輕量級Linux防火墻研究與設計(掃描和反掃描、攻擊代碼)-畢業(yè)設計論文

1、輕量級linux防火墻研究與設計（掃描和反掃描、攻擊代碼卜畢業(yè)設計論文本科畢業(yè)設計題 目：輕量級linux防火墻研究與設計掃描和反掃描、攻擊代碼i輕量級linux防火墻研究與設計掃描和反掃描、攻擊代碼摘 要：21世紀是一個信息時代，網絡時代。計算機網絡技術的日漸 成熟，在日常生活屮的確帶給了我們不少的便利，同時，計算機病毒、網 絡攻擊、垃圾郵件、系統(tǒng)漏洞、網絡竊密、虛假有害信息和網絡違法犯罪 等計算機網絡安全問題也日益泛濫lo本輕量級linux防火墻軟件建立在linux環(huán)境下的c+編程實現。 主要分為用戶交互程序、后臺進程、服務器進程、內核模塊和測試命令。 本文實現了掃描模塊和交互程序中的顯示

2、防火墻的狀態(tài)、網絡接口和、安 全咨詢以及服務器進程與攻擊代碼。關鍵詞：c+ linux防火墻網絡安全iithe lightweight linux firewall research and designfirewall display,server,otherabstract： the twenty-first century is an era of information, the networkera. computer n etwork tech no logy is becoming more and more mature, itviruses, network attacks,

3、 spam, loopholes in the system, network theft, false and harmful information and network illegal crime and computer network security issues are also in creasi ngly ram pa nt.the lightweight linux firewall software based on the linux environment c+ programming. it divided into user interface program,

4、 background process, server process, kernel module and test comma nd. this paper impleme nts the display firewall, n etwork in terface , security con sultati on, the server process z attack code sea nning module and in teractive applications.key words: c+ linux firewall network securityiii目 錄一系統(tǒng)分析1（

5、一）可行性分析11技術可行性分析12操作可行性分析13經濟可行性分析1（二）系統(tǒng)處理流（三）系統(tǒng)數據流程二需求分析（一）系統(tǒng)需求規(guī)定1對功能的規(guī)定62對性能的規(guī)定9（二）系統(tǒng)運行環(huán)境規(guī)定101硬件及英他設備102支持軟件103語言版本104接1111三概要設計（一）數據的邏輯描1靜態(tài)數據112動態(tài)輸入數據143動態(tài)輸出數據144內部生成數據145數據約定15四詳細設計161系統(tǒng)模塊層次結構16（二）程序模塊設計說明181顯示防火墻狀態(tài)182安全咨詢模塊213服務器端模塊234結束進程子模塊245操作，設置模塊265掃描代碼模塊275攻擊代碼模塊29五系統(tǒng)測試31（-）測試計劃32（二）測試結果

6、及發(fā)現 32 iv總結41參考文獻錯誤！未定義書簽。致謝錯誤！未定義書簽。v一系統(tǒng)分析（一）可行性分析1技術可行性分析本防火墻軟件采用fedora系統(tǒng)+qt creator+eclipse+gcc編譯器進行開發(fā)，qtcreator3是一個linux下非常優(yōu)秀具有可視化界面設計ui的o+ 開發(fā)工具。對于開發(fā)用戶界面提供了很大的方便。而在內核模塊編寫上, eclopse的類提示功能也提供了不少便捷，最后用gcc編譯后，把自行編 寫可執(zhí)行的鉤子文件z間掛載到linux下，直接打開qt開發(fā)的防火墻用戶 界面進行操作，最后可以順利完成防火墻的過濾功能。綜上所述，本軟件 在技術方面是可行的。2操作可行性分

7、析本軟件的使用對象是普通計算機用戶。用戶可根據自身需要或者默認 設置對防火墻進行配置，最終達到滿足用戶需要的網絡安全設置。并且為 了讓用戶方便操作，在界面設計時做了很多人性化的提示設計；同時做到 界面美觀簡單，顏色線條搭配自然，提高軟件的友好度。3經濟可行性分析成本角度：軟件開發(fā)僅僅使用計算機一臺，采用虛擬機與宿主機交叉 交互開發(fā)，通過學校校園網提供的網絡條件，使我們開發(fā)小組三人直接在 宿舍就能實現開發(fā)與測試工作。軟件開發(fā)成本低。效益角度：由于本防火墻軟件的開發(fā)目的是免費軟件，效益主要源于 軟件中有連接服務器并顯示服務器頁面的設計，可以考慮在此功能上投放 廣告頁面，增加廣告收入。（二）系統(tǒng)處理

