（计算机应用技术专业论文）vlan网络下的web服务器安全与性能优化研究.pdf

摘要 随着网络技术的发展，计算机的使用数量在不断增加。为了尽量减少 网络固定资产的投入而又不使其服务质量下降，从安全和性能的角度保障 w e b 服务器的可靠与高效工作，论文基于v l a n 模型解决了w e b 服务器 中存在的安全与性能问题。 v l a n 模型研究的关键问题是实现网段划分和网关安全，即节约i p v 4 的地址资源与有效的解决网络攻击。本文首先通过对v l a n 网络模型特 性的分析，提出了利用三层交换机技术来实现v l a n 网段的划分；其次 通过对a r p 攻击的分析，研究了利用交换机正常算法进行的网络攻击行 为，并提出了多交叉网络模型，对网络攻击进行有效的分析与检测。通过 对多交叉模型下的服务器所存在的漏洞和风险进行分析，针对不同的攻击 手段给出了服务器安全配置的方案。 在保障服务器安全的同时，通过利用浏览器解释和c s sh a c k 的优 化方法和事例，动态的生成静态页技术，n e t 缓存技术，a j a x 技术实 现了w e b 服务器端性能的优化方案，并应用c l u s t e r 实现了w e b 服务器 的n l b 群集，有效提高了压力测试下的页面访问速度。文章最后对开发 和研究工作做了总结，并展望了未来的工作。 关键词：虚拟局域网、w e b 服务器、网络安全、攻击检测 a bs t r a c t w i t ht h ed e v e l o p m e n to fn e t w o r kt e c h n o l o g y , c o m p u t e ru s en u m b e ri s i n c r e a s i n g i no r d e rt om i n i m i z en e t w o r ko ff i x e da s s e t si n v e s t m e n ta n dn o t t o t h eq u a l i t yo fs e r v i c ed e c l i n e ，f r o mt h ep e r f o r m a n c ea n ds e c u r i t yo ft h ew e b s e r v e rr e l i a b l ea n de m c i e n tw o r k p a p e r - b a s e dv l a nm o d e lt or e s o l v et h e w e bs e r v e ri nt h es e c u r i t ya n dp e r f o r m a n c ei s s u e s v l a nm o d e lo ft h ek e yi s s u e si st h er e a l i z a t i o no f 也en e t w o r ka n d g a t e w a ys e c u r i t y d i v i s i o n ，t h a ti s ，s a v i n gi p v 4a d d r e s s e sr e s o u r c e s a n d e f f e c t i v es o l u t i o nn e t w o r ka t t a c k s i nt h i sp a p e r , t h r o u g ht h ev l a nn e t w o r k m o d e lo fa n a l y s i s ，t h eu s eo ft e c h n o l o g yt oa c h i e v et h et h r e e - t i e rs w i t c h v l a nn e t w o r ks e g m e n to ft h ed i v i s i o n ；f o l l o w e db yt h ek 姆a t t a c ka n a l y s i s ， r e s e a r c hu s i n gt h en o r m a lm e t h o do fs w i t c h i n gn e t w o r ka t t a c k sa n dp r o p o s e d am u l t i c r o s s n e t w o r km o d e l ，n e t w o r ka t t a c k se f f e c t i v ea n a l y s i sa n dt e s t i n g t h r o u g ht h em u l t i s e r v e rm o d e l o ft h ee x i s t i n gl o o p h o l e sa n dr i s ka n a l y s i sf o r d i f f e r e n tm e a n so fa t t a c ki sg i v e ns e r v e rs e c u r i t yc o n f i g u r a t i o no p t i o n s t h ep r o t e c t i o no fs