本科计算机毕业设计(论文)-济宁一中网络安全设计--ARP防御.doc_第1页
本科计算机毕业设计(论文)-济宁一中网络安全设计--ARP防御.doc_第2页
本科计算机毕业设计(论文)-济宁一中网络安全设计--ARP防御.doc_第3页
本科计算机毕业设计(论文)-济宁一中网络安全设计--ARP防御.doc_第4页
本科计算机毕业设计(论文)-济宁一中网络安全设计--ARP防御.doc_第5页
已阅读5页,还剩36页未读 继续免费阅读

下载本文档

版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领

文档简介

江 苏 大 学 学 士 学 位 论 文j i a n g s u u n i v e r s i ty本 科 毕 业 论 文 济宁一中网络安全设计 arp防御a network security design of jiningno.1 middle school the defense of apr专 业: 计算机科学与通信技术 班 级: 计算机科学与技术(1)班 姓 名: 指导教师姓名: 指导教师职称: 讲 师 2010年5 月30济宁一中网络安全设计 arp防御专业班级:06计本一班 学生姓名:指导教师: 职称:讲师摘要 网络安全是指网络系统的硬件、软件及其中的数据受到保护,不会因为恶意的攻击而遭受到破坏、更改、泄露,系统能够连续可靠的运行,网络不中断。 网络安全从其本质上来讲就是网络上的信息安全。 本次论文的目的是构建济宁一中校园网,并对校园网存在的arp病毒进行防御。此次设计我采用了vlan技术和防火墙技术等进行设计和防御arp病毒攻击。构建网络的前我对校园网存在的问题进行了分析,在构建网络的时候我对硬件进行了分析,花出了逻辑和物理拓扑图,并进行了网络规划,网络布线,顺利的组建了济宁一中校园网,并提出了济宁一中网络安全操作系统安装。济宁一中校园网对arp防御中提出了对arp的分析和arp攻击的主要三种方式,画出了arp入侵检测功能图,并做出了网络控制中心和客户端主机防范策略,对交换机进行了相应的安全配置,最后建立了dhcp服务器,提出dhcp监控模式部署的思路,使网络加强了对arp的防御,减少了校园网内用户ip冲突和掉线现象。关键词:网络,设计 ,arp防御a network security design of jining no.1middle school the defense of aprabstract the network security means that a network system s hardware ,software and the data cant be destroyed ,changed or be revealed ,the system can be in motion reliable and continuous ,the network cant break off .the essence of network security is the information security .this paper is to construct a campus network, and to obtain the existence of arp virus on campus network defenses. this design uses a vlan technology and my firewall technology design and defense as arp virus attacks. the construction of campus network before my existing problems were analyzed, in the construction of hardware when i was analyzed, and take out logic and physical topology, and the network planning, the network cabling, smooth established jining, and puts forward a campus network security operation system dickers jining installation. a network of jining in the defense of arp forward arp analysis and the main arp against three ways, draw the arp intrusion detection function, and made the network control center and the client to host preventive strategy, the corresponding safety switch configuration, finally