谢17参考文件18第一章 选题依据伴随互联网飞速发展，网络安全逐步成为一个潜在巨大问题。网络安全性包含面很广泛，其中也会包含到是否组成犯罪。在其最简单形式中，小型网络它关键关心是确保非内部人员不能读取，更不能修改传送给接收者信息。大多数安全性问题出现全部是因为有恶意人想试图取得某种好处或想试图损害一些她人关键信息而有意引发。所以怎样预防小型网络常见网络攻击,是一件重大而又艰巨事情。本文从网络安全现实状况入手，从攻击和

3、防范两个方面分析网络，对网络攻防原理进行深入、细致剖析，分类叙述网络攻防双方关键手段和实现方法，尤其是对现在最常见和危害大攻击手段和工具做了描述。关键对DOS，DDOS(SYN FLOOD)攻击，IP欺骗、ARP欺骗、口令攻击、网络监听做了细致分析，给出了她们攻击原理和实施方法。和针对部分小型网络（网吧、企业内部网等）相关问题（ARP欺骗和DDOS攻击等）提出了处理方法（相关内容关键处理问题是ARP欺骗和分步式拒绝服务攻击和预防监听、防口令攻击等,确保在一个网络环境里，信息传输安全性得到确保，具体内容参考下面章节）。1.1 计算机网络安全基础概念1.1.1 计算机网络安全定义计算机网络安全是指

4、利用网络管理控制和技术方法，确保在一个网络环境里，数据机密性、完整性及可使用性受到保护。网络安全问题实际上包含两方面内容，一是网络系统安全，二是网络信息安全。网络安全具体含义随充当角色不一样而有不一样定义。从用户(个人、企业等)角度来说，期望包含个人隐私或企业利益信息在网络传输时受到机密性、完整性和不可否认性保护，避免其它人利用窃听、假冒、篡改、抵赖等手段侵犯个人隐私和企业利益，即用户利益和隐私不被非法窃取和破坏。从网络管理者角度说，期望其网络访问权限、读写操作受到保护和控制，来避免出现病毒、越权访问、非法存取、拒绝服务，网络资源非法占用和非法控制等威胁，防御黑客攻击。对安全保密部门来说，期望

5、对非法、有害或包含国家机密信息进行过滤、筛选和防堵，避免国家机密信息泄露，避免对社会产生危害，避免给国家造成不可必需损失。从社会教育角度来讲，对网络上不健康内容，对人类社会稳定发展造成威胁，必需对其进行控制。1.1.2 计算机网络安全威胁安全威胁是指某个实体对某一资源机密性、完整性、可用性在正当使用时可能造成危害。这些可能出现危害，是一些个她人经过一定攻击手段来实现。安全威胁可分成有意(如系统入侵)和偶然(如将信息发到错误地址)两类。有意威胁又可分成被动威胁和主动威胁两类。被动威胁只对信息进行监听，而不对其修改和破坏。主动威胁不仅对信息进行监听还对其进行篡改和破坏，使正当用户得到不可用或错误信

6、息。(1)基础安全威胁网络安全含有四个方面特征，即机密性、完整性、可用性及可控性。下面四个基础安全威胁直接针对这四个安全特征。A、信息泄露：信息泄露给未经授权实体。这种威胁关键来自窃听、搭线等信息探测攻击。B、完整性破坏：数据因为受到未授权修改、破坏而损害。C、拒绝服务：正当用户对资源正当访问被阻断。拒绝服务可能由以下原因造成：攻击者对系统进行大量、反复非法访问尝试而造成系统资源过载，无法为正当用户提供正常服务。D、非法使用：某一资源被非授权人或以越权方法使用。(2)关键可实现威胁关键可实现威胁能够直接造成某一基础威胁实现，关键包含渗透威胁和植入威胁。关键渗透威胁有：A、假冒：即某个非法实体假