e r v e rs e c u r i t y , t h eb r o w s e rt h r o u g ht h eu s eo f i n t e r p r e t a t i o na n dc s sh a c ko p t i m i z a t i o nm e t h o d sa n de x a m p l e s ，d y n a m i c s t a t i cp a g eg e n e r a t i o nt e c h n o l o g y , _ n e tc a c h et e c h n o l o g y , a j a xt e c h n o l o g y t oa c h i e v eaw e bs e r v e rt oo p t i m i z et h ep e r f o r m a n c ea n da c h i e v ea p p l i c a t i o n c l u s t e rw - e bs e r v e ro ft h en l bc l u s t e r ，e f f e c t i v e l yr a i s i n gt h ep r e s s u r e t e s tu n d e rt h es p e e do fp a g ev i e w s f i n a l l y , t h ed e v e l o p m e n ta n dr e s e a r c h w o r kd o n eb ys u m m i n g u p ，a n dl o o k e dt ot h ef u t u r ew o r k k e yw o r d s ：v l a n 、w e b s e r v e r 、n e t w o r ks e c u r i t y 、a t t a c kd e t e c t i o n i l 原创性声明 本人声明，所呈交的学位论文是本人在导师指导下进行的研究 工作及取得的研究成果。尽我所知，除了论文中特别加以标注和致谢 的地方外，论文中不包含其他人已经发表或撰写过的研究成果，也不 包含为获得中南大学或其他单位的学位或证书而使用过的材料。与我 共同工作的同志对本研究所作的贡献均已在论文中作了明确的说明。 作者签名：彻 日期：五旺年月卫日 学位论文版权使用授权书 本人了解中南大学有关保留、使用学位论文的规定，即：学校 有权保留学位论文并根据国家或湖南省有关部门规定送交学位论文， 允许学位论文被查阅和借阅；学校可以公布学位论文的全部或部分内 容，可以采用复印、缩印或其它手段保存学位论文。同时授权中国科 学技术信息研究所将本学位论文收录到中国学位论文全文数据库， 并通过网络向社会公众提供信息服务。 名：氆跏签懋吼碰年- 牟日 硕士学位论文第一章绪论 1 1 课题来源 第一章绪论 中国首家大学生团校网中南大学升华网，在常年的发展与运营过程中遇到跟 网络安全及性能相关的诸多问题。其中比较突出的问题主要包括：黑客对w 曲服务器 进行攻击；网络使用人数增加负荷变重侵占服务器带宽；网站设备更新不及时，校园 网络分资源分配不能满足网站的要求等。同时，随着高校扩招，校园网用户的爆炸增 长，各种下载工具疯狂占用网络资源，致使w e b 服务器在白天出现丢包现象。整个网 站内部由于经费问题无法再添置一台独立企业级路由，只能用一个三层可管理高端的 交换机来顶替，使得整个服务器和工作站在一个交换机上，这严重违反了网络架构的 一些基本思想，未能将w e b 服务器与工作站子网分开。服务器上还安装有流媒体服务 器，这种及其耗资源的服务，同时也为用户提供了很多生活乐趣。利用现有的硬件设 备提升可利用带宽，尽量减少不必要的网络资源浪费。 本课题便是在上述背景下，针对以上问题，以中南大学升华网为实践平台，研究 解决w e b 服务器的安全搭建及其防护，及在不减少服务质量的情况下争取使用更少的 服务，开放更少的端口，运行更少的程序；并且通过w e b 群集和数据库优化、代码优 化实现减小w e b 服务器响应延迟，达到服务与安全的平衡规划的目的，从而能在各种 环境下通过技术手段而非增添设备方式来实现网站的安全与高效运行。 1 2 国内外研究现状与水平 影响网络速度的因素有很多。网络下载的最终速率，取决于多个环节：接入部分， 汇聚层，核心交换层、服务器下行带宽、服务器处理能力。a d s l 签协议的时候签的 是接入部分的速率上限。无论国内国外任何一个运营商，都不可能保证它的用户下载 速率，因为影响这个的因素实在是太多，例如从国外小站点下载，一般速率只有几k 到几十k ，这种连接，要受国际出口带宽、国外运营商网络质量、国外服务器处理能 力、协议带宽许多因素的影响，在文献【2 】、文献【5 】、文献【2 4 】、文献【2 5 】中有详细说 明。 影响网络速度的主要因素是硬件并发连接数达到了最大，而每一个连接却没有占 用相应的带宽的最大值，致使网络设备运行失常，在r f c 2 8 8 9 的测试中有详细地说 明。这里我们并不讨论带宽真正的达到峰值的情况，因为这种情况的解决方案已经有 很多，比如硬件改进，使用硬件防火墙等。用硬件防火墙的同时也避免了d d o s 攻击 和洪水攻击，但成本太高。