網(wǎng)絡(luò)安全與管理課程設(shè)計(jì)論文

1、中 南 財(cái) 經(jīng) 政 法 大 學(xué) 武 漢 學(xué) 院課程設(shè)計(jì)論文課 程 名 稱：_網(wǎng)絡(luò)安全與管理_ 學(xué)生姓名： 專業(yè)班級(jí)： 信息系1004班 學(xué)號(hào)：_ _ 時(shí) 間 ：_2012 .11_ 摘要 當(dāng)今社會(huì)隨著網(wǎng)絡(luò)的普及，網(wǎng)絡(luò)的建設(shè)是社會(huì)想信息化發(fā)展的必然選擇，網(wǎng)絡(luò)系統(tǒng)是一個(gè)非常龐大而復(fù)雜的系統(tǒng)，它不僅為社會(huì)綜合信息管理和辦公自動(dòng)化等一系列應(yīng)用提供基本操作平臺(tái)，而且能提供多種應(yīng)用服務(wù)，使信息能及時(shí)、準(zhǔn)確地傳送給各個(gè)系統(tǒng)。然而由于信息處理的多元化和復(fù)雜化要求提供消耗帶寬的新內(nèi)容和要求苛刻的多媒體應(yīng)用要求您必須高效地使用帶寬，這就意味著您需要一個(gè)高速的、安全的、具有先進(jìn)性的、可擴(kuò)展的計(jì)算機(jī)網(wǎng)絡(luò)以適應(yīng)當(dāng)前網(wǎng)絡(luò)

2、技術(shù)發(fā)展的趨勢(shì)并滿足社會(huì)，公司，個(gè)人各方面應(yīng)用的需要。因此，本設(shè)計(jì)論文將圍繞如何建立校園局域網(wǎng)運(yùn)行環(huán)境以及進(jìn)行arp攻擊，同時(shí)進(jìn)行arp欺騙的防范三方面來(lái)探討網(wǎng)絡(luò)運(yùn)行環(huán)境、網(wǎng)絡(luò)攻擊。網(wǎng)絡(luò)安全等方面的話題。讓我們?cè)谶@個(gè)網(wǎng)絡(luò)的社會(huì)更好的認(rèn)識(shí)網(wǎng)絡(luò)、使用網(wǎng)絡(luò)、防范網(wǎng)絡(luò)給我們帶來(lái)的危害和損失。 關(guān)鍵字：計(jì)算機(jī)、局域網(wǎng)、internet、網(wǎng)絡(luò)安全、防火墻、攻擊與防范 目 錄1 局域網(wǎng)簡(jiǎn)介.22 設(shè)計(jì)范圍及要求.22.1設(shè)計(jì)原則22.2 局域網(wǎng)的特點(diǎn)和需求.32.3局域網(wǎng)服務(wù)器需求43 網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu).43.1 總線型拓?fù)浣Y(jié)構(gòu).43.2 星型拓?fù)浣Y(jié)構(gòu).53.3 環(huán)型拓?fù)浣Y(jié)構(gòu).53.4 蜂窩拓?fù)浣Y(jié)構(gòu).54 局域

3、網(wǎng)配置.64.1網(wǎng)絡(luò)設(shè)備.64.2 網(wǎng)絡(luò)傳輸介質(zhì).6 5 局域網(wǎng)系統(tǒng)安全及arp攻擊.65.1 局域網(wǎng)安全概念.65.2 arp攻擊原理分析.6.5.3 arp攻擊效果.76 arp欺騙的防范.7 參考文獻(xiàn).91 局域網(wǎng)簡(jiǎn)介局域網(wǎng)是同一建筑、同一校園、方圓幾公里遠(yuǎn)的地域內(nèi)的專用網(wǎng)絡(luò)。局域網(wǎng)通常用來(lái)連接公司辦公室或企業(yè)內(nèi)部的個(gè)人計(jì)算機(jī)和工作站，以共享軟、硬件資源。美國(guó)電氣和電子工程師協(xié)會(huì)（ieee）局域網(wǎng)標(biāo)準(zhǔn)委員會(huì)員會(huì)曾提出局域網(wǎng)的一些具體特征：(1) 局域網(wǎng)在通信距離有一定的限制，一般在12km的地域范圍內(nèi)。比如在一個(gè)辦公樓內(nèi)、一個(gè)學(xué)校等。(2) 較高傳輸率的物理通信信道也是局域網(wǎng)的一個(gè)主要特