established a dhcp server monitoring mode, and puts forward the ideas dhcp deployment of the network, strengthening the defense, reduce the arp ip network users and drops in conflict.key words:network design, the defense of apr目 录第一章 绪论51.1选题背景51.2本课题研究意义51.3网络安全的发展趋势5第二章 济宁一中校园网安全系统总体分析与安全技术72.1 济宁一中校园规模72.2校园网的需求分析72.3济宁一中网络现状分析72.3.1校园网的连接复杂72.3.2非法网站的访问72.3.3病毒的攻击72.3.4 apr攻击82.4采用相关技术82.4.1.vlan技术82.4.2 arp信任端口设置82.4.3. 防火墙技术82.4.4入侵检测系统9第三章 济宁一中网络安全的设计与组建1031济宁一中网络安全设计103.1.1校园网的实现功能103.1.2校园网网络拓扑结构103.1.3网络规划113.2济宁一中网络的组建133.2.1硬件选取133.2.2网络布线153.2.3校园网的组建173.3 济宁一中网络安全操作系统安装17第四章 济宁一中校园网针对arp的防御194.1 arp的分析194.2 arp协议漏洞194.3 arp攻击方式194.3.1简单的欺骗攻击194.3.2中间人攻击194.3.3mac洪泛204.4网络控制中心的防护204.5学生区的防护214.6客户端主机的防护224.7接入交换机做相应的安全配置224.7.1端口和ip绑定的配置234.7.2端口和mac的绑定配置314.8 建立dhcp服务器334.9网络的管理36总 结37致 谢38参考文献:3940第一章 绪论1.1选题背景信息技术高速发展的今天,网络技术发展迅猛,信息传输已经不仅仅局限于单纯文本数据,数字数据的传输,随之而来的是视频,音频等多媒体技术的广泛运用。随着技术的发展,网络设备性能和传输介质容量有了极大的提高,但是由于用户需求的日益提高,网络环境的日益复杂,使得网络规划成为一项越发困难的课题,作为校园园区网的规划成败与否,将直接影响到学校教育网络系统性能的高低,从而影响教学进程和教学效果。随着计算机的普及,越来越多的学校建立了自己的校园网,校园网方便了许多同学,老师之间的交流,他们可以通过网络学习到更多的知识,阅读更多的书籍,也可以通过网络来向老师请教不会的问题,同时学校也可以通过校园网络来进行对学生进行管理和教学工作。校园网络安全也成为了不可被忽视的一个问题,很多的学校都存在在众多的安全隐患,这些问题给了病毒,黑客很大的利用空间,这些安全的隐患会使学校的网络瘫痪,对学校的管理造成重要的损失。1.2本课题研究意义随着计算机网络化的发展,信息全球化已经成为人类社会发展的大趋势。但由于计算机网络具有形式多样性,终端分布不均匀性和网络的开放性,互连性等特征,使得网络信息安全日益成为一个至关重要的问题。计算机校园网络系统是学校重要的现代化基础设施,应为学校的师资培训、教学科研、科室办公、现代化管理等提供先进、可靠、安全、快捷的计算机网络环境。所以,保障校园网络信息安全越来越成为一个不可回避的问题。因此,设计一个安全的网络,增加网络安全的管理变的十分的重要,这才是本课题的目的和意义。1.3网络安全的发展趋势随着人们对网络安全的日益重视,校园网络的防护也已经摆脱了“重技术,轻管理”的模式,而开始实行立体化防御,管理与技术并行的安全防护模式,不过随着网络技术的日新月异,黑客的攻击手段也层出不穷,普通的安全防护模式已经显得软弱无力。因此,单一功能的防火墙远不能满足安全防护的需要,而具备多种安全功能,基于应用协议层防御、低误报率检测、高可靠高性能平台和统一组件化管理的技术,优势将得到越来越多的体现,utm(统一威胁管理)技术应运而生。从概念的定义上看,utm既提出了具体产品的形态,又涵盖了更加深远的逻辑范畴。从定义的前半部分来看,很多厂商提出的多功能安全网关、综合安全网关、一体化安全设备都符合utm的概念;而从后半部分来看,utm的概念还体现了经过多年发展之后,信息安全行业对安全管理的深刻理解以及对安全产品可用性、联动能力的深入研究。utm的特点是:(1)建一个更高,更强,更可靠的防火墙,除了传统的访问控制之外,防火墙还应该对防垃圾邮件,拒绝服务,黑客攻击等这样的一些外部的威胁起到综检测网络全协议层防御。(2)要有高检测技术来降低误报。(3)要有高可靠,高性能的硬件平台支撑。第二章 济宁一中校园网安全系统总体分析与安全技术2.1 济宁一中校园规模济宁一中现有办公楼1栋、教学楼3栋、实验楼1栋、图书馆1栋。图书馆主要有电子阅览室和图书管理中心,办公楼主要有教师办公室和电子备室。