一台交换机的并发连接数不是无限的，缓存大小不是无限 硕士学位论文第一章绪论 的的。当某几个b t 用户使用了交换机的全部连接数，这个交换机上的其他用户要浏 览网页就很困难，新来的连接只好在排队机中等候，等待别人的连接释放，如果连排 队机也满了，那就出现连接失败的情况。因此过去微软曾经对每用户的同时连接数做 过限制，并发5 0 个( 在文献 1 2 】中有详细介绍) ，这种方法真的是治标不治本，谁都 可以修改那个限制，而且非常简单。 国内外对于必须将w e b 服务器和十几台工作站放在同一个局域网下，并使用同一 个交换机的情况，文献【1 5 】中只是建议不要这样做。提出这样做会耗损服务器的可利 用带宽。局域网内的广播也会扼杀w e b 同一页面同时访问的上线数量。在这里国内外 并没有实际的测试结果，大部分只是理论数据和虚拟环境下的测试结果。毕竟真实的 环境需要硬件支持和大量的人员的测试，而且国外的网络没有遇到像国内网络这样如 此巨大的带宽使用量，和惊人的p 2 p 软件使用数目。在论文中会根据两种模型的架设 实际的测量一下。并验证各种理论技术对解决真实环境中的实际问题时w e b 服务器切 实的访问量变化。 对于w e b 服务器安全大部分的文章只是有详细的配置与架设的步骤，并没有解决 多用户与w r e b 服务器共同使用同一网络环境时出现的安全隐患及提出合理解决方案。 虽然很多的服务器运营商已经成功解决了上述问题。但作为一个安全人员公布自己的 安全技术资料是绝对的不安全隐患。在论文中会针对各种攻击进行相应的防御措施， 并和以往服务器遭受攻击后总结的经验作为成果展示。 对于服务器访问的一个效率方面的综合考虑借鉴w 3 c 标准和浏览器解释网页的 优先顺序和规定，切实利用数据库优化和a j a x 技术、异步调用机制使有用数据的传 输比重增加。也就是变相的解决带宽问题和w e b 服务器的综合效率。利用空闲设备建 立w e b 群集等已有技术调整w e b 服务的可用性。 1 3 研究意义与目的 本论文主要研究解决当服务器和工作站处在同一个网段中时，通过三层交换机和 部分计算机，在不增加设备的前提下，通过网络安全的思想切实的架设一台高安全性 的服务器。并利用最新技术提高并发访问上线，减小带宽消耗，解决服务器高效运行 并且有效提高信息的访问速率。 在真实环境中通过构建两种网络模型可对服务器和工作站进行网段划分，通过划 分为广播域，可减少对服务器的干扰，并获得真实数据。一种方案是通过双网卡和一 台小型网管服务器实现网段划分。另外一种方式是利用v l a n 技术在一台交换机上划 分出两个广播子网，并让信息通行畅通，广播干扰隔离在各自的广播域中，从而减少 对服务器的不良影响。 利用以往安全防御的经验和一些试验数据架设一台高效的安全的w e b 服务器。其 2 硕士学位论文第一章绪论 中会利用到严格的i p s e c 对接入服务器的连接进行审核。通过安全标准的权限设计方 案管理所有用户的权限。依据安全并利用a j a x 和数据库优化技术解决页面重复数据 传送过程中不再占用带宽。通过异步调用的机制实现客户端在不更新显示页面的时候 更新页面内容，这里不是用的框架而是异步调用实现的，既是直接读取数据库内容更 新客户端当前页面的部分信息，服务器端不会重新发送页面。实现通过技术保证信息 量不减少的前提下减少页面的传送的数据总量。通过案例的结果获得准确的数据，为 繁忙网络中w e b 服务器的建设提供有效的建议。 因此，论文通过对基于v l a n 局域网的w r e b 服务器网络攻击的相关安全技术与 性能优化机制的研究，解决网络服务器的安全和性能两大主要矛盾，为用户提供高效 安全的网络服务，在校园网建设过程中具有重要的意义。 1 4 论文内容安排 论文在第一章中提出了现实研究所遇到的问题。在拥挤的网络环境中节约硬件投 入资本，提高w e b 服务器性能是急需解决的问题。 在第二章中详细论述了基于v l a n 模型的优点，和实际应用中所遇到的各种问 题。并针对每个问题提出了解决的办法。发现了v l a n 技术所无法实现v l a n 模型 的原因。给出了解决同一问题的问题的不同解决方案。 在第三章节的内容中主要论述的是关于v l a n 模型下的网络安全问题并针对 a r p 攻击提出了一种新的基于三层交换机的网络攻击监测与解决模型，即多交叉网络 攻击监测模型。在这种模型下解决了基于网络攻击的防御安全，但针对计算机的安全 问题必须通过其他手段进行解决。这里就针对计算机的常见问题给出了一些安全配置 方案。 在第四章中对于以上描述的网络环境和安全前提下，提出提高w e b 服务器性能的 各种方法与措施。利用规范化的代码编写解决c s sh a c k 问题。通过对客户端浏览器 页面代码的解释的阐述，提出优化方案，提高客户的体验。利用生成静态页技术、n e t 技术中的缓存技术、a j a x 技术等实现服务器端执行代码效率优化。最后再利用负载 均衡群集的搭建，真正实现了w e b 服务器性能的提升。 最后在第五章中对目前进行的工作和对未来工作的展望给出了总结。 3 硕十学位论文 第二章v l a n 网络模型的相关技术 第二章v l a n 网络模型的相关技术 2 1v l a n 网络模型概述 网络模型的构建有多种方法。