4、征，在廣域網(wǎng)中用電話線連接的計(jì)算機(jī)一般也只有2040kpbs的速率。(3) 因?yàn)檫B接線路都比較短，中間幾乎不會(huì)愛(ài)任何干擾，所以局域網(wǎng)還具有始終一致的低誤碼率。(4) 局域網(wǎng)一般是一個(gè)單位或部門專用的，所以管理起很方便。(5) 另外局域網(wǎng)的拓?fù)浣Y(jié)構(gòu)比較簡(jiǎn)單，所支持連接的計(jì)算機(jī)數(shù)量也是有限的。組網(wǎng)時(shí)也就相對(duì)很容易連接。2 設(shè)計(jì)范圍及要求2.1設(shè)計(jì)原則局域網(wǎng)設(shè)計(jì)應(yīng)該遵循一定的原則，要堅(jiān)持開放性、先進(jìn)性、標(biāo)準(zhǔn)性，以及經(jīng)費(fèi)的合理性；局域網(wǎng)系統(tǒng)應(yīng)充分利用已實(shí)現(xiàn)的和將要實(shí)現(xiàn)的各種現(xiàn)代化先進(jìn)設(shè)備，來(lái)實(shí)現(xiàn)校園技術(shù) 數(shù)據(jù)及管理信息的存儲(chǔ)、傳輸、處理和綜合利用，實(shí)現(xiàn)網(wǎng)內(nèi)的任何一個(gè)節(jié)點(diǎn)能及時(shí)、充分地分享相關(guān)信息。為此

5、，系統(tǒng)采用如下設(shè)計(jì)思想：綜合考慮學(xué)?，F(xiàn)況及發(fā)展的需要，依照局域網(wǎng)總體提出的系統(tǒng)建設(shè)目標(biāo)，系統(tǒng)規(guī)模和總體規(guī)則具體要求，建立網(wǎng)絡(luò)。設(shè)計(jì)物理網(wǎng)絡(luò)時(shí)，從全局考慮，從將來(lái)整個(gè)校園計(jì)算機(jī)網(wǎng)的實(shí)際應(yīng)用出發(fā)，對(duì)整個(gè)網(wǎng)絡(luò)系統(tǒng)做出通盤籌劃，規(guī)劃出最合適的方案。同時(shí)保證網(wǎng)絡(luò)的結(jié)構(gòu)和主要設(shè)備具有一定的升級(jí)和擴(kuò)容的能力。2.2 局域網(wǎng)的特點(diǎn)和需求局域網(wǎng)，作為一種獨(dú)特的模式，與其他企業(yè)、事業(yè)有明顯的區(qū)別。建設(shè)局域網(wǎng)中一定要考慮到這些因素校園的分布區(qū)域相對(duì)比較集中，不象一般企業(yè)、事業(yè)單位分布區(qū)域比較大。局域網(wǎng)的通信量比較大，作為教育和科研的基地，網(wǎng)絡(luò)用戶的群體比較廣泛，要求的通信量是比較大的，主干網(wǎng)的帶寬一定要滿足學(xué)校的要

6、求：（1）廣泛的資源共享。（2）豐富的網(wǎng)絡(luò)設(shè)備。（3）與國(guó)內(nèi)國(guó)際廣泛的聯(lián)系。（4）多媒體服務(wù)的需要。（5）多媒體技術(shù)對(duì)局域網(wǎng)將來(lái)發(fā)展非常重要,象遠(yuǎn)程教學(xué)、電視會(huì)議等。局域網(wǎng)建設(shè)要考慮到將來(lái)的擴(kuò)充和升級(jí)，避免資金的重復(fù)投資。2.3局域網(wǎng)服務(wù)器需求為了保證管理系統(tǒng)的運(yùn)行，需要服務(wù)器有以下特點(diǎn)：速度快；高容錯(cuò)性；高可靠性；斷電保護(hù)；3 網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)是指網(wǎng)絡(luò)中通訊線路和站點(diǎn)（計(jì)算機(jī)或設(shè)備）的相互連接的幾何形式。按照拓?fù)浣Y(jié)構(gòu)的不同，常見的計(jì)算機(jī)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)有：總線型拓?fù)浣Y(jié)構(gòu)、星型拓?fù)浣Y(jié)構(gòu)、環(huán)型拓?fù)浣Y(jié)構(gòu)等。3.1 總線型拓?fù)浣Y(jié)構(gòu) 總線結(jié)構(gòu)是比較普遍采用的一種方式，它將所有的入網(wǎng)計(jì)算機(jī)均接入到

