网络安全实训课程设计
网络安全实训
题 目: 点多点ip 隧道配置
学生姓名: 指导教师:
班 级:
学 号:
2014年10月
信息工程学院
目录
第一章 概述
1.1 实训的目的与意义
目的:计算机的广泛应用把人类带入了一个全新的时代,特别是计算机网络的社会化,已经成为了信息时代的主要推动力。随着计算机网络技术的飞速发展,尤其是互联网的应用变得越来越广泛,在带来了前所未有的海量信息的同时,网络的开放性和自由性也产生了私有信息和数据被破坏或侵犯的可能性,网络信息的安全性变得日益重要起来,已被信息社会的各个领域所重视。目前,全世界的军事、经济、社会、文化各个方面都越来越依赖于计算机网络,人类社会对计算机的依赖程度达到了空前的记录。由于计算机网络的脆弱性,这种高度的依赖性是国家的经济和国防安全变得十分脆弱,一旦计算机网络受到攻击而不能正常工作,甚至瘫痪,整个社会就会陷入危机。网络安全技术指致力于解决诸如如何有效进行介入控制,以及何如保证数据传输的安全性的技术手段,主要包括物理安全分析技术,网络结构安全分析技术,系统安全分析技术,管理安全分析技术,及其它的安全服务和安全机制策略。因此本次实训的目的就是保证网络的安全性,保证个人的一些重要信息不被他人窃取,建立一个良好的网络环境。
意义:。在网络技术高速发展的今天,计算机网络有其脆弱性,很多不法分子利用网络中存在的各种安全问题进行计算机网络犯罪,它关系到小至个人的利益,严重危害社会和国家的利益。因此研究网络安全技术有着重大的意义。
1.2 网络安全实训的主要内容
1
1.2.1 ARP欺骗
1)ARP 欺骗攻击原理
2)ARP 欺骗的方式
3)ARP 欺骗的步骤
1.2.2点对点ip 隧道配置
1)完成虚拟专用网络设计
2)完成点对点ip 隧道配置
3)验证内部网络路由项建立过程
4)验证公共网络隧道两端之间传输路径建立过程
2
第二章 网络渗透攻击中的ARP 欺骗研究与实现
2.1理论分析
2.1.1 ARP攻击原理:
ARP 攻击就是通过伪造ip 地址和mac 地址的映射实现ARP 欺骗,能够在网络中实现大量的ARP 通信量是网络阻塞,攻击者只要持续不断地发出伪造的ARP 响应包就能更改目标主机ARP 缓存中的ip-mac 条目,造成网络中断或中间人攻击。
2.1.2 ARP欺骗的方式
(1)中间人攻击
这种攻击是网络监听的一种方式。攻击者进入两台通信的计算机之间,通过某种手段窃取一台计算机给另台计算机发送的数据包,然后将数据包修改在转发给另一台计算机,攻击者对这两台计算机来说是透明的。具体过程如下:
假设这样一个网络,一个Hub 连接有3台PC 机:PC1、PC2和PC3。
PC1的IP 地址为172.16.0.1,MAC 地址为11-11-11-11-11-11
PC2的IP 地址为172.16.0.2,MAC 地址为22-22-22-22-22-22
PC3的IP 地址为172.16.0.3,MAC 地址为33-33-33-33-33-33
正常情况下,PC1的ARP 缓存表内容如下:
下面PC2要对PC1进行ARP 欺骗攻击,目标是更改PC1的ARP 缓存表,将与IP 地址172.16.0.3映射的MAC 更新为PC2的MAC 地址,即22-22-22-22-22-22。
PC2向PC1发送一个自己伪造的ARP 应答,而这个应答数据中发送方IP 地址是172.16.0.3(PC3的IP 地址),MAC 地址是22-22-22-22-22-22(PC3的MAC 地址本来应该是33-33-33-33-33-33, 这里被伪造了)。当PC1收到PC2伪造的ARP 应答,就会更新本地的ARP 缓存(PC1不知道MAC 被伪造了),而且PC1不知道这个ARP 应答数据是从PC2发送过来的。这样PC1发送给PC3的数据包都变成发送给PC2了。PC1对所发生的变化一点儿都没有意识到,但是接下来的事情就让PC1产生了怀疑,因为它连接不到PC3了,PC2只是接收PC1发给PC3的数据,并没有转发给PC3。
PC2做“man in the middle”(中间人),进行ARP 重定向。打开自己的IP 转发功能,将PC1发送过来的数据包转发给PC3,就好比一个路由器一样,而PC3接收到的数据包完全认为是从PC1发送来的。不过,PC3发送的数据包又直接传递给PC1,倘若再次进行对PC3的ARP 欺骗,那么PC2就完全成为PC1与PC3的中间桥梁,对于PC1与PC3的通讯就可以了如指掌了。
3
2.2 设计步骤
实验操作前实验主机需从Web 资源库下载“灰鸽子”软件、zxARPs 软件程序及WinPcap 程序和网页木马模板“Trojan_template”。
1. 主机C 生成网页木马
(1)解压“灰鸽子”到D 盘根目录下。