7、冒成另外一个正当授权实体。这个未授权实体以一定方法使把关者相信它是一个正当实体，从而取得正当实体对资源访问权限。这是攻击者常见攻击手段。B、旁路：攻击者经过多种手段发觉部分系统安全缺点，并利用这些安全缺点绕过系统防线渗透到系统内部。C、授权侵犯：对某一资源含有一定权限实体，将此权限用于另一未经授权资源上。关键植入威胁有：A、特洛伊木马：它是一个基于远程控制攻击工具，含有隐蔽性和非授权性特点。隐蔽性是指设计者为了预防木马被发觉，会采取多个手段隐藏木马，即使用户发觉感染了木马，也不易确定其具体位置。非授权性是指一旦控制端和服务端(被攻击端)连接后，控制端就能经过木马程序窃取服务端大部分操作权限，包

8、含修改文件、修改注册表、运行一些程序等。B、陷门：在某个系统或某个文件中预先设置部分操作权限，使适当提供特定输入时，许可违反安全策略。1.2 计算机网络安全现实状况和存在关键问题1.2.1 计算机网络安全现实状况(1)网络系统在稳定性和可扩充性方面存在问题。因为系统设计不规范、不合理和缺乏安全性考虑，所以使其受到影响。(2)网络硬件配置不协调。一是文件服务器。它是网络神经中枢，其运行稳定性、功效完善性直接影响网络系统质量。网络应用需求没有引发足够重视，设计考虑不够周密，从而使网络功效发挥受阻，影响网络可靠性、扩充性。二是网卡选配不妥造成网络不稳定。(3)缺乏安全策略。在配置上无意识地扩大了访问

9、权限，忽略了这些权限可能会被其它人员滥用。(4)访问控制配置复杂性，轻易造成配置错误，从而给她人提供可趁之机。(5)管理制度不健全，网络管理、维护不好。1.2.2 网络安全存在关键问题任何一个单一技术或产品全部无法满足网络对安全要求，只有将技术和管理有机结合起来，从控制整个网络安全建设、运行和维护全过程角度入手，才能有效提升网络整体安全水平。关键存在问题归结起来通常有以下多个方面：(1)网络建设单位、管理人员和技术人员缺乏安全防范意识。(2)部门相关人员对网络安全现实状况尚不明确，不知道或不清楚网络存在隐患。 (3)计算机网络安全防范没有形成完整体系结构，其缺点给攻击者有机可行。(4)计算机网

10、络没有建立完善管理体系，从而造成安全体系和安全控制方法不能充足地、有效地发挥效能。(5)网络安全管理人员和技术员缺乏必需专业安全知识，从而不能安全地配置和管理网络，不能立即发觉已经存在和随时可能出现安全问题，对突发事件不能有效做出反应和补救方法。(6)攻击者攻击手段多样化，信息轻易被攻击者窃听。(7)网络协议本身带有很多缺点。第二章 网络攻击技术2.1 局域网中常见网络攻击技术2.1.1 ARP欺骗技术原理在讲ARP欺骗首先明确一下ARP协议和其原理：在局域网中，经过ARP协议来完成IP地址转换为第二层物理地址（即MAC地址）。ARP协议对网络安全含相关键意义。经过伪造IP地址和MAC地址实现

11、ARP欺骗，能够在网络中产生大量ARP通信量使网络阻塞。 ARP协议是“Address Resolution Protocol”（地址解析协议）缩写,在局域网中，网络中实际传输是“帧”，帧中内容包含有源主机MAC地址和目标主机MAC地址。在一个以太网中，一个主机要和另一个主机进行直接通信，必需要知道目标主机MAC地址。ARP协议基础功效就是经过目标设备IP地址，查询目标设备MAC地址，以确保双方通信顺利进行。经过了解ARP原理我们能够对ARP欺骗作出定义, ARP欺骗又大致分为两种：一个是对网关进行欺骗ARP欺骗其实就是攻击者伪造IP地址和MAC地址，数次主动让发送主机知道她就是将要接收信息目

