1、 毕业 论文 局域网安全问题及对策 摘 要 随着计算机网络和互联网的 发展 ,局域网安 全 越来越受到人们的重视和关注。无论是在局域网还是在广域网中,都存在着 自然 和人为等诸多因素的潜在威胁和网络的脆弱性。故此,局域网的安全措施应是能全方位地针对各种不同的威胁和脆弱性,这样才能确保网络信息的保密 性、完整性和可用性。为了确保信息的安全与畅通,研究局域网的安全以及防范措施已迫在眉睫 。 关键词 : 计算 机 网络 网络安全 局域网安全 目 录 1 .绪论 . 1 1.1 计算机网络的定义 . 1 1.2 网络安全定义 . 1 1.3 局域网安全 . 1 1.3.1 来自互联网的安全威胁 . 1
2、 1.3.2 来自局域网内部的安全威胁 . 1 1.4 局域网当前形势及面临的问题 . 1 2.常用局域网的攻击方法 . 2 2.1 ARP 欺骗 . 2 2.1.1ARP 协议 . 2 2.1.2ARP 欺骗原理 . 3 2.1.3ARP 病毒清除 . 3 2.2 网络监听 . 4 2.2.1 网络监听的定义 . 4 2.2.2 网络监听的基本原理 . 4 2.2.3 网络监听的检测 . 4 2.2.4 网络监听的防范措施 . 5 3.无线局域网安全威胁 . 5 3.1 非授权访问 . 5 3.2 敏感信息泄露 . 6 3.3WEB 缺陷威胁 . 6 3.4 无线局域网的安全措施 . 6 3
3、.4.1 阻止非法用户的接入 . 6 3.4.2 实行动态加密 . 6 3.4.3 数据的访问控制 . 7 4.计算机局域网病毒及防治 . 7 4.1 局域网病毒 . 7 4.2 计 算机局域网病毒的防治措施 . 7 4.3 清除网络病毒 . 8 5.局域网安全防范系统 . 8 5.1 防火墙系统 . 8 5.1.1 防火墙概述 . 8 5.1.2 防火墙的体系结构 . 9 5.1.3 防火墙的功能 . 9 5.2 入侵检测系统 . 14 5.2.1 入侵检测系统概述 . 14 5.2.2 入侵检测原理 . 14 5.2.3 局域网入侵检测系统的构建方法 . 14 6.局域网安全防范策略 .
4、15 6.1 划分 VLAN 防止网络侦听 . 15 6.2 网络分段 . 16 6.3 以交换式集线器代替共享式集线器 . 16 6.4 实施 IP/MAC 绑定 . 16 总结 . 16 致 谢 . 18 参考文献 . 17 1 .绪论 1.1 计算 机网络的定义 计算机网络 ,就是利用通信设备和线路将地理位置不同的、功能独立的多个计算机系统互连起来 ,以功能完善的网络软件 (即网络通信协议、信息交换方式和网络操作系统等 )实现网络中资源共享和信息传递的系统。 计算机网络由通信子网和资源子网两部分构成。通信子网是计算机网络中负责数据通信的部分;资源子网是计算机网络中面向用户的部分,负责全网
5、络面向应用的数据处理工作。就局域网而言,通信子网由网卡、线缆、集线器、中继器、网桥、路由器、交换机等设备和相关软件组成。资源子网由连网的服务器、工作站、共享的打印机和其它设 备及相关软件所组成。 1.2 网络安全定义 网络安全是指网络系统的硬件、软件及其系统中的数据受到保护,不因偶然的或者恶意的原因而遭受到破坏、更改、泄露,系统连续可靠正常地运行,网络服务不中断。网络安全从其本质上来讲就是网络上的信息安全。 1.3 局域网安全 局域网的安全主要包括物理安全与逻辑安全。物理安全主要指网络硬件的维护、使用及管理等;逻辑安全是从软件的角度提出的,主要指数据的保密性、完整性、可用性等。 1.3.1 来
6、自互联网的安全威胁 局域网是与 Inernet 互连的。由于 Internet 的开放性、 国际性与自由性,局域网将面临更加严重的安全威胁。如果局域网与外部网络间没有采取一定的安全防护措施,很容易遭到来自 Internet 黑客的各种攻击。他们可以通过嗅探程序来探测、扫描网络及操作系统存在的安全漏洞,如网络 I P 地址、应用操作系统的类型、开放的 T C P 端口号、系统用来保存用户名和口令等安全信息的关键文件等,并通过相应攻击程序进行攻击。他们还可以通过网络监听等手段获得内部网用户的用户名、口令等信息,进而假冒内部合法身份进行非法登录,窃取内部网络中重要信息。还能通过发送大量数据包对网络服