(2)打开“灰鸽子”软件,配置木马服务器程序(Server_Setup.exe)。自动上线主机中填入主机C 的IP 地址。保存到C:\Inetpub\wwwroot目录下,单击生成服务器。
(3)为Server_Setup.exe程序添加访问权限,鼠标右键Server_Setup.exe木马服务器程序,单击“属性”|“安全”。单击“添加”按钮。单击高级按钮,进入“选择用户或组”界面,单击“立即查找”按钮。在“搜索结果”中选择IUSR_JLCSS-H2F0P7FN9用户。单击所有界面确定。完成用户权限配置。
(4)解压“Trojan_template”到D 盘根目录,复制解压后的Trojan.htm 文件到
c:\Inetpub\wwwroot目录下,并将第15行“主机IP 地址”替换成主机C 的IP 地址。
(5)启动WWW 服务。鼠标右键单击“我的电脑”,选择“管理”。在“计算机管理(本地)”中选择“服务和应用程序”|“服务”,启动“World Wide Web Publishing Service”服务。
2. 主机A 发起ARP 欺骗攻击
(1)主机A 解压“zxARPs”软件到D 盘根目录。
(2)主机A 默认安装WinPcap 软件。
(3)主机A 单击“开始”|“运行”|“cmd”,进入到zxARPs 软件目录下,执行如下命令:
3. 主机B 验证ARP 木马
(1)主机A 发起攻击后,主机B 打开IE ,浏览http://www.2websource.net(Web 资源库首页),点击“文档资源”中的任意链接。
(2)主机B 查看任务管理器中有几个“IEXPLORE.EXE”进程。
(3)主机B 查看服务中是否存在名为“Windows XP Vista”的服务。
(4)主机B 在命令行下ping 主机A 的IP ,使用arp -a命令查看本地ARP 缓存表,是否发现不同IP 地址对应同一MAC 地址现象。
4
2.3实验结果 主机
A
主机B
主机C 5
6
7
第三章 基于PacketTracert 的点对点ip 隧道配置
3.1 PT软件拓扑结构与项目背景分析 3.1.1拓扑结构
VPN 物理结构如图所示。路由器Router4、Router5和Router6构成公共网络,边缘路由器Router1、Router2和Router3一端连接内部子网,一端连接公共网络。由于公共网络无法传输以私有IP 地址(私有IP 地址也成为本地IP 地址)为源和目的IP 地址的IP 分组,因此由公共网络互连的多个分配私有IP 地址的内部子网之间无法直接实现通信过程。为了实现被公共网络分隔的多个内部子网之间的通信过程,需要建立以边缘路由器连接公共网络的接口为两端的点对点IP 隧道,并为点对点IP 隧道两端分配私有IP 地址。点对点IP 隧道经过公共网络,因此需要通过隧道技术实现以私有IP 地址为源和目的的IP 地址的IP 分组经过公共网络的传输过程。
3.1.2项目背景分析
由于网络的日益普及,网络的安全成为目前的热门话题。对隧道技术的分析,就侧重安全领域,对利用隧道技术实现虚拟专网提出建议。为什么需要IP 隧道?没有接触过这个概念的人自然提出这样的疑问。实际上概念最初的提出很简单,为了在TCP/IP网络中传输其他协议的数据包。设想IPX 协议或X.25封装的数据包如何通过Internet 网进行传输,在已经使用多年的桥接技术中是通过在源协议数据包上再套上一个IP 协议头来实现,形成的IP 数据包通过Internet 后卸去IP 头,还原成源协议数据包,传送给目的站点。对源协议数据来说,就如被IP 带着过了一条隧道。这种技术在业余无线网络得到了最广泛的应用。
8
PPTP 点对点隧道协议是一种网络协议,其通过跨越基于TCP/IP的数据网络创建VPN 实现了从远程客户端到专用企业服务器之间数据的安全传输PPTP 支持通过公共网络(例如Internet )建立按需的、多协议的、虚拟专用网络PPTP 允许加密IP 通讯,然后在要跨越公司IP 网络或公共IP 网络(如Internet )发送的IP 头中对其进行封装。Internet 的研究者多年前就感到需要在网络中建立隧道,最初的理解是在网络中建立一条固定的路径,以绕过一些可能失效的网关。可以说,隧道就是一条特定的路径。这样的隧道是通过IP 报头中的源路由选项来实现的,在目前看来,这个方法的缺陷十分明显。要设置源路由选项就必须知道数据包要经过的确切路径,而且目前多数路由实现中都不支持源路由。另一个实现隧道的机制是开发一种新的IP 选项,用来表明源数据包的信息,原IP 头可能成为此选项的一部分。这种隧道的意义与我们所说的隧道已十分接近。但它的不足在于要对目前IP 选项的实现和处理做较大的修改,也缺乏灵活性。
3.2 理论基础
