《毕业设计(论文)开题报告典型网路环境下路由器攻击与防范.doc》由会员分享,可在线阅读,更多相关《毕业设计(论文)开题报告典型网路环境下路由器攻击与防范.doc(8页珍藏版)》请在三一办公上搜索。
1、毕业设计(论文)开题报告课 题 名 称 : 典型网络环境下路由器攻击与防范 学 院 : 计算机科学与技术学院 专 业 : 软件工程 姓 名 : 仲琍巍 _ 学 号 : 03096230 指 导 教 师 : 刘晖 二零零六年十月十七日路由器攻击1、背景介绍目前计算机网络面临着很大的威胁,其构成的因素是多方面的。这种威胁将不断给社会带来了巨大的损失。网络安全已被信息社会的各个领域所重视。随着计算机网络的不断发展,全球信息化已成为人类发展的大趋势;给政府机构、企事业单位带来了革命性的改革。但由于计算机网络具有联结形式多样性、终端分布不均匀性和网络的开放性、互连性等特征,致使网络易受黑客、病毒、恶意软
2、件和其他不轨的攻击,所以网上信息的安全和保密是一个至关重要的问题。对于军用的自动化指挥网络、C3I系统、银行和政府等传输敏感数据的计算机网络系统而言,其网上信息的安全和保密尤为重要。因此,上述的网络必须有足够强的安全措施,否则该网络将是个无用、甚至会危及国家安全的网络。无论是在局域网还是在广域网中,都存在着自然和人为等诸多因素的潜在威胁和网络的脆弱性。故此,网络的安全措施应是能全方位地针对各种不同的威胁和脆弱性,这样才能确保网络信息的保密性、完整性和可用性。为了确保信息的安全与畅通,研究计算机网络的安全以及防范措施已迫在眉睫。而在网络安全中,路由器起着关键的作用,在数据交换,数据传递的效率和安
3、全性方面影响着整个网络的安全。2、研究现状2.1第五代路由器的出现和现状以ASIC为技术体系的GSR的出现,使得路由器的性能大大提高,但是,这种路由器主要满足数据业务(文字、图片)的快速转发,不能解决全业务(语音、数据、视频、专线)的传送要求。随着网络规模的扩大,这个矛盾越来越突出,有人意识到了这个问题的严重性。1998年,美国康奈尔(Cornell)大学的S.Keshav和Rosen Sharma在IEEE通信杂志上发表了Issues and Trends in Router Design的论文,提出骨干路由器需要在提高性能的同时,解决流识别、简易配置等问题,指明了路由器设计的新潮流。华盛顿
4、大学的Tilman Wolf进一步研究了高性能路由器的设计,发表论文,从理论上提出基于网络处理器技术的路由器将能够解决GSR存在的问题,并由此提出下一代路由器(第五代路由器)的理念。 许多设备厂家开始把理论付诸实践。华为是率先采用高性能网络处理器来设计第五代路由器并提供全系列产品的厂家,在新世纪里,网络处理器技术成为了路由器设计的主流,第五代路由器成为骨干业务网络发展的关键支撑技术。2.2第五代路由器研发的必要性一般人们在看待骨干网络设备的时候,认为骨干网络的首要指标是高性能和高可靠性,在骨干节点中最好只实现简单的转发能力,而把复杂的业务处理留在网络边缘位置。随着网络和业务的发展,IP网络不再
5、仅仅只是用来互联网浏览,还需要承载语音/视频等实时业务,需要有整个网络都支持QoS的能力;IP网络也不再仅仅只 是针对个人上网用户,还需要给商业集团用户提供诸如MPLS VPN之类的业务;在IP网络上还往往要开展流媒体等业务,这就要求所有网络节点都支持组播;今后还需要平滑升级支持IPv6。最后,虽然我们尽力要把复杂业务放在网络边缘设备来实现,但是这些业务也需要骨干设备具备相应的支持和配合能力。骨干设备仅仅只是高性能地实现IP报文转发,并不能满足网络业务发展要求,MPLS VPN、组播、QoS、IPv6、安全等技术已成为骨干设备的基本特性与要求,现在骨干设备既要支持QoS、组播、MPLS VPN
