局域网安全问题及对策_论文.doc
《局域网安全问题及对策_论文.doc》由会员分享,可在线阅读,更多相关《局域网安全问题及对策_论文.doc(19页珍藏版)》请在沃文网上搜索。
1、摘 要随着计算机网络和互联网的发展,局域网安全越来越受到人们的重视和关注。无论是在局域网还是在广域网中,都存在着自然和人为等诸多因素的潜在威胁和网络的脆弱性。故此,局域网的安全措施应是能全方位地针对各种不同的威胁和脆弱性,这样才能确保网络信息的保密性、完整性和可用性。为了确保信息的安全与畅通,研究局域网的安全以及防范措施已迫在眉睫。 关键词:计算机网络 网络安全 局域网安全目 录1 .绪论11.1计算机网络的定义11.2网络安全定义11.3局域网安全11.3.1来自互联网的安全威胁11.3.2来自局域网内部的安全威胁11.4局域网当前形势及面临的问题12.常用局域网的攻击方法22.1ARP欺骗
2、22.1.1ARP协议22.1.2ARP欺骗原理32.1.3ARP病毒清除32.2网络监听42.2.1网络监听的定义42.2.2网络监听的基本原理42.2.3网络监听的检测42.2.4网络监听的防范措施53.计算机局域网病毒及防治73.1局域网病毒73.2计算机局域网病毒的防治措施73.3清除网络病毒84.局域网安全防范系统84.1防火墙系统84.1.1防火墙概述84.1.2防火墙的体系结构94.1.3防火墙的功能94.2入侵检测系统104.2.1入侵检测系统概述104.2.2入侵检测原理104.2.3局域网入侵检测系统的构建方法105.园区网的构架和分析135.1企业网规模回顾135.2层次
3、化网络设计135.3模块化网络设计136.校园网安全设计136.1校园网用户需求136.2方案设计书和网络拓扑图136.3设备上架和配置136.4测试和维护13总结13致 谢13参考文献141 .绪论1.1计算机网络的定义 计算机网络,就是利用通信设备和线路将地理位置不同的、功能独立的多个计算机系统互连起来,以功能完善的网络软件(即网络通信协议、信息交换方式和网络操作系统等)实现网络中资源共享和信息传递的系统。计算机网络由通信子网和资源子网两部分构成。通信子网是计算机网络中负责数据通信的部分;资源子网是计算机网络中面向用户的部分,负责全网络面向应用的数据处理工作。就局域网而言,通信子网由网卡、
4、线缆、集线器、中继器、网桥、路由器、交换机等设备和相关软件组成。资源子网由连网的服务器、工作站、共享的打印机和其它设备及相关软件所组成。 1.2网络安全定义网络安全是指网络系统的硬件、软件及其系统中的数据受到保护,不因偶然的或者恶意的原因而遭受到破坏、更改、泄露,系统连续可靠正常地运行,网络服务不中断。网络安全从其本质上来讲就是网络上的信息安全。1.3局域网安全局域网的安全主要包括物理安全与逻辑安全。物理安全主要指网络硬件的维护、使用及管理等;逻辑安全是从软件的角度提出的,主要指数据的保密性、完整性、可用性等。1.3.1来自互联网的安全威胁局域网是与Inernet互连的。由于Internet的
5、开放性、国际性与自由性,局域网将面临更加严重的安全威胁。如果局域网与外部网络间没有采取一定的安全防护措施,很容易遭到来自Internet黑客的各种攻击。他们可以通过嗅探程序来探测、扫描网络及操作系统存在的安全漏洞,如网络IP地址、应用操作系统的类型、开放的TCP端口号、系统用来保存用户名和口令等安全信息的关键文件等,并通过相应攻击程序进行攻击。他们还可以通过网络监听等手段获得内部网用户的用户名、口令等信息,进而假冒内部合法身份进行非法登录,窃取内部网络中重要信息。还能通过发送大量数据包对网络服务器进行攻击,使得服务器超负荷工作导致拒绝服务,甚至使系统瘫痪。1.3.2来自局域网内部的安全威胁内部
6、管理人员把内部网络结构、管理员口令以及系统的一些重要信息传播给外人带来信息泄漏;内部职工有的可能熟悉服务器、小程序、脚本和系统的弱点,利用网络开些小玩笑,甚至搞破坏。如,泄漏至关重要的信息、错误地进入数据库、删除数据等,这些都将给网络造成极大的安全威胁。1.4局域网当前形势及面临的问题 随着局域网络技术的发展和社会信息化进程的加快,现在人们的生活、工作、学习、娱乐和交往都已离不开计算机网络。现今,全球网民数量已接近7亿,网络已经成为生活离不开的工具,经济、文化、军事和社会活动都强烈地依赖于网络。网络环境的复杂性、多变性以及信息系统的脆弱性、开放性和易受攻击性,决定了网络安全威胁的客观存在。尽管