12、标主机，让发送主机误认为目标主机MAC就是攻击者伪造MAC地址；另一个是对内网PC机欺骗这种欺骗方法是经过公布假ARP信息，伪造网关，误导其它PC机向假网关发送数据，而不是经过正常路由进行访问，造成在同一网关全部PC机全部无法访问外网。图2-1ARP欺骗原理图例，明确显示了第一个ARP欺骗方法(对网关进行欺骗)这一过程。图2-1 2.2 ARP欺骗技术嗅探攻击原理：网络一个特点就是数据总是在流动中，当你数据从网络一台电脑到另一台电脑时候，通常会经过大量不一样网络设备，在传输过程中，有些人可能会经过特殊设备（嗅探器）窃取这些传输网络数据报文。嗅探攻击关键有两种路径，一个是针对简单地采取集线器（H

13、ub）连接局域网，黑客只要能把嗅探器安装到这个网络中任何一台计算机上就能够实现对整个局域网侦听，这是因为共享Hub取得一个需要接收数据时，并不是直接发送到指定主机，而是经过广播方法发送到每个电脑。正常情况下，数据接收目标电脑会处理该数据，而其它非接收者电脑就会过滤掉这些数据，但被攻击者安装了嗅探器电脑则会接收全部数据，所以通常见户不会使用此方法传输数据。另一个是针对交换网络，因为交换网络数据是从一台计算机发出到预定计算机，而不是广播，所以黑客必需将嗅探器放到像网关服务器、路由器这么设备上才能监听到网络上数据。交换环境下Sniffer往往是经过对交换机进行ARP欺骗, 变成一个中间人进行截获数据

14、不易被发觉。共享环境下不能实现这种中间人转发，全部攻击者会使用交换环境下嗅探（下面一章就是用这种嗅探）。2.2.1 ARP欺骗+sniffer交换环境下嗅探攻击者进行ARP欺骗不可能只单于让你上不了网，她们目标是经过这种方法进行部分非法活动，比如嗅探用户有用密码和账号等。进行ARP欺骗+sniffer交换环境下嗅探,将用到工具软件：cn-snifferpro4.70.530.exe，winpcap_3_1.exe，WinArpAttacker.exe外观图2-2所表示。 图 2-2cn-snifferpro4.70.530.exe，关键起一个嗅探作用，winpcap_3_1.exe,是一个底层

15、网络包捕捉驱动程序，要想运行WinArpAttacker.exe必需先安装它，意思是想进行ARP欺骗必需安装Winpcap_3_1.exe，就如同你要使用一个摄相头必需安装一个摄相头驱动一样。WinArpAttacker.exe只是进行欺骗攻击。为了更明确说明这一步骤，我们将举一事例说明：我们利用这三个软件来进行攫取用户机登录服务器时明文传送账号和密码。首先攻击者要进行对应设置，首先打开注册表IP路由功效，实现中间人转发。(当主机A和机B通信时,全部由主机C来为其“转发”,而A、B之间并没有真正意思上直接通信,她们之间信息传输由C作为中介来完成,不过A、B却不会意识到,而认为它们之间是在直接通

16、信这就是所谓中间人转发。)进行ARP欺骗+sniffer状态下嗅探大致分为以下多个步骤：第一步：首先攻击者要修改自己注册表，打开路由功效来实现中间人转发。HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters项里IPEnableRouter键值修改为1，图2-3所表示。图2-3第二步：攻击者还要添加静态ARP表，将自己IP和MAC地址绑定，和网关IP和MAC地址绑定，以免在发送ARP欺骗包时，本机连网也不稳定，绑定图2-4所表示。图2-4第三步：绑定后就会使用静态arp表，运行sniffer和WinArpAttacker

17、.exe只要用户机登录服务器输入登录密码和账号，便能够嗅探到登录密码和账号。第四步：查看受害主机在被攻击之前，它维护ARP表图2-5所表示。图2-5第五步：运行sniffer和WinArpAttacker.exe进行攻击，嗅探结果图2-6所表示登录用户名为wangyan86 密码为866155，这就是结合sniffer交换状态下进行ARP欺骗所得结果。图2-6 第六步：查看受害主机被攻击后ARP表，运行arp a，结果图2-7所表示图2-7第七步：对比受害主机在被攻击之前和被攻击以后差异，发觉它所维护ARP表网关MAC地址由00-03-0f-00-d8-ee变成了00-e0-4c-75-2a-