6、等特性,同时,由于IP技术与业务的发展变化非常快,设备也必须具备平滑升级和快速提供业务升级的能力。这在基于ASIC技术的GSR设备中几乎是 不可能的,一方面因为ASIC的开发周期太长,另一方面用ASIC来实现太复杂,难度太大。网络处理器的出现正好给第五代路由器提供了技术基础,它能够在提供丰富业务的情况下,仍然保持高速转发的特点。华为公司在高端路由器上率先采用了网络处理器技术,形成了Quidway NetEngine 80核心第五代路由Quidway NetEngine40-2/40-4/40-8/20-2/20-4/20-8 系列汇聚层通用交换第五代路由器,能够满足不同网络规模和网络层次构建网
7、络的需要,它在满足骨干业务网络需求的设备及解决方案中已经处于业界领先地位,是骨干路由器设备发展的里程碑。2.3第五代路由器应用前景 第一世界国家(欧洲、北美)由于在网络建设方面比较早,形成了比较完善的ATM网络,有服务质量要求的业务基本通过ATM网络和直连光纤(泡沫经济时埋了大量光纤,价格非常低廉)承载,通过ASIC体系结构的GSR构建的互联IP网主要满足数据业务(文字、图片)的快速转发,对于在IP网络上提供全业务(语音、数据、视频、专线)的需求并不迫切,主要是因为涉及原有投资保护问题。第三世界国家在信息技术的需求方面比较滞后,更为重要的是,由于这些国家缺乏自主知识产权的本土企业,一方面,设备
8、及解决方案都依赖进口,国家信息化的成本居高不下;另一方面,国外企业由于市场容量等问题,不愿意为这些国家定制产品,他们只能购买到标准产品,阻碍了信息化的快速发展。对于我国来说,一方面,由于网络建设时间较晚,无论是运营商还是企业,目前基本上已形成以IP为核心的网络,光纤资源比较有限并且成本高,对于在IP网络 上承载全业务(语音、数据、视频、专线)的需求最为迫切。另一方面,由于国内有华为这样的本土企业,并且有着电信领域背景,这些年来,一直将传统电信的理念、产品设计、网路构建及可管理特性引入到IP技术领域,围绕IP网络全业务支撑能力一直与相关研究机构及客户交流,目前基本实现了第五代路由器骨干网络业务支
9、持、分布式MPLS VPN、可控组播、QoS等最为关键的全业务支撑技术。在研究机构、客户及厂商的协同合作相关技术的开发与实现情况下,全业务IP最有望在我国电信客户由电IP网向IP电信网的历史转变和企业网络全业务IP业务实现中得到应用(在企业的业务复杂度日益提高、投资成本降低及维护管理要求提高的情况下,同一IP网络承载全业务将会成为必然要求)。3、课题研究内容3.1 熟悉华为路由器的配置方法3.2 掌握路由攻击原理与分类3.3 提出自己的路由试验环境架构,网络拓扑3.4 设计几种不同的路由攻击试验3.5 采用试验记录路由攻击过程、数据;提出路由攻击方法措施和步骤4、技术路线4.1 研究华为路由器
10、配置文件,深入了解路由器的工作原理。理解数据包是如何转发的4.2 研究路由表文件4.3 研究路由器的防火墙设置4.4 研究DoS攻击方法和策略4.5 研究路由器ICMP最新攻击方法4.6 比较华为和CISIO路由器的性能4.7 搭建源路由攻击实验4.8 路由器的远程密码攻击(配置和漏洞) ,万能密码5、关键技术介绍5.1路由器的DoS攻击DoS (Denial of Service)攻击就是利用合理的服务请求来占用过多的服务资源,从而使合法用户无法得到服务的响应。 Dos攻击的方法很多,但它们都具有一些共同的典型特征,例如:使用欺骗的源地址、使用网络协议的缺陷、使用操作系统或软件的漏洞、在网络
11、上产生大量的无用数据包消耗服务资源等。5.1.1 Smurf攻击的特征描述 Smurf攻击是根据它的攻击程序命名的,是一种ICMP echo flooding攻击。 在这样的攻击中,ping包中包含的欺骗源地址指向的主机是最终的受害者,也是主要的受害者;而路由器连接的广播网段成为了攻击的帮凶(类似一个放大器,使网络流量迅速增大),也是受害者。5.1.2 IP源地址欺骗 IP源地址欺骗可以应用在多种不同的攻击方式中,例如:TCP SYN flooding、UDP flooding、ICMP flooding等。 伪造的源地址可以是不存在(不允许在公网上发布)的地址,或者是最终攻击目标的地址。 在
