《基于routercli的DOSNIPE防火墙终端控制.doc》由会员分享,可在线阅读,更多相关《基于routercli的DOSNIPE防火墙终端控制.doc(27页珍藏版)》请在金锄头文库上搜索。
1、浙江科技学院毕业设计(论文)基于routercli的DOSNIPE防火墙终端控制刘亮亮(自动化与电气工程学院 指导教师:邵世凡)摘要: 随着科技的不断发展,越来越多人感觉到网络已经成为生活中不可或缺的一部分了。人们通过网络来购物,通过网络来进行交易,通过网络来进行转帐,等等。但随之而来的就是网络安全问题。是的,网络安全已经成为现今计算机领域的一大主题,而在所有的网络安全产品中,防火墙就当之无愧的稳当霸主地位。 为了极大限度的发挥防火墙的功效,对防火墙进行各种配置,状态查看就成为必然。比如,设置ip地址,设置过滤规则,设置保护主机;查看主机流量,查看攻击种类,查看系统日志等等。而选择合适的控制手
2、段将会大大提高防火墙的防御能力,虽然WEB页面控制具有非常直观的用户交互界面,但还需加上终端控制手段方能如虎添翼。routercli 就是一款操作简单,而功能强大的控制终端.本文从其产生背景,应用领域,使用方法,以及项目部署等各个方向对其进行详细描述.关键词:网络安全; 防火墙; routercli Abstract:With the development of technology, more and more people cant live without networking. They do shopping ,make business deal , transfer accou
3、nts through network. However, It invokes the networking security problem , which is very harmful. Yes ,networking security has become one of the hottest topic in computer area, and it goes without saying that Firewall product has established the hegemony in all of the network security products. It b
4、ecomes necessary to do kinds of configurations and inspect the running status for fully playing the performance of firewall. Such as setting ip address ,filter rules, protected hosts and inspecting flows, types of attacking, system logs and so on. Under this situation ,it will great improve the defe
5、nse ability of firewall ,as long as you choose a proper control strategy. although WEB-based controlling has a friendly user interface., Terminal-based controlling should be added as a appurtenance. RouterCli is a powerful control terminal. This article describes it in detail from its background ,ap
6、plication area, usage, project deployment and the like. Keywords: Network Security;Firewall;routercli1 前言网络的出现,极大的便利了人的生活.现在人们可以在网上进行购物,登陆到网上银行进行业务管理,当然还能够在网络上开辟一片属于自己的空间.但是,如果以上的操作被某个心怀不轨的黑客所介入的话,那么你就要当心了!你可能在进行购物的时候,将资金汇入到别人的帐户;当你试图登陆网上银行的时候,却提示你密码错误,而这个密码你是那么的熟悉;当你要访问自己的网上空间时却老是出现拒绝服务!如果出现上述现象的话,
7、那么,你极有可能遭到别人的攻击,换句话说,网络已不安全.在这个时候,各种形式的防火墙应运而生,比如防病毒感染的,防垃圾邮件的,防流氓软件的,防DOS/DDoS的.而DOS/DDoS攻击由于其独特性,至今国内还没有一款能够彻底解决此类攻击的防火墙产品,国内做的比较出色的主要是绿盟的黑洞防火墙,金盾防火墙,冰盾防火墙,当然还有Dosnipe防火墙,在理想状态下可以抵抗800M的流量攻击。DOSNIPE就是一款针对于DOS/DDoS攻击的硬件防火墙,而本文的routercli是为其量身定做的控制终端.Routercli主要被应用于路由器的终端控制中,在防火墙还没有得到普及。由于它内置了许多针对于路由
8、器的控制命令,所以在防火墙里需要加入许多与防火墙匹配的控制命令。本文讨论的问题就是针对DOS/DDoS防火墙的终端控制. 在毕业设计阶段,项目主管分配此项任务之后,我根据要求,制定项目进度表。并负责所有的编码工作,在编写程序的过程中,出现了许多问题,但通过各种调试手段最终攻克各种难关,程序已经可以进行控制,查询等操作了。2 DOS/DDoS攻击介绍所谓知己知彼方能百战百胜,要有效的防护DOS/DDoS攻击的话,首先就得熟悉它的原理!2.1 DOS/DDoS攻击原理DOS是 Denial Of Service 的缩写,意为:拒绝服务攻击.而DDoS是Distributed Denial of S
