网络安全课设

1、内蒙古电子信息职业技术学院网络安全技术（课设） 课设题目： ARP网络攻击参透和常用的几种攻击方案院（系）： 计算机科学系 专业班级： 网络104 学 号： XXXXXXXXX 姓 名： XXX 指导教师： XXX 目 录第1章 实验ARP攻击方案11.1 实验设计目的11.2 实验设计的实验环境11.3 实验设计准备11.4 实验设计内容及步骤11.4.1 ARP欺骗分析41.4.2 如何防范ARP欺骗4第2章 网络攻击的原理和手法62.1 口令入侵62.2 放置特洛木马程式62.3 WWW的欺骗技术62.4 电子邮件攻击72.5 通过一个节点来攻击其它节点72.6 网络监听72.7 利用黑

2、客软件攻击82.8 安全漏洞攻击82.9 端口扫描攻击8第4章 课设总结9第1章 实验ARP攻击方案1.1 实验设计目的（1）掌握ARP欺骗的基本原理（2）了解流行的ARP欺骗工具网络执法官的使用方法及危害（3）能够进行基本ARP欺骗防范1.2 实验设计的实验环境硬件设备：PC、实验室小组局域网环境、路由器取消IP/MAC绑定防欺骗功能软件环境：Windows 2000、WinXP、TCP/IP、网络执法官1.3 实验设计准备（1）了解交换网络嗅探技术及相关知识（2）学习ARP的基本原理（3）掌握网络执法官的使用方法1.4 实验设计内容及步骤（这一步的数据由于当时在机房没有保存就丢失了，后来回

3、宿舍后在自己电脑上补做的。）第一步：在中了ARP病毒的机子上使用“ping”命令发现不能ping通，在dos下键入命令“arp -d”清除所有arp，再键入静态绑定命令，绑定正确MAC地址，绑定好后，再键入“ping”命令，发现可以ping通。结果如下图所示：第二步：安装网络执法官并使用网络执法官第三步：对局域网中的一台主机进行ARP攻击在受到ARP攻击之前该主机可以“ping”通第四步：检查受到攻击的主机的上网情况在DOS下使用“ping”命令不能ping通1.4.1 ARP欺骗分析 在OSI模型中，针对网络第二层的攻击可以使网络瘫痪或者通过非法获取密码等敏感信息来危及网络用户的安全。由于任

4、何一位合法用户都能获取一个以太网端口的访问权限，而这些用户都有可能成为黑客；同时，由于设计OSI模型时，允许不同通信层处于相对独立的工作模式，而承载所有客户关键应用的网络第二层，成为了被攻击的目标。 ARP欺骗攻击是针对网络第二层攻击中的一种。ARP用来实现MAC地址和IP地址的绑定，两个工作站才可以通讯，通讯发起方的工作站以MAC广播方式发送ARP请求，拥有此IP地址的工作站给予ARP应答，送回自己的IP和MAC地址。 由于ARP无任何身份真实校验机制，黑客程序发送误导的主动式ARP使网络流量重指经过恶意攻击者的计算机，变成某个局域网段IP会话的中间人，达到窃取甚至篡改正常传输的功效。简单来

5、讲，ARP欺骗的目的是为了实现全交换环境下的数据监听。大部分的木马或病毒使用ARP欺骗攻击也出于此目的。一旦怀疑有ARP攻击,我们就可以使用抓包工具来抓包，如果发现网络内存在大量ARP应答包，并且将所有的IP地址都指向同一个MAC地址，就说明存在ARP欺骗攻击。该MAC地址就是用来进行ARP欺骗攻击的主机MAC地址，我们可以查出它对应的真实IP地址，从而采取相应的控制措施。另外，我们也可以到路由器或者网关交换机上查看IP地址与MAC地址的对应表。如果发现某一个MAC地址对应了大量的IP地址，就说明存在ARP欺骗攻击，同时可通过这个MAC地址查出用来ARP欺骗攻击的主机在交换机上所对应的物理端口

