局域网安全的攻防测试与分析论文

-1-**省联合职业技术学院****分院2010界毕业生论文姓名：**班级：计算机应用指导老师：**设计时间：2010年6月9日-2-目录第一章绪论…………………………………………………………………5什么是局域网……………………………………………………………5局域网的现有拓扑图…………………………………………………51.3什么是内网………………………………………………………91.3.1.内网与外网的区别……………………………………………111.3.2如何检测公网和内网…………………………………………11第二章局域网的安全与防范…………………………………………12计算机网络安全的概念………………………………………………12高校计算机网络存在的安全问题……………………………………12网络安全的分析………………………………………………………13技术上的安全防护措施………………………………………………15管理上的安全防护措施………………………………………………16第三章局域网策略分析工具的研究……………………………………173.1策略分析的意义……………………………………………………173.2警报关联的框架结构………………………………………………193.2.1理论基础…………………………………………………………193.2.2先决条件及结果……………………………………………………203.2.3TLAA系统实现……………………………………………………213.3实时TIAA框架的设计与实现……………………………………223.3.1实时TIAA系统目标………………………………………………233.3.2实时系统总体设计………………………………………………23-3-3.3.3AGENT报警获取流程………………………………………………24第四章攻击的测试与分析………………………………………………304.1警报检测的整体解决方案…………………………………………304.2扫描攻击的检测………………………………………………………314.2.1阻止IP攻击的检测………………………………………………324.3策略分析……………………………………………………………344.3.1扫描攻击的警报分析………………………………………………344.3.2阻止IP攻击的警报分析…………………………………………38第五章总结……………………………………………………………40参考文献……………………………………………………………………42...-4-摘要随着计算机信息技术的发展,使网络成为全球信息传递和交互的主要途径,改变着人们的生产和生活方式。网络信息已经成为社会发展的重要组成部分,对政治、经济、军事、文化、教育等诸多领域产生了巨大的影响。事实上,网络安全已经成为关系国家主权和国家安全、经济繁荣和社会稳定、文化传承和教育进步的重大问题,因此,我们在利用网络信息资源的同时,必须加强网络信息安全技术的研究和开发。计算机网络通过网络通信技术以及计算机技术，从而实现高校内计算机局域网互连，并通过中国科学院计算机网络、中国教育和科研计算机网与国际互联网络互连，实现资源共享和对外交流()。与此同时，计算机网络也存在安全问题，高校网络如果存在安全问题，从而停止运行、被恶意破坏或者中断服务，将对高校的各项工作造成严重的影响，其损失也是难以估计的。因此，充分的了解高校计算机网络存在的问题，并针对其提出解决措施，确保高校网络安全畅通，已成各高校所关注的重点问题。本文主要对IPv6局域网攻防原理、分类、危害进行阐述，再对两种具体的攻击：扫描攻击和阻止IP攻击，进行了原理分析，然后设计并实现两个Snort预处理器分别对着两种攻击进行攻击检测分析。本文使用一种实时警报分析框架（实时TIAA系统）通过预先学习的关联关系对Snort产生的警报进行匹配和关联，从而在海量警报中找到属于同一攻击序列的警报，并显示图形化分析结果。关键词：LAN；攻击；数据库；TIAA系统；Snort-5-第一章绪论什么是局域网局域网（LocalAreaNetwork），简称LAN，是指在某一区域内由多台计算机互联成的计算机组。“某一区域”指的是同一办公室、同一建筑物、同一公司和同一学校等，一般是方圆几千米以内。局域网可以实现文件管理、应用软件共享、打印机共享、(扫描仪共享(注：扫描仪不能共享）)工作组内的日程安排、电子邮件和传真通信服务等功能。局域网是封闭型的，可以由办公室内的两台计算机组成，也可以由一个公司内的上千台计算机组成。局域网的现有拓扑结构网络中的计算机等设备要实现互联，就需要以一定的结构方式进行连接，这种连接方式就叫做“拓扑结构”，通俗地讲就是这些网络设备是如何连接在一起的。目前常见的网络拓扑结构主要有以下四大类：1.星型结构这种结构是目前在局域网中应用得最为普遍的一种，在企业网络中几乎都是采用这一方式。星型网络几乎是Ethernet（以太网）网络专用，它是因网络中的各工作站节点设备通过一个网络集中设备（如集线器或者交换-6-机）连接在一起，各节点呈星状分布而得名。这类网络目前用的最多的传输介质是双绞线，如常见的五类线、超五类双绞线等。这种拓扑结构网络的基本特点主要有如下几点：（1）容易实现：它所采用的传输介质一般都是采用通用的双绞线，这种传输介质相对来说比较便宜，如目前正品五类双绞线每米也仅1.5元左右，而同轴电缆最便宜的也要2.00元左右一米，光缆那更不用说了。这种拓扑结构主要应用于IEEE802.2、IEEE802.3标准的以太局域网中；（2）节点扩展、移动方便：节点扩展时只需要从集线器或交换机等集中设备中拉一条线即可，而要移动一个节点只需要把相应节点设备移到新节点即可，而不会像环型网络那样“牵其一而动全局”；（3）维护容易；一个节点出现故障不会影响其它节点的连接，可任意拆走故障节点；（4）采用广播信息传送方式：任何一个节点发送信息在整个网中的节点都可以收到，这在网络方面存在一定的隐患，但这在局域网中使用影响不大；（5）网络传输数据快：这一点可以从目前最新的1000Mbps到10G以太网接入速度可以看出。