《2022年2022年计算机网络实验大作业 .pdf》由会员分享,可在线阅读,更多相关《2022年2022年计算机网络实验大作业 .pdf(10页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、计算机网络实验大作业班级:学号:2009 姓名:实验日期:2011-12-20 座位号:3F 实验成绩:问题 1:一个公司需要构建一个局域网,要求所有计算机都能上Internet,且财务部和总经办能上且只有他们能上企业全国内网(类似于铁路内部网) 。各个部门之间,除财务部以外,能互相通信。企业配备自己的对外web服务器和内部业务服务器。企业总共100 台计算机, 2 台服务器。企业一共有5 个部门,每个部门 20 台计算机。1) 请详述你设想构建的网络的拓扑图,所需的网络设备有哪些,及各种网络设备和计算机的IP 配置,以及为了达到建设要求,每个网络设备上需要运行的网络协议或服务,以及其运行目的
2、;2) 网络如何防止 ARP攻击以及外部的网络攻击(详述攻击的方式和所涉及的协议) ;题目一解答1.1 设备选择根据设计方案确定需要使用的网络设备的数量,包括二三层交换机数量, 每个交换机端口数量, 传输介质的选择, 光纤模块的数量等, 与实际需求和设计吻合;性能价格比高。 此方案选用设备如下所示: 边界路由器 2 台,核心交换机 2台,6 端口三层交换机 5 台。1.2 IP地址分配 IP地址分配情况如下表格:VLAN_ID IP 地址子网掩码网关总经理VLAN1 192.168.0.0/20 255.255.255.0 192.168.0.1 财务部VLAN2 192.168.1.0/20
3、 255.255.255.192 192.168.1.1 部门 1 VLAN3 192.168.2.0/20 255.255.255.128 192.168.2.1 部门 2 VLAN4 192.168.3.0/20 255.255.255.128 192.168.2.2 部门 3 VLAN5 192.168.4.0/20 255.255.255.128 192.168.2.3 名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 1 页,共 10 页 - - - - - - - - -
4、1.3 网络设备上需要运行的网络协议或服务以及其运行目的1)交换机交换机是一种基于MAC地址识别,能完成封装转发数据包功能的网络设备。交换机的工作原理是, 当一个端口收到一个数据帧时,首先检查该数据帧的目的 MAC 地址在 MAC 地址表 (CAM)对应的端口,如果目的端口与源端口不为同一个端口,则把帧从目的端口转发出去,同时更新MAC 地址表中源端口与源 MAC的对应关系;如果目的端口与源端口相同,则丢弃该帧。2)路由器路由选择协议主要是运行在路由器上的协议,主要用来进行路径选择。包括 RIP,IGRP,EIGRP ,OSPF。1.4 拓扑结构方案络拓扑结构图如下 :名师资料总结 - - -
5、精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 2 页,共 10 页 - - - - - - - - - 主交换机与汇聚层交换机之间的传输介质的选择为:多模光纤1.5 网络安全1. 防范 ARP措施1). 双绑措施双绑是在路由器和终端上都进行IP-MAC绑定的措施, 它可以对 ARP欺骗的两边,伪造网关和截获数据, 都具有约束的作用。 这是从 ARP欺骗原理上进行的防范措施,也是最普遍应用的办法。它对付最普通的ARP 欺骗是有效的。但双绑的缺陷在于 3点:全国内部网Internet 交换机交换机汇 聚 层交
6、换机接 口 层交换机对外web服务器内部业务服务器总经理财务部部门1 部门2 部门3 名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 3 页,共 10 页 - - - - - - - - - 1、在终端上进行的静态绑定,很容易被升级的ARP攻击所捣毁,病毒的一个 ARP d 命令,就可以使静态绑定完全失效。2、在路由器上做 IP-MAC表的绑定工作, 费时费力,是一项繁琐的维护工作。换个网卡或更换 IP,都需要重新配置路由。对于流动性电脑,这个需要随时进行的绑定工作,是网络维护的巨大
