网络安全课程设计.docxVIP

***********大学 课 程 设 计 任 务 书 题目： 网络安全技术分析与安全方案设计 指导老师： 指导老师：***************** 院 系：***************** 班 级：***************** 姓 名：***************** 基本要求： 设计网络安全技术实现方案。选择合适的 安全协议、安全技术、安全设备，设计安全组网方案。 按5人左右组合成一个小组，集中讨论，提出各小组的实现方案，总结并写出报告。 设计目的： 分析网络各种安全技术和安全设备 设计网络安全的方案 计算机网络安全技术内容: 保密性 安全协议的设计 访问控制 网络安全分析类别: 物理层安全分析及解决方案 数据链路层安全分析及解决方案 网络层安全分析及解决方案 运输层安全分析及解决方案 应用层安全分析及解决方案 设计内容：网络层安全分析与解决方案 一、网络安全的主要威胁 网络通信过程中，安全问题显得尤为重要，网络安全威胁的来源也是多方面的， 但究其性质基本上可以归结为以下几类： 1.截获 攻击者从网络上窃听他人的通信内容； 2.中断 攻击者有意中断他人在网络上的通信； 3.篡改 攻击者故意篡改网络上传送的报文； 4.伪造 攻击者伪造信息在网络上传送； 其中，截获属于被动攻击；中断、篡改、伪造都属于主动攻击。 二、网络层IP数据包 IP数据包作为网络入侵的核心手段和网络安全维护的基础技术之一，对网络数据包进行捕获、监听与分析等研究对于保证网络的安全性和可靠性是具有重要意义的。 1.网络数据包捕获原理 以太网(Ethernet)具有共享介质的特征，信息以明文的形式在网络上传输，当网络适配器设置为监听模式(混杂模式)时，由于采用以太网广播信道争用的方式，使得监听系统与正常通信的网络能够并联连接，并可以捕获任何一个在同一冲突域上传输的数据包。IEEE 802.3 标准的以太网采用的是持续CSMA/CO 的方式，正是由于以太网采用这种广播信道争用的方式，使得各个站点可以获得其他站点发送的数据。运用这一原理使信息捕获系统能够拦截到需要的信息，这是捕获数据包的物理基础。以太网是一种总线型的网络，从逻辑上来看是由一条总线和多个连接在总线上的站点所组成各个站点采用上面提到的CSMA/CD 协议进行信道的争用和共享。每个站点( 这里特指计算机通过的接口卡) 由网卡来实现这种功能。网卡主要的工作是完成对于总线当前状态的探测，确定是否进行数据的传送，判断每个物理数据帧目的地是否为本站地址，如果不匹配，则说明不是发送到本站的而将它丢弃; 如果是的话，接收该数据帧，进行物理数据帧的CRC校验，然后将数据帧提交给LLC子层。网卡的缺省工作模式包含广播模式和直接模式，即它只接收广播帧和发送给自己的帧。如果采用混杂模式，一个站点的网卡将接受同一网络内所有站点所发送的数据包，这样就可以到达对于网络信息监视捕获的目的。 2.IP层协议数据包的捕获和分析软件总体设计 2.1网卡控制模块 网卡选择模块:初始化机器上所有的网卡，并在软件界面的网卡选择列表中列出所检测到得网卡供用户选择。 监听控制模块: 对流经所选择网卡的数据包进行监听控制，其中包括监听开始和监听终止，监听开始则开始捕获数据包，监听终止即终止对数据包的捕获。 2.2 数据包捕获模块 IP 包捕获模块: 对流经网卡的数据包中的IP 协议数据包进行捕获。ARP 包捕获模块: 对流经网卡的数据包中的ARP 协议数据包进行捕获。 ICMP 包捕获模块: 对流经网卡的数据包中的ICMP 协议数据包进行捕获。 其他格式捕获模块: 根据需求和设计需要额外加入对流经网卡的数据包中的其他协议数据包进行捕获。 2.3 信息统计分析模块 数据包字段分析模块: 对于捕获到并存入数据库中的数据包进行各个字段详细分析并提供显示结果，并可将分析结果以指定格式的文件形式导出。 数据统计模块: 对网络数据流量等信息进行统计分析。该软件功能总体模块图如图1 所示。 3.IP层协议数据包的捕获和分析软件详细设计 3.1 网卡控制 网卡选择功能是让用户选择需要进行数据包捕获的网卡以便下一步继续工作。此模块采用树控件列举出了当前机器上被WinPcap 驱动所支持的所有网卡，用户可以选择其中一个网卡进行即将的数据包捕获。此处非必须选择网卡，如果不选择网卡而点击取消则直接进入程序主界面，但无法进行数据包捕获。 3.2 数据包捕获和分析 网络数据包的捕获和分析的功能均在该处予以实现。主要是捕获IP 层中IP， ICMP，ARP， IGMP 等协议数据包，并分析各个数据包协议字段的内容然后反馈到程序主界面的相应部分中。 3.3 数据包信息统计 在数据包捕获过程中，主要是对捕获到的数据包