2.2校园网的需求分析园网建设的原则应该是:先进性,先进的设计思想、网络结构、开发工具;实用性,建网时应考虑利用和保护现有的资源、充分发挥设备效益;开放性,系统设计应采用开放技术、开放结构、开放系统组建和开放用户接口,以利于网络的维护、扩展升级及与外界信息的沟通;灵活性,采用积木式模块组合和结构化设计,使系统配置灵活,满足学校逐步到位的建网原则,使网络具有强大的可增长性;可靠性,具有容错功能,管理、维护方便。对网络的设计、选型、安装、调试等各环节进行统一规划和分析,确保系统运行可靠。经济性,投资合理,有良好的性能价格比。另外利用vlan、apr的信任端口设置和防火墙的相互结合,可以组建一个具备灵活性和安全性的校园网络。2.3济宁一中网络现状分析2.3.1校园网的连接复杂由于校园网是最新的组建过多,导致校园网的连接复杂,各个行政部门分布在不同的教学楼内,这些连接会导致网络的交叉访问增多,交叉访问使得访问权限难以有效控制。2.3.2非法网站的访问随着计算机网络的发展,网络上也出现了一切非法的色情网站,如何防止它进入到校园,来危害校园的学生,这个也是现在校园网考虑的一个比较严峻的问题。2.3.3病毒的攻击在校园网络系统中,教师职工经常使用的移动硬盘等存储的介质有很多是带有病毒的,这样计算机病毒很容易的在校园网中传播。任何的一台计算机放声了病毒,都极可能在短时间内传播到学校的别的计算机上,影响了校园网的正常运行。2.3.4 apr攻击 济宁一中校园网中存在着掉线现象和ip冲突现象,很多学生在使用校园网的时候掉线,导致许多的学生减少了校园网的使用。2.4采用相关技术2.4.1.vlan技术vlan(virtual local area network)的中文名为虚拟局域网。在传统的局域网中,各站点共享传输信道所造成的信道冲突和广播风暴是影响网络性能的重要因素。由于网络中的站点被束缚在所处的物理网络中,而不能根据需要将其划分至相应的逻辑子网,因此网络的机构缺乏灵活性。为解决这一问题,从而引发了虚拟网vlan的概念。所谓vlan是指网络中的站点不拘泥于所处的物理位置,可以根据需要灵活地加入到不同的逻辑子网中的一种网络技术。采用vlan技术的网络来说,一个vlan可以根据部门职能、对象组或者应用将不同地理位置的网络用户划分为一个逻辑网段。对管理网络比较方便,简单。通过路由访问列表和mac地址分配等vlan划分原则,可以控制用户访问权限和逻辑网络大下,将不同用户划分不同的vlan,提高了交换式网络的整体性能和安全性。2.4.2 arp信任端口设置在实际组网中,交换机的上行口会接收其他设备的请求和应答的arp报文,这些arp报文的源ip地址和源mac地址并没有在dhcp snooping表项或者静态绑定表中。为了解决上行端口接收的arp请求和应答报文能够通过arp入侵检测问题,交换机支持通过配置arp信任端口,灵活控制arp报文检测功能。对于来自信任端口的所有arp报文不进行检测,对其它端口的arp报文通过查看dhcp snooping表或手工配置的ip静态绑定表进行检测。2.4.3 防火墙技术防火墙是病毒进入,计算机的第一层保障,防止别人能随意进入破坏,防火墙在网络安全中起着重要的作用:1可以限制他人进入内部网络,过滤到不安全的服务和非法用户;2防止入侵者接近你的防御设施;3是限定用户访问特殊站点;4是为了监视internet安全提供方便。在防火墙的设置上,我们必须按照以下原则配置来提高网络安全:(1)根据校园网安全策略和安全目标,规划设置正确的安全过滤规则,规则审核ip数据包的内容包括:协议、端口、源地址、目的地址、流向等项目,严格禁止来自公网对校园内部网不必要的,非法的访问。 (2) 将防火墙配置成过滤掉以内部网络地址进入路由器的ip包,这样可以防范源地址假冒和源路由类型攻击,过滤掉以非法ip地址离开内部网络发起的对外攻击。(3)在防火墙上建立内网计算机的ip地址和mac地址的对应表,防止ip地址被盗用。(4)定期查看2.4入侵检测系统,防火墙访问日志,及时的发现攻击行为和不良上网记录。(5)允许通过配置网卡对防火墙设置,提高防火墙管理的安全性。入侵检测能力是衡量一个防御体系是否完善有效的重要因素。根据校园网的特点,我们采用基于代理的分布式入侵检测技术,将入侵检测系统的ids中心服务器接入中心交换机上,并将其他的网络代理分布于各校区的子网中,主机代理设置在需要保护的工作站上。 入侵检测系统集中了入侵检测、网络管理和网络监控的作用,能够实时的获得内外网之间的传输的所有数据,利用内置的攻击特征库,使用模式匹配和智能的分析的方法检测网络上发生的入侵行为和异常现象。入侵系统的实施必须保证实时性,必须匹配目前一般的网络速度,从作用的角度来看,其实现还必须易于扩充,使得新的攻击方法出现时,能够迅速的更新检测手段。第三章 济宁一中网络安全的设计与组建校园网是在校学生学习和交流的一个重要的平台,因此,建设一个重要的网 络安全系统是每个学校不能忽视的一个问题。一个好的校园网可以方便学生的交流和对知识的学习,一个好的校园网可以方便教师对学生的管理。网络安全的基础是安全的管理、配合安全管理的是安全技术,一个学校想要建立一个好的校园网,必须有自己的体系,制定完善的安全管理制度,如宿舍网络管理条例、病毒防范安全制度,并配备具有计算机知识的老师进行管理,并不定期的对学校的师生进行相关的培训。