網(wǎng)絡(luò)安全課設(shè)

1、內(nèi)蒙古電子信息職業(yè)技術(shù)學(xué)院網(wǎng)絡(luò)安全技術(shù)（課設(shè)） 課設(shè)題目： ARP網(wǎng)絡(luò)攻擊參透和常用的幾種攻擊方案院（系）： 計(jì)算機(jī)科學(xué)系 專業(yè)班級： 網(wǎng)絡(luò)104 學(xué) 號： XXXXXXXXX 姓 名： XXX 指導(dǎo)教師： XXX 目 錄第1章 實(shí)驗(yàn)ARP攻擊方案11.1 實(shí)驗(yàn)設(shè)計(jì)目的11.2 實(shí)驗(yàn)設(shè)計(jì)的實(shí)驗(yàn)環(huán)境11.3 實(shí)驗(yàn)設(shè)計(jì)準(zhǔn)備11.4 實(shí)驗(yàn)設(shè)計(jì)內(nèi)容及步驟11.4.1 ARP欺騙分析41.4.2 如何防范ARP欺騙4第2章 網(wǎng)絡(luò)攻擊的原理和手法62.1 口令入侵62.2 放置特洛木馬程式62.3 WWW的欺騙技術(shù)62.4 電子郵件攻擊72.5 通過一個節(jié)點(diǎn)來攻擊其它節(jié)點(diǎn)72.6 網(wǎng)絡(luò)監(jiān)聽72.7 利用黑

2、客軟件攻擊82.8 安全漏洞攻擊82.9 端口掃描攻擊8第4章 課設(shè)總結(jié)9第1章 實(shí)驗(yàn)ARP攻擊方案1.1 實(shí)驗(yàn)設(shè)計(jì)目的（1）掌握ARP欺騙的基本原理（2）了解流行的ARP欺騙工具網(wǎng)絡(luò)執(zhí)法官的使用方法及危害（3）能夠進(jìn)行基本ARP欺騙防范1.2 實(shí)驗(yàn)設(shè)計(jì)的實(shí)驗(yàn)環(huán)境硬件設(shè)備：PC、實(shí)驗(yàn)室小組局域網(wǎng)環(huán)境、路由器取消IP/MAC綁定防欺騙功能軟件環(huán)境：Windows 2000、WinXP、TCP/IP、網(wǎng)絡(luò)執(zhí)法官1.3 實(shí)驗(yàn)設(shè)計(jì)準(zhǔn)備（1）了解交換網(wǎng)絡(luò)嗅探技術(shù)及相關(guān)知識（2）學(xué)習(xí)ARP的基本原理（3）掌握網(wǎng)絡(luò)執(zhí)法官的使用方法1.4 實(shí)驗(yàn)設(shè)計(jì)內(nèi)容及步驟（這一步的數(shù)據(jù)由于當(dāng)時在機(jī)房沒有保存就丟失了，后來回

3、宿舍后在自己電腦上補(bǔ)做的。）第一步：在中了ARP病毒的機(jī)子上使用“ping”命令發(fā)現(xiàn)不能ping通，在dos下鍵入命令“arp -d”清除所有arp，再鍵入靜態(tài)綁定命令，綁定正確MAC地址，綁定好后，再鍵入“ping”命令，發(fā)現(xiàn)可以ping通。結(jié)果如下圖所示：第二步：安裝網(wǎng)絡(luò)執(zhí)法官并使用網(wǎng)絡(luò)執(zhí)法官第三步：對局域網(wǎng)中的一臺主機(jī)進(jìn)行ARP攻擊在受到ARP攻擊之前該主機(jī)可以“ping”通第四步：檢查受到攻擊的主機(jī)的上網(wǎng)情況在DOS下使用“ping”命令不能ping通1.4.1 ARP欺騙分析 在OSI模型中，針對網(wǎng)絡(luò)第二層的攻擊可以使網(wǎng)絡(luò)癱瘓或者通過非法獲取密碼等敏感信息來危及網(wǎng)絡(luò)用戶的安全。由于任

4、何一位合法用戶都能獲取一個以太網(wǎng)端口的訪問權(quán)限，而這些用戶都有可能成為黑客；同時，由于設(shè)計(jì)OSI模型時，允許不同通信層處于相對獨(dú)立的工作模式，而承載所有客戶關(guān)鍵應(yīng)用的網(wǎng)絡(luò)第二層，成為了被攻擊的目標(biāo)。 ARP欺騙攻擊是針對網(wǎng)絡(luò)第二層攻擊中的一種。ARP用來實(shí)現(xiàn)MAC地址和IP地址的綁定，兩個工作站才可以通訊，通訊發(fā)起方的工作站以MAC廣播方式發(fā)送ARP請求，擁有此IP地址的工作站給予ARP應(yīng)答，送回自己的IP和MAC地址。 由于ARP無任何身份真實(shí)校驗(yàn)機(jī)制，黑客程序發(fā)送誤導(dǎo)的主動式ARP使網(wǎng)絡(luò)流量重指經(jīng)過惡意攻擊者的計(jì)算機(jī)，變成某個局域網(wǎng)段IP會話的中間人，達(dá)到竊取甚至篡改正常傳輸?shù)墓π?。簡單?/p>