7、计算机网络为人们提供了巨大的方便,但是受技术和社会因素的各种影响,计算机网络一直存在着多种安全缺陷。攻击者经常利用这些缺陷,实施攻击和入侵,给计算机网络造成极大的损害网络攻击、病毒传播、垃圾邮件等迅速增长,利用网络进行盗窃、诈骗、敲诈勒索、窃密等案件逐年上升,严重影响了网络的正常秩序,严重损害了网民的利益;网上色情、暴力等不良和有害信息的传播,严重危害了青少年的身心健康。网络系统的安全性和可靠性正在成为世界各国共同关注的焦点。 根据中国互联网信息中心2006年初发布的统计报告显示:我国互联网网站近百万家,上网用户1亿多,网民数和宽带上网人数均居全球第二。同时,网络安全风险也无处不在,各种网络安
8、全漏洞大量存在和不断被发现,计算机系统遭受病毒感染和破坏的情况相当严重,计算机病毒呈现出异常活跃的态势。面对网络安全的严峻形势,我国的网络安全保障工作尚处于起步阶段,基础薄弱,水平不高,网络安全系统在预测、反应、防范和恢复能力方面存在许多薄弱环节,安全防护能力不仅大大低于美国、俄罗斯和以色列等信息安全强国,而且排在印度、韩国之后。在监督管理方面缺乏依据和标准,监管措施不到位,监管体系尚待完善,网络信息安全保障制度不健全、责任不落实、管理不到位。网络信息安全法律法规不够完善,关键技术和产品受制于人,网络信息安全服务机构专业化程度不高,行为不规范,网络安全技术与管理人才缺乏。面对网络安全的严峻形势
9、,如何建设高质量、高稳定性、高可靠性的安全网络成为通信行业乃至整个社会发展所要面临和解决的重大课题。2.常用局域网的攻击方法2.1ARP欺骗2.1.1ARP协议ARP(AddressResolutionProtocol)是地址解析协议,是一种将IP地址转化成物理地址的协议。ARP具体说来就是将网络层(IP层,也就是相当于OSI的第三层)地址解析为数据连接层(MAC层,也就是相当于OSI的第二层)的MAC地址。ARP原理:某机器A要向主机B发送报文,会查询本地的ARP缓存表,找到B的IP地址对应的MAC地址后,就会进行数据传输。如果未找到,则广播A一个ARP请求报文(携带主机A的IP地址IA物理
10、地址PA),请求IP地址为IB的主机B回答物理地址PB。网上所有主机包括B都收到ARP请求,但只有主机B识别自己的IP地址,于是向A主机发回一个ARP响应报文。其中就包含有B的MAC地址,A接收到B的应答后,就会更新本地的ARP缓存。接着使用这个MAC地址发送数据(由网卡附加MAC地址)。因此,本地高速缓存的这个ARP表是本地网络流通的基础,而且这个缓存是动态的。假如我们有两个网段、三台主机、两个网关、分别是:主机名IP地址MAC地址 网关1192.168.1.101-01-01-01-01-01 主机A192.168.1.202-02-02-02-02-02 主机B192.168.1.303
11、-03-03-03-03-03网关210.1.1.104-04-04-04-04-04 主机C10.1.1.205-05-05-05-05-05假如主机A要与主机B通讯,它首先会通过网络掩码比对,确认出主机B是否在自己同一网段内,如果在它就会检查自己的ARP缓存中是否有192.168.1.3这个地址对应的MAC地址,如果没有它就会向局域网的广播地址发送ARP请求包,即目的MAC地址是全1的广播询问帧,0xffffffffffffH02-02-02-02-02-02192.168.1.3192.168.1.2;如果B存在的话,必须作出应答,回答“B的MAC地址是”的单播应答帧,02-02-02-
12、02-02-0203-03-03-03-03-03192.168.1.2192.168.1.3;A收到应答帧后,把“192.168.1.303-03-03-03-03-03动态”写入ARP表。这样的话主机A就得到了主机B的MAC地址,并且它会把这个对应的关系存在自己的ARP缓存表中。之后主机A与主机B之间的通讯就依靠两者缓存表里的MAC地址来通讯了,直到通讯停止后两分钟,这个对应关系才会被从表中删除。如果是非局域网内部的通讯过程,假如主机A需要和主机C进行通讯,它首先会通过比对掩码发现这个主机C的IP地址并不是自己同一个网段内的,因此需要通过网关来转发,这样的话它会检查自己的ARP缓存表里是否