将用户计算机置于一个大的局域网中统一管理，并 和服务器一起放在一个网段中。通过这种方式建立的网络模型即普通网络模型，如下 图2 - 1 所示。 国、- - n u 。 ，。7 ：。 ，7 图2 - 1 常见普通网络模型 出于工作站人员计算机水平的参差不齐，致使维护中当客户机感染病毒，特别是 蠕虫后将对整个网络造成毁灭性的打击。因为一台计算机染病，就代表整个网络框架 安全体系的崩溃。这个时候保护服务器中的数据就至关重要了。上述模型的好处是可 以将蠕虫及一些常见的病毒限定在一个局域的范围内，可以有效的减少公司园机密泄 露导致的巨额损失。当然其实现的代价是要使用两台交换机，并添加一个带有取网卡 的服务器。这样无形增加了企业或者政府负担。一旦内网中的计算机出现中病毒的特 征的时候可以及时用网关隔离。当然对于当今世界范围内的i p v 4 协议导致的口地址 不足问题，也可以是一个解决方案。 v l a n ( v i r t u a ll o c a l a r e a n e t w o r k ) ，是一种通过将局域网内的设备逻辑地而不 是物理地划分成一个个网段从而实现虚拟工作组的技术。i e e e 于1 9 9 9 年颁布了用以 标准化v l a n 实现方案的i e e e8 0 2 1 q 协议标准草案。 v l a n 技术允许网络管理者将一个物理的l a n 逻辑地划分成不同的广播域( 或 称虚拟l a n 即v l a n ) ，每一个v l a n 都包含一组有着相同需求的计算机，由于 v l a n 是逻辑地址而不是物理地址划分，所以同一个v l a n 内的各个计算机无须被放 置在同一个物理窜间里，即这些计算机不一定属于同一个物理l a n 网段。 v l a n 的优势在于v l a n 内部的广播和单播流量不会被转发到其它v l a n 中， 从而有助于控制网络流量、减少设备投资、简化网络管理、提高网络安全性。 硕士学位论文第二章v l a n 同络模型的相关技术 运，。 田2 - 2v i , a n 网络模型图 利用v l a n 技术划分服务器和工作站各自的安全区域形成如图2 - i 拟结构，却有 如图2 - 2 所示的实际结构。可以有效降低了投资成本，达到图2 - ! 的工作效果，必将 成为i p v 4 及后续技术的一种趋势。 根据上述内容可知v l a n 模型中最关键的优势是减少了一台网关和一台交换机 的设备投入资本。通过借鉴许多资料和文献中的研究成果，利用三层可管理交换机进 行有效的v l a n 划分，节约成本。但是现实中利用v l a n 来实现是不可能的，因为 华为的交换机中v l a n i 是默认的，印不可能删除端口的v l a n i 属性的。所以只能 利用v l a n 模型节约成本而不能通过v l a n 手段来实现v l a n 模型。但是v l a n 模 型并不是完美的，其缺陷主要是：( i ) 无法解决i p v 4 地址稀缺问题；( 2 ) 不能实现 防火墙功能；( 3 ) 无法防御内网的网络攻击行为；( 4 ) 没有提供监控来自外网攻击的 方案；( 5 ) 没有考虑到针对交换机算法漏洞的攻击。 针对如何不使用v l a n 手段实现v l a n 模型并创新的研究基于v l a n 模型的网 络安全的实现。将在下面的章节中进行详细的描述。 2 2v l n 网段划分策略 v l a n 模型的研究关键问题是实现网段划分，即节约i p v 4 的地址资源，并且要 解决安全问题，即有效的解决网络攻击问题。 网关( o a t c w a y ) 又称网间连接器、协议转换器。网关在传输层上以实现网络互连 是最复杂的网络互连设备，仅用于两个高层协议不同的网络互连。网关的结构也和路 由器类似，不同的是互连层。网关既可以用于广域网互连，也可以用于局域网互连。 在早期的因特网中，网关即指路由器，是网络中超越本地网络的标记。公共的基 于m 的广域网的出现和成熟促进了路由器的成长，现在路由器变成了多功能的网络 设备，用以节约口地址，失去了原有的网关概念，然而作为网关仍然沿用了下来， 它不断地应用到多种不同的功能中。目前流行的网关类型为： 两层协议网关：提供局域网到局域网的转换，它们通常被称为翻译网桥而不是协 议网关。在使用不同帧类型或时钟频率的局域网间互连可能就需要这种转换。 硕士学位论文 第二章v l a n 网络模型的相关技术 a g e n t 网关：1 通常指代表一个应用程序处理查询并返回结果的软件。2 驻留在所 有受管设备中并向管理站报告指定变量值的过程。3 在c i s c o 硬件结构中，提供一或 多个介质接口的独立处理机卡。 b g p ( b o r d e rg a t e w a yp r o t o c o l ，边界网关协议) 是用来连接i n t e m e t 上的独立系 统的路由选择协议。它是i n t e m e t 工程任务组制定的一个加强的、完善的、可伸缩的 协议。b g p 4 支持c i d r 寻址方案，该方案增加了i n t e m e t 上的可用i p 地址数量。b g p 是为取代最初的外部网关协议e g p 设计的。