企业内网接入层安全防护系统设计与实现
发布时间:2021-12-23 08:37
随着计算机网络技术的飞速发展,网络已经深入到了人们生活、工作中的各个方面,成为人们生活和工作中不可缺少的组成部分,它完全改变了人们的传统生产和生活方式,加快了人们的生活节奏。通过计算机网络人与人之间在工作、学习、娱乐等活动的交流也变得越来越方便。网络在改变人们赖以生存的社会环境和生活习惯的同时,也广泛应用于政治、军事、科技、教育、金融、交通、通讯等各个领域。企业内网是指在一种以组织结构为建设维护单位的专用计算机网络,其主要目的是为本单位提供计算机信息交互共享服务。它的覆盖范围具有明显的单位特征,管理策略以单位为界限,同时具备到达外部网络的出口,应用的技术较为丰富,在物理层主要以光缆和双绞线为主,在逻辑层主要以以太网技术为主。本文首先从宏观框架角度对企业内网的基本结构和组成部分进行了概要性的叙述并对企业内网结构的三个层次分别进行描述,同时从交换技术的角度对企业内网的流量模型也进行了说明,并对相关的协议及安全技术进行了说明。然后本文通过对企业内网接入层的网络运行状态进行研究分析,总结了目前企业内网接入层面临的安全问题,其中包括三种常见接入层网络攻击和接入设备管理的问题。根据对这些问题的行为...
【文章来源】:中原工学院河南省
【文章页数】:44 页
【学位级别】:硕士
【部分图文】:
企业内网结构
3. 系统需求分析.1 系统安全防护策略分析ARP 欺骗攻击主要有伪装网关、伪装主机、ARP 洪泛三种表现形式。只有对击方式进行全方位的防御,才能有效的防止 ARP 欺骗攻击的行为。下面将 ARP 攻击方式进行分析:第一种:伪装网关接入层的攻击主机,通过构造非法 ARP 报文,对来自本网段的网关 ARP 查应。直接导致其他接入层主机的 ARP 表中出现不正确的 IP 地址与 MAC 地址系[11],其他主机会将攻击主机误认为是网关,这样就会出现大量的数据报给了攻击主机现象,这就会产生两种结果:第一种结果是攻击主机可以将的主机发过来的信息进行解封装,从而窥探其中的隐私信息。第二种结果击主机是伪造的网关,从网内其他主机发送过来的数据是没有办法出网的他的主机也没有办法正常上网。伪装网关攻击方式如图 3.1 所示:
图 3.2 伪装主机攻击方式当网关 192.168.1.1 向本地网段内查询 192.168.1.5 对应的 MAC 地址时, 192.168.1.2 把自己或虚假的 MAC 地址填入 ARP 回应报文,并向网关发送伪造的 ARP 报文。当网关受到攻击主机发出的报文时,就将里面的虚假 M 192.168.1.5 在 ARP 表中建立了对应关系。于是,外网发回 192.168.1.5部发给了 192.168.1.2,数据无法到达正确的主机。主机 192.168.1.5 表时断时续或根本就无法上网。第三种:ARP 洪泛在 ARP 协议中有一种特殊的报文,叫做免费 ARP(gratuitous ARP)[12]。用来查找自己 IP 地址对应的 MAC 地址的方式。攻击主机往往利用免费 ARP来对网段实施 ARP 攻击。比如攻击主机构建一个伪造的免费 ARP 报文,填入到网关的 IP 地址中,同时也填写一个伪造的 MAC 地址,然后攻击主机交换设备进行洪泛,本网段内的其它所有主机,都会收到这个免费 ARP 报根据这个免费 ARP 报文中的虚假地址去修改自己的 ARP 表,这样就形成地址错误的对应关系。
【参考文献】:
期刊论文
[1]网络信息安全的现状与防御[J]. 王渝宁. 现代商贸工业. 2008(01)
[2]网络入侵容忍技术分析[J]. 赵洁,田炼,宋如顺. 计算机时代. 2005(06)
本文编号:3548157
【文章来源】:中原工学院河南省
【文章页数】:44 页
【学位级别】:硕士
【部分图文】:
企业内网结构
3. 系统需求分析.1 系统安全防护策略分析ARP 欺骗攻击主要有伪装网关、伪装主机、ARP 洪泛三种表现形式。只有对击方式进行全方位的防御,才能有效的防止 ARP 欺骗攻击的行为。下面将 ARP 攻击方式进行分析:第一种:伪装网关接入层的攻击主机,通过构造非法 ARP 报文,对来自本网段的网关 ARP 查应。直接导致其他接入层主机的 ARP 表中出现不正确的 IP 地址与 MAC 地址系[11],其他主机会将攻击主机误认为是网关,这样就会出现大量的数据报给了攻击主机现象,这就会产生两种结果:第一种结果是攻击主机可以将的主机发过来的信息进行解封装,从而窥探其中的隐私信息。第二种结果击主机是伪造的网关,从网内其他主机发送过来的数据是没有办法出网的他的主机也没有办法正常上网。伪装网关攻击方式如图 3.1 所示:
图 3.2 伪装主机攻击方式当网关 192.168.1.1 向本地网段内查询 192.168.1.5 对应的 MAC 地址时, 192.168.1.2 把自己或虚假的 MAC 地址填入 ARP 回应报文,并向网关发送伪造的 ARP 报文。当网关受到攻击主机发出的报文时,就将里面的虚假 M 192.168.1.5 在 ARP 表中建立了对应关系。于是,外网发回 192.168.1.5部发给了 192.168.1.2,数据无法到达正确的主机。主机 192.168.1.5 表时断时续或根本就无法上网。第三种:ARP 洪泛在 ARP 协议中有一种特殊的报文,叫做免费 ARP(gratuitous ARP)[12]。用来查找自己 IP 地址对应的 MAC 地址的方式。攻击主机往往利用免费 ARP来对网段实施 ARP 攻击。比如攻击主机构建一个伪造的免费 ARP 报文,填入到网关的 IP 地址中,同时也填写一个伪造的 MAC 地址,然后攻击主机交换设备进行洪泛,本网段内的其它所有主机,都会收到这个免费 ARP 报根据这个免费 ARP 报文中的虚假地址去修改自己的 ARP 表,这样就形成地址错误的对应关系。
【参考文献】:
期刊论文
[1]网络信息安全的现状与防御[J]. 王渝宁. 现代商贸工业. 2008(01)
[2]网络入侵容忍技术分析[J]. 赵洁,田炼,宋如顺. 计算机时代. 2005(06)
本文编号:3548157
本文链接:https://www.wllwen.com/guanlilunwen/ydhl/3548157.html