7、负担,网管员几乎无法完成。3、双绑只是让网络的两端电脑和路由不接收相关ARP 信息,但是大量的 ARP攻击数据还是能发出, 还要在内网传输, 大幅降低内网传输效率, 依然会出现问题。因此,虽然双绑曾经是ARP 防范的基础措施,但因为防范能力有限,管理太麻烦,现在它的效果越来越有限了。2). ARP 个人防火墙在一些杀毒软件中加入了ARP个人防火墙的功能, 它是通过在终端电脑上对网关进行绑定, 保证不受网络中假网关的影响,从而保护自身数据不被窃取的措施。ARP 防火墙使用范围很广,有很多人以为有了防火墙,ARP 攻击就不构成威胁了,其实完全不是那么回事。ARP个人防火墙也有很大缺陷:1、它不能保
8、证绑定的网关一定是正确的。如果一个网络中已经发生了ARP欺骗,有人在伪造网关,那么,ARP个人防火墙上来就会绑定这个错误的网关,这是具有极大风险的。 即使配置中不默认而发出提示,缺乏网络知识的用户恐怕也无所适从。2 、ARP是网络中的问题, ARP既能伪造网关,也能截获数据,是个“双头怪”。在个人终端上做 ARP防范,而不管网关那端如何, 这本身就不是一个完整的办法。 ARP个人防火墙起到的作用,就是防止自己的数据不会被盗取,而整个网络的问题,如掉线、卡滞等,ARP个人防火墙是无能为力的。因此, ARP个人防火墙并没有提供可靠的保证。最重要的是,它是跟网络稳定无关的措施,它是个人的,不是网络的
9、。3). VLAN 和交换机端口绑定通过划分 VLAN 和交换机端口绑定, 以图防范 ARP ,也是常用的防范方法。 做法是细致地划分 VLAN ,减小广播域的范围,使ARP在小范围内起作用,而不至名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 4 页,共 10 页 - - - - - - - - - 于发生大面积影响。 同时,一些网管交换机具有MAC 地址学习的功能, 学习完成后,再关闭这个功能,就可以把对应的MAC 和端口进行绑定,避免了病毒利用ARP攻击篡改自身地址。也就是说,
10、把ARP攻击中被截获数据的风险解除了。这种方法确实能起到一定的作用。不过, VLAN和交换机端口绑定的问题在于:1、没有对网关的任何保护,不管如何细分VLAN ,网关一旦被攻击,照样会造成全网上网的掉线和瘫痪。2、把每一台电脑都牢牢地固定在一个交换机端口上,这种管理太死板了。这根本不适合移动终端的使用, 从办公室到会议室, 这台电脑恐怕就无法上网了。在无线应用下,又怎么办呢?还是需要其他的办法。3、实施交换机端口绑定,必定要全部采用高级的网管交换机、三层交换机,整个交换网络的造价大大提高。因为交换网络本身就是无条件支持ARP操作的,就是它本身的漏洞造成了ARP攻击的可能,它上面的管理手段不是针
11、对ARP的。因此,在现有的交换网络上实施 ARP防范措施, 属于以子之矛攻子之盾。 而且操作维护复杂, 基本上是个费力不讨好的事情。4). PPPoE网络下面给每一个用户分配一个帐号、密码,上网时必须通过PPPoE 认证,这种方法也是防范ARP措施的一种。 PPPoE 拨号方式对封包进行了二次封装,使其具备了不受 ARP欺骗影响的使用效果, 很多人认为找到了解决ARP问题的终极方案。问题主要集中在效率和实用性上面:1、PPPoE 需要对封包进行二次封装, 在接入设备上再解封装, 必然降低了网络传输效率, 造成了带宽资源的浪费, 要知道在路由等设备上添加PPPoE Server的处理效能和电信接
12、入商的PPPoE Server 可不是一个数量级的。2、PPPoE 方式下局域网间无法互访, 在很多网络都有局域网内部的域控服务器、DNS 服务器、邮件服务器、 OA系统、资料共享、打印共享等等,需要局域网间相互通信的需求,而PPPoE 方式使这一切都无法使用,是无法被接受的。3、不使用 PPPoE ,在进行内网访问时, ARP 的问题依然存在,什么都没有解名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 5 页,共 10 页 - - - - - - - - - 决,网络的稳定性还是不
13、行。因此, PPPoE 在技术上属于避开底层协议连接,眼不见心不烦,通过牺牲网络效率换取网络稳定。 最不能接受的, 就是网络只能上网用, 内部其他的共享就不能在 PPPoE 下进行了。通过对以上四种普遍的ARP 防范方法的分析,我们可以看出,现有ARP防范措施都存在问题。 这也就是 ARP即使研究很久很透, 但依然在实践中无法彻底解决的原因所在了。5). 免疫网络从技术原理上,彻底解决ARP欺骗和攻击,要有三个技术要点。1、终端对网关的绑定要坚实可靠,这个绑定能够抵制被病毒捣毁。2、接入路由器或网关要对下面终端IP-MAC的识别始终保证唯一准确。3、网络内要有一个最可依赖的机构,提供对网关IP