它也被认为是一个路径矢量协议。 c i d r ( 无类型域间选路，c l a s s l e s si n t e r - d o m a i nr o u t i n g ) 是一个在i n t e m e t 上创 建附加地址的方法，这些地址提供给服务提供商( i s p ) ，再由i s p 分配给客户。c i d r 将路由集中起来，使一个i p 地址代表主要骨干提供商服务的几千个i p 地址，从而减 轻i n t e r n e t 路由器的负担。所有发送到这些地址的信息包都被送到如m c i 或s p r i n t 等i s p 。1 9 9 0 年，i n t e r n e t 上约有2 0 0 0 个路由。五年后，i n t e m e t 上有3 万多个路由。 如果没有c i d r ，路由器就不能支持i n t e m e t 网站的增多。c i d r 采用1 3 - - - 2 7 位可变 网络i d ，而不是a b c 类网络i d 所用的固定的7 、1 4 和2 1 位。例如，c i d r 地址 2 0 4 1 2 0 1 4 2 2 4 表示前2 4 位用作网络i d 。 n a t 网络地址变换。减少对全球唯一的i p 地址需求的机制。n a t 允许一个组织 使用非全球唯一的地址连入i n t e m e t ，但这要通过变换将这些地址变换到全球的可供 路由的地址空间。也称作网络地址翻译器。 安全网关：是各种技术有趣的融合，具有重要且独特的保护作用，其范围从协议 级过滤到十分复杂的应用级过滤。 代理服务器：代理服务器，即p r o x y 服务器，在互联网上的完成跑腿服务。当你 在浏览器中设置了某个p r o x y 服务器之后，由你的浏览器所发出的任何要求，都会被 送到p r o x y 服务器上去，由这台p r o x y 服务器代为处理。设置p r o x y 服务器的最大好 处是可以加速网络的浏览速度。这是因为当许多人都把p r o x y 服务器指向同一台时， 所有的需求都会经由这台p r o x y 服务器来代为处理，当有人在网址上看过某一个w | e b 页面时，这些内容都会被记录在p r o x y 服务器的硬盘缓冲区( c a c h e ) 中。等到下一 次你要浏览相同的网页时，这些文件直接由p r o x y 服务器送到你的电脑。设置p r o x y 服务器的另一个好处是：若你没有指定d n s ( 域名服务器) 时，它也能解决i p 地址 的对应问题。 管道网关：管道是通过不兼容的网络区域传输数据的比较通用的技术。数据分组 被封装在可以被传输网络识别的帧中，到达目的地时，接收主机解丌封装，把封装信 息丢弃，这样分组就被恢复到了原先的格式。 链路网关：链路级网关对于保护源自私有、安全的网络环境的请求是很理想的。 这种网关拦截t c p 请求，甚至某些u d p 请求，然后代表数据源来获取所请求的信息。 6 硕士学位论文 第二章v l a n 网络模型的相关技术 协议网关：协议网关通常在使用不同协议的网络区域间做协议转换。这一转换过 程可以发生在o s i 参考模型的第2 层、第3 层或2 、3 层之间。 应用网关：应用网关是在使用不同数据格式间翻译数据的系统。典型的应用网关 接收一种格式的输入，将之翻译，然后以新的格式发送。 专用网关：很多的专用网关能够在传统的大型机系统和迅速发展的分布式处理系 统间建立桥梁。典型的专用网关用于把基于p c 的客户端连到局域网边缘的转换器。 该转换器通过x 2 5 网络提供对大型机系统的访问。 组合过滤网关：使用组合过滤方案的网关通过冗余、重叠的过滤器提供相当坚固 的访问控制，可以包括包、链路和应用级的过滤机制。 总的来说目前国内大部分“网关 的主要任务是解决i p v 4 出现的i p 地址稀缺问 题，然后就是解决安全问题和协议转换问题。我们这里所要解决的问题就是节约i p ， 在不增加专门的网关服务器和交换机的前提下，充分利用现有设备和技术手段解决实 际问题。利用交换机的v l a n 功能划分局域网和广播域，并将交换机的v l a n 功能 充当内网安全网关使用。在这样的环境中，添置一台w e b 服务器，为了最大性能的发 挥服务器的优势节约成本，我利用合理的技术规划减少设备投入。 在一般情况下，一个v l a n 接口配置一个i p 地址。为了使交换机的一个v l a n 接口可以与多个子网相连，一个v l a n 接口最多可以配置5 个i p 地址，其中一个为 主i p 地址，其余为从i p 地址。缺省情况下，v l a n 接口无i p 地址。需要注意的是， 当v l a n 接口被配置为通过b o o t p 或d h c p 分配i p 地址后，则不能再给该v l a n 接口配置从i p 地址。 划分局域网和广域网的配置方法：首先给三层交换机配置w a n 地址比如 2 0 2 1 0 3 宰奉，子网掩码2 5 5 2 5 5 2 5 5 ，网关2 0 2 1 0 3 幸。给一个交换机端口配置i p 地址 为1 9 2 1 6 8 1 1 ，子网掩码2 5 5 2 5 5 2 5 5 0 ，网关为空。