7、务器进行攻 击,使得服务器超负荷工作导致拒绝服务,甚至使系统瘫痪。 1.3.2 来自局域网内部的安全威胁 内部管理人员把内部网络结构、管理员口令以及系统的一些重要信息传播给外人带来信息泄漏;内部职工有的可能熟悉服务器、小程序、脚本和系统的弱点,利用网络开些小玩笑,甚至搞破坏。如,泄漏至关重要的信息、错误地进入数据库、删除数据等,这些都将给网络造成极大的安全威胁。 1.4 局域网当前形势及面临的问题 随着局域网络技术的发展和社会信息化进程的加快 ,现在人们的生活、工作、学习、娱乐和交往都已离不开计算机网络。现今,全球网民 数量已接近 7 亿,网络已经成为生活离不开的工具,经济、文化、军事和社会活
8、动都强烈地依赖于网络。网络环境的复杂性、多变性以及信息系统的脆弱性、开放性和易受攻击性,决定了网络安全威胁的客观存在。尽管计算机网络为人们提供了巨大的方便,但是受技术和社会因素的各种影响,计算机网络一直存在着多种安全缺陷。攻击者经常利用这些缺陷,实施攻击和入侵,给计算机网络造成极大的损害网络攻击、病毒传播、垃圾邮件等迅速增长,利用网络进行盗窃、诈骗、敲诈勒索、窃密等案件逐年上升,严重影响了网络的正常秩序,严重损害了网民的利益;网上色情、暴 力等不良和有害信息的传播,严重危害了青少年的身心健康。网络系统的安全性和可靠性正在成为世界各国共同关注的焦点。 根据中国互联网信息中心 2006 年初发布的
9、统计报告显示:我国互联网网站近百万家,上网用户 1 亿多,网民数和宽带上网人数均居全球第二。同时,网络安全风险也无处不在,各种网络安全漏洞大量存在和不断被发现,计算机系统遭受病毒感染和破坏的情况相当严重,计算机病毒呈现出异常活跃的态势。面对网络安全的严峻形势,我国的网络安全保障工作尚处于起步阶段,基础薄弱,水平不高,网络安全系统在预测、反应、防范和恢复能力方 面存在许多薄弱环节,安全防护能力不仅大大低于美国、俄罗斯和以色列等信息安全强国,而且排在印度、韩国之后。在监督管理方面缺乏依据和标准,监管措施不到位,监管体系尚待完善,网络信息安全保障制度不健全、责任不落实、管理不到位。网络信息安全法律法
10、规不够完善,关键技术和产品受制于人,网络信息安全服务机构专业化程度不高,行为不规范,网络安全技术与管理人才缺乏。 面对网络安全的严峻形势,如何建设高质量、高稳定性、高可靠性的安全网络成为通信行业乃至整个社会发展所要面临和解决的重大课题。 2.常用局域网的攻击方法 2.1 ARP 欺骗 2.1.1ARP 协议 ARP( Address Resolution Protocol)是地址解析协议,是一种将 IP 地址转化成物理地址的协议。 ARP 具体说来就是将网络层( IP 层,也就是相当于 OSI 的第三层)地址解析为数据连接层( MAC 层,也就是相当于 OSI 的第二层)的 MAC 地址。 A
11、RP 原理:某机器 A 要向主机 B 发送报文,会查询本地的 ARP 缓存表,找到 B 的 IP地址对应的 MAC 地址后,就会进行数据传输。如果未找到,则广播 A 一个 ARP 请求报文(携带主机 A 的 IP 地址 IA物理地址 PA),请求 IP 地 址为 IB的主机 B 回答物理地址 PB。网上所有主机包括 B 都收到 ARP 请求,但只有主机 B 识别自己的 IP 地址,于是向 A 主机发回一个 ARP 响应报文。其中就包含有 B 的 MAC 地址, A 接收到 B 的应答后,就会更新本地的 ARP 缓存。接着使用这个 MAC 地址发送数据(由网卡附加 MAC 地址)。因此,本地高速