6、，进行控制。1.4.2 如何防范ARP欺骗如何防范ARP欺骗1.静态ARP绑定网关（1）在能正常上网时，进入MS-DOS窗口，输入命令：arp a，查看网关的IP对应的正确MAC地址， 并将其记录下来。（2）手工绑定，可在MS-DOS窗口下运行以下命令：arp s 网关IP 网关MAC 00-01-02-03-04-05 static这时，类型变为静态（static），就不会再受攻击影响了。2.作批处理文件（1）查找本网段的网关地址，比如19216811，在正常上网时，“开始运行cmd确定”，输入：arp a，点回车，查看网关对应的Physical Address。比如：

7、网关 对应000102030405。（2）编写一个批处理文件rarp.bat，内容如下：echo offarp darp -s 000102030405保存为：rarp.bat。（3）运行批处理文件将这个批处理文件拖到“Windows开始程序启动”中，如果需要立即生效，请运行此文件。注意：以上配置需要在网络正常时进行3.使用安全工具软件下载Anti ARP Sniffer软件保护本地计算机正常运行。如果已有病毒计算机的MAC地址，可使用NBTSCAN等软件找出网段内与该MAC地址对应的IP，即感染病毒的计算机的IP地址，然后对其进行查封。另外还可以

8、利用木马杀客等安全工具进行查杀。第2章 网络攻击的原理和手法2.1 口令入侵所谓口令入侵是指使用某些合法用户的帐号和口令登录到目的主机，然后再实施攻击活动。这种方法的前提是必须先得到该主机上的某个合法用户的帐号，然后再进行合法用户口令的破译。获得普通用户帐号的方法非常多，如 利用目标主机的Finger功能：当用Finger命令查询时，主机系统会将保存的用户资料（如用户名、登录时间等）显示在终端或计算机上； 利用目标主机的X.500服务：有些主机没有关闭X.500的目录查询服务，也给攻击者提供了获得信息的一条简易途径；从电子邮件地址中收集：有些用户电子邮件地址常会透露其在目标主机上的帐号；查看主

9、机是否有习惯性的帐号：有经验的用户都知道，非常多系统会使用一些习惯性的帐号，造成帐号的泄露。2.2 放置特洛木马程式特洛伊木马程式能直接侵入用户的计算机并进行破坏，他常被伪装成工具程式或游戏等诱使用户打开带有特洛伊木马程式的邮件附件或从网上直接下载，一旦用户打开了这些邮件的附件或执行了这些程式之后，他们就会象古特洛伊人在敌人城外留下的藏满士兵的木马相同留在自己的计算机中，并在自己的计算机系统中隐藏一个能在windows启动时悄悄执行的程式。当你连接到因特网上时，这个程式就会通知攻击者，来报告你的IP地址及预先设定的端口。攻击者在收到这些信息后，再利用这个潜伏在其中的程式，就能任意地修改你的计算

10、机的参数设定、复制文件、窥视你整个硬盘中的内容等，从而达到控制你的计算机的目的。2.3 WWW的欺骗技术在网上用户能利用IE等浏览器进行各种各样的WEB站点的访问，如阅读新闻组、咨询产品价格、订阅报纸、电子商务等。然而一般的用户恐怕不会想到有这些问题存在：正在访问的网页已被黑客篡改过，网页上的信息是虚假的！例如黑客将用户要浏览的网页的URL改写为指向黑客自己的服务器，当用户浏览目标网页的时候，实际上是向黑客服务器发出请求，那么黑客就能达到欺骗的目的了。 一般Web欺骗使用两种技术手段，即URL地址重写技术和相关信关信息掩盖技术。利用URL地址，使这些地址都向攻击者的Web服务器，即攻击者能将自

11、已的Web地址加在所有URL地址的前面。这样，当用户和站点进行安全链接时，就会毫不防备地进入攻击者的服器，于是用记的所有信息便处于攻击者的监视之中。但由于浏览器材一般均设有地址栏和状态栏，当浏览器和某个站点边接时，能在地址栏和状态样中获得连接中的Web站点地址及其相关的传输信息，用户由此能发现问题，所以攻击者往往在URLf址重写的同时，利用相关信息排盖技术，即一般用JavaScript程式来重写地址样和状枋样，以达到其排盖欺骗的目的。 2.4 电子邮件攻击电子邮件是互连网上运用得十分广泛的一种通讯方式。攻击者能使用一些邮件炸弹软件或CGI程式向目的邮箱发送大量内容重复、无用的垃圾邮件，从而使目