其余工作站的电脑都配置为 1 9 2 1 6 8 1 幸，子网掩码2 5 5 2 5 5 2 5 5 宰，网关为1 9 2 1 6 8 1 1 。形成如图2 1 的结构。 具体配置方法如下： 撑进入v l a n 接口1 【q u i d w a y 】i n t e r f a c ev l a n - i n t e r f a c el 群配置v l a n 接口1 的i p 地址 【q u i d w a y - v l a n i n t e r f a c e1 】i pa d d r e s s19 2 16 8 1 12 5 5 2 5 5 2 5 5 0 这样做的好处是节约了添置新设备的经费，又解决了i p 缺少的矛盾。但是这样 的环境中我们再添加一台w e b 级别的服务器并让其健壮运行就不是非常容易了。必须 划分不同的广播域，使i g m p 广播不会传到w e b 服务器，阻塞w e b 正常提供服务。 并且可以阻止基于网络的攻击和安全隐患。 以上的方法是基于r f c 3 0 6 9 文档和华为公司资料和解决方案设计的，但是实际 7 硕士学位论文第二章v l a n 网络模型的相关技术 的情况却不像资料中的解决方案那样简单。因为v l a n l 是默认的，即每一个端口都 属于v l a n l 而且不能删除这个属性，也就是说再怎么划分v l a n 只要大家都有 v l a n l 属性就等于没有将广播域隔离开来。因为划分v l a n 后大家的电脑一样可以 通过默认v l a n l 来进行广播通讯。这个是交换机硬件设计的问题，然而对于整个 v l a n 模型划分的局域网是一个相当严重的漏洞。当一个不合格的网关将v l a n l 删 除的时候会导致一些问题，比如交换机的端口无法接通网络，给设备维护人员造成设 备损坏的误导，从而可能对企业造成比较恶劣的后果。 在如图2 2 显示的结构中我们发现当遇到针对网路的攻击时，v l a n 模型相当脆 弱。因为他不能实现防火墙的功能，即主动防御功能或者企业级的防火墙具有的防止 d d o s 攻击等功能，这样就会导致很多垃圾数据包被发送进企业内网来，而这里就会 严重影响了我们假设添加的w e b 服务器的正常工作。 2 3v l a n 网关安全保障技术 v l a n 的网段划分策略会导致网关的安全问题，从而使得网络容易遭受攻击，因 此必须采取可靠的技术手段来全面保障v l a n 的网关安全。v l a n 模型网关安全的关 键技术就是解决各种来自网络的攻击，比如l a n d 攻击、t c ps y n 攻击、p i n go f d e a t h 攻击、w i n n u k e 攻击、t e a r d r o p 攻击及t c p d p 端口扫描等。要利用交换机中时时 更新的网络使用状况信息，利用合理的网路攻击判断检测方法，进行安全检测。一旦 发现类似网络攻击的行为，立即通过对交换机进行配置阻止该计算机的特定网络使用 行为。检测网络攻击这个重要的任务，我们通过建立了一个多交叉模型来检测，这里 的核心问题和具体解决方法将在下面的章节中进行阐述。 2 4 本章小结 本章阐述了v l a n 模型的工作原理及划分配置策略。利用v l a n 网络模型虽然 可以节约了硬件的投入，但是由于缺少了对网络攻击的有效判断，无法实现安全网关， 从而提出了v l a n 网关安全的相关保障技术。 8 硕士学位论文第三章基于多交叉的网络攻击检测模犁研究 第三章基于多交叉的网络攻击检测模型研究 3 1 网络攻击的相关检测技术 保证信息系统安全的经典手段是“存取控制 或“访问控制”，但无论在理 论上还是在实践中，这种手段都不能彻底填补一个系统的安全漏洞，也还没有一 种切实可行的办法解决合法用户在通过“身份鉴别”或“身份认证”后滥用特权 的问题。攻击检测技术就像治安巡逻队，专门注重于发现形迹可疑者。计算机网 络技术的发展和应用对人类生活方式的影响越来越大。通过i n t e m e t 网连接到几 乎世界上任何一台计算机。因此，传统的安全域的概念也已经发生了深刻的变化， 边界变得模糊了，网络系统管理员再也不能满足于守住安全边界了也不再有信心 保护敏感信息万无一失。越来越多的证据表明计算机信息系统的安全性是十分脆 弱的。基于计算机、网络的信息系统的安全问题已经成为非常严重的问题。站 岗与巡逻保证信息系统安全的经典手段是“存取控制”或“访问控制 ，这种手 段在经典的以及现代的安全理论中都是实行系统安全策略的最重要的手段。但迄 今为止，软件工程技术还没有达到a 2 级所要求的形式生成或证明一个系统的安 全体系的程度，所以不可能百分之百地保证任何一个系统( 尤其是底层系统) 中不 存在安全漏洞。而且，无论在理论上还是在实践中，试图彻底填补一个系统的安 全漏洞都是不可能的，也还没有一种切实可行的办法解决合法用户在通过“身份 鉴别 或“身份认证”后滥用特权的问题。攻击检测作为其他经典手段的补充和 加强，是任何一个安全系统中不可或缺的最后一道防线。攻击检测可以分为被动、 非在线地发现和实时、在线地发现计算机网络系统中的攻击者。从大量非法入侵 或计算机盗窃案例可以清晰地看到，计算机系统的最基本防线“存取控制”或“访 问控制 ，在许多场合不是防止外界非法入侵和防止内部用户攻击的绝对无懈可 击的屏障。