12、缓存的这个 ARP 表是本地网络流通的基础,而且这个缓存是动态的。 假如我们有两个网段、三台主机、两个网关、分别是: 主机名 IP 地址 MAC 地址 网关 1 192.168.1.1 01-01-01-01-01-01 主机 A 192.168.1.2 02-02-02-02-02-02 主机 B 192.168.1.3 03-03-03-03-03-03 网关 2 10.1.1.1 04-04-04-04-04-04 主机 C 10.1.1.2 05-05-05-05-05-05 假如主机 A 要与主机 B 通讯,它首先会通过网络掩码比对,确认出主机 B 是否在自己同一网段内,如果在它就会
13、检查自己的 ARP 缓存中是否有 192.168.1.3 这个地址对应的 MAC地址,如果 没有它就会向局域网的广播地址发送 ARP 请求包,即目的 MAC 地址是全 1 的广播询问帧, 0xffffffffffffH 02-02-02-02-02-02 192.168.1.3 192.168.1.2;如果 B 存在的话,必须作出应答,回答 B 的 MAC 地址是 的 单 播 应 答 帧 ,02-02-02-02-02-02 03-03-03-03-03-03 192.168.1.2 192.168.1.3 ; A 收 到 应答 帧 后, 把192.168.1.3 03-03-03-03-03
14、-03 动态 写入 ARP 表。这样的话主 机 A 就得到了主机 B 的MAC 地址,并且它会把这个对应的关系存在自己的 ARP 缓存表中。之后主机 A 与主机 B之间的通讯就依靠两者缓存表里的 MAC 地址来通讯了,直到通讯停止后两分钟,这个对应关系才会被从表中删除。 如果是非局域网内部的通讯过程,假如主机 A 需要和主机 C 进行通讯,它首先会通过比对掩码发现这个主机 C 的 IP 地址并不是自己同一个网段内的,因此需要通过网关来转发,这样的话它会检查自己的 ARP 缓存表里是否有网关 1(192.168.1.1)对应的 MAC 地址,如果没有就通过 ARP 请求获得,如果有就直接与网关通
15、讯,然后 再由网关 1 通过路由将数据包送到网关 2,网关 2 收到这个数据包后发现是送给主机 C( 10.1.1.2)的,它就会检查自己的 ARP 缓存(没错,网关一样有自己的 ARP 缓存),看看里面是否有 10.1.1.2对应的 MAC 地址,如果没有就使用 ARP 协议获得,如果有就是用该 MAC 地址将数据转发给主机 C。 2.1.2ARP 欺骗原理 在以太局域网内数据包传输依靠的是 MAC 地址, IP 地址与 MAC 对应的关系依靠 ARP表,每台主机(包括网关)都有一个 ARP 缓存表。在正常情况下这个缓存表能够有效的保证数据传输的一对一性,也就是说主机 A 与主机 C 之间的
16、通讯只通过网关 1 和网关 2,像主机 B 之类的是无法截获 A 与 C 之间的通讯信息的。但是在 ARP 缓存表的实现机制中存在一个不完善的地方,当主机收到一个 ARP 的应答包后,它并不会去验证自己是否发送过这个 ARP 请求,而是直接将应答包里的 MAC 地址与 IP 对应的关系替换掉原有的 ARP缓存表里的相应信息。 这就导致主机 B 截取主机 A 与主机 C 之间的数据通信成为可能。首先主机 B 向主机A 发送一个 ARP 应答包说 192.168.1.1 的 MAC 地址是 03-03-03-03-03-03,主机 A 收到这个包后并没有去验证包的真实性 而是直接将自己 ARP 列
17、表中的 192.168.1.1 的 MAC 地址替换成 03-03-03-03-03-03,同时主机 B 向网关 1 发送一个 ARP 响应包说 192.168.1.2 的MAC 是 03-03-03-03-03-03,同样网关 1 也没有去验证这个包的真实性就把自己 ARP 表中的 192.168.1.2 的 MAC 地址替换成 03-03-03-03-03-03。当主机 A 想要与主机 C 通讯时,它直接把应该发送给网关 1(192.168.1.1)的数据包发送到 03-03-03-03-03-03 这个 MAC 地址,也就是发给了主机 B,主机 B 在收到这个包后经过修改再转发给真正的网