5、講，ARP欺騙的目的是為了實(shí)現(xiàn)全交換環(huán)境下的數(shù)據(jù)監(jiān)聽。大部分的木馬或病毒使用ARP欺騙攻擊也出于此目的。一旦懷疑有ARP攻擊,我們就可以使用抓包工具來抓包，如果發(fā)現(xiàn)網(wǎng)絡(luò)內(nèi)存在大量ARP應(yīng)答包，并且將所有的IP地址都指向同一個MAC地址，就說明存在ARP欺騙攻擊。該MAC地址就是用來進(jìn)行ARP欺騙攻擊的主機(jī)MAC地址，我們可以查出它對應(yīng)的真實(shí)IP地址，從而采取相應(yīng)的控制措施。另外，我們也可以到路由器或者網(wǎng)關(guān)交換機(jī)上查看IP地址與MAC地址的對應(yīng)表。如果發(fā)現(xiàn)某一個MAC地址對應(yīng)了大量的IP地址，就說明存在ARP欺騙攻擊，同時可通過這個MAC地址查出用來ARP欺騙攻擊的主機(jī)在交換機(jī)上所對應(yīng)的物理端口

6、，進(jìn)行控制。1.4.2 如何防范ARP欺騙如何防范ARP欺騙1.靜態(tài)ARP綁定網(wǎng)關(guān)（1）在能正常上網(wǎng)時，進(jìn)入MS-DOS窗口，輸入命令：arp a，查看網(wǎng)關(guān)的IP對應(yīng)的正確MAC地址， 并將其記錄下來。（2）手工綁定，可在MS-DOS窗口下運(yùn)行以下命令：arp s 網(wǎng)關(guān)IP 網(wǎng)關(guān)MAC 00-01-02-03-04-05 static這時，類型變?yōu)殪o態(tài)（static），就不會再受攻擊影響了。2.作批處理文件（1）查找本網(wǎng)段的網(wǎng)關(guān)地址，比如19216811，在正常上網(wǎng)時，“開始運(yùn)行cmd確定”，輸入：arp a，點(diǎn)回車，查看網(wǎng)關(guān)對應(yīng)的Physical Address。比如：

7、網(wǎng)關(guān) 對應(yīng)000102030405。（2）編寫一個批處理文件rarp.bat，內(nèi)容如下：echo offarp darp -s 000102030405保存為：rarp.bat。（3）運(yùn)行批處理文件將這個批處理文件拖到“Windows開始程序啟動”中，如果需要立即生效，請運(yùn)行此文件。注意：以上配置需要在網(wǎng)絡(luò)正常時進(jìn)行3.使用安全工具軟件下載Anti ARP Sniffer軟件保護(hù)本地計(jì)算機(jī)正常運(yùn)行。如果已有病毒計(jì)算機(jī)的MAC地址，可使用NBTSCAN等軟件找出網(wǎng)段內(nèi)與該MAC地址對應(yīng)的IP，即感染病毒的計(jì)算機(jī)的IP地址，然后對其進(jìn)行查封。另外還可以

8、利用木馬殺客等安全工具進(jìn)行查殺。第2章 網(wǎng)絡(luò)攻擊的原理和手法2.1 口令入侵所謂口令入侵是指使用某些合法用戶的帳號和口令登錄到目的主機(jī)，然后再實(shí)施攻擊活動。這種方法的前提是必須先得到該主機(jī)上的某個合法用戶的帳號，然后再進(jìn)行合法用戶口令的破譯。獲得普通用戶帳號的方法非常多，如 利用目標(biāo)主機(jī)的Finger功能：當(dāng)用Finger命令查詢時，主機(jī)系統(tǒng)會將保存的用戶資料（如用戶名、登錄時間等）顯示在終端或計(jì)算機(jī)上； 利用目標(biāo)主機(jī)的X.500服務(wù)：有些主機(jī)沒有關(guān)閉X.500的目錄查詢服務(wù)，也給攻擊者提供了獲得信息的一條簡易途徑；從電子郵件地址中收集：有些用戶電子郵件地址常會透露其在目標(biāo)主機(jī)上的帳號；查看主