13、有网关1(192.168.1.1)对应的MAC地址,如果没有就通过ARP请求获得,如果有就直接与网关通讯,然后再由网关1通过路由将数据包送到网关2,网关2收到这个数据包后发现是送给主机C(10.1.1.2)的,它就会检查自己的ARP缓存(没错,网关一样有自己的ARP缓存),看看里面是否有10.1.1.2对应的MAC地址,如果没有就使用ARP协议获得,如果有就是用该MAC地址将数据转发给主机C。2.1.2ARP欺骗原理在以太局域网内数据包传输依靠的是MAC地址,IP地址与MAC对应的关系依靠ARP表,每台主机(包括网关)都有一个ARP缓存表。在正常情况下这个缓存表能够有效的保证数据传输的一对一性
14、,也就是说主机A与主机C之间的通讯只通过网关1和网关2,像主机B之类的是无法截获A与C之间的通讯信息的。但是在ARP缓存表的实现机制中存在一个不完善的地方,当主机收到一个ARP的应答包后,它并不会去验证自己是否发送过这个ARP请求,而是直接将应答包里的MAC地址与IP对应的关系替换掉原有的ARP缓存表里的相应信息。这就导致主机B截取主机A与主机C之间的数据通信成为可能。首先主机B向主机A发送一个ARP应答包说192.168.1.1的MAC地址是03-03-03-03-03-03,主机A收到这个包后并没有去验证包的真实性而是直接将自己ARP列表中的192.168.1.1的MAC地址替换成03-0
15、3-03-03-03-03,同时主机B向网关1发送一个ARP响应包说192.168.1.2的MAC是03-03-03-03-03-03,同样网关1也没有去验证这个包的真实性就把自己ARP表中的192.168.1.2的MAC地址替换成03-03-03-03-03-03。当主机A想要与主机C通讯时,它直接把应该发送给网关1(192.168.1.1)的数据包发送到03-03-03-03-03-03这个MAC地址,也就是发给了主机B,主机B在收到这个包后经过修改再转发给真正的网关1,当从主机C返回的数据包到达网关1后,网关1也使用自己ARP表中的MAC,将发往192.168.1.2这个IP地址的数据发
16、往03-03-03-03-03-03这个MAC地址也就是主机B,主机B在收到这个包后再转发给主机A完成一次完整的数据通讯,这样就成功的实现了一次ARP欺骗攻击。因此简单点说ARP欺骗的目的就是为了实现全交换环境下的数据监听与篡改。也就是说欺骗者必须同时对网关和主机进行欺骗。2.1.3ARP病毒清除 感染病毒后,需要立即断开网络,以免影响其他电脑使用。重新启动到DOS模式下,用杀毒软件进行全面杀毒。临时处理对策:步骤一、能上网情况下,输入命令arpa,查看网关IP对应的正确MAC地址,将其记录下来。如果已经不能上网,则运行一次命令arpd将arp缓存中的内容删空,计算机可暂时恢复上网(攻击如果不
17、停止的话),一旦能上网就立即将网络断掉(禁用网卡或拔掉网线),再运行arpa。步骤二、如果已经有网关的正确MAC地址,在不能上网时,手工将网关IP和正确MAC绑定,可确保计算机不再被攻击影响。输入命令:arps,网关IP网关MAC手工绑定在计算机关机重开机后就会失效,需要再绑定。可以把该命令放在autoexec.bat中,每次开机即自动运行。2.2网络监听2.2.1网络监听的定义众所周知,电话可以进行监听,无线电通讯可以监听,而计算机网络使用的数字信号在线路上传输时,同样也可以监听。网络监听也叫嗅探器,其英文名是Sniffer,即将网络上传输的数据捕获并进行分析的行为。网络监听,在网络安全上一
18、直是一个比较敏感的话题,作为一种发展比较成熟的技术,监听在协助网络管理员监测网络传输数据,排除网络故障等方面具有不可替代的作用,因而一直备受网络管理员的青睐。然而,在另一方面网络监听也给网络安全带来了极大的隐患,许多的网络入侵往往都伴随着网络监听行为,从而造成口令失窃,敏感数据被截获等连锁性安全事件。2.2.2网络监听的基本原理局域网中的数据是以广播方式发送的,局域网中的每台主机都时刻在监听网络中传输的数据,主机中的网卡将监听到的数据帧中的MAC地址与自己的MAC地址进行比较,如果两者相同就接收该帧,否则就丢掉该帧。如果把对网卡进行适当的设置和修改,将它设置为混杂模式,在这种状态下它就能接收网