18、26，这么受害主机就会向假网关00-e0-4c-75-2a-26（攻击方）发送数据包，造成信息丢失。2.2.2 防范ARP欺骗+sniffer交换环境下嗅探方法第一步：绑定自己IP和MAC地址和网关IP和MAC地址，这么就使用静态ARP表，而不会理会攻击者发送任何干扰消息。绑定方法图2-8所表示图2-8第二步：现在再次运行WinArpAttacker.exe进行欺骗攻击，2-9 和2-5、对比发觉，受害主机ARP缓存表里，网关MAC地址此时没有改变，还是未攻击之前正确MAC地址，图2-9所表示。这么主机就不会向假网关发送数据包，从而不会造成信息泄露，有效防范了ARP欺骗攻击。图2-9第三步：为

19、了使主机本身处于更安全环境中,我们必需做好其它预防方法,相关ARP欺骗防范务必落到实处，养成良好习惯。(1)增强安全意识,设置好登录控制,和权限控制；(2)不要下载和安装盗版、不可信任软件或程序；(3)不要随便打开不明来历电子邮件；(4)不要随便点击聊天工具上发来链接信息；(5)共享文件，要设置好访问权限不一样用户应含有不一样使用权限；(6)立即修补系统漏洞、修复不安全设置； (7)软件升级控制；(8)关闭无须要系统服务和禁用无须要端口；(9)安装正版杀毒软件，常常更新病毒库；第四步：临时处理对策 在能上网时，进入DOS，输入命令：arp a 查看网关IP对应正确MAC地址，将其统计下来。假如

20、已经不能上网，则先运行一次命令arp d将arp缓存删空，手工在MS-DOS窗口下运行以下命令： arp s 网关IP 网关MAC第五步：安装ARP防火墙。360ARP防火墙经过在系统内核层拦截ARP攻击数据包，确保网关正确MAC地址不被篡改，能够保障数据流向正确，不经过第三者；在系统内核层直接拦截本机和外部全部ARP攻击；并提供本机ARP木马病毒正确追踪和立即查杀，保持网络通畅及通讯安全；确保通讯数据不受第三者控制，很好处理局域网内ARP攻击问题。2.3 DDos攻击技术2.3.1 DDos技术原理DDos攻击技术汉字全称“分布式拒绝服务攻击”，英文全称为（Distributed Denia

21、l of Service），它是一个基于DoS特殊形式拒绝服务攻击，DoS(Denial Of Service，拒绝服务缩写)DoS是指有意攻击网络实现或直接经过野蛮手段,耗尽被攻击对象资源，目标是让目标计算机或网络无法提供正常服务或资源访问，使目标服务系统停止响应甚至瓦解。 而DDOS攻击策略侧重于经过很多“僵尸主机”向受害主机发送大量看似正当网络包，从而造成网络阻塞或服务器资源耗尽而造成拒绝服务，分布式拒绝服务攻击一旦被实施，攻击网络包就会如同洪水般涌向受害主机，从而把正当用户网络包淹没，造成正当用户无法正常访问服务器网络资源，常见DDos攻击图2-10所表示。攻击者经过client控制多

22、个Handler。每个Hander上全部运行着攻击程序，而且能够控制多台Agent。攻击者经过Agent来向攻击目标发送大量通信报文，从而达成消耗目标通信带宽，形成对目标计算机拒绝服务。因为这种攻击攻击源并不是真正控制计算机，而且加上攻击源能够分布在网络任何地方，所以这种攻击称为“分布式拒绝服务攻击”。图2-102.3.2 DDos技术实现方法DDos攻击是经过部分攻击手段来实现，以SYN Flood来说明。1、SYN/ACK Flood攻击是很难于防御攻击方法，它目标使服务器不能够为正常访问用户提供服务。所以，对部分依靠互联网开展业务企业带来了致命威胁。它利用TCP三次握手协议缺点，向目标主