7、一條通信線上，為防止信號(hào)反射，一般在總線兩端連有終結(jié)器匹配線路阻抗（如圖3-1）。 圖3-13.2 星型拓?fù)浣Y(jié)構(gòu)星型結(jié)構(gòu)是指各工作站以星型方式連接成網(wǎng)。網(wǎng)絡(luò)有中心節(jié)點(diǎn)，其他節(jié)點(diǎn)(工作站、服務(wù)器)都與中心節(jié)點(diǎn)直接相連，這種結(jié)構(gòu)以中心節(jié)點(diǎn)為中心，因此又稱為集中式網(wǎng)絡(luò)（如圖3-2）。 圖3-2 3.3 環(huán)型拓?fù)浣Y(jié)構(gòu) 環(huán)型結(jié)構(gòu)由網(wǎng)絡(luò)中若干節(jié)點(diǎn)通過(guò)點(diǎn)到點(diǎn)的鏈路首尾相連形成一個(gè)閉合的環(huán)，這種結(jié)構(gòu)使公共傳輸電纜組成環(huán)型連接，數(shù)據(jù)在環(huán)路中沿著一個(gè)方向在各個(gè)節(jié)點(diǎn)間傳輸，信息從一個(gè)節(jié)點(diǎn)傳到另一個(gè)節(jié)點(diǎn)（如圖3-3）。圖3-33.4 蜂窩拓?fù)浣Y(jié)構(gòu)蜂窩拓?fù)浣Y(jié)構(gòu)是無(wú)線局域網(wǎng)中常用的結(jié)構(gòu)。它以無(wú)線傳輸介質(zhì)（微波、衛(wèi)星、紅外

8、等）點(diǎn)到點(diǎn)和多點(diǎn)傳輸為特征，是一種無(wú)線網(wǎng)，適用于城市網(wǎng)、校園網(wǎng)、企業(yè)網(wǎng) （如圖3-4）。 圖3-44 局域網(wǎng)配置配置一個(gè)完整的局域網(wǎng)系統(tǒng)通常由若干網(wǎng)絡(luò)設(shè)備和網(wǎng)絡(luò)傳輸介質(zhì)組成。4.1網(wǎng)絡(luò)設(shè)備 網(wǎng)絡(luò)設(shè)備主要是指硬件系統(tǒng)，各種網(wǎng)絡(luò)設(shè)備之間是有著相互關(guān)聯(lián)而不是相互獨(dú)立的，每一部分在網(wǎng)絡(luò)中有著不同的作用，缺一不可，只有把這些設(shè)備通過(guò)一定的形式連起來(lái)才能組成一個(gè)完整的網(wǎng)絡(luò)系統(tǒng)，網(wǎng)絡(luò)設(shè)備主要包括網(wǎng)卡、集線器、交換機(jī)、路由器等。4.2 網(wǎng)絡(luò)傳輸介質(zhì) 網(wǎng)絡(luò)要求把各個(gè)獨(dú)立的計(jì)算機(jī)連接起來(lái)的，這樣就必然要求有一種介質(zhì)將計(jì)算機(jī)連接起來(lái)，這就是傳輸介質(zhì)，局域網(wǎng)的傳輸介質(zhì)可分為有線介質(zhì)和無(wú)線介質(zhì)兩種，一般情況下都是用有線