18、关 1,当从主机C 返回的数据包到达网关 1 后,网关 1 也使用自己 ARP 表中的 MAC,将发往 192.168.1.2这个 IP 地址的数据发往 03-03-03-03-03-03 这个 MAC 地址也就是主机 B,主机 B 在收到这个包后再转发给主机 A 完成一次完整的数据通讯,这样就成功的实现了一次 ARP 欺骗攻击。因此简单点说 ARP 欺骗的目的就是为了实现全交换环境下的数据监听与篡改。也就是说欺骗者必须同时对网关和主机进行欺骗。 2.1.3ARP 病毒清除 感染病毒后,需要立即断开网络,以免影响其他 电脑使用。重新启动到 DOS 模式下,用杀毒软件进行全面杀毒。 临时处理对策
19、: 步骤一、能上网情况下,输入命令 arp a,查看网关 IP 对应的正确 MAC 地址,将其记录下来。如果已经不能上网,则运行一次命令 arp d 将 arp 缓存中的内容删空,计算机可暂时恢复上网(攻击如果不停止的话),一旦能上网就立即将网络断掉(禁用网卡或拔掉网线),再运行 arp a。 步骤二、如果已经有网关的正确 MAC 地址,在不能上网时,手工将网关 IP 和正确MAC 绑定,可确保计算机不再被攻击影响。输入命令: arp s,网关 IP 网关 MAC 手工绑定在计算机关机重开机后就会失效,需要再绑定。可以把该命令放在 autoexec.bat 中,每次开机即自动运行。 2.2 网
20、络监听 2.2.1 网络监听的定义 众所周知,电话可以进行监听,无线电通讯可以监听,而计算机网络使用的数字信号在线路上传输时,同样也可以监听。网络监听也叫嗅探器,其英文名是 Sniffer,即将网络上传输的数据捕获并进行分析的行为。 网络监听,在网络安全上一直是一个比较敏感的话题,作为一种发展比较成熟的技术,监听在协助网络管理员监测网络传输数据,排除网络故障等方面具有不可替代的作 用,因而一直备受网络管理员的青睐。然而,在另一方面网络监听也给网络安全带来了极大的隐患,许多的网络入侵往往都伴随着网络监听行为,从而造成口令失窃,敏感数据被截获等连锁性安全事件。 2.2.2 网络监听的基本原理 局域
21、网中的数据是以广播方式发送的,局域网中的每台主机都时刻在监听网络中传输的数据,主机中的网卡将监听到的数据帧中的 MAC 地址与自己的 MAC 地址进行比较,如果两者相同就接收该帧,否则就丢掉该帧。如果把对网卡进行适当的设置和修改,将它设置为混杂模式,在这种状态下它就能接收网络中的每一个信息包。网络监听 就是依据这种原理来监测网络中流动的数据。 2.2.3 网络监听的检测 2.2.3.1 在本地计算机上进行检测 ( 1)检查网卡是否处于混杂模式。可以利用一些现成的工具软件来发现,例如: AntiSniff,ARP 探测技术。也可以编写一些程序来实现。在 Linux 下,有现成的函数,比较容易实现
22、,而在 Windows 平台上,并没有现成的函数来实现这个功能,要自己编写程序来实现。可以利用一些现成的工具软件来发现,例如: AntiSniff, ARP 探测技术。也可以编写一些程序来实现。在 Linux 下,有现成的函数,比 较容易实现,而在 Windows 平台上,并没有现成的函数来实现这个功能,要自己编写程序来实现。 ( 2)搜索法。在本地主机上搜索所有运行的进程,就可以知道是否有人在进行网络监听。在 Windows 系统下,按下 Ctrl+Alt+Del 可以得到任务列表,查看是否有监听程序在运行。如果有不熟悉的进程,或者通过跟另外一台机器比较,看哪些进程是有可能是监听进程。 2.