23、机发送大量伪造源地址SYN连接请求，消耗目标主机资源，从而不能够为正常见户提供服务。(1) TCP连接建立过程A、用户端向服务器端发送一个SYN标志TCP报文，包含用户端使用端口号和初始序列号x；B、服务器端收到用户端发送SYN报文后，向用户端回送一个SYN和ACK标志TCP报文，包含确定号为x1和服务器初始序列号y；C、用户端收到服务器返回SYNACK报文后，向服务器返回一个确定号为y1序号为x1ACK报文，一个标准TCP连接完成；(2) SYN Flood攻击原理 在SYN Flood攻击中，黑客机器向受害主机发送大量伪造源地址TCP SYN报文，受害主机分配必需资源，然后向源地址返回SY

24、NACK包，并等候源端返回ACK包，因为源地址是伪造，所以源端永远全部不会返回ACK报文，受害主机继续发送SYNACK包，并将半连接放入端口积压队列中，即使通常主机全部有超时机制和默认重传次数，但半连接队列会很快填满，服务器拒绝新连接，将造成该端口无法响应其它机器进行连接请求，最终使受害主机资源耗尽。2、两种处理SYN Flood方法(1) SYNcookie技术通常情况下，当服务器收到一个TCP SYN报文后，立即为该连接请求分配缓冲区，然后返回一个SYNACK报文，这时形成一个半连接。SYN Flood正是利用了这一点，发送大量伪造源地址SYN连接请求，而不完成连接。这么就大量消耗服务器资

25、源。SYNcookie技术针对标准TCP连接建立过程资源分配上这一缺点，改变了资源分配策略。当服务器收到一个SYN报文后，不立即为其分配缓冲区，而是利用连接信息生成一个cookie函数，并将这个cookie作为将要返回SYNACK报文初始序列号。当用户端返回一个ACK报文时，依据包头信息计算cookie，和返回确实定序列号（初始序列号1）前24位进行对比，假如相同，则是一个正常连接，然后分配资源，建立连接。该技术巧妙之点在于避免了在连接信息未完全抵达前就进行资源分配，使SYN Flood攻击失效。此技术实现关键之处于于cookie计算。cookie计算应该做到包含此次连接状态信息，使攻击者不能

26、伪造cookie，cookie计算过程以下：A、服务器收到一个SYN包后，计算一个消息摘要mac；mac = MAC（D，k）；MAC是密码学中一个消息认证码函数， D为用户和服务器双方IP地址和端口号和参数t组合；D= SOURCE_IP | SOURCE_PORT | DST_IP | DST_PORT | t；K为服务器独有密钥；时间参数t为32比专长时间计数器，每64秒加1；B、生成cookie；cookie = mac（0:24）：表示取mac值第0到24比特位；C、设置将要返回SYN+ACK报文初始序列号，设置过程以下三个步骤所表示； 超出24位用cookie替换；接下来3比特位用

27、用户要求最大报文长度MMS替换；最终5比特位为t mod 32；用户端收到来自服务器SYN+ACK报文后，返回一个ACK报文，这个ACK报文将带一个cookie（确定号为服务器发送过来SYN ACK报文初始序列号加1，所以不影响前24位），在服务器端重新计算cookie，和确定号前24位比较，假如相同，则说明未被修改，连接正当，然后，服务器完成连接建立过程。SYN-cookie技术因为在连接建立过程中不需要在服务器端保留任何信息，实现了无状态三次握手，从而有效防御了SYN Flood攻击。2、地址状态监控处理方法地址状态监控是利用监控工具对网络中相关TCP连接数据包进行监控，并对监听到数据包进

28、行处理。处理关键依据是连接请求源地址。每个源地址全部有一个状态和之对应，总共有四种状态。(1)初态：任何源地址刚开始状态；(2)NEW状态：第一次出现或出现数次不能断定存在源地址状态；(3)GOOD状态：断定存在源地址所处状态；(4)BAD状态：源地址不存在或不可达时所处状态；3、具体动作和状态转换依据TCP头中位码值决定(1)监听到SYN包，假如源地址是第一次出现，则置该源地址状态为NEW状态；假如是NEW状态或BAD状态；则将该包RST位置1然后重新发出去，假如是GOOD状态不作任何处理。(2)监听到ACK或RST包，假如源地址状态为NEW状态，则转为GOOD状态；假如是GOOD状态则不变