9、ervice的简写,意为分布式拒绝服务攻击.两者的目的只有一个:就是让你的服务器停止对外提供服务.2.2 DOS攻击DOS攻击其实是一对一的攻击方法,它说白了就是单挑,攻击者通过发送大量的数据包来攻击你的机器,如果你的机器性能较差的话,那么就极可能瘫痪.比如攻击者一秒钟发1000个数据包给你,而你一秒却只能处理100个,那么你的cpu将会非常的忙碌,最终还可能停止响应.当然,随着科技的飞速发展,现在服务器的硬件配置一般都比较高,所以DOS攻击基本上不会造成系统瘫痪,但也不可小觑.2.3 DDoS攻击 DDoS攻击是在传统的DOS攻击的基础上建立起来的.比如1对1的情况下你能够处理10000个数
10、据包,那么攻击者以1000个数据包的DOS攻击将不会对你造成影响.但是,有没有考虑到这种情况,那就是攻击者同时发动10台机器以同样的速率来进行攻击,那么情况又会有所不同了,如果用100台呢?结果可想而知.而DDOS就是采用很多的傀儡机来进行大规模的攻击.它看起来象群欧. 随着网络的不断发展,黑客所使用的傀儡机的范围也就更广,但在低速网络时代,黑客只会选择附近的机器作为傀儡机,因为经过的路由少,效果会更好. 下面来看看它的步骤(见图1-1): (图 1-1:DDoS攻击模型) I.首先,攻击者从自己的机器(client)出发,找到几个管理松散的站点,并且通过入侵手段取得此机器的控制权(handl
11、er). II.其次,依照同样的方法,再次寻找有安全漏洞的机器(Agent),取得控制权之后,再植入daemon程序,潜伏在系统之中,等待Handler发来的控制命令,发动攻击.这些daemon程序一般都有发送大量数据包的能力,并且能够隐藏IP地址,使得难以追查攻击源. III.发动攻击,这是最后一步,攻击者只要在登陆到(handler)机器上键入控制命令,Agent就会疯狂的向受害机发动大规模的进攻.他们可能会监控攻击的效果,最常用的方法就是不停的向被攻击主机发送ping包,如果还能够响应的话,就会继续加大攻击力度(见下面一个攻击程序控制终端). 被攻击的现象: * 被攻击的主机上充斥着大量
12、等待的tcp连接 * 网络上充斥着大量无用的,源地址为假的数据包 * 制造高流量无用数据,造成网络拥塞,使受害主机无法正常和外界通讯 * 利用受害主机提供的服务或传输协议上的缺陷,反复高速的发出特定的服务请求,使受害主机无法及时处理所有正常请求 * 严重时出现死机3 LINUX开源项目3.1 开源项目 LINUX是 open source(开源的),这就意味着LINUX的核心代码都可以从网络上免费获得,最著名的就是:www.kernel.org.而linux的发布是在GNU/GPL许可证下发布的,这是一种copyleft的版权机制,意为:无版权.对应于常见的copyright(版权).你可以在
13、GPL许可证的保护或约束下修改源代码并进行发布,但在发布的时候要明确修改点,且允许别人再度修改.不仅其内核本身,在linux操作系统下的绝大多数应用软件都是开源的,你都可以对其进行二度开发.而routercli 正是这样一款基于GPL的应用软件.3.2 Routercli 3.2.1 简介 Routercli是一个 Cisco-like 的shell程序10,它设计的初衷主要是应用于linux无盘系统或者软盘系统。但是,在当今的应用中有许多路由器厂家都采用了Routercli作为其控制终端,比如:cisco, Juniper,3com,paradyne等网络巨头。 正如它开放源代码的特性,使得
14、很多商业厂家都会从下面网站下载由开发者提供的源代码包: 当从下载下来后,通过向里面增加源代码,就可以实现针对于自己产品的特殊功能。3.2.2 基本命令我们先看看其原来的一些功能。(图 2-1:基本命令)可以看到,它包括了一些常用的命令,如ping,telnet等,exit是用来退出程序的常用命令。在这些命令的基础,大多厂家都会增加一些命令进去,或者替换掉一些命令。我们来看看其功能:I. enable : 进入特权命令模式II. help: 帮助信息III. exit: 从EXEC退出IV. ping: 发送icmp报文V. trace: 到目的地的路由跟踪VI. telnet: 打开一个tel
15、net 连接 3.2.3 特权命令当我们通过键入enable 命令时就会进入特权命令模式,如下所示:(图2-2: 特权模式)从上图我们可以看到进入特权模式之后命令有所不同,下面来简要介绍一下: I. configure: 进入configuration 模式 II. clock: 对系统时钟进行操作 III. copy 拷贝配置文件或映像文件 IV. disable: 关闭特权命令 V. help: 打印命令帮助信息 VI. exit: 退出 VII. ping 发送 ping 包 VIII. trace: 路由路径跟踪IX: show: 显示系统运行信息 X: shell: 执行shell程序 XI: write: 把运行配置写入到内存 3.2.4 配置模式 在特权模式下我们再键入configure t或 term,terminal命令就可以进入配置模式了:(图 2-3: 配置模式)我们对其命令简要解释一下:I. access-list: 增加一个访问列表入口II. banner: 定义一个登陆的图标III. clear: 复位功能IV. help: 打印命令帮助信息V