大量攻击成功的案例是由于系统内部人员不恰当地或恶意地滥用特权 而导致的。 攻击检测技术则类似于治安巡逻队，专门注重于发现形迹可疑者，信息系统 的攻击者很有可能通过了城门的身份检查，这时要想进一步加强信息系统的安全 强度，就需要增派一支巡逻队，专门负责检查在城市中行动可疑的人员。攻击检 测提供了一种机制，对合法用户而言能够在一定程度上使他们为其失误或非法行 为负责，从而增强他们的责任感。对非法进入的攻击者而言则意味着增强了纠察 力度，行使着公安局、检察院的职责。攻击检测具有最后防线性质的防范能力， 或许是用来发现合法用户滥用特权的唯一方法，而且完善的攻击检测还能用具有 9 硕士学位论文第三章基丁多交叉的网络攻击检测模型研究 法律效力的方式证明一个受到怀疑的人是否有罪。 1 攻击分类：在信息系统中，一般至少应当考虑如下三类安全威胁：外部攻 击、内部攻击和行为滥用。攻击者来自该计算机系统的外部时称作外部攻击； 当攻击者就是那些有权使用计算机，但无权访问某些特定的数据、程序或资源 的人企图越权使用系统资源时视为内部攻击；包括假冒者( 即那些使用其他合法 用户的身份和口令的人) 、秘密使用者( 即那些有意逃避审计机制和存取控制的人 员) 特权滥用者也是计算机系统资源的合法用户，表现为有意或无意地滥用他们 的特权。 2 攻击检测技术分类：基于计算机系统审计跟踪信息设计和实现的系统安全 自动分析或检测工具是最为自然朴素的攻击检测技术。可以从审计系统筛选出涉 及安全的信息。其思路与流行的数据挖掘( d a t am i n i n g ) 技术极其类似。基于审 计的自动分析检测工具可以是脱机的，也可以是联机或在线的。分析工具实时地 对审计跟踪文件提供的信息进行同步处理，当有可疑的入侵行为时，系统提供实 时的警报，在攻击发生时就能提供攻击者的有关信息。对于信息系统安全强度而 言，联机或在线的攻击检测是比较理想的，能够在案发现场及时发现攻击行为， 有利于及时采取对抗措施，使损失降低到最低限度。同时也为抓获攻击犯罪分子 提供有力的证据。但是，联机的或在线的攻击检测系统所需要的系统资源，几乎 随着系统内部活动数量的增长呈几何级数增长。 3 攻击检测方法： ( 1 ) 基于审计的攻击检测：基于审计信息的攻击检测工具以及自动分析工具 可以向系统安全管理员报告计算机系统活动的评估报告，通常是脱机的、滞后的。 对攻击的实时检测系统的工作原理是基于对用户历史行为的建模，以及在早期的 证据或模型的基础之上。审计系统实时地检测用户对系统的使用情况，根据系统 内部保持的用户行为的概率统计模型进行监测，当发现有可疑的用户行为发生 时，保持跟踪并监测该用户的行为。系统应具备处理自适应的用户参数的能力。 能够判断使用行为的合法或可疑。系统应当能够避免“肃反扩大缩小化 的问 题。这种办法同样适用于检测程序的行为以及对数据资源( o h 文件或数据库) 的存 取行为。 ( 2 ) 基于神经网络的攻击检测技术：如上所述，基于审计统计数据的攻击检 测系统，具有一些天生的弱点，因为用户的行为可以是非常复杂的，所以想要准 确匹配一个用户的历史行为和当前的行为是相当困难的。错发的警报往往来自于 对审计数据的统计算法所基于的不准确或不贴切的假设。 ( 3 ) 基于专家系统的攻击检测技术：进行安全检测工作自动化的另外一个值 得重视的研究方向就是基于专家系统的攻击检测技术，即根据安全专家对可疑行 1 0 硕士学位论文 第三章基于多交叉的网络攻击检测模型研究 为的分析经验来形成一套推理规则，然后再在此基础之上构成相应的专家系统。 由此专家系统自动进行对所涉及的攻击操作的分析工作。所谓专家系统是基于一 套由专家经验事先定义的规则的推理系统。例如，在数分钟之内某个用户连续进 行登录，且失败超过三次就可以被认为是一种攻击行为。 ( 4 ) 基于模型推理的攻击检测技术：攻击者在入侵一个系统时往往采用一定 的行为程序，如猜测口令的程序，这种行为程序构成了某种具有一定行为特征的 模型，根据这种模型所代表的攻击意图的行为特征，可以实时地检测出恶意的攻 击企图，尽管攻击者并不一定都是恶意的。用基于模型的推理方法人们能够为某 些行为建立特定的模型，从而能够监视具有特定行为特征的某些活动。根据假设 的攻击脚本，这种系统就能检测出非法的用户行为。下面我就以常见的a r p 攻 击为例研究网络攻击检测的方法。 以下是a r p 包的数据结构。 t y p e d e f s t r u c te t h h d r 以太网头部，长度1 4 u n s i g n e dc h a rd s t 6 】；目的的m a c 地址 u n s i g n e dc h a rs r c 6 】；源的m a c 地址 u n s i g n e ds h o r tt y p e ； 帧类型 e t h h d r , * p e t h d h r ； t y p e d e f s t r u c te t h _ a r p h d r 以太网a r p 字段长度2 8 u n s i g n e ds h o r ta r ph r d ；硬件类型 u n s i g n e ds h o r ta r p _ p r o ； 协议类型 u