29、；假如是BAD状态则转为NEW状态。(3)监听到从服务器来SYN ACK报文（目标地址为address），表明服务器已经为从address发来连接请求建立了一个半连接，为预防建立半连接过多，向服务器发送一个ACK包，建立连接，同时，开始计时，假如超时，还未收到ACK报文，证实address不可达，假如此时address状态为GOOD则转为NEW状态；假如address状态为NEW状态则转为BAD状态；假如为address状态为BAD状态则不变。第三章 总结经过做这次毕业论文使我收获了很多有用东西,学到了以前没有学到知识，比如设计汇报内容中写到相关ARP欺骗处理方法，在没有写此其之前只是稍对其有

30、点印象，并没有太多这方面了解，更不用说面对这类问题,需要用何种处理方法，不过经过我查询资料和老师指导对这方面稍有了较深了解，不管是专业知识还是其它技能知识，全部在原来基础上得到了一定提升，在此过程中，我清楚地认识到自己存在很多不足之处,不仅专业知识掌握不牢靠,而且分析问题有时候也太过于片面,不能从多方面角度来分析、考虑一个问题，每次全部必需在老师帮助和讲解下才能得以处理,才能把一切没有理清思绪全部整理完好,经过这次经历,我总结出：在做每一件事情时，首先全部不能过于急躁,要一步一步计划好。平时间应把最基础知识掌握好,了解其中原理，这么才有做更深入研究和学习,学到知识不仅不轻易忘记而且自己明白其中

31、原理,更能充足灵活利用。有句名言形容恰入十分：“合抱之木，生于毫末，九层之台，起于垒土，千里之行，始于足下 。”所以在以后学习或工作中，我将从这几方面提升自己觉悟性，一步一步学习，循序渐进。现在网络安全是信息时代最为关注代名词，也这方面也有较大爱好，我在以后工作中也会继续学习，让自己对在这块领域有所长，学到宝贵知识,出色自己人生。致谢首先很感谢尊敬各位答辩老师,在百忙之中抽出时间来聆听我答辩。其次要感谢我导师夏汛老师和赵菲老师细心指导，你们严谨细致、一丝不苟工作作风是我工作、学习中楷模；你们循循善诱教导和不拘一格思绪给我无尽启迪。没有你们精心指导,我也不能顺利地完成我毕业设计汇报， 因为经过你

32、们指导和提议，才使我知道自己汇报缺点所在，老师正是你们给出我很好提议，从而我才知道努力地从各方面进行修改，更让我学到更多知识,了解更多信息,写出自已稍满意毕业设计汇报！所以我真心道出我谢意于我两位指导老师。除此之外我也要感谢我部分其它任课老师，她们在平时对于我学习方面很关心，细心讲解我不懂问题，假如没有她们教导，我也不会学到实用知识，更不能用于我毕业设计汇报之中，所以有了这些知识我才将学以至用，完成我毕业设计汇报。最终真心祝福全部老师们会在以后路途中越走越顺，桃李满天下！参考文件1 杨富国著.网络设备安全和防为墙.清华大学出版社,.32 蔡立军著.计算机网络安全技术.北京水利水电出版社,.73 石铁峰.计算机网络技术.北京水利水电出版社,.84 戚文静.网络安全和管理.北京水利水电出版社,.85 (美)kennethD.Reed 网络互连设备.北京电子出版社,.16 邓亚平.计算机网络.电子工业出版社, .97 陶文娣.陶文华.网络安全技术方法.J电脑开发和应用,.18 赵江主著.局域网应用精讲.人民邮电出版社,.19 谢希仁著.计算机网络教程.人民邮电出版社,.310 张庆华著.网络安全和黑客攻防宝典.电子工业出版社,.5