9、介質(zhì)的，因?yàn)樗姆€(wěn)定性高，連接可靠，無(wú)線介質(zhì)只是在特殊環(huán)境下才使用的傳輸方式。常用的有線介質(zhì)主要有以下幾類：同軸電纜、雙絞線、光纖。5 局域網(wǎng)系統(tǒng)安全及arp攻擊5.1 局域網(wǎng)安全概念局域網(wǎng)安全是在一個(gè)局部的地理范圍內(nèi)(如一個(gè)學(xué)校、工廠和機(jī)關(guān)內(nèi))，將各種計(jì)算機(jī)、外部設(shè)備和數(shù)據(jù)庫(kù)等互相聯(lián)接起來(lái)組成的計(jì)算機(jī)通信網(wǎng)絡(luò)系統(tǒng)沒(méi)有被危險(xiǎn)虛擬事物侵害的狀態(tài)。5.2 arp攻擊原理分析 arp的意思是address resolution protocol（地址解析協(xié)議），它是一個(gè)位于tcp/ip協(xié)議棧中的低層協(xié)議，負(fù)責(zé)將某個(gè)ip地址解析成對(duì)應(yīng)的mac地址。從影響網(wǎng)絡(luò)連接通暢的方式來(lái)看，arp欺騙分為二種，一種

10、是對(duì)路由器arp表的欺騙；另一種是對(duì)內(nèi)網(wǎng)pc的網(wǎng)關(guān)欺騙。第一種arp欺騙的原理是截獲網(wǎng)關(guān)數(shù)據(jù)。它通知路由器一系列錯(cuò)誤的內(nèi)網(wǎng)mac地址，并按照一定的頻率不斷進(jìn)行，使真實(shí)的地址信息無(wú)法通過(guò)更新保存在路由器中，結(jié)果路由器的所有數(shù)據(jù)只能發(fā)送給錯(cuò)誤的mac地址，造成正常pc無(wú)法收到信息。第二種arp欺騙的原理是偽造網(wǎng)關(guān)。它的原理是建立假網(wǎng)關(guān)，讓被它欺騙的pc向假網(wǎng)關(guān)發(fā)數(shù)據(jù)，而不是通過(guò)正常的路由器途徑上網(wǎng)。在pc看來(lái)，就是上不了網(wǎng)了，“網(wǎng)絡(luò)掉線了”。5.3 arp攻擊效果arp欺騙木馬的中毒現(xiàn)象表現(xiàn)為：使用局域網(wǎng)時(shí)會(huì)突然掉線，過(guò)一段時(shí)間后又會(huì)恢復(fù)正常。比如客戶端狀態(tài)頻頻變紅，用戶頻繁斷網(wǎng)，ie瀏覽器頻繁出

11、錯(cuò)，以及一些常用軟件出現(xiàn)故障等。如果局域網(wǎng)中是通過(guò)身份認(rèn)證上網(wǎng)的，會(huì)突然出現(xiàn)可認(rèn)證，但不能上網(wǎng)的現(xiàn)象（無(wú)法ping通網(wǎng)關(guān)），重啟機(jī)器或在ms-dos窗口下運(yùn)行命令arp -d后，又可恢復(fù)上網(wǎng)。arp欺騙木馬只需成功感染一臺(tái)電腦，就可能導(dǎo)致整個(gè)局域網(wǎng)都無(wú)法上網(wǎng)，嚴(yán)重的甚至可能帶來(lái)整個(gè)網(wǎng)絡(luò)的癱瘓。該木馬發(fā)作時(shí)除了會(huì)導(dǎo)致同一局域網(wǎng)內(nèi)的其他用戶上網(wǎng)出現(xiàn)時(shí)斷時(shí)續(xù)的現(xiàn)象外，還會(huì)竊取用戶密碼。如盜取qq密碼、盜取各種網(wǎng)絡(luò)游戲密碼和賬號(hào)去做金錢交易，盜竊網(wǎng)上銀行賬號(hào)來(lái)做非法交易活動(dòng)等，這是木馬的慣用伎倆，給用戶造成了很大的不便和巨大的經(jīng)濟(jì)損失?；赼rp協(xié)議的這一工作特性，黑客向?qū)Ψ接?jì)算機(jī)不斷發(fā)送有欺詐性質(zhì)的