31济宁一中网络安全设计3.1.1校园网的实现功能 完成组建以后可以进行视频教学、学生数据管理、邮箱公布成绩、学校论坛交流,还可以实现远程教育、学生健康统计、财务管理系统、运动会管理系统,方便校园的教学、管理,构造更好的教学环境。3.1.2校园网网络拓扑结构 图3.1 济宁一中校园网络逻辑拓扑结构图远程拨号用户switch hubswitch hub服务器群switch hub ddn/fr专线上连 辅楼1 主楼 switch hubswitch hubswitch hub switch hub 辅楼2 辅楼3 图3.2 济宁一中校园网络物理拓扑图3.1.3网络规划根据校园内的实际建筑情况,考虑其校内建筑分布较为复杂,所以对于多幢楼宇,可采用多设备间的方法。分为中心设备间和楼栋设备间部分,中心设备间是整个局域网的控制中心。内设有对外(internet)对内通信的各种网络设备(交换机、路由器、视频服务器等),中心交换机通过光缆(地下直埋)与楼栋设备间的交换设备相连,以保证数据的高速传输。在此设备间放置布线的线架和网络设备,端接楼内来自在各层的主干线缆,并连接网络中心的光纤。(1)校长办公室以学校管理室 在这2个地方要配备联想杨天t4900v,这里要加强网络安全的管理,因为这2个地方是学校的核心,应该定期的查杀病毒,更新补丁。可以通过网卡与学校的主干网想连,方便对学校成绩和信息的发布以及对学生资料的管理。(2)办公楼机房办公楼机房可以提供给老师一个完善的多媒体备课的环境。学校内应该给每个老师配备计算机,为老师配备计算机可以保证学校老师能够方便的查阅教学信息,能够提高教师的工作效率和教学的质量,配备计算机需要很大的资金投入,因此给老师配备的计算机可以选取联想杨天t4900v,价位不高,实行性强。(3)多媒体教室计算机网络多媒体教室是利用网络来进行教学的教室,是一种新型的教学媒体,它能方便的将计算机和实物投影仪,教学数码投影仪和网络联系起来,解除了以前枯燥无味的教学方式,增加了师生的互动空间。配置150台左右1g的计算机,通过星型网络拓扑结构将所有微机连接到可堆叠交换机上,再通过交换机连接校园主干网。多媒体教室的计算机是演示系统的核心,而且在很大的程度上决定表示效果的好坏。在多媒体教室中,学校要投资大量的资金,在此教室中可以安放一台数字视频平台,一台中央控制器,一台多媒体投影仪。由于济宁一中的学生过多,这里可以考虑学校投放3个多媒体教室。同时这个教室可以用来对接待外校的参观人员,大型的中学讲座,是现在校园不可缺少的教室。(4)图书馆系统校园网中图书馆系统也是一个必备的应用系统,由于学校师生过多,图书馆系统就可以给管理图书的管理员提供了方便,图书馆管理员可以对图书外借,图书进行管理。图书馆系统还可以满足图书借阅者的要求,同样也保护了图书借阅者的隐私。因此图书馆中应配备10台联想杨天t4900v计算机,通过网卡和校园主干网连接,实现对校园图书的管理。(5)学生宿舍校园网中使用者最多的是学生,为了便于学生的网上阅读书籍,网上交流知识,应在每个寝室里安放4个rj-45网络接口,便于每个学生上网的需求,定期的对校园内寝室网络接口的检查,避免出现有接口不能用的现象发生,宿舍制定相关的网络制度来进行管理,在主干服务器上面安装奇虎360杀毒软件,避免学生因为好奇心而引发的病毒。3.2济宁一中网络的组建3.2.1硬件选取 局域网简称lan,在校园网中是最常见的一种,它可以实现文件的管理、应用软件的共享,打印机共享,电子邮件和传真通信服务等功能,校园网首先要考虑到组建的便利性,lan能够根据实际需要灵活的选择,而且lan可以避免网络设计的安放位置受网络信息点位置的限制。现在学校一般使用的网卡是10mbps网卡和100mbps pci插口的网卡。一般来选取10mbps主要的原因是因为它的市场价格比较便宜,但是缺点是占用cpu资源,所以一般校园网采用的是100mbps,它的优点是每秒输出数据100mb的数据量,适用于校园网中。在校园网中,网卡最终是要与网络进行连接的,所以就必须有一个接口使用线通过它与计算机网络设置接连起来,在目前我们一般使用rj-45接口,是含有八队末断铜线接头,用于提高数据的传输速度,想对于其他的接口,这rh45接口是我们最常见的网络装备接口,他的传输介质都是双叫绞线,它的接口类似于常见的电话接口rj-11,在网卡上还自带2个状态的批示灯通过2个指示灯可初步半段网卡的工作状态。方便学生和老师在使用中发现网络问题是不是由于接口而造成的。交换机的分类分为一层交换机、二层交换机、三层交换机。早在90年代,当计算机专业认识发现网络是可以连接到一起的时候第一层交换机诞生了,但是科技的发展带动着交换机的发展,交换机出现第二层,它可以提供基于硬件的数据包处理能力,直到现在第三层交换机的出现,简单的来说三层交换机的技术就是:二层交换技术加上三层交换技术,它解决了局域网中网段划分之后,妄断中子网必须依靠路由器进行管理的局面,解决了传统路由器的低速,复杂所造成的网络问题。一个具有三层交换功能的设备,是一个带有第三层路由功能的第二层交换机,但是他是二者的有机结合,并不是简单地把路由器设备的硬件及软件叠加在局域网交换机上。