23、2.3.2 在其它计算机上进行检测 。 ( 1)观察法。如果某台电脑没有监听的话,无论是信息的传送还是电脑对信息的响应时间等方面都是正常的,如果被监听的话,就 会出现异常情况。我们可以通过观察一些异常情况来判断电脑是否有被监听。 网络通讯掉包率是否反常地高。例如 ping 命令会显示掉了百分几的信息包。如果网络中有人在监听,就会拦截每个信息包,从而导致信息包丢包率提高。 网络带宽是否出现反常。如果某台计算机长时间的占用了较大的带宽,对外界的响应很慢,这台计算机就有可能被监听。 机器性能是否下降。向网上发大量不存在的物理地址的包,而监听程序往往就会将这些包进行处理,这样就会导致机器性能下降,可以
24、用 icmp echo delay 来判断和比较它。 ( 2) PING 法。这种检测原理基于以太网的数据链路层和 TCP/IP 网络层的实现,是一种非常有效的测试方法。 ping 法的原理:如果一个以太网的数据包的目的 MAC 地址不属于本机,该包会在以太网的数据链路层上被抛弃,无法进入 TCP/IP 网络层;进入 TCP/IP 网络层的数据包,如果解析该包后,发现这是一个包含本机 ICMP 回应请示的 TCP 包 (PING 包 ),则网络层向该包的发送主机发送 ICMP 回应。 我们可以构造一个 PING 包,包含正确的 IP 地址和错误的 MAC 地址,其中 IP 地址是可疑主机的 I
25、P 地址, MAC 地址是伪造的,这样如果可疑主机的网卡工作在正常模式,则该包将在可疑主机的以太网的数据链路层上被丢弃, TCP/IP 网络层接收不到数据因而也不会有什么反应。如果可疑主机的网卡工作在混杂模式,它就能接收错误的 MAC 地址,该非法包会被数据链路层接收而进入上层的 TCP/IP 网络层, TCP/IP 网络层将对这个非法的PING 包产生回应,从而暴露其工作模式。 使用 PING 方法的具体步骤及结论如下: 假设可疑主机的 IP 地址为 192.168.10.11, MAC 地址是 00-E0-4C-3A-4B-A5,检测者和可疑主机位于同一网段。 稍微修改可疑主机的 MAC
26、地址,假设改成 00-E0-4C-3A-4B-A4。 向可疑主机发送一个 PING 包,包含它的 IP 和改动后的 MAC 地址。 没有被监听的主机不能够看到发送的数据包,因为正常的主机检查这个数据包,比较数据包的 MAC 地址与自己的 MAC 地址不相符,则丢弃这个数据包,不产生回应。 如果看到回应,说明数据包没有被丢弃,也就是说,可疑主机被监听了。 ( 3) ARP 法。除了使用 PING 进行监测外,还可以利用 ARP 方式进行 监测的。这种模式使用 ARP 数据包替代了上述的 ICMP 数据包。向局域网内的主机发送非广播方式的ARP 包,如果局域网内的某个主机以自己的 IP 地址响应了
27、这个 ARP 请求,那么就可以判断它很可能就处于网络监听模式了。 ( 4)响应时间测试法。这种检测已被证明是最有效的。它能够发现网络中处于监听模式的机器,而不管其操作系统是什么。非监听模式的机器的响应时间变化量会很小,而监听模式的机器的响应时间变化量则通常会较大。 2.2.4 网络监听的防范措施 为了防止网络上的主机被监听,有多种技术手段,可以归纳为以下 三类。 第一种是预防,监听行为要想发生,一个重要的前提条件就是网络内部的一台有漏洞的主机被攻破,只有利用被攻破的主机,才能进行监听,从而收集以网络内重要的数据。因此,要预防网络中的主机被攻破。这就要求我们养成良好的使用计算机的习惯,不随意下载