12、UDP flooding中,攻击者则是通过连接目标系统的changen端口到伪造源地址指向的主机的echo端口,导致changen端口产生大量的随机字符到echo端口,而echo端口又将接收到的字符返回,最后导致两个系统都因耗尽资源而崩溃。5.2 “SYN Food”(洪水攻击)攻击路由器SYN Food攻击是利用特殊的程序,设置TCP的Header,向服务器端不断地成倍发送只有SYN标志的TCP连接请求。当服务器接收的时候,都认为是没有建立起来的连接请求,于是为这些请求建立会话,排到缓冲区队列中。如果你的SYN请求超过了服务器能容纳的限度,缓冲区队列满,那么服务器就不再接收新的 请求了。其他
13、合法用户的连接都被拒绝掉。此时,服务器已经无法再提供正常的服务了,所以SYN Food攻击是拒绝服务攻击。5.3 远程密码攻击(配置和漏洞)、万能密码路由器的配置方式有:用主控Console接口终端配置;在AUX口接Modem同电话网相连,在远端配置;在TCP/IP网上可通过仿真终端 (virtual terminal)telnet配置;可以从TFTP Server上下载配置;另外,还可以用网管工作站进行配置。其实路由器有一个操作系统,也是一个软件,相对其他操作系统的技术性来说,差距是非常明显的。功能单一,不考虑兼容性和易用性等,核心固化。可以通过系统漏洞获得路由器的密码,然后对路由器进行攻击
14、。5.4 路由器产品,按照不同的划分标准有多种类型。常见的分类有以下几类:按性能档次分为高、中、低档路由器通常将路由器吞吐量大于40Gbps的路由器称为高档路由器,背吞吐量在25Gbps40Gbps之间的路由器称为中档路由器,而将低于25Gbps的 看作低档路由器。当然这只是一种宏观上的划分标准,各厂家划分并不完全一致,实际上路由器档次的划分不仅是以吞吐量为依据的,是有一个综合指标的。以市场 占有率最大的Cisco公司为例,12000系列为高端路由器,7500以下系列路由器为中低端路由器。从结构上分为“模块化路由器”和“非模块化路由器”模块化结构可以灵活地配置路由器,以适应企业不断增加的业务需
15、求,非模块化的就只能提供固定的端口。通常中高端路由器为模块化结构,低端路由器为非模块化结构。从功能上划分,可将路由器分为“骨干级路由器”,“企业级路由器”和“接入级路由器”。骨干级路由器是实现企业级网络互连的关键设备,它数据吞吐量较大,非常重要。对骨干级路由器的基本性能要求是高速度和高可靠性。为了获得高可靠性,网络系统普遍采用诸如热备份、双电源、双数据通路等传统冗余技术,从而使得骨干路由器的可靠性一般不成问题。企业级路由器连接许多终端系统,连接对象较多,但系统相对简单,且数据流量较小,对这类路由器的要求是以尽量便宜的方法实现尽可能多的端点互连,同时还要求能够支持不同的服务质量。 接入级路由器主
16、要应用于连接家庭或ISP内的小型企业客户群体。 按所处网络位置划分通常把路由器划分为“边界路由器”和“中间节点路由器”。很明显边界路由器是处于网络边缘,用于不同网络路由器的连接;而中间节点路由器则处于网络的中间,通常用于连接不同网络,起到一个数据转发的桥梁作用。由于各自所处的网络位置有所不同,其主要性能也就有相应的侧重,如中间节点路由器因为要面对各种各样的网络。如何识别这些网络中的各节点呢?靠的就是这些中间节点路由器的MAC地址记忆功能。基于上述原因,选择中间节点路由器时就需要在MAC地址记忆功能更加注重,也就是要求选择缓存更大,MAC地址记忆能力较强的路由器。但是边界路由器由于它可能要同时接