12、arp數(shù)據(jù)包，數(shù)據(jù)包內(nèi)包含有與當(dāng)前設(shè)備重復(fù)的mac地址，使對(duì)方在回應(yīng)報(bào)文時(shí)，由于簡(jiǎn)單的地址重復(fù)錯(cuò)誤而導(dǎo)致不能進(jìn)行正常的網(wǎng)絡(luò)通信。一般情況下，受到arp攻擊的計(jì)算機(jī)會(huì)出現(xiàn)兩種現(xiàn)象：1.不斷彈出“本機(jī)的0-255段硬件地址與網(wǎng)絡(luò)中的0-255段地址沖突”的對(duì)話框。2.計(jì)算機(jī)不能正常上網(wǎng)，出現(xiàn)網(wǎng)絡(luò)中斷的癥狀。因?yàn)檫@種攻擊是利用arp請(qǐng)求報(bào)文進(jìn)行“欺騙”的，所以防火墻會(huì)誤以為是正常的請(qǐng)求數(shù)據(jù)包，不予攔截。因此普通的防火墻很難抵擋這種攻擊。 6 arp欺騙的防范 防止arp攻擊是比較困難的,修改協(xié)議也是不大可能。但是有一些工作是可以提高本地網(wǎng)絡(luò)的安全性。 首先，你要知道，如果一個(gè)錯(cuò)誤的記錄被插入arp或

13、者ip route表，可以用兩種方式來(lái)刪除。 a. 使用arp d host_entry b. 自動(dòng)過(guò)期，由系統(tǒng)刪除 這樣，可以采用以下的一些方法： 1）. 減少過(guò)期時(shí)間 #ndd set /dev/arp arp_cleanup_interval 60000 #ndd -set /dev/ip ip_ire_flush_interval 60000 60000=60000毫秒 默認(rèn)是300000 加快過(guò)期時(shí)間，并不能避免攻擊，但是使得攻擊更加困難，帶來(lái)的影響是在網(wǎng)絡(luò)中會(huì)大量的出現(xiàn)arp請(qǐng)求和回復(fù)，請(qǐng)不要在繁忙的網(wǎng)絡(luò)上使用。 2）. 建立靜態(tài)arp表 這是一種很有效的方法，而且對(duì)系統(tǒng)影響不大。

14、缺點(diǎn)是破壞了動(dòng)態(tài)arp協(xié)議。可以建立如下的文件。 08:00:20:ba:a1:f2 user. 08:00:20:ee:de:1f 使用arp f filename加載進(jìn)去，這樣的arp映射將不會(huì)過(guò)期和被新的arp數(shù)據(jù)刷新，除非使用arp d才能刪除。但是一旦合法主機(jī)的網(wǎng)卡硬件地址改變，就必須手工刷新這個(gè)arp文件。這個(gè)方法，不適合于經(jīng)常變動(dòng)的網(wǎng)絡(luò)環(huán)境。 3）禁止arp 可以通過(guò)ipconfig interface arp 完全禁止arp，這樣，網(wǎng)卡不會(huì)發(fā)送arp和接受arp包。但是使用前提是使用靜態(tài)的arp表，如果不在arp表中的計(jì)算機(jī) ，將不能通信。這個(gè)方法不適用與大多數(shù)網(wǎng)絡(luò)環(huán)境，因?yàn)檫@增加了網(wǎng)絡(luò)管理的成本。但是對(duì)小規(guī)模的安全網(wǎng)絡(luò)來(lái)說(shuō)，還是有效可行的。4）.使用安全工具軟件 及時(shí)下載anti arp sniffer軟件保護(hù)本地計(jì)算機(jī)正常運(yùn)行。具體使用方法可以在網(wǎng)上搜索。 如果已有病毒計(jì)算機(jī)的mac地址，可使用nbtscan等軟件找出網(wǎng)段內(nèi)與該mac地址對(duì)應(yīng)的ip，即感染病毒的計(jì)算機(jī)的ip地址，然后報(bào)告單位的網(wǎng)絡(luò)中心對(duì)其進(jìn)行查封。 或者利用單位提供的集中網(wǎng)絡(luò)防病毒系統(tǒng)來(lái)統(tǒng)一查殺木馬。另外還可以利用木馬殺客等安全工具進(jìn)行查殺。結(jié)語(yǔ) ： 未來(lái)的局域網(wǎng)將集成包括一整套服務(wù)器程序、客戶程序、防火墻、開發(fā)工具、升級(jí)工具等，給向局域網(wǎng)