12、的邮箱被撑爆而无法使用。当垃圾邮件的发送流量特别大时，更有可能造成邮件系统对于正常的工作反映缓慢，甚至瘫痪。相对于其他的攻击手段来说，这种攻击方法具有简单、见效快等好处。2.5 通过一个节点来攻击其它节点攻击者在突破一台主机后，往往以此主机作为根据地，攻击其他主机(以隐蔽其入侵路径，避免留下蛛丝马迹)。他们能使用网络监听方法，尝试攻破同一网络内的其他主机；也能通过IP欺骗和主机信任关系，攻击其他主机。 这类攻击非常狡猾，但由于某些技术非常难掌控，如TCPIP欺骗攻击。攻击者通过外部计算机伪装成另一台合法机器来实现。他能磙坏两台机器间通信链路上的数据，其伪装的目的在于哄骗网络中的其他机器误将其攻

13、击者作为合法机器加以接受，诱使其他机器向他发送据或允许他修改数据。TCPIP欺骗能发生TCPIP系统的所有层次上，包括数据链路层、网络层、运输层及应用层均容易受到影响。如果底层受到损害，则应用层的所有协议都将处于危险之中。另外由于用户本身不直接和底层相互相交流，因而对底层的攻击更具有欺骗性。2.6 网络监听网络监听是主机的一种工作模式，在这种模式下，主机能接收到本网段在同一条物理通道上传输的所有信息，而不管这些信息的发送方和接收方是谁。因为系统在进行密码校验时，用户输入的密码需要从用户端传送到服务器端，而攻击者就能在两端之间进行数据监听。此时若两台主机进行通信的信息没有加密，只要使用某些网络监

14、听工具(如NetXRay for 视窗系统9598NT、Sniffit for Linux、Solaries等)就可轻而易举地截取包括口令和帐号在内的信息资料。虽然网络监听获得的用户帐号和口令具有一定的局限性，但监听者往往能够获得其所在网段的所有用户帐号及口令。2.7 利用黑客软件攻击利用黑客软件攻击是互连网上比较多的一种攻击手法。Back Orifice2000、冰河等都是比较著名的特洛伊木马，他们能非法地取得用户计算机的终极用户级权利，能对其进行完全的控制，除了能进行文件操作外，同时也能进行对方桌面抓图、取得密码等操作。2.8 安全漏洞攻击许多系统都有这样那样的安全漏洞（Bugs）。其中一

15、些是操作系统或应用软件本身具有的。如缓冲区溢出攻击。另一些是利用协议漏洞进行攻击。如攻击者利用POP3一定要在根目录下运行的这一漏洞发动攻击，破坏的根目录，从而获得终极用户的权限。又如，ICMP协议也经常被用于发动拒绝服务攻击。2.9 端口扫描攻击所谓端口扫描，就是利用Socket编程和目标主机的某些端口建立TCP连接、进行传输协议的验证等，从而侦知目标主机的扫描端口是否是处于激活状态、主机提供了哪些服务、提供的服务中是否含有某些缺陷等等。第4章 课设总结随着互联网的空前发展以及互联网技术的不断普及，机房的重要数据信息被暴露在公共网络空间下，很容易丢失或者被一些不法人士获取。由于黑客的攻击、病毒的入侵、以及人为操作的不当等，都有可能威胁到重要信息数据，这些危害也越来越受到人们的重视。因此，根据机房的实际情况建立一套切实可行的安全网络方案来改善这个情况，使机房的数据机密信息得以保护，并且可以保证机房的网络顺畅的工作。在这次课程设计的学习中，我不仅巩固了以前学到的很多知识，还了解到许多新的知识。同时，我对自己所学的专业也有了较深的认识。在这次课程设计中，我查阅了大量书本以及网络上的知识，在大大扩展了自己知识面的同时，还认识了自己学习的专业在社会上的应用，初次把大量的知识应用到实践中去，发现了许许多多的问题，体会到了书本上学不到的东西，从实践中成长许多。真正认识到单单的理论学习是不够