8、流程本軟件系統(tǒng)主要可分為三大模塊：內核交互模塊，用戶交互ui模塊, 服務器模塊。內核交互模塊：主耍是在網絡層實現，通過在網絡層對ip包的捕捉, 分析，判斷該ip包是否符合防火墻所配置的條件，如果符合，則接受。如 果不符合，則拋弄。實現原理是通過調用內核的所提供的接口。用戶交互ui模塊：主要提供其他工具，操作，設置，系統(tǒng)信息，安全 狀態(tài)1幫助，工作狀態(tài)，安全咨詢等七小模塊。分別用友好的界面提供給用 戶使用本防火墻軟件。讓用戶直接在界面操作便可以實現防火墻的配置并 及時查看相關信息。服務器模塊：主要提供用戶升級軟件等數據交互功能。下圖是防火墻的系統(tǒng)流程圖：圖1.1輕量級linux防火墻的系統(tǒng)流程圖

9、fig.1.1 figure of light linux firewall由于linux操作系統(tǒng)的賬戶權限非常嚴格，該防火墻軟件必須運行在 根權限（超級用戶）下。否則，有部分功能會被系統(tǒng)屏蔽。這也是linux 本身的安全體系2結構上做得比較嚴格的部分。（三）系統(tǒng)數據流程頂層數據流圖主要描述了外部數據包與內部數據包的接收與發(fā)送必 須通過防火墻檢測，如圖1.2所示。圖1.2輕量級linux防火墻的頂層dfd圖fig.1.2 figure of firewall top layer dfd第二層數據流圖展示出了防火墻軟件三大模塊的交互信息，如下圖所 示：圖1.3輕量級linux防火墻第二層dfd圖

10、fig.1.3 figure of second layer dfdlinux防火墻主要與用戸交互的模塊就是ui子模塊。該模塊提供了大 量易懂的操作信息，包括系統(tǒng)信息工作狀態(tài)，系統(tǒng)信息，安全狀態(tài)，安全 咨詢，其他工具，流量監(jiān)控，操作、設置、幫助信息等等。如圖1.4所示：圖1.4第三層dfd圖一輕量級linux防火墻用戶交互子模塊fig.1.4 figure of third layer dfd- user communicate block顯示防火墻狀態(tài)是從用戶交互模塊中總結出來的概括模塊。主要把所 有從內核讀取的狀態(tài)信息顯示在界面設計上。其主要包括基本信息，安全 狀態(tài)信息。4圖1.5第三層d

11、fd圖二防火墻狀態(tài)信息fig.1.5 figure of third layer dfd firewall state info服務器端及防火墻客戶端連接服務器功能，主要利用到socket編程實 現進程之間通信。如圖1.6所示：圖1.6第三層dfd圖三c/s實現fig.1.6 figure of third layer dfd- c/s5二需求分析（-）系統(tǒng)需求規(guī)定1對功能的規(guī)定通過對市面上的相關防火墻軟件的調研和分析，木防火墻軟件主要實 現的功能有：動態(tài)顯示本機狀態(tài)信息，即時連接/斷開網絡功能，服務器端 功能，日志文件，查看并操作相關正在上網進程功能，設置數據包過濾規(guī) 則量等等（1）動態(tài)顯示

12、本機狀態(tài)信息：當防火墻軟件開啟的時候，可以通過讀取linux系統(tǒng)上的相關文件，動 態(tài)獲収本機狀態(tài)信息并且顯示在界面相應地方。（2）即時連接/斷開網絡功能：能夠直接通過防火墻軟件上的此功能按鈕進行對個人計算機網絡的 連接與斷開設置，保護用戶選擇使用網絡的決定權；（3）服務器端功能：防火墻軟件連接服務器端獲取最新的安全咨詢，廣告頁面等；（4）日志文件：每當接收到外部攻擊或者在用戶定義的上網規(guī)則以外的操作，防火墻 軟件就會記錄在日志文件里，用戶也可以通過軟件中日志文件的按鈕查看 己經保存起來的信息；（5）查看并操作相關正在上網進程功能：防火墻軟件在系統(tǒng)信息的頁面能夠顯示出木機正在連接網絡的進程， 使