14、-MAC最强大的保护。它既能够分发正确的网关信息,又能够对出现的假网关信息立即封杀。免疫网络在这三个问题上,都有专门的技术解决手段,而且这些技术都是厂家欣全向的技术专利。 下面我们会详细说明。 现在,我们要先做一个免疫网络结构和实施的简单介绍。免疫网络就是在现有的路由器、交换机、网卡、网线构成的普通交换网络基础上,加入一套安全和管理的解决方案。这样一来, 在普通的网络通信中, 就融合进了安全和管理的机制, 保证了在网络通信过程中具有了安全管控的能力,堵上了普通网络对安全从不设防的先天漏洞。免疫网络的结构名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - -
15、 - - - - - 名师精心整理 - - - - - - - 第 6 页,共 10 页 - - - - - - - - - 实施一个免疫网络不是一个很复杂的事,代价并不大。它要做的仅仅是用免疫墙路由器或免疫网关, 替换掉现有的宽带接入设备。在免疫墙路由器下, 需要自备一台服务器 24小时运行免疫运营中心。免疫网关不需要,已自带服务器。这就是方案的所需要的硬件调整措施。软性的网络调整是IP 规划、分组策略、终端自动安装上网驱动等配置和安装工作,以保证整个的安全管理功能有效地运行。其实这部分工作和网管员对网络日常的管理没有太大区别。免疫网络具有强大的网络基础安全和管理功能,对ARP的防范仅是其十
16、分之一不到的能力。 但本文谈的是 ARP问题,所以我们需要回过头来, 具体地解释免疫网络对 ARP欺骗和攻击防范的机理。 至于免疫网络更多的强大, 可以后续研究。前述治理 ARP 问题的三个技术要点,终端绑定、网关、机构三个环节,免疫网络分别采用了专门的技术手段。1、终端绑定采用了看守式绑定技术。免疫网络需要每一台终端自动安装驱动,不安装或卸载就不能上网。 在驱动中的看守式绑定, 就是把正确的网关信息存贮在非公开的位置加以保护,任何对网关信息的更改, 由于看守程序的严密监控,都是不能成功的,这就完成了对终端绑定牢固可靠的要求。2、免疫墙路由器或免疫网关的ARP先天免疫技术。在NAT转发过程中,
17、由于加入了特殊的机制, 免疫墙路由器根本不理会任何对终端IP-MAC的 ARP申告,也就是说,谁都无法欺骗网关。与其他路由器不同,免疫墙路由器没有使用IP-MAC的列表进行工作,当然也不需要繁琐的路由器IP-MAC表绑定和维护操作。先天免疫,就是不用管也具有这个能力。3、保证网关 IP-MAC始终正确的机构, 在免疫网络中是一套安全机制。首先,它能够做到把从路由器中取到的真实网关信息,分发到每一个网内终端, 而安装有驱动的终端, 只接受这样的信息, 其他信息不能接受, 保证了网关的唯一正确性。其次,在每一台终端, 免疫驱动都会拦截病毒发出的错误网关传播,不使其流窜到网络内,把ARP欺骗和攻击从
18、根源上切断。从以上三个措施来看,免疫网络确实真正解决了困扰已久的ARP问题,技术上是严谨的,应用上是可行的,成本也是相对低廉。所以,与常见的四种ARP名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 7 页,共 10 页 - - - - - - - - - 防范办法比较,免疫网络是解决ARP最根本的办法。题目 2:就你目前所学知识,详述设计一个局域网邮件监测软件的设计思路和工作流程。题目二解答设计思路实现的 MASS 是一个采用基于规则评分的检测系统,通过对收到的新邮件进行预处理,对发
19、现的每一个特征项赋予分数, 累计得分,不同得分的分为不同的类;得分超过一定阈值时,该邮件将被分类为垃圾邮件。一旦判断邮件为垃圾邮件,则进行相应的标记。 从功能实现的角度来看, 我们可以将其分为五大部分:工作站Agent,服务器 Agent,子网 Agent,控制台 Agent,中心数据库。如图所示:其中,工作站 Agent 提供了从邮件服务器接收邮件后进行个性化垃圾邮件检测的功能。工作站 Agent从邮件服务器接收到一封新的电子邮件后,首先查找发信人是否在邮件地址黑名单中,如果在,则认为是垃圾邮件, 放入垃圾箱, 等待用户确认后删除; 如果不在, 再查找是否在邮件地址白名单中,如果在,则直接放