交换机的种类很多,但是由于它比路由器便宜,因此济宁一中的校园网络都采用的都是第三层交换机。校园网一般选取的交换机是cisco 65系列交换机作为内部核心交换机。catalyst6500系列中的所有型号都使用了统一的模块和操作系统软件,由于操作一致性,可以提高it基础设施的利用率,提高了网络正常运行时间,提高网络弹性。提供数据包失去保护,能够从网络保障中快速恢复,能够在控制引擎间实现快速的13秒状态故障切换。express forwarding(cef)实现方式和交换矩阵速率。多协议第三层路由支持满足了传统的网络要求,并能够为企业网络提高提供平滑的过渡机制。支持ipv6,并提供高性能的ipv6服务。提供mpls及mpls/vpn的支持,并具有丰富的mpls服务。增强的数据、语音和视频服务。济宁一中选取catalyst 6506交换机,其作用支持高容量千兆为交换和多层智能所需的基础结构,进而有效的管理网络流量。由于济宁一中的网络相对来说还是比较小的,因此选者catalyst 6506交换机。 网络中心的设施是catalyst 6506交换机,此交换机的作用是在各各部门的局域网之间建立高宽带的快速通道,以提高不同局域网之间的数据交换和访问以及访问数据资源的效率。另一个优点是具有良好的虚拟网络支持能力,在全校范围内建立必须的虚拟网络,从而为网络的应用,维护和管理带来了极大的便利。 3comsuperstackhub是一种结构灵活的堆叠式集线器,它可以歌剧部门应用规模的变化和发展而灵活的改变,从而达到以最少的投资取得最大的效益的目的之一。 网络中心的服务器应该选取品牌机子,因为品牌机子有质量上的保证。这里选取网络中心的服务器就成了一个问题。选着服务器主要是大量的内存、硬盘、便于数据之间的交换。服务器一般分为下面3种:(1)一是竖立式服务器:为可独立放置于桌面或地面的服务器,大都具有多的扩充槽及硬盘空间,无需额外设备,插上电源即可使用,因此使用最为广泛。(2)二是机架式服务器:为可装上机柜之服务器,主要作用为节省空间,机台高度以1u为单位,1u约44mm。因空间较局限,扩充性较受限制,例如1u的服务器大都只有1到2个pci扩充槽。此外,散热性能成为十分重要的因素,各家厂商的功力也在此展现了。缺点是需要有机柜等设备,多为服务器用量较大的企业使用。(3)三是刀片服务器:可算是比机架式服务器更节省空间的产品。主要结构为一大型主体机箱,内部可插上很多卡片,一张卡片即相当于一台服务器。当然,散热性在此非常重要,往往各家厂商都装上大型强力风扇来散热。此型服务器固然空间较节省,但光是主体机箱部分可能就所需费不少,除大型企业外较少使用。在这里我选取的是联想的服务器,万全r510 g7 s5506 2g/500s(3.5)n软导,它机箱是机架式,处理器是四核英特尔 至强 处理器e5506 2.13g,内存是2gb,网卡是集成intel双千兆适应网卡,风扇是支持动态智能风扇调速的散热系统,而且兼容许多的操作系统。比较适合做济宁一中校园网的服务器。3.2.2网络布线综合布线系统是建筑物或建筑群内的传输网络,它既能使话音和数据通信设备、交换设备和其他信息管理系统彼此连接,也能使这些设备与外部通信网络相互连接,包括建筑物到外部网络或电话局线路上的连线点,与工作区的话音或数据终端之间的所有电缆,以及相关联的布线部件。一个良好的综合布线系统对其服务的设备有一定的独立性,并能互连许多不同的通信设备如数据终端、模拟式或数字式电话、pc和主机以及公共系统装置。网络布线的主干是一个网络的灵魂,主干的建设要遵循着经济实用的原则,主干建成后要考虑到学校的发展趋势,这里我建议采用catalyst 6506中心交换机通过100m宽带的快速入网。根据学校的需求工作点到网络服务中心的距离,来选取适当的传输介质进行布线。济宁一中,在同一栋大楼能不超过100米可以设超五类非屏蔽的双绞线,从网络中心到各个个需求工作点的地方要接上光纤,来方便以后学校发展的需求。一般布线系统有六个子系统组成:建筑群间子系统、设备间子系统、管理区子系统、垂直(主干)子系统、水平子系统、工作区子系统。校园网为园区网,楼群间子系统采用光缆连接,可提供千兆位的带宽,有充分的扩展余地。垂直子系统则位于高层建筑物的竖井内,可采用多模光缆或大对数双绞线。把管理区子系统并入设备间子系统,集中管理楼内布线包括水平布线和主干布线。水平系统采用超五类双绞线,新的楼宇采用暗装墙内的方式,旧的楼宇采用pvc线槽明装的方式。建立网络中心,连接各建筑物(教学楼,宿舍楼,图书馆);各个网络建筑 物之间布线根据距离采用超5类双绞线和光纤混合组合,星型拓扑结构,济宁一中校园网设计成三级结构:以位于网络中心为核心;与校园内各建筑互联形成园区主干;各建筑物内再扩站成为面向用户的局域网。布线系统的出口采用rj-45接口,可以实现视频教学。水平布线采用超5类非屏蔽双绞线,这样的双绞线至少要提供100mhz宽带,支持100mbps传输速率,校园区采用6芯室外光缆和3类25对双绞线连接网络中心和各建筑分机房。