19、络中的每一个信息包。网络监听就是依据这种原理来监测网络中流动的数据。2.2.3网络监听的检测 2.2.3.1在本地计算机上进行检测 (1)检查网卡是否处于混杂模式。可以利用一些现成的工具软件来发现,例如:AntiSniff,ARP探测技术。也可以编写一些程序来实现。在Linux下,有现成的函数,比较容易实现,而在Windows平台上,并没有现成的函数来实现这个功能,要自己编写程序来实现。可以利用一些现成的工具软件来发现,例如:AntiSniff,ARP探测技术。也可以编写一些程序来实现。在Linux下,有现成的函数,比较容易实现,而在Windows平台上,并没有现成的函数来实现这个功能,要自己
20、编写程序来实现。(2)搜索法。在本地主机上搜索所有运行的进程,就可以知道是否有人在进行网络监听。在Windows系统下,按下Ctrl+Alt+Del可以得到任务列表,查看是否有监听程序在运行。如果有不熟悉的进程,或者通过跟另外一台机器比较,看哪些进程是有可能是监听进程。2.2.3.2在其它计算机上进行检测。(1)观察法。如果某台电脑没有监听的话,无论是信息的传送还是电脑对信息的响应时间等方面都是正常的,如果被监听的话,就会出现异常情况。我们可以通过观察一些异常情况来判断电脑是否有被监听。 网络通讯掉包率是否反常地高。例如ping命令会显示掉了百分几的信息包。如果网络中有人在监听,就会拦截每个信
21、息包,从而导致信息包丢包率提高。网络带宽是否出现反常。如果某台计算机长时间的占用了较大的带宽,对外界的响应很慢,这台计算机就有可能被监听。 机器性能是否下降。向网上发大量不存在的物理地址的包,而监听程序往往就会将这些包进行处理,这样就会导致机器性能下降,可以用icmpechodelay来判断和比较它。(2)PING法。这种检测原理基于以太网的数据链路层和TCP/IP网络层的实现,是一种非常有效的测试方法。ping法的原理:如果一个以太网的数据包的目的MAC地址不属于本机,该包会在以太网的数据链路层上被抛弃,无法进入TCP/IP网络层;进入TCP/IP网络层的数据包,如果解析该包后,发现这是一个
22、包含本机ICMP回应请示的TCP包(PING包),则网络层向该包的发送主机发送ICMP回应。 我们可以构造一个PING包,包含正确的IP地址和错误的MAC地址,其中IP地址是可疑主机的IP地址,MAC地址是伪造的,这样如果可疑主机的网卡工作在正常模式,则该包将在可疑主机的以太网的数据链路层上被丢弃,TCP/IP网络层接收不到数据因而也不会有什么反应。如果可疑主机的网卡工作在混杂模式,它就能接收错误的MAC地址,该非法包会被数据链路层接收而进入上层的TCP/IP网络层,TCP/IP网络层将对这个非法的PING包产生回应,从而暴露其工作模式。使用PING方法的具体步骤及结论如下:假设可疑主机的IP
23、地址为192.168.10.11,MAC地址是00-E0-4C-3A-4B-A5,检测者和可疑主机位于同一网段。 稍微修改可疑主机的MAC地址,假设改成00-E0-4C-3A-4B-A4。向可疑主机发送一个PING包,包含它的IP和改动后的MAC地址。没有被监听的主机不能够看到发送的数据包,因为正常的主机检查这个数据包,比较数据包的MAC地址与自己的MAC地址不相符,则丢弃这个数据包,不产生回应。如果看到回应,说明数据包没有被丢弃,也就是说,可疑主机被监听了。(3)ARP法。除了使用PING进行监测外,还可以利用ARP方式进行监测的。这种模式使用ARP数据包替代了上述的ICMP数据包。向局域网
- 1.请仔细阅读文档,确保文档完整性,对于不预览、不比对内容而直接下载带来的问题本站不予受理。
- 2.下载的文档,不会出现我们的网址水印。
- 3、该文档所得收入(下载+内容+预览)归上传者、原创作者;如果您是本文档原作者,请点此认领!既往收益都归您。
下载文档到电脑,查找使用更方便
20 积分
下载 | 加入VIP,下载更划算! |
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 局域网 安全问题 对策 论文