首先要完成虚拟专用网络设计,VPN 是近年来随着Internet 的广泛应用而迅速发展起来的一种新技术,实现在公用网络上构建私人专用网络。“虚拟”主要指这种网络是一种逻辑上的网络VPN 有别于传统网络,它并不实际存在,而是利用现有公共网络,通过资源配置而成的虚拟网络,是一种逻辑上的网络。VPN 只为特定的企业或用户群体所专用。从VPN 用户角度看来,使用VPN 与传统专网没有区别。VPN 作为私有专网,一方面与底层承载网络之间保持资源独立性,即在一般情况下,VPN 资源不会被承载网络中的其它VPN 或非该VPN 用户的网络成员所使用;另一方面,VPN 提供足够安全性,确保VPN 内部信息不受外部的侵扰。
其次要完成点对点的ip 隧道配置,隧道技术是一种通过使用互联网络的基础设施在网络之间传递数据的方式。使用隧道传递的数据(或负载)可以是不同协议的数据桢(此字不正确)或包。隧道协议将这些其它协议的数据桢或包重新封装在新的包头中发送。新的包头提供了路由信息,从而使封装的负载数据能够通过互联网络传递。被封装的数据包在隧道的两个端点之间通过公共互联网络进行路由。被封装的数据包在公共互联网络上传递时所经过的逻辑路径称为隧道。一旦到达网络终点,数据将被解包并转发到最终目的地。注意隧道技术是指包括数据封装,传输和解包在内的全过程。PPTP (Point to Point Tunneling Protocol )提供PPTP 客户机和PPTP 服务器之间的加密通信。PPTP 客户机是指运行了该协议的PC 机,如启动该协议的Windows95/98;PPTP 服务器是指运行该协议的服务器,如启动该协议的WindowsNT 服务器。PPTP 是PPP 协议的一种扩展。它提供了一种在互联网上建立多协议的安全虚拟专用网(VPN )的通信方式。远端用户能够透过任何支持PPTP 的ISP 访问公司的专用网。通过PPTP ,客户可采用拨号方式接入公用IP 网。拨号用户首先按常规方式拨到ISP 的接入服务器(NAS ),
9
建立PPP 连接;在此基础上,用户进行二次拨号建立到PPTP 服务器的连接,该连接称为PPTP 隧道,实质上是基于IP 协议的另一个PPP 连接,其中的IP 包可以封装多种协议数据,包括TCP/IP、IPX 和NetBEUI 。PPTP 采用了基于RSA 公司RC4的数据加密方法,保证了虚拟连接通道的安全。对于直接连到互联网的用户则不需要PPP 的拨号连接,可以直接与PPTP 服务器建立虚拟通道。PPTP 把建立隧道的主动权交给了用户,但用户需要在其PC 机上配置PPTP ,这样做既增加了用户的工作量,又会给网络带来隐患。另外,PPTP 只支持IP 作为传输协议。
3.2.1 实验步骤
(1)启动packettracer, 在逻辑工作区根据图所示的VPN 物理结构放置和连接的设备,完成设备放置和连接后的逻辑工作区界面如图所示。
(2)完成各个路由器接口和子网掩码的配置,将属于公共网络的路由器接口配置成OSPF 区域1接口,这些接口包括路由器router4-6的全部接口跟路由器router1-3连接公共网络的接口。完成OSPF 配置后,公共网络中各个路由器建立通往公共网络中各个子网的传输途径。可以通过这些路由器中类型为o 的路由项,建立边缘路由器连接公共网络接口之间的传输途径,边缘路由器连接公共网络接口分配全球IP 地址。建立边缘路由器连接公共网络之间的传输路径是保证图中隧道两端连通性为前提。路由器router1-6包含OSPF 创建的动态路由项的路由表如图所示。
10
(3)路由器router1中配置隧道1和隧道2两端信息。一端是router1连接公共网络接口fastetherneet0/0,另一端通过全球IP 地址指定。隧道1另一端的全球IP 地址是192.1.2.1,隧道2的另一端全球IP 地址是192.1.3.1。可以为隧道接口配置本地IP 地址,router1分别为隧道1跟隧道2的隧道接口配置本
11
地IP 地址192.168.4.1和192.168.5.1。在router2和router3中完成相同配置,建立这三个边缘路由器连接公共网络接口之间的IP 隧道。
(4)在router1-3中配置RIP 进程,在每一个边缘路由器中指定参与RIP 创建动态路由项过程的直接连接的内部子网,如router1配置的内部子网192.168.1.0/24和192.168.4.0/24与192.168.5.0/24。完成router1-3路由器配置后,他们路由表表现的类型为R ,用于指明通往内部网各个子网传输路径的路由项。Router1-3包含RIP 创建的动态路由项的路由表如图所示。
12