采用多模光纤的可以具有很强的抗干扰性和高保密性。管理子系统由交叉、互连和输入输出组成,实现配线管理,为连接其它子系统提供手段,包括配线架,跳线设备及光配线架等组成设备。设计它的时候,必须了解线路的基本设计原理,合理的配置各子系统的邮件。由于校园内建筑比较多,在这里我们要考虑如何才能合理的构建?建筑群子系统是实现建筑之间的相互连接,提供楼群之间通信设施所需要的硬件,采用有线通信的手段,也采用微波通信,无限电通信的手段。图3.3 济宁一中网络光纤网络拓扑图3.2.3校园网的组建 校园网中的每台计算机都需要一个网卡(network interface card, nic)来接入网线,并且需要分配唯一的主机名和 ip 地址。济宁一中是一个包括150台主机的的局域网,这些主机的ip地址从192.168.1.x,开始分配,x表示1-150中任意的一个数字。组建局域网的时候大家还要注意的是,ip地址范围的两个边界地址被保留为该局域网的网络地址和广播地址。应用程序可以使用网络地址来表示整个本地网络。而广播地址则可用来将同样的消息同时发送给网络上所有主机。在组建局域网的时候,大家还要记得主机名字不能包含空格或者标点符号。组建局域网的另一个重要的步骤是配置nameserver 规范。当计算机的名字给出之后,linux根据这个规范来查找该计算机的ip地址。red hat linux系统有两种方法来将主机名映射成ip地址。一种是通过域名服务器(domain name services,dns),另一种则是通过 /etc/hosts 文件。校园内组建局域网是学校学生一个必学的一个亮点。3.3 济宁一中网络安全操作系统安装目前工作站中主要存在以下几类操作系统:(1)windows类 对于这类操作系统相信用过电脑的人都不会陌生,这是全球最大的软件开发商-microsoft(微软)公司开发的。microsoft公司的windows系统在操作系统中占有绝对优势。主流windows系统都可以用在工作站中,如高windows nt 4.0、windows 9x/me/xp、windows 2000,以及最新的windows 2003等。(2)unix系统 目前常用的unix系统版本主要有:unixsur4.0、hp-ux 11.0、sun的solaris8.0等。支持网络文件系统服务,提供数据等应用,功能强大,由at&t和sco公司推出。中高端工作站一般都采用unix操作系统。(3)linux 系统这是一种新型的网络操作系统,它的最大的特点就是源代码开放,可以免费得到许多应用程序。目前也有中文版本的 linux,如redhat(红帽子),红旗 linux等。在国内得到了用户充分的肯定,主要体现在它的安全性和稳定性方面,它与 unix有许多类似之处。但目前这类操作系统目前可应用于部分工作站中。第四章 济宁一中校园网针对arp的防御4.1 arp的分析arp(addressresolutionprotocol)地址解析协议用于将计算机的网络地址(ip地址32位)转化为物理地址(mac地址48位)。arp协议是属于链路层的协议,在以太网中的数据帧从一个主机到达网内的另一台主机是根据48位的以太网地址(硬件地址)来确定接口的,而不是根据32位的ip地址。内核(如驱动)必须知道目的端的硬件地址才能发送数据。apr是建立在局域网所有结点上的,它在效率高的同时,安全性却不足,缺乏自我认证机制,它不会检查自己是否发送过请求,也不会检验收到的应答是否合法,这就为病毒的攻击制造了漏洞。当局域网内某台主机运行arp欺骗的木马程序时,会骗欺局域域网内所有主机和路由器,让所有上网所产生的数据都会经过带有病毒的主机。其他用户原来直接通过路由器上网现在转由通过病毒主机上网, 由于arp欺骗的木马程序发作的时候会发出大量的数据包导致局域网通讯拥塞以及其自身处理能力的限制,用户会感觉上网速度越来越慢。当arp欺骗的木马程序停止运行时,用户会恢复从路由器上网。4.2 arp协议漏洞arp高效运行的关键是由于每个主机都有一个arp高速缓存,这个缓存区采用了老化机制,存放了最近一段时间内ip地址到mac地址的映射记录。arp协议在收到一个应答时,即使它未能发出相应的请求,也会将ip-mac映射记录放入arp缓存下,不管ip-mac映射关系是否正确。4.3 arp攻击方式4.3.1简单的欺骗攻击这种欺骗攻击是最简单的,欺骗主机通过发送伪装arp包来欺骗网关和目标主机,让目标主机认可它。 4.3.2中间人攻击 中间人攻击是一种攻击者利用正常的协议处理行为来更改2个终端之间的正常通信数据而形成的一种攻击技术,此攻击具有隐蔽性强,危害性高的特点。图4.1 arp入侵检测功能图4.3.3mac洪泛由于交换机可以主动学习客户端的mac地址,并且可以建立和维护这个arp缓存表。当利用欺骗攻击大量的制造欺骗mac地址,arp缓存表就会被迅速添满,同时更新信息以洪泛方式发到所有的接口,造成交换机负载过大,导致网络瘫痪。4.4网络控制中心的防护 学校网络控制中心是学校网络的核心。控制中心除了提供设备外还安慰学校提供各种服务器,在网络控制中心我建议采用一下的中和防范策略: 1.