9、機(jī)是否有習(xí)慣性的帳號：有經(jīng)驗(yàn)的用戶都知道，非常多系統(tǒng)會使用一些習(xí)慣性的帳號，造成帳號的泄露。2.2 放置特洛木馬程式特洛伊木馬程式能直接侵入用戶的計(jì)算機(jī)并進(jìn)行破壞，他常被偽裝成工具程式或游戲等誘使用戶打開帶有特洛伊木馬程式的郵件附件或從網(wǎng)上直接下載，一旦用戶打開了這些郵件的附件或執(zhí)行了這些程式之后，他們就會象古特洛伊人在敵人城外留下的藏滿士兵的木馬相同留在自己的計(jì)算機(jī)中，并在自己的計(jì)算機(jī)系統(tǒng)中隱藏一個能在windows啟動時悄悄執(zhí)行的程式。當(dāng)你連接到因特網(wǎng)上時，這個程式就會通知攻擊者，來報(bào)告你的IP地址及預(yù)先設(shè)定的端口。攻擊者在收到這些信息后，再利用這個潛伏在其中的程式，就能任意地修改你的計(jì)算

10、機(jī)的參數(shù)設(shè)定、復(fù)制文件、窺視你整個硬盤中的內(nèi)容等，從而達(dá)到控制你的計(jì)算機(jī)的目的。2.3 WWW的欺騙技術(shù)在網(wǎng)上用戶能利用IE等瀏覽器進(jìn)行各種各樣的WEB站點(diǎn)的訪問，如閱讀新聞組、咨詢產(chǎn)品價格、訂閱報(bào)紙、電子商務(wù)等。然而一般的用戶恐怕不會想到有這些問題存在：正在訪問的網(wǎng)頁已被黑客篡改過，網(wǎng)頁上的信息是虛假的！例如黑客將用戶要瀏覽的網(wǎng)頁的URL改寫為指向黑客自己的服務(wù)器，當(dāng)用戶瀏覽目標(biāo)網(wǎng)頁的時候，實(shí)際上是向黑客服務(wù)器發(fā)出請求，那么黑客就能達(dá)到欺騙的目的了。 一般Web欺騙使用兩種技術(shù)手段，即URL地址重寫技術(shù)和相關(guān)信關(guān)信息掩蓋技術(shù)。利用URL地址，使這些地址都向攻擊者的Web服務(wù)器，即攻擊者能將自

11、已的Web地址加在所有URL地址的前面。這樣，當(dāng)用戶和站點(diǎn)進(jìn)行安全鏈接時，就會毫不防備地進(jìn)入攻擊者的服器，于是用記的所有信息便處于攻擊者的監(jiān)視之中。但由于瀏覽器材一般均設(shè)有地址欄和狀態(tài)欄，當(dāng)瀏覽器和某個站點(diǎn)邊接時，能在地址欄和狀態(tài)樣中獲得連接中的Web站點(diǎn)地址及其相關(guān)的傳輸信息，用戶由此能發(fā)現(xiàn)問題，所以攻擊者往往在URLf址重寫的同時，利用相關(guān)信息排蓋技術(shù)，即一般用JavaScript程式來重寫地址樣和狀枋樣，以達(dá)到其排蓋欺騙的目的。 2.4 電子郵件攻擊電子郵件是互連網(wǎng)上運(yùn)用得十分廣泛的一種通訊方式。攻擊者能使用一些郵件炸彈軟件或CGI程式向目的郵箱發(fā)送大量內(nèi)容重復(fù)、無用的垃圾郵件，從而使目

12、的郵箱被撐爆而無法使用。當(dāng)垃圾郵件的發(fā)送流量特別大時，更有可能造成郵件系統(tǒng)對于正常的工作反映緩慢，甚至癱瘓。相對于其他的攻擊手段來說，這種攻擊方法具有簡單、見效快等好處。2.5 通過一個節(jié)點(diǎn)來攻擊其它節(jié)點(diǎn)攻擊者在突破一臺主機(jī)后，往往以此主機(jī)作為根據(jù)地，攻擊其他主機(jī)(以隱蔽其入侵路徑，避免留下蛛絲馬跡)。他們能使用網(wǎng)絡(luò)監(jiān)聽方法，嘗試攻破同一網(wǎng)絡(luò)內(nèi)的其他主機(jī)；也能通過IP欺騙和主機(jī)信任關(guān)系，攻擊其他主機(jī)。 這類攻擊非常狡猾，但由于某些技術(shù)非常難掌控，如TCPIP欺騙攻擊。攻擊者通過外部計(jì)算機(jī)偽裝成另一臺合法機(jī)器來實(shí)現(xiàn)。他能磙壞兩臺機(jī)器間通信鏈路上的數(shù)據(jù)，其偽裝的目的在于哄騙網(wǎng)絡(luò)中的其他機(jī)器誤將其攻