17、受来自许多不同网络路由器发来的数据,所以这就要求这种边界路由器的背板带宽要足够宽,当然这也要与边界路由器所处的网络环境而定。从性能上可分为“线速路由器”以及“非线速路由器”。所谓线速路由器就是完全可以按传输介质带宽进行通畅传输,基本上没有间断和延时。通常线速路由器是高端路由器,具有非常高的端口带宽和数据转发能力,能以媒体速率转发数据包;中低端路由器是非线速路由器。但是一些新的宽带接入路由器也有线速转发能力。5.5 IPv6IPv6是Internet Protocol Version 6的缩写,也被称作下一代互联网协议,它是由IETF小组(Internet工程任务组Internet Engine
18、ering Task Force)设计的用来替代现行的IPv4(现行的IP)协议的一种新的IP协议。 我们知道,Internet的主机都有一个唯一的IP地址,IP地址用一个32位二进制的数表示一个主机号码,但32位地址资源有限,已经不能满足用户的 需求了,因此Internet研究组织发布新的主机标识方法,即IPv6。在RFC1884中(RFC是Request for Comments Document的缩写。RFC实际上就是Internet有关服务的一些标准),规定的标准语法建议把IPv6地址的128位(16个字节)写成8个16位的无符号整数,每个整数用四个十六进制位表示,这些数之间用冒号(:
19、)分开,例如:3ffe:3201:1401:1280:c8ff:fe4d: db39IPv6相对于现在的IP(即IPv4)有如下特点:扩展的寻址能力 IPv6将IP地址长度从32位扩展到128位,支持更多级别的地址层次、更多的可寻址节点数以及更简单的地址自动配置。通过在组播地址中增加一个“范 围”域提高了多点传送路由的可扩展性。还定义了一种新的地址类型,称为“任意播地址”,用于发送包给一组节点中的任意一个;简化的报头格式 一些IPv4报头字段被删除或变为了可选项,以减少包处理中例行处理的消耗并限制IPv6报头消耗的带宽;对扩展报头和选项支持的改进 IP报头选项编码方式的改变可以提高转发效率,使
20、得对选项长度的限制更宽松,且提供了将来引入新的选项的更大的灵活性;标识流的能力 增加了一种新的能力,使得标识属于发送方要求特别处理(如非默认的服务质量获“实时”服务)的特定通信“流”的包成为可能;认证和加密能力 IPv6中指定了支持认证、数据完整性和(可选的)数据机密性的扩展功能。5.6 安全认证认证的官方含义是:由可以充分信任的第三方证实某一经鉴定的产品或服务符合特定标准或规范性文件的活动。NAS产品的认证通常是指是否通过国际上通用的安全标准。常见的安全认证有以下几个:FCC认证 FCC(Federal Communications Commission,美国联邦通信委员会)通过控制无线电广
21、播、电视、电信、卫星和电缆来协调国内和国际的通信。 CSA认证 CSA(Canadian Standards Association)提供对机械、建材、电器、电脑设备、办公设备、环保、医疗防火安全、运动及娱乐等方面的所有类型的产品提供安全认证。CE认证 CE(CONFORMITE EUROPEENNE)提供产品是否符合有关欧洲指令规定的主要要求Essential Requirements。TUV认证 TUV提供对无线电及通讯类产品认证的咨询服务。UL认证 UL(Underwriter Laboratories Inc.)采用科学的测试方法来研究确定各种材料、装置、产品、设备、建筑等对生命、财产
