网络协议与入侵和防御之间的关系.doc

网络协议与入侵和防御之间的关系网络攻击和防御所涉及的问题非常复杂。本文从网络协议入手，分析攻击和防御的一般原理，以及攻击防御和协议之间的联系。之所以这样做，是因为任何攻击和防御总可以与网络协议联系的一起，因为网络上的任何攻击或入侵，都是通过网络上流动的数据包来实现的。所以我们这里要讨论的问题处处都离不开网络协议。这里所谈及的攻击入侵和防御，只是简单的入侵和防御，与网络的底层协议密切相关，所以重点讨论传输层以下的协议层。后面要讨论的攻击有数据包检测、端口扫描、漏洞扫描等。可以看到，这些只是攻击的基础或者只是攻击的准备，这些攻击渗透与底层协议密切相关。防御方面主要讨论入侵检测、防火墙和一些加密方面的问题(这里并不去讨论具体的密码算法)。系统中所涉及的内容可以用图21:攻防技术基础后面主要针对图2-1中列出的具体内容来讨论其各自的实现原理，这些原理将作为网络实验的指导。网络攻击和防御与网络协议密不可分，网络上的正常数据和非正常数据都是通过遵循网络协议的数据包来传输的。在攻击前，一般要了解被攻击对象的信息，这样就需要从网络上抓取数据包进行分析，获取发送数据方的信息。同样，在防御的时候，也需要从网络上抓取数据包，对抓取的数据包进行分析，区分优劣，做出防御决策。所以，抓取数据是攻击和防御必须实现的前提。在真实网络上，抓取数据有多种方式，在我们的系统中采用开源代码libpcap(pcap就是packet capture的缩写，即抓取数据包)，这些代码及其帮助文件，可以在处获得。攻击如果只是通过捕获的数据包来窥探一些实验者信息，不去主动发起，那只是被动攻击，是没有多少破坏力的。如果要主动攻击，就要向被攻击者发送数据，欺骗或者破坏他们的正常活动。这样，我们必须有发送数据包的工具。只要有了这个工具，我们就可以随意发送数据包，当然可以伪造数据包，来欺骗被攻击者的计算机系统，从而达到攻击的目的。发送数据包也有多种途径，这里采用的是libnet，libnet可以很方便地构建网络上传输的各协议层上的数据包，可以将构建好的数据包发送到网络上。libnet的代码及其帮助文件可以在http:/www.P/projects/Libnet处获取。 在真实网络环境下，有了libpcap和libnet，我们就可以很容易实现网络上数据包的收发。网络数据包收发是实现网络攻击和防御的基础。后面的一切工作都是在网络数据包收发的基础上进行的。下图给出了libcap、libnet和网络攻击防御的关系，我们通过图2-2可以很直观的理解攻击和防御是建立在数据包的收发基础之上的。 从图2-2可以看到，对于简单的数据包扫描，IP分片重组，TCP流重组，我们只需要通过libpcap抓取数据包后，然后再进行相应的分析处理。对于端口扫描，IP终了，我们不但要利用libpcap抓取数据包，还需要通过libnet构造好自己的数据包发送到网络上。在图2-2中，还有一个模块就是openssl，openssl也是开源工具集(ssl是Secure Sockets Layer的缩写，tls是Transport Layer Security的缩写)，openssl是一个功能强大的通用加密库，我们可以通过openssl实现对数据包的加密解密。我们在防御的时候，有时需要对数据加密，防止数据被盗用，可以使用openssl。在scape.con/eng/ssl3处获取到openssl的详细信息。 总之，网络攻击和防御都是建立在网络数据包收发的基础上的，在我们的系统中，通过libpcap和libnet来分别实现网络数据包的收发。加密是网络数据传输中重要的一环，是防御的一部分，不过它不是本论文讨论的重点。功能介绍使用该系统到底能做什么呢?我们可以归结为一下三个方面: 1.tcp/IP底层协议仿真 2.网络攻击与防御仿真 3.真实网络环境下简单的攻击和防御练习下面分别介绍。TCP/IP底层协议仿真:我们在这个平台上做仿真实验，首先要建立一个虚拟网络，这个虚拟网络要遵循的协议就是TCP/IP协议。我们设计的时候做了从以太帧到传输层数据包封装的所有接口，实验者可以用这些接口来封装网络上传输的数据包，也可以用这些接口提取出数据包的任何字段，进行分析。另外，在虚拟网络上的任何节点(主机，路由器，防火墙，集线器)上，都做了相对于真实设备的仿真。 比如，在虚拟网络上，当一台主机把以太网数据帧发送到位于同一局域网上的另一台主机时，要根据48bit的以太网地址来确定目的接口的，如果在该主机的内存中没有要发往主机的mac地址，那么就要通过IP地址动态获取mac地址，然后在根据获取的mac地址来发送数据包。这部分ARP协议仿真在系统中进行了完整的设计。还有IP路由仿真，当一个数据包到达一个路由器后，它要检查该包是否正确，是否要丢弃，丢弃后是否要有ICMP反馈等，如果要该数据包是正常的网络数据包，要求该路由器转发，那么该路由器要查找路由表，根据路由表的相关记录来决定该数据包向哪个端口转发。还有对其他网络设备的仿真，在第四章中说明，这里不做过多讨论。网络攻击与防御仿真:网络攻击和防御仿真其实是对协议仿真的进一步深化。因为在本系统中任何仿真都要遵循TCP/IP协议。在实验者建立了虚拟网络后，可以在虚拟网络上的任意节点上进行数据包扫描分析，端