n s i g n e dc h a ra r ph l n ； 硬件地址长度( 6 ) u n s i g n e dc h a ra r p _ p l n ； 协议地址长度( 4 ) u n s i g n e ds h o r ta r p o p ；回应还是请求 u n s i g n e dc h a ra r p s h a 6 ；发送者m a c 地址 u n s i g n e dl o n ga r p _ s p a ； 发送者i p u n s i g n e dc h a ra r p _ t h a 6 ；接收者m a c 地址 u n s i g n e dl o n ga r p _ t p a ； 接收者i p e t h _ a r p h d r , * p e t h _ a r p h d r ； t y p e d e f s t r u c ta r p 整个a r p 包的结构 硕士学位论文第三章基于多交叉的网络攻击检测模型研究 e t h h d re t h h d r ； e t h _ a r p h d re t h _ a r p ； a r p , 木p a r p ； 以太网上的两台主机需要通信时，双方必须知道对方的m a c 地址。每台主 机都要维护i p 地址到m a c 地址的转换表，称为a r p 映射表。a r p 映射表中存 放着最近用到的一系列与本主机通信的其他主机的i p 地址和m a c 地址的映射。 在主机启动时，a r p 映射表为空；当一条动态a r p 映射表项在规定时间内没有 被使用时，主机将其从a r p 映射表中删除掉，以便节省内存空间和a r p 映射表 的查找时间。 假设主机a 和主机b 在同一个网段，主机a 的i p 地址为i pa ，b 的i p 地 址为i pb ，主机a 要向主机b 发送信息。主机a 首先查看自己的a r p 映射表， 确定其中是否包含有i pb 对应的a r p 映射表项。如果找到了对应的m a c 地址， 则主机a 直接利用a r p 映射表中的m a c 地址，对i p 数据包进行帧封装，并将 数据发送给主机b ；如果在a r p 映射表中找不到对应的m a c 地址，则主机a 将该数据包放入发送等待队列，然后创建一个a r pr e q u e s t ，并以广播方式在以 太网上发送。a r pr e q u e s t 数据包中包含有主机b 的i p 地址，以及主机a 的i p 地址和m a c 地址。由于a r pr e q u e s t 数据包以广播方式发送，该网段上的所有 主机都可以接收到该请求，但只有被请求的主机( 即主机b ) 会对该请求进行处 理。主机b 首先把a r pr e q u e s t 数据包中的请求发起者( 即主机a ) 的i p 地址和 m a c 地址存入自己的a r p 映射表中。然后主机b 组织a r p 响应数据包，在数 据包中填入主机b 的m a c 地址，发送给主机a 。这个响应不再以广播形式发送， 而是直接发送给主机a 。主机a 收到响应数据包后，提取出主机b 的i p 地址及 其对应的m a c 地址，加入到自己的a r p 映射表中，并把放在发送等待队列中 的发往主机b 的所有数据包都发送出去，a r p 正常请求过程如图3 1 所示。 a r p 攻击主要手段是通过发送a r pr e p l y 消息伪装自己电脑是网关，从而实 现流量控制。但是会被信任成功伪装成网关呢? 因为当主机发送a r pr e q u e s t 数 据包向某台计算机请求特定主机的m a c 地址，需要地址解析的时候，被邀请主 机就发送一个a r pr e p l y 包。当主机获得一个a r pr e p l y 包后就会有下列行为。 直接跟新本机a r p 列表，因为这里的a r pr e p l y 包是默认信任的，就是不会判 断来源的真实性。而且只要发a r pr e p l y 包给主机，主机都主动接受并更新本机 a r p 列表。而且a r p 协议是基于广播发送得。这样就存在漏洞给黑客以可乘之 机了。 1 2 硕士学位论文 第三章基于多交叉的网络攻击检测模型研究 田3 - 1 正常a r p 请求过程示意圈 下面是主机被a r p 欺骗后查看a r p 列表示的结果示意。 c ：x d o c u n 他n t s a n ds c t t 访擎a 如i n j 蛐_ 址叫砷a i n t e r f a c e ：1 9 2 1 6 81 5 4 0 x 4 i n t e r n e t a d d r e s s p h y s i c a l a d d r e s st 慷 1 9 2 1 6 8110 0 - 0 a - e 0 - 0 c - c 0 - 8 0 d y n a m i c 1 9 2 1 6 8 1 5 5 0 0 - 0 a - e 0 - o c - c o - 8 0 d y n a m i c a r p 攻击主要的分类是： a r p 主机欺骗：使主机网关的m a c 地址显示与攻击者m a c 地址相同。所 有数据包都经过攻击源。这样就可能出现“中间人”攻击