13、用戶知道自身哪些程序正在上網，同時也可以對上網進程執(zhí)行結朿進程 操作；（6）設置數據包過濾規(guī)則量用戶可以根據自身需要設置網絡規(guī)則，體現個人防火墻的個性化特點; 同時也可以使用默認安全配置；本軟件的最頂層的矩形框代表防火墻軟件的主面板（主控模塊），調 用下層模塊去完成全部功能；第二層的每個模塊分別完成軟件系統(tǒng)的各自 主要功能，如此層層向下逐一完善，軟件的h圖如圖2.1所示圖2.1輕量級linux防火墻軟件h圖fig.2.1 figure of light linux firewall softwareh圖說明了軟件的模塊組成及其層次結構，使用ipo表來說明模塊間 的信息傳遞及模塊內部的處理。表2

14、.1工作狀態(tài)的ipo表tab 2.1 ipo of work state系統(tǒng)名稱：輕量級linux防火墻模塊名：工作狀態(tài)模塊編號:2.1日期:2013-05-17上層調用模塊：用戶交互模塊下層被調用的模塊：無輸入數據：無 輸出數據：內核工作狀態(tài)信息處理：動態(tài)獲得部分 進程的工作狀態(tài)信息顯示在用戶界面的相應位置。表2.2安全狀態(tài)的ip0表tab 2.2 ipo of safe state系統(tǒng)名稱：輕量級linux防火墻 模塊名：安全狀態(tài)日期：2012-05-1模塊編號：2.2 上層調用模塊：用戶交互模塊下層被調用的模塊：無輸入數據：無輸出數據：防火墻的安全等級狀態(tài)信息處理：動態(tài)獲 得防火墻的安全

15、狀態(tài)信息并顯示在用戶界面的相應位置表2.3安全咨詢的ipo表tab 2.3 ipo of safe asking系統(tǒng)名稱：輕量級linux防火墻模塊名：安全咨詢日期：2013-05-1模塊編號：2.7上層調用模塊：用戶交互模塊，服務器模塊下層被調用的模塊：無輸入數據：服務器端信息輸出數據：從服務器端獲取得到的信息處 理：把服務器端獲取得到的信息顯示在用戶界面上。表2.4服務器端的ip0表tab 2.4 ipo of server系統(tǒng)名稱:輕量級linux防火墻 模塊名：服務器端模塊日期：201305j模塊編號：4.1上層調用模塊:linux防火墻下層被調用的模塊：無輸入數據：無輸出數據：服務器

16、端頁面信息處理：向用戶交互界面 下的安全咨詢發(fā)送服務器端的頁面信息。表2.5掃描模塊的ip0表tab 2.5 ipo of scan model系統(tǒng)名稱：掃描程序模塊名：掃描模塊模塊編號：測試模塊1上層調用模塊：無 輸入數據：無 處理：掃描目標機所開啟的端口。8日期：2013-05-1下層被調用的模塊：無 輸出數據：掃描冃標機 開啟的端口表2.6攻擊代碼的ipo表tab 2.6 ipo of attrack code系統(tǒng)名稱：socket仿攻擊代碼 模塊名：攻擊代碼日期：2013-05-1模塊編號：測試模塊上層調用模塊：無下層被調用的模塊：無輸入數據：客戶端輸入輸出數據：服務器端接收處理：用s

17、ocket連接模仿攻擊代碼，客戶端模仿肉雞，服務器端模仿 黑客。2對性能的規(guī)定輕量級hnux防火墻軟件的具體性能目標如下：（d靈活性a, 本防火墻屬于免安裝類型軟件，直接在linux終端以根權限打開便能 立即運行起來。b, 不需要過多繁瑣設置，軟件運行起來馬上進入保護狀態(tài)，軟件自 帶的默認設置能夠減免用戶的設置壓力并且保護作用顯著。c, 用戶能夠根據自身的瀏覽，安全需要，對防火墻等級進行自由靈活 的設置。（2）權限嚴格在linux操作系統(tǒng)下的權限有非常嚴格標準，防火墻軟件必須執(zhí)行在超 級用戶權限下才能實現斷網，及對內核發(fā)送命令等操作。（3）多線程并發(fā)防火墻主界面是一條主進程，期間有一些后臺模塊