在所有的服务器上安装windows 2003 server操作系统,并安装齐虎360杀毒软件,定期的进行杀毒和主程序的升级。 2.关闭服务器上一些不需要的服务、关闭各种共享的文件、尽量的少安装软件,保障服务器系统的安全。3.在核心的交换机上进行mac和ip地址的绑定,并将核心交换机设备和服务器地址单独划分成为vlan,解决ip被盗或者冲突的现象,防止别的用户,使用服务器地址,造成整个学校无法连接到服务器。mac和ip地址绑定的配置:switch(config)mac access-list extended mac10定义一个mac地址访问控制列表并且命名该列表名为mac10switch(config)permit host 0009.6bc4.d4bf any定义mac地址为0009.6bc4.d4bf的主机可以访问任意主机switch(config)permit any host 0009.6bc4.d4bf定义所有主机可以访问mac地址为0009.6bc4.d4bf的主机switch(config)ip access-list extended ip10定义一个ip地址访问控制列表并且命名该列表名为ip10switch(config)permit 192.168.0.1 0.0.0.0 any定义ip地址为192.168.0.1的主机可以访问任意主机switch(config)permit any 192.168.0.1 0.0.0.0定义所有主机可以访问ip地址为192.168.0.1的主机switch(config-if )interface fa0/20#进入配置具体端口的模式switch(config-if )mac access-group mac10 in在该端口上应用名为mac10的访问列表(即前面我们定义的访问策略)switch(config-if )ip access-group ip10 in在该端口上应用名为ip10的访问列表(即前面我们定义的访问策略)switch(config)no mac access-list extended mac10清除名为mac10的访问列表switch(config)no ip access-group ip10 in清除名为ip10的访问列表4.5学生区的防护 校园网中学生上网是占有较大比例的,网络管理员也没有办法给每个学生安装杀毒软件,现在学校的很多的同学存在着裸奔上网的方式,可在校园网中提供账号和密码,供学生通过客户端使用来登陆校园网,让学生在开通账号时注册下计算机的mac地址,为其分配固定的ip地址,进行绑定。管理员可以定期的发放信息通知最新病毒,和防御措施。具体步骤:1.学生注册时提供mac地址、分配ip地址和绑定。2.校园网网络系统中设置用户首次注册时绑定的mac+ip地址。3.管理员通过校园网来发布最新病毒消息,提供杀毒软件的下载。4.6客户端主机的防护 1.学校为了防御arp攻击采取了客户端主机安装奇虎360arp防火墙,此防火墙主要的作用是通过在系统内核层拦截arp攻击数据包,确保正确的mac地址不被修改,可以保障数据流向正确,不经过第三者,从来保证通讯数据的安全和网络的畅通,完美的解决了局域网内arp攻击问题。 2. 客户端可以使用arp命令来进行绑定mac地址,做好平时在主机mac的地址记录。同时可以编写个简单实用的文件,内容如下: echo off arp-d arp-s exit将该处理文件保存在造作系统启动项中,实现网关的静态绑定。4.7接入交换机做相应的安全配置相关交换机做端口与mac地址的静态绑定,使用可以防御arp的三层交换机,将用户、用户ip,用户mac 交换机断口进行绑定,启用arp-check过滤,过滤后的伪mac地址,限制arp流量,及时发现并自动阻断arp攻击断口,杜绝arp的攻击。在交换机处做好端口镜像设置,部署网络流量检测设备,时刻检测全网的arp广播包,查看其mac地址是否正确。用ethereal抓包工具使用sniffer抓包法,当局域网中有arp病毒欺骗时,会伴随着大量的arp欺骗广播数据包,这时流量检测机制能够发现网络的机场,并实时监控着来全网的arp数据包。当发现有某个arp数据包广播时,其ip地址是否为正确的ip地址,但其mac地址是其他电脑的mac地址时间,电脑确定是否为arp欺骗,给出ip地址,查出中毒主机。借助智能管理软件建立基于mac的局域网,每个交换机断口连接着一个终端,当网络出现未定义的mac地址的第一时间,交换机发出警报,根据不同的安全级别,将网络分段进行隔离,控制广播组的大小和位置,并能锁定网络使用者的mac地址,实现互相间的访问和控制,达到限制非法用户的访问目的。