28、和使用来历不明的软件,及时给计算机打上补丁程序,安装防火墙等措施,涉及到国家安全的部门还应该有防电辐射技术,干扰技术等等,防止数据被监听。 二是被动防御,主要是采取数据加密技术,数据加密是对付监听的最有效的办法。网上的信息绝大多数都是以明文的形式传输,容易辨认。一 旦口令被截获,入侵者就可以非常容易地登录到另一台主机。对在网络上传输的信息进行加密后,监听器依然可以捕获传送的信息,但显示的是乱码。使用加密技术,不但可以防止非授权用户的搭线窃听和入网,而且也是对付恶意软件的有效方法之一,但是它的缺点是速度问题。几乎所有的加密技术都将导致网络的延迟,加密技术越强,网络速度就越慢。只有很重要的信息才采
29、用加密技术进行保护。 三是主动防御,主要是使用安全的拓扑结构和利用交换机划分 VLAN,这也是限制网络监听的有效方法,这样的监听行为只能发生在一个虚拟网中,最大限度地降低了监听的危害,但需要增加硬件设备的开支,实现起来要花费不少的钱。 3.无线局域网安全威胁 3.1 非授权访问 无线网络中每个 AP 覆盖的范围都形成了通向网络的一个新的入口。所以,未授权实体可以从外部或内部进入网络,浏览存放在网络上的信息;另外,也可以利用该网络作为攻击第三方的出发点,对移动终端发动攻击。而且, IEEE 802.11 标准采用单向认证机制,只要求 STA 向 AP 进行认证,不要求 AP 向 STA 进行认证
30、。入侵者可以通过这种协议上的缺陷对 AP 进行认证进行攻击,向 AP 发送大量的认证请求帧,从而导致 AP 拒绝服务。 3.2 敏感信息泄露 WLAN 物理层的信号是无线、全方位的空中传播,开放传输使得其物理层的保密性无法保证。 WLAN 无线信号的覆盖范围一般都会超过实际需求,只要在信号覆盖范围内入侵者就可以利用无线监听技术捕获无线网络的数据包,对网络通信进行分析,从而获取有用信息。目前窃听已经成为无线局域网面临的最大问题之一。 3.3WEB 缺陷威胁 有线等效保密 WEP 是 IEEE 802.11 无线局域网标准的一部分,它的主要作用是为无线网络上的信息提供和有线网络同一等级的机密性。
31、IEEE 选择在数据链路层用 RC4 算法加密来 防止对网络进行窃听。 WEP 在每一个数据包中使用完整性校验字段来保证数据在传输过程中不被窜改,它使用了 CRC-32 校验。在 WEP 中明文通过和密钥流进行异或产生密文,为了加密, WEP 要求所有无线网络连接共享一个密钥。实际上,网络只使用一个或几个密钥,也很少更换。 WEP 算法根据密钥和初始化向量 IV 产生密钥流,确保后续的数据包用不同的密钥流加密。但 IV 在一个相当短的时间内重用,使用 24 位的 IV 并不能满足要求。一个 24 位的字段包含 16777216 个可能值 , 假设网络流量是 11M, 传输 2000 字节的包,
32、在 7 个小时左右 , IV 就会重用。 CRC-32 不是一个很适合 WEP 的完整性校验 , 即使部分数据以及 CRC-32 校验码同时被修改也无法校验出来。 3.4 无线局域网的安全措施 3.4.1 阻止非法用户的接入 ( 1)基于服务设置标识符 (SSID)防止非法用户接入 服务设置标识符 SSID 是用来标识一个网络的名称,以此来区分不同的网络,最多可以有 32 个字符。无线工作站设置了不同的 SSID 就可以进入不同网络。无线工作站必须提供正确的 SSID 与无线访问点 AP 的 SSID 相同,才能访问 AP;如果出示的 SSID 与 AP 的SSID 不同,那么 AP 将拒绝它通过本服务区上网。因此可以认为 SSID 是一个简单的口令,从而提供口令认证机制,阻止非法用户的接入,保障无线局域网的安全。 SSID 通常由 AP广播出来,例如通过 windows XP 自带的扫描功能可以查看当前区域内的 SSID。出于安全考虑,可禁止 AP 广播其 SSID 号,这样无线工作站端就必须主动提供正确的 SSID 号才能与 AP 进行关联。 ( 2)基于无线网卡物理地址过滤防止非法用户接入 由于每个无线工作站的网卡都