(5)各个路由器建立完整路由表之后,可以分析两层IP 分组传输路径:一是公共网络中的目的网络为全球IP 地址的路由项,其中最重要的是用于建立隧道两端之间传输路径的路由项,二是建立内部网络各个子网之间传输路径的路由项,这些路由项只存在于边缘路由器,公共网络隐身于点对点IP 隧道。
(6)发起pc0访问server2的过程。Pc0至server2IP 分组传输路径为三段:一是pc0至边缘路由器router1的传输路径,IP 分组的传输格式如图所示,IP 分组的源和目的IP 地址分别是pc0和server2的本地IP 地址192.168.1.1和192.168.3.3, 。二是隧道2两端的传输途径,即边缘路由器router1连接公共网络接口至边缘路由器router3连接公共网络接口之间的IP 分组传输途径,内层IP 分组被封装成隧道格式,封装过程如图所示。三是边缘路由器router3至server2的传输途径,IP 分组格式如图所示。
13
3.2.2关键命令说明
命令interfacetunnel1是全局模式下使用的命令,作用一是创建编号为1的IP 隧道接口,二是进入该隧道口的隧道接口配置模式。
命令ipaddress192.168.4.1255.255.255.0是隧道接口配置下使用的命令,为隧道接口配置IP 地址192.168.4.1和子网掩码255.255.255.0. 路由器将隧道接口等同于普通物理接口,如以太接口。
命令tunnelsourcefastethernet0/1是隧道接口配置模式下使用的命令,用于指定本路由器所连接的隧道一端的全球IP 地址。该命令通过指定路由器连接公共网络的物理接口确定隧道源端的全球IP 地址为该物理接口配置的全球IP 地址。命令tunneldestination192.1.2.1是隧道接口配置模式下使用的命令。用于指定隧道口的另一端的全球IP 地址。该IP 地址是作为隧道另一端的边缘路由器连接公共网络接口的全球IP 地址。
14
2.各路由器的路由表配置
Ruoter1的命令行配置过程
Router>enable
Router#configure terminal
Router(config)#interfac FastEthernet0/0 Router(config-if)#no shoutdown
Router(config-if)#ip address 192.168.1 254 255.255.255.0 Router(config-if)#exit
Router(config)#interface FastEthernet0/1
Router(config-router)#network 192.1.1.0 0.0.0.255 area 1 Router(config-router)#exit
Ruoter2的命令行配置过程
Router>enable
Router#configure terminal
Router(config)#interface FastEthernet0/0 Router(config-if)#no shoutdown
15
Router(config-if)#ip address 192.168.2 254 255.255.255.0 Router(config-if)#exit
Router(config)#interface FastEthernet0/1 Router(config-if)#no shoutdown
Router(config-if)#ip address 192.1.2 1 255.255.255.0 Router(config-if)#exit
Router(config)#interfac tunnel 0
Router(config-if)#ip address 192.168.4 2 255.255.255.0 Router(config-if)# tunne source FastEthernet0/1 Router(config-if)# tunne destination 192.1.1.1 Router(config-if)#exit Router(config)#router rip
Router(config-router)#network 192.168.2.0 Router(config-router)#network 192.168.4.0 Router(config-router)# exit Router(config)# router ospf 22
Router(config-router)#network 192.1.2.0 0.0.0.255 area 1 Router(config-router)# exit
Ruoter3的命令行配置过程
Router>enable
Router#configure terminal