4.7.1端口和ip绑定的配置:#show runcurrent configuration : 5396 bytes!version 12.1no service padservice timestamps debug uptimeservicetimestamps log uptimeno service password-encryption!hostname 6065!enable secret 5 $1$kj.v$gf4osmkowfvoy7vkwi3j/.!ip subnet-zero!no ip domain-lookup!spanning-tree mode pvstno spanning-tree optimize bpdu transmissionspanning-tree extend system-idspanning-tree uplinkfast!interface fastethernet0/1switchport access vlan 30switchport mode accessip access-group ip1 inspanning-tree portfast!interface fastethernet0/2switchport access vlan 30switchport mode accessip access-group ip2 inspanning-tree portfast!interface fastethernet0/3switchport access vlan 30switchport mode accessip access-group ip3 inspanning-tree portfast!interface fastethernet0/4switchport access vlan 30switchport mode accessip access-group ip4 inspanning-tree portfast!interface fastethernet0/5switchport access vlan 30switchport mode accessip access-group ip5 inspanning-tree portfast!interface fastethernet0/6switchport access vlan 30switchport mode accessip access-group ip6 inspanning-tree portfast!interface fastethernet0/7switchport access vlan 30switchport mode accessip access-group ip7 inspanning-tree portfastinterface fastethernet0/8switchport access vlan 30switchport mode accessip access-group ip8 inspanning-tree portfast!interface fastethernet0/9switchport access vlan 30switchport mode accessip access-group ip9 inspanning-tree portfast!interface fastethernet0/10switchport access vlan 30switchport mode accessip access-group ip10 inspanning-tree portfast!interface fastethernet0/11switchport access vlan 30switchport mode accessip access-group ip11 inspanning-tree portfast!interface fastethernet0/12switchport access vlan 30switchport mode accessip access-group ip12 inspanning-tree portfast!interface fastethernet0/13switchport access vlan 30switchport mode accessip access-group ip13 inspanning-tree

温馨提示

  • 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
  • 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
  • 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
  • 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
  • 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
  • 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
  • 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。

评论

0/150

提交评论