22、有无危害和危害的程度;确定、编写、发行相应的标准和有助于减少 及防止造成生命财产受到损失的资料,同时开展实情调研业务。5.7 路由表路由器的主要工作就是为经过路由器的每个数据帧寻找一条最佳传输路径,并将该数据有效地传送到目的站点。由此可见,选择最佳路径的策略即路由算法是路由器的关键所在。为了完成这项工作,在路由器中保存着各种传输路径的相关数据路由表(Routing Table),供路由选择时使用。打个比方,路由表就像我们平时使用的地图一样,标识着各种路线,路由表中保存着子网的标志信息、网上路由器的个数和下一个路由器的名字等内容。路由表可以是由系统管理员固定设置好的,也可以由系统动态修改,可以由
23、路由器自动调整,也可以由主机控制。1静态路由表 由系统管理员事先设置好固定的路由表称之为静态(static)路由表,一般是在系统安装时就根据网络的配置情况预先设定的,它不会随未来网络结构的改变而改变。2动态路由表 动态(Dynamic)路由表是路由器根据网络系统的运行情况而自动调整的路由表。路由器根据路由选择协议(Routing Protocol)提供的功能,自动学习和记忆网络运行情况,在需要时自动计算数据传输的最佳路径。路由器通常依靠所建立及维护的路由表来决定如何转发。路由表能力是指路由表内所容纳路由表项数量的极限。由于Internet上执行BGP协议的路由器通常拥有数十万条路由表项,所以该
24、项目也是路由器能力的重要体现。6、要解决的技术问题6.1 了解路由器工作原理6.2 熟悉华为路由器的配置6.3 熟悉一般路由器攻击方法6.4 设计攻击方法6.5 设计防止攻击方案6.6 搭建源路由攻击实验7、日程安排序 号 设计(论文)各阶段名称 日 期 备 注 1可行性分析10月17日 1 月10日2资料收集1月26日 2 月20日学习路由器3熟悉华为路由器的配置方法2月21日 4月1日4提出自己的路由试验环境架构4月1日 4月30日5试验记录路由攻击过程、数据5月7日 5月20日6撰写论文5月21日 6 月15日8、参考文献1 George C.Sackett主编. Cisco路由器手册.
25、第1版.北京:机械工业出版社, 2000-1-12 Internetworking Technologies Handbook/ Routing Basics. Available at 3 Internetworking Technologies Handbook/ Routing Information Protocol. Available at 4 A. Chakrabarti and G. Manimaran, “A Scalable Method for Router Attack Detection and Location in Link State Routing,” DCN
26、L Tech. Report, Oct 2002.5 Dennis Fisher “Popular Linksys Router Vulnerable to Attack”November 1, 20026 SYBEX,Inc,Alameda,“Cisco CCNP Routing Study Guide”20017 Vanessa Antoine Raymond Bongiorni Anthony Borz 等主编 “Router Security Configuration Guide” December 15, 2005 Version: 1.1c8 “NSA/SNAC Router Security Configuration Guide” Available at http:/www.nsa.gov/snac/downloads_cisco.cfm?MenuID=scg10.3.19 “Improving Security on Cisco Routers”. Available at http:/www.nsa.gov/snac/downloads_cisco.cfm?MenuID=scg10.3.110 (美)David Hucaby,CCIE #4594,Steve主编. Cisco现场手册:路由器配置.。人民邮电出版社, 2002年9月
