B04040802答辩幻灯.pptVIP

IP地址欺骗扫描程序的设计与实现 指导教师： 李频 张焕焕 IP地址欺骗扫描 实质：端口扫描 特色：借他人之手 间接扫描 技术： IP地址欺骗扫描原理图 我的实现: 主扫描程序 我的实现: 客户端B 客户端C 技术点一： 发送数据包 Win Socket 使用WinPcap捕获数据包 创建线程函数： HANDLE CreateThread( LPSECURITY_ATTRIBUTES lpThreadAttributes, //安全属性 DWORD dwStackSize, //堆栈大小 LPTHREAD_START_ROUTINE lpStartAddress, //处理线程函数 LPVOID lpParameter, //传入参数 DWORD dwCreationFlags, //附加标志，挂起否 LPDWORD lpThreadId); //线程ID 系统细节 细节一： 按钮顺序可用 降低误操作 细节二： 系统信息帮助 帮助用户了解系统 问题与改进 关于第三方主机无其他网络通信 IP地址欺骗的防范 端口扫描的防范 谢 谢！ 获取网卡驱动器列表 获取： if (pcap_findalldevs_ex(PCAP_SRC_IF_STRING, NULL, alldevs, errbuf) == -1) { //出错处理 } 系统得到的网卡列表存放在网卡列表指针alldevs所指向的内存中。 显示： for(dev=alldevs; dev; dev=dev-next) { //pcap_if_t *dev;//当前网卡驱动器指针 sprintf(temp,%d---%s\r\n\r\n, ++devcount, dev-name); m_devinfo += temp; //m_devinfo为编辑框控件连接的变量 } 效果 扫描结果处理 主程序流程图： 系统回顾 帮助信息演示 * * IP地址欺骗技术 端口扫描技术 IP地址欺骗扫描 总的来说: 扫描者主机A 第三方主机B 被扫描主机C RST+ACK NULL扫描 SYN+ACK SYN， srcIP：B机IP ID增量大于1 RST ID增量为1 RST+ACK，ID++ C机上目标端口开放时 C机上目标端口未开放时 RST+ACK 获取网卡驱动器列表 打开相应网卡监视器 用户输入扫描信息 启动扫描 捕获通信数据包 给目标主机C发送源IP为B的SYN包 给第三方主机B发送NULL扫描包 扫描结果处理并显示 清空后可再扫描 流程图 子线程处理 获取网卡驱动器列表 打开相应网卡监视器 用户输入扫描信息 启动监听 扫描结果处理并显示 清空后可再次启动监听 系统回顾 手动填充IP包 RAW_SOCKET IP包头部 IP源地址 TCP包头部 端口，标志 校验和计算 技术点二： 捕获数据包 打开网卡驱动器：pcap_open () 设为混杂模式，实质超时时间 编译包过滤语法：pcap_compile () 仅接收tcp包?”ip and tcp” 设置包过滤器：pcap_setfilter () 捕获数据包： pcap_next_ex( adhandle, header, pkt_data)) 当前网卡监视器指针 截获数据包的首部，包含时间戳，数据包长度等信息 数据包的数据部分：MAC帧头部，IP头部，TCP头部，数据 阻塞函数，成功返回1，超时返回0 技术点三：多线程编程 线程同步 给被扫描主机C发送完规定的N个包后，即通知给第三方主机B发包的线程再多发m个包后结束 若给B发送了M个数据包，则收包线程在接收到M个来自B的回复数据包后结束 效果 关于端口段扫描 系统为了显示验证IP地址欺骗扫描过程，做了很多界面相关的处理 在不处理界面时，效率会提高，实现端口段扫描就很容易了。 系统基于假设;第三方主机是可控制的 在第三方主机不可控制的情况下： 可以提高发包速度，观察ID变化的相关波动 阻止可能造成风险的IP地址 使用反向路径转发(即IP验证) IP地址欺骗的防范 包过滤 基于路由跳数的包过滤 设置Cisco路由器 关闭闲置和潜在有危险的端口 应用网络防火墙 记：A机给C机共发送源IP地址为B的S