1、局域网环境下假设干平安问题及对策 论文关键词:计算机网络网络平安局域网平安 广域网 论文。随着计算机网络和互联网的开展,局域网平安越来越受到人们的重视和关注。无论是在局域网还是在广域网中,都存在着自然和人为等诸多因素的潜在威胁和网络的脆弱性。故此,局域网的平安措施应是能全方位地针对各种不同的威胁和脆弱性,这样才能确保网络信息的保密性、完整性和可用性。为了确保信息的平安与畅通,研究局域网的平安以及防范措施已迫在眉睫。 1.当前局域网平安形势 1.1 计算机网络的定义 计算机网络,就是利用通信设备和线路将地理位置不同的、功能独立的多个计算机系统互连起来,以功能完善的网络软件即网络通信协议、信息交换
2、方式和网络操作系统等实现网络中资源共享和信息传递的系统。 计算机网络由通信子网和资源子网两局部构成。通信子网是计算机网络中负责数据通信的局部;资源子网是计算机网络中面向用户的局部,负责全网络面向应用的数据处理工作。就局域网而言,通信子网由网卡、线缆、集线器、中继器、网桥、路由器、交换机等设备和相关软件组成。资源子网由连网的效劳器、工作站、共享的打印机和其它设备及相关软件所组成。 1.2 网络平安定义 网络平安是指网络系统的硬件、软件及其系统中的数据受到保护,不因偶然的或者恶意的原因而遭受到破坏、更改、泄露,系统连续可靠正常地运行,网络效劳不中断。网络平安从其本质上来讲就是网络上的信息平安。 1
3、.3 局域网平安 局域网的平安主要包括物理平安与逻辑平安。物理平安主要指网络硬件的维护、使用及管理等;逻辑平安是从软件的角度提出的,主要指数据的保密性、完整性、可用性等。 1.3.1 来自互联网的平安威胁 局域网是与inernet互连的。由于internet的开放性、国际性与自由性,局域网将面临更加严重的平安威胁。如果局域网与外部网络间没有采取一定的平安防护措施,很容易遭到来自internet 黑客的各种攻击。他们可以通过嗅探程序来探测、扫描网络及操作系统存在的平安漏洞,如网络i p 地址、应用操作系统的类型、开放的t c p 端口号、系统用来保存用户名和口令等平安信息的关键文件等,并通过相应
4、攻击程序进行攻击。他们还可以通过网络监听等手段获得内部网用户的用户名、口令等信息,进而假冒内部合法身份进行非法,窃取内部网络中重要信息。还能通过发送大量数据包对网络效劳器进行攻击,使得效劳器超负荷工作导致拒绝效劳,甚至使系统瘫痪。 1.3.2 来自局域网内部的平安威胁 内部管理人员把内部网络结构、管理员口令以及系统的一些重要信息传播给外人带来信息泄漏;内部职工有的可能熟悉效劳器、小程序、脚本和系统的弱点,利用网络开些小玩笑,甚至搞破坏。如,泄漏至关重要的信息、错误地进入数据库、删除数据等,这些都将给网络造成极大的平安威胁。 1.4 局域网当前形势及面临的问题 随着局域网络技术的开展和社会信息化
5、进程的加快,现在人们的生活、工作、学习、娱乐和交往都已离不开计算机网络。现今,全球网民数量已接近7亿,网络已经成为生活离不开的工具,经济、文化、军事和社会活动都强烈地依赖于网络。网络环境的复杂性、多变性以及信息系统的脆弱性、开放性和易受攻击性,决定了网络平安威胁的客观存在。尽管计算机网络为人们提供了巨大的方便,但是受技术和社会因素的各种影响,计算机网络一直存在着多种平安缺陷。攻击者经常利用这些缺陷,实施攻击和入侵,给计算机网络造成极大的损害网络攻击、病毒传播、垃圾邮件等迅速增长,利用网络进行盗窃、诈骗、敲诈勒索、窃密等案件逐年上升,严重影响了网络的正常秩序,严重损害了网民的利益;网上色情、暴力
6、等不良和有害信息的传播,严重危害了青少年的身心健康。网络系统的平安性和可靠性正在成为世界各国共同关注的焦点。 根据中国互联网信息中心2023年初发布的统计报告显示:我国互联网网站近百万家,上网用户1亿多,网民数和宽带上网人数均居全球第二。同时,网络平安风险也无处不在,各种网络平安漏洞大量存在和不断被发现,计算机系统遭受病毒感染和破坏的情况相当严重,计算机病毒呈现出异常活泼的态势。面对网络平安的严峻形势,我国的网络平安保障工作尚处于起步阶段,根底薄弱,水平不高,网络平安系统在预测、反响、防范和恢复能力方面存在许多薄弱环节,平安防护能力不仅大大低于美国、俄罗斯和以色列等信息平安强国,而且排在印度、
7、韩国之后。在监督管理方面缺乏依据和标准,监管措施不到位,监管体系尚待完善,网络信息平安保障制度不健全、责任不落实、管理不到位。网络信息平安法律法规不够完善,关键技术和产品受制于人,网络信息平安效劳机构专业化程度不高,行为不标准,网络平安技术与管理人才缺乏。 面对网络平安的严峻形势,如何建设高质量、高稳定性、高可靠性的平安网络成为通信行业乃至整个社会开展所要面临和解决的重大课题。 2.常用局域网的攻击方法 2.1 arp欺骗 2.1.1 arp协议 arpaddress resolution protocol是地址解析协议,是一种将ip地址转化成物理地址的协议。arp具体说来就是将网络层ip层,