Router(config)#interface FastEthernet0/0 Router(config-if)#no shoutdown
Router(config-if)#ip address 192.168.3 254 255.255.255.0 Router(config-if)#exit
Router(config)#interface FastEthernet0/1 Router(config-if)#no shoutdown
Router(config-if)#ip address 192.1.3 1 255.255.255.0 Router(config-if)#exit
Router(config) #interface tunnel 1
Router(config-if)# ip address 192.168.5 254 255.255.255.0 Router(config-if)# tunne source FastEthernet0/1 Router(config-if)# tunne destination 192.1.1.1 Router(config-if)#exit Router(config)#router rip
Router(config-router)#network 192.168.3.0 Router(config-router)#network 192.168.5.0 Router(config-router)# exit Router(config)# router ospf 33
Router(config-router)#network 192.1.3.0 0.0.0.255 area 1 Router(config-router)# exit
Ruoter4的命令行配置过程
16
Router>enable
Router#configure terminal
Router(config)#interface FastEthernet0/0 Router(config-if)#no shoutdown
Router(config-if)#ip address 192.1.1 2 255.255.255.0 Router(config-if)#exit
Router(config)#interface FastEthernet0/1 Router(config-if)#no shoutdown
Router(config-if)#ip address 192.1.4 1 255.255.255.0 Router(config-if)#exit
Router(config)#interface FastEthernet1/0 Router(config-if)#no shoutdown
Router(config-if)#ip address 192.1.6 1 255.255.255.0 Router(config-if)#exit
Router(config)# router ospf 44
Router(config-router)#network 192.1.1.0 0.0.0.255 area 1 Router(config-router)#network 192.1.4.0 0.0.0.255 area 1 Router(config-router)#network 192.1.6.0 0.0.0.255 area 1 Router(config-if)#exit
Ruoter5的命令行配置过程
Router>enable
Router#configure terminal
Router(config)#interface FastEthernet0/0 Router(config-if)#no shoutdown
Router(config-if)#ip address 192.1.2 2 255.255.255.0 Router(config-if)#exit
Router(config)#interface FastEthernet0/1 Router(config-if)#no shoutdown
Router(config-if)#ip address 192.1.4 2 255.255.255.0 Router(config-if)#exit
Router(config)#interface FastEthernet1/0 Router(config-if)#no shoutdown
Router(config-if)#ip address 192.1.5 1 255.255.255.0 Router(config-if)#exit
Router(config)# router ospf 55