13、擊者作為合法機(jī)器加以接受，誘使其他機(jī)器向他發(fā)送據(jù)或允許他修改數(shù)據(jù)。TCPIP欺騙能發(fā)生TCPIP系統(tǒng)的所有層次上，包括數(shù)據(jù)鏈路層、網(wǎng)絡(luò)層、運(yùn)輸層及應(yīng)用層均容易受到影響。如果底層受到損害，則應(yīng)用層的所有協(xié)議都將處于危險(xiǎn)之中。另外由于用戶本身不直接和底層相互相交流，因而對底層的攻擊更具有欺騙性。2.6 網(wǎng)絡(luò)監(jiān)聽網(wǎng)絡(luò)監(jiān)聽是主機(jī)的一種工作模式，在這種模式下，主機(jī)能接收到本網(wǎng)段在同一條物理通道上傳輸?shù)乃行畔ⅲ还苓@些信息的發(fā)送方和接收方是誰。因?yàn)橄到y(tǒng)在進(jìn)行密碼校驗(yàn)時，用戶輸入的密碼需要從用戶端傳送到服務(wù)器端，而攻擊者就能在兩端之間進(jìn)行數(shù)據(jù)監(jiān)聽。此時若兩臺主機(jī)進(jìn)行通信的信息沒有加密，只要使用某些網(wǎng)絡(luò)監(jiān)

14、聽工具(如NetXRay for 視窗系統(tǒng)9598NT、Sniffit for Linux、Solaries等)就可輕而易舉地截取包括口令和帳號在內(nèi)的信息資料。雖然網(wǎng)絡(luò)監(jiān)聽獲得的用戶帳號和口令具有一定的局限性，但監(jiān)聽者往往能夠獲得其所在網(wǎng)段的所有用戶帳號及口令。2.7 利用黑客軟件攻擊利用黑客軟件攻擊是互連網(wǎng)上比較多的一種攻擊手法。Back Orifice2000、冰河等都是比較著名的特洛伊木馬，他們能非法地取得用戶計(jì)算機(jī)的終極用戶級權(quán)利，能對其進(jìn)行完全的控制，除了能進(jìn)行文件操作外，同時也能進(jìn)行對方桌面抓圖、取得密碼等操作。2.8 安全漏洞攻擊許多系統(tǒng)都有這樣那樣的安全漏洞（Bugs）。其中一

15、些是操作系統(tǒng)或應(yīng)用軟件本身具有的。如緩沖區(qū)溢出攻擊。另一些是利用協(xié)議漏洞進(jìn)行攻擊。如攻擊者利用POP3一定要在根目錄下運(yùn)行的這一漏洞發(fā)動攻擊，破壞的根目錄，從而獲得終極用戶的權(quán)限。又如，ICMP協(xié)議也經(jīng)常被用于發(fā)動拒絕服務(wù)攻擊。2.9 端口掃描攻擊所謂端口掃描，就是利用Socket編程和目標(biāo)主機(jī)的某些端口建立TCP連接、進(jìn)行傳輸協(xié)議的驗(yàn)證等，從而偵知目標(biāo)主機(jī)的掃描端口是否是處于激活狀態(tài)、主機(jī)提供了哪些服務(wù)、提供的服務(wù)中是否含有某些缺陷等等。第4章 課設(shè)總結(jié)隨著互聯(lián)網(wǎng)的空前發(fā)展以及互聯(lián)網(wǎng)技術(shù)的不斷普及，機(jī)房的重要數(shù)據(jù)信息被暴露在公共網(wǎng)絡(luò)空間下，很容易丟失或者被一些不法人士獲取。由于黑客的攻擊、病毒的入侵、以及人為操作的不當(dāng)?shù)?，都有可能威脅到重要信息數(shù)據(jù)，這些危害也越來越受到人們的重視。因此，根據(jù)機(jī)房的實(shí)際情況建立一套切實(shí)可行的安全網(wǎng)絡(luò)方案來改善這個情況，使機(jī)房的數(shù)據(jù)機(jī)密信息得以保護(hù)，并且可以保證機(jī)房的網(wǎng)絡(luò)順暢的工作。在這次課程設(shè)計(jì)的學(xué)習(xí)中，我不僅鞏固了以前學(xué)到的很多知識，還了解到許多新的知識。同時，我對自己所學(xué)的專業(yè)也有了較深的認(rèn)識。在這次課程設(shè)計(jì)中，我查閱了大量書本以及網(wǎng)絡(luò)上的知識，在大大擴(kuò)展了自己知識面的同時，還認(rèn)識了自己學(xué)習(xí)的專業(yè)在社會上的應(yīng)用，初次把大量的知識應(yīng)用到實(shí)踐中去，發(fā)現(xiàn)了許許多多的問題，體會到了書本上學(xué)不到的東西，從實(shí)踐中成長許多。真正認(rèn)識到單單的理論學(xué)習(xí)是不夠