8、也就是相当于osi的第三层地址解析为数据连接层mac层,也就是相当于osi的第二层的mac地址。 arp原理。某机器a要向主机b发送报文,会查询本地的arp缓存表,找到b的ip地址对应的mac地址后,就会进行数据传输。如果未找到,那么播送a一个arp请求报文携带主机a的ip地址ia物理地址pa,请求ip地址为ib的主机b答复物理地址pb。网上所有主机包括b都收到arp请求,但只有主机b识别自己的ip地址,于是向a主机发回一个arp响应报文。其中就包含有b的mac地址,a接收到b的应答后,就会更新本地的arp缓存。接着使用这个mac地址发送数据由网卡附加mac地址。因此,本地高速缓存的这个arp
9、表是本地网络流通的根底,而且这个缓存是动态的。 假设我们有两个网段、三台主机、两个网关、分别是: 主机名 ip地址 mac地址 网关1 192.168.1.1 01-01-01-01-01-01 主机a 192.168.1.2 02-02-02-02-02-02 主机b 192.168.1.3 03-03-03-03-03-03 网关2 10.1.1.1 04-04-04-04-04-04 主机c 10.1.1.2 05-05-05-05-05-05 假设主机a要与主机b通讯,它首先会通过网络掩码比对,确认出主机b是否在自己同一网段内,如果在它就会检查自己的arp缓存中是否有192.168.1
10、.3这个地址对应的mac地址,如果没有它就会向局域网的播送地址发送arp请求包,即目的mac地址是全1的播送询问帧,0xffffffffffffh 02-02-02-02-02-02 192.168.1.3 192.168.1.2;如果b存在的话,必须作出应答,答复“b的mac地址是的单播应答帧,02-02-02-02-02-02 03-03-03-03-03-03 192.168.1.2 192.168.1.3;a收到应答帧后,把“192.168.1.3 03-03-03-03-03-03 动态写入arp表。这样的话主机a就得到了主机b的mac地址,并且它会把这个对应的关系存在自己的arp缓
11、存表中。之后主机a与主机b之间的通讯就依靠两者缓存表里的mac地址来通讯了,直到通讯停止后两分钟,这个对应关系才会被从表中删除。 如果是非局域网内部的通讯过程,假设主机a需要和主机c进行通讯,它首先会通过比对掩码发现这个主机c的ip地址并不是自己同一个网段内的,因此需要通过网关来转发,这样的话它会检查自己的arp缓存表里是否有网关1192.168.1.1对应的mac地址,如果没有就通过arp请求获得,如果有就直接与网关通讯,然后再由网关1通过路由将数据包送到网关2,网关2收到这个数据包后发现是送给主机c10.1.1.2的,它就会检查自己的arp缓存没错,网关一样有自己的arp缓存,看看里面是否
12、有10.1.1.2对应的mac地址,如果没有就使用arp协议获得,如果有就是用该mac地址将数据转发给主机c。 2.1.2 arp欺骗原理 在以太局域网内数据包传输依靠的是mac地址,ip地址与mac对应的关系依靠arp表,每台主机包括网关都有一个arp缓存表。在正常情况下这个缓存表能够有效的保证数据传输的一对一性,也就是说主机a与主机c之间的通讯只通过网关1和网关2,像主机b之类的是无法截获a与c之间的通讯信息的。但是在arp缓存表的实现机制中存在一个不完善的地方,当主机收到一个arp的应答包后,它并不会去验证自己是否发送过这个arp请求,而是直接将应答包里的mac地址与ip对应的关系替换掉
13、原有的arp缓存表里的相应信息。 这就导致主机b截取主机a与主机c之间的数据通信成为可能。首先主机b向主机a发送一个arp应答包说192.168.1.1的mac地址是03-03-03-03-03-03,主机a收到这个包后并没有去验证包的真实性而是直接将自己arp列表中的192.168.1.1的mac地址替换成03-03-03-03-03-03,同时主机b向网关1发送一个arp响应包说192.168.1.2的mac是03-03-03-03-03-03,同样网关1也没有去验证这个包的真实性就把自己arp表中的192.168.1.2的mac地址替换成03-03-03-03-03-03。当主机a想要与
14、主机c通讯时,它直接把应该发送给网关1192.168.1.1的数据包发送到03-03-03-03-03-03这个mac地址,也就是发给了主机b,主机b在收到这个包后经过修改再转发给真正的网关1,当从主机c返回的数据包到达网关1后,网关1也使用自己arp表中的mac,将发往192.168.1.2这个ip地址的数据发往03-03-03-03-03-03这个mac地址也就是主机b,主机b在收到这个包后再转发给主机a完成一次完整的数据通讯,这样就成功的实现了一次arp欺骗攻击。因此简单点说arp欺骗的目的就是为了实现全交换环境下的数据监听与篡改。也就是说欺骗者必须同时对网关和主机进行欺骗。 2.1.3 arp病毒去除 感染病毒后,需要立即断开网络,以免影响其他使用。重新启动到dos模式下,用杀毒软件进行全面杀毒。 临时处理对策: 步骤一、能上网情况下,输入命令arp a,查看网关ip对应的正确mac地址,将其记录下来。如果已经不能上网,那么运行一次命令arp d将arp缓存中的内容删空,计算机可暂时恢复上网攻击如果不停止的话,一旦能上网就立即将网络断掉禁用网卡或拔掉网线,再运行arp a。 步骤二、如果已经有网关的正确mac地址,在不能上网时,手工将网关ip和正确mac绑定,可确保计算机不再被攻击影响。输入命令:arp