Router(config-router)#network 192.1.2.0 0.0.0.255 area 1 Router(config-router)#network 192.1.4.0 0.0.0.255 area 1 Router(config-router)#network 192.1.5.0 0.0.0.255 area 1 Router(config-if)#exit
Ruoter6的命令行配置过程
Router>enable
Router#configure terminal
17
Router(config)#interface FastEthernet0/0 Router(config-if)#no shoutdown
Router(config-if)#ip address 192.1.3 2 255.255.255.0 Router(config-if)#exit
Router(config)#interface FastEthernet1/0 Router(config-if)#no shoutdown
Router(config-if)#ip address 192.1.5 2 255.255.255.0 Router(config-if)#exit
Router(config)#interface FastEthernet0/1 Router(config-if)#no shoutdown
Router(config-if)#ip address 192.1.6 2 255.255.255.0 Router(config-if)#exit
Router(config)# router ospf 66
Router(config-router)#network 192.1.3.0 0.0.0.255 area 1 Router(config-router)#network 192.1.6.0 0.0.0.255 area 1 Router(config-router)#network 192.1.5.0 0.0.0.255 area 1 Router(config-if)#exit
3.网络安全技术实现
实验结果
图3-1 实验结果
18
第四章 总结与心得体会
通过三周的网络安全实训,使我在这方面的知识有了更深的了解,同时也锻炼了我的实践能力,。这次实训的目的不仅仅限于单纯的实验配置,更注重的是每个人的知识面的拓展,还有在实训中的小组合作能力。在这次实训中,我不仅仅学习到了书本以外的知识,同时还通过实践解决了很多以前从未遇到过的问题。这次的实训通过在真实设备上进行配置并测试连通性,让我真实的体验到在真实设备上进行配置是如何达到整个设备的连通性,以及如何在真实设备中解决一些常见的问题。此次实训带给我的是一次综合性知识的提升,从而在这次实训中我也找出自身状况与实际需要的差距,并在以后的学习期间及时补充相关知识,为以后的求职多添加一块结实的“敲门砖”。与此同时,在这次实训中,我也学习并扩展了对其他的知识的学习,比如在最初的小组合作总是出现一些常见的常识问题,在配置过程中配置的失误常常导致整个实验的连通性和实践性受到影响;同时,有一些新学的知识只是一直限于书本的了解,在实训过程中往往会遇到一些问题,就是配置真实设备的时候总是无法达到应有的目的。这充分说明我们应该提高自己的自主学习能力,达到以不变应万变的效果。总之在这次课程设计之后,我们普遍感到不仅实际动手能力有所提高,更重要的是对真实设备的实践能力的了解,进一步激发了我们对专业知识的兴趣,并能够结合实际存在的问题在专业领域内进行更深入的学习。
19
参考文献
[1] 向学哲. JSP程序开发[M].人民邮电出版社. 2006年1月 [2] 杨选辉. 网页设计与网页制作教程. 清华大学出版社.2005年5月 [3] 段云所. 网络信息安全讲稿. 北京大学计算机系.2001年 [4] 华罗庚,数论导引[M].科学出版社.1979年 [5] 李刚. 网络安全概论. 电子工业出版社.2007年
[6] 田果. 网络安全技术与解决方案. 人民邮电出版社.2005年 [7] 梁亚声. 计算机网络安全. 机械工业出版社.2008年
[8] 石志国,薛为民,江莉. 计算机网络安全教. 程清华大学出版社.2004年 [9] 彭新光,吴兴兴. 计算机网络安全技术与应用. 科学出版社.2005 [10]杨选辉. 计算机网络安全. 电子工业出版社.2005年 [11]向学哲. 网络安全. 清华大学出版社.2006年
[12]张千里,陈光英. 网络安全技术. 人民邮电出版社.2003年
[13]董玉格. 网络攻击与维护-网络安全与使用技术. 人民邮电出版社.2002年 [14]石志国. 计算机网络安全教程. 清华大学出版社.2004年
20