其实它的主要特点远不止这些，但因为后面我们还要具体讲一下各类网络接入设备，而网络的特点主要是受这些设备的特点来制约的，所以其它一些方面的特点等我们在后面讲到相应网络设备时再补充。-7-2.环型结构这种结构的网络形式主要应用于令牌网中，在这种网络结构中各设备是直接通过电缆来串接的，最后形成一个闭环，整个网络发送的信息就是在这个环中传递，通常把这类网络称之为“令牌环网”。实际上大多数情况下这种拓扑结构的网络不会是所有计算机真的要连接成物理上的环型，一般情况下，环的两端是通过一个阻抗匹配器来实现环的封闭的，因为在实际组网过程中因地理位置的限制不方便真的做到环的两端物理连接。这种拓扑结构的网络主要有如下几个特点：（1）这种网络结构一般仅适用于IEEE802.5的令牌网（Tokenringnetwork），在这种网络中，“令牌”是在环型连接中依次传递。所用的传输介质一般是同轴电缆。（2）这种网络实现也非常简单，投资最小。可以从其网络结构示意图中看出，组成这个网络除了各工作站就是传输介质--同轴电缆，以及一些连接器材，没有价格昂贵的节点集中设备，如集线器和交换机。但也正因为这样，所以这种网络所能实现的功能最为简单，仅能当作一般的文件服务模式；-8-（3）传输速度较快：在令牌网中允许有16Mbps的传输速度，它比普通的10Mbps以太网要快许多。当然随着以太网的广泛应用和以太网技术的发展，以太网的速度也得到了极大提高，目前普遍都能提供100Mbps的网速，远比16Mbps要高。（4）维护困难：从其网络结构可以看到，整个网络各节点间是直接串联，这样任何一个节点出了故障都会造成整个网络的中断、瘫痪，维护起来非常不便。另一方面因为同轴电缆所采用的是插针式的接触方式，所以非常容易造成接触不良，网络中断，而且这样查找起来非常困难，这一点相信维护过这种网络的人都会深有体会。（5）扩展性能差：也是因为它的环型结构，决定了它的扩展性能远不如星型结构的好，如果要新添加或移动节点，就必须中断整个网络，在环的两端作好连接器才能连接。3.总线型结构这种网络拓扑结构中所有设备都直接与总线相连，它所采用的介质一般也是同轴电缆（包括粗缆和细缆），不过现在也有采用光缆作为总线型传输介质的，如后面我们将要讲的ATM网、CableModem所采用的网络等都属于总线型网络结构。-9-4.混合型拓扑结构这种网络拓扑结构是由前面所讲的星型结构和总线型结构的网络结合在一起的网络结构，这样的拓扑结构更能满足较大网络的拓展，解决星型网络在传输距离上的局限，而同时又解决了总线型网络在连接用户数量的限制。这种网络拓扑结构同时兼顾了星型网与总线型网络的优点，在缺点方面得到了一定的弥补。这几种结构的特点：（1）组网费用低：从示意图可以这样的结构根本不需要另外的互联设备，是直接通过一条总线进行连接，所以组网费用较低；（2）这种网络因为各节点是共用总线带宽的，所以在传输速度上会随着接入网络的用户的增多而下降；（3）网络用户扩展较灵活：需要扩展用户时只需要添加一个接线器即可，但所能连接的用户数量有限；（4）维护较容易：单个节点失效不影响整个网络的正常通信。但是如果总线一断，则整个网络或者相应主干网段就断了。（5）这种网络拓扑结构的缺点是一次仅能一个端用户发送数据，其它端用户必须等待到获得发送权。1.3．什么是内网所谓内网，是对应于外网而言的。它经常又被称作局域网、LAN、私网。主要是指在小范围内的计算机互联网络。这个“小范围”可以是一个家庭，一所学校，一家公司，或者是一个政府部门。另外光纤到楼、小区宽带、教-10-育网、有线电视CableModem上网虽然地域范围比较大但本质上还是基于以太网技术，所以任然属于内网。内网上的每一台电脑（或其他网络设备）内部分配得到的局域网IP地址在不同的局域网内是可以重复的，不会相互影响。内网接入方式：上网的计算机得到的IP地址是Inetnet上的保留地址，保留地址有如下3种形式：10.x.x.x172.16.x.x至172.31.x.x192.168.x.x内网的计算机以NAT（网络地址转换）协议，通过一个公共的网关访问Internet。内网的计算机可向Internet上的其他计算机发送连接请求，但Internet上其他的计算机无法向内网的计算机发送连接请求。所谓外网，通常又被称为广域网、WAN、公网。就是我们通常所说的Internet，它是一个遍及全世界的网络。外网上的每一台电脑（或其他网络设备）外网IP地址一般需要通过ISP处交费之后才能申请到，并且是不能重复的。外网接入方式：上网的计算机得到的IP地址是Inetnet上的非保留地址。外网的计算机和Internet上的其他计算机可随意互相访问。-11-一般情况下，内网（广域网、LAN、私网）电脑发起的对外连接请求是不会被路由或网关拦截的，但是来自外网对内网电脑的连接请求，大多数情况下会被路由或网关拦截。1.3.1．内网与外网的区别内网指的是局域网.几台或者几十台电脑之间互访外网指的是我们上的internet网络内网也叫私网地址如下：IP等级IP位置ClassA10.0.0.0-10.255.255.255ClassB172.16.0.0-172.31.255.255ClassC192.168.0.0-192.168.255.255子网掩码一般设为:255.255.255.0内网是可以上网的.内网需要一台服务器或路由器做网关,通过它来上网做网关的服务器有一个公网IP,其它内网电脑的IP可根据它来随意设置,前提是IP前三个数要跟它一样,第四个可从0-255中任选但要跟服务器的IP不同1.3.2．如何检测公网和内网请用上面介绍的查看IP地址的办法，检查一下您的电脑里有没有这个IP地址。如果有，您就是通过公网接入Internet，否则，就是通过内