20、入用户的收件箱,否则,对邮件进行预处理,然后使用支持向量机分类算法进行判断。在支持向量机做出判断后,将垃圾邮件放入垃圾箱,把合法邮件放入收件箱。子网Agent主要从垃圾邮件出现时,整个子网的网络负载和流量情况进行判断。它通过在子网中侦听网络数据包来检测是否在子网范围内出现了垃圾邮件 。服务器 Agem 首先采用信封检查,即发送邮件数据前的检查, 就是在发送 DATA 指令前的检测。 然后采用 MDA(Mail Delivery Agent) 过滤,即 MDA 从MTA(Mail TransportAgent)中接收到信件后,在本地或远名师资料总结 - - -精品资料欢迎下载 - - - - -
21、 - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 8 页,共 10 页 - - - - - - - - - 程进行递交时进行检测, 对于符合过滤条件的邮件进行过滤处理。中心数据库包括病毒邮件特征库、 子网行为特征库和系统数据库。 病毒邮件特征库用来保存病毒邮件的特征; 子网行为特征库用来保存整个子网中垃圾邮件出现时,数据流量宏观上的特征。控制台 Agent主要包括界面部分和系统维护部分。界面部分主要用于以友好的图形界面为系统管理员提供检测信息展示、日志管理、接受控制命令、进行参数或规则的设置等; 系统维护部分主要用来维护通用关键词模板、病毒邮件
22、特征库和子网行为规则库。工作流程邮件服务器中邮件处理流程如图32所示。针对服务器处理邮件的流程,可以进行三个层次的检测:分别是MTA 过滤,病毒邮件检测, MDA 过滤。1根据上图流程,服务器Agent首先采用 MTA 过滤,即在遵循 SMTP 协议的会话中,发送DATA 指令前的检测 在图32中,就是在第一步和 SMTP 协议服务模块中进行在发送 DATA 指令前,服务器 Agent对邮件会话过程中的连接丌始、HELOEHLO 指令, MAIL FROM 指令和 RCPTTO指令所携带的数据进行检测。检测项目依次为:【1】SMTP 连接时,可以检查客户端 IP地址是不是特定不允许连接的地址,
23、如被列入黑名单的 IP就会被立刻拒绝连接。【2】对HELO EHLO 指令所提供的身份, 检查是不是完全限定域名( 包括完整的主机名、域名的地址 ) 。【3】对MAIL FROM 指令所提供的邮件来源,通过DNS 反向查询检查是不是有效域、是不是完全限定域名、是不是符合RFC822 格式。【4】 对RCPT TO 指令所提供邮件接收者, 可以检查是不是属于允许转发的域、名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 9 页,共 10 页 - - - - - - - - - 是不是符合
24、 RFC822 格式。如果在检查中该会话符合过滤的条件,就可以按照预先设定的规则采取相应动作,例如直接在会话阶段断开连接、发出警告代码等, 这样就节省下被垃圾邮件占用的带宽和服务器的处理能力。2进行病毒邮件检测,在图32中的第四步执行之前进行。当邮件接收下来以后,服务器 Agent根据病毒邮件特征库中的各项特征对新邮件进行匹配,主要是对邮件附件的过滤。 特征项可以包括: 病毒常用主题名, 邮件正文内容, 伪装后的发信人地址,邮件附件大小,邮件附件文件后缀名等。经过上述两步过滤后,服务器agent 再采用 MDA 过滤,即 MDA 从MTA 中接收到信件后,在本地或远程进行递交时进行检测,对于符
25、合过滤条件的邮件进行相应处理。具体流程为; 针对每一封新邮件, 首先生成其相应摘要, 根据记录在服务器端的公认垃圾邮件摘要, 使用支持向量机将新邮件摘要与已有垃圾邮件摘要进行比较,如果得到的结果在管理员设定的阈值之内,就将该邮件放入服务器端的垃圾箱,经过管理员审核后,如果是垃圾邮件,则删除:否则恢复到其原位置,再将与误判有关的公认垃圾邮件摘要或阈值进行调整。3 邮件协议:3.1 简单邮件传输协议简单邮件传输协议 (SMTP) 的目标是可靠高效地传送邮件, 它独立于传送子系统而且仅要求一条可以保证传送数据单元顺序的通道。SMTP 的一个重要特点是它能够在传送中接力传送邮件,传送服务提供了进程间通
26、信环境( E),此环境可以包括一个网络,几个网络或一个网络的子网。3.2 电子邮件中的 TCP 序号 TCP 序号来标识从 TCP 发端向 TCP 收端发送的数据字节流,它在这个报文段中用第一个数据字节表示。 如果将字节流看作在两个应用程序间的单向流动,则TCP用序号对 (Sequence Number和Acknow1 edgement Number ,以下简称 sN和AN)对每个字节进行计数。序号是32 bit 的无符号数,从 0开始到 232一l 循环使用。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 10 页,共 10 页 - - - - - - - - -