18、功能線程并發(fā)進行, 讓防火墻能夠同時執(zhí)行部分功能的操作，提高軟件的效率及功能。（4）防火墻軟件的可靠性和安全性a. 在計算機網絡中，計算機通過物理層及鏈路層接受到網上的ip包， 防火墻軟件在有部分與linux系統(tǒng)的內核交互是建立在網絡層上，我們把一 些丟包規(guī)則設定在網絡層中，如果發(fā)現在規(guī)則以外的數據包一概采取丟棄 不用策略，這樣大大增加了安全性和可靠性。b. 軟件工作在超級用戶權限z下，可以執(zhí)行一切在linux ±的操作，從 而使軟件工作起來更加穩(wěn)定，更加可靠。c防火墻軟件如果發(fā)生錯誤導致崩潰，就好像普通軟件崩潰一樣，只 要重新啟動即可，不會使操作系統(tǒng)也隨之崩潰。9（5）防火墻軟件的

19、適應性系統(tǒng)應該兼容linux 2.6以上版本的操作平臺，如fordera及ubuntu等 知名linux操作系統(tǒng)。（6）防御性能夠抵御日常的端口掃描，利用socket通信的木馬程序以及icmp 攻擊。（7）防火墻軟件可升級性我們防火墻軟件的本來采取的就是增量模型及快速原型法的開發(fā)方 法，為了軟件日后的發(fā)展，我們會針對用戶提出意見，逐步完善軟件，修 復bug,增加更多的功能。（8）友好的人性化界面在linux qt creator下開發(fā)出來的界面具有簡潔大方，讓人舒服的可視 化界面（二）系統(tǒng)運行環(huán)境規(guī)定1硬件及其他設備本軟件是一款個人防火墻軟件，硬件要求以現今廣大用戶所使用的個 人計算機為標準。

20、配置耍求：（1）1.8ghz以上單/雙核cpu, 1gmb以上物理內存，40gb sata接口硬盤；（2）集成雙千兆以太網卡。（3）操作系統(tǒng)：內核版本2.6以上的linux操作系統(tǒng)2支持軟件操作系統(tǒng)：內核版本2.6以上的linux操作系統(tǒng)開發(fā)語言：c/c+測試軟件：各種能夠聯通網絡的軟件便可，如google瀏覽器開發(fā)工具：qx creator eclipse gcc編譯器linux文件系統(tǒng)：ext3語言版本簡體中文版10 4接口本防火墻軟件用到接口包括：1. proc文件系統(tǒng)。在proc文件系統(tǒng)下面包含一些tcp及udp數據包 接口文件，相關的系統(tǒng)狀態(tài)信息文件。根據這些接口能夠讀取獲得當地計

21、算機的一些狀態(tài)信息并作以顯示。2. qtsocket接口。服務器端與客戶機端進程之間的通信就是依靠 socket借口實現的。三概要設計（一）數據的邏輯描述本防火墻軟件憂郁數據量不會很大沒有涉及到數據庫的操作，但是卻 用上了大量的靜態(tài)屬性數據，鏈表及proc文件作為數據載體。1靜態(tài)數據 重要的靜態(tài)變量：表3.1靜態(tài)變量table 3.1 figure of static data重要的結構體：11表3.2結構體table 3.2 figure of struct表3.3函數table 3.3 figure of functionqt界面下的所寫的類文件：表3.4類table 3.4 figure

22、 of class132動態(tài)輸入數據表 3.5 輸入數據 table 3.5 figure of input date3動態(tài)輸出數據表 3.6 輸岀數據 table 3.6 figure of output date4內部生成數據表 3.7 內部生成數據 table 3.7 figure of private date145數據約定表3.8輸入數據table 3.8 figure of date permision 15四詳細設計根據前面系統(tǒng)需求的分析，將軟防火墻件劃分成3大模塊，包括內核 交互模塊，用戶交互模塊ui,服務器模塊。這里主要寫到本人完成的子模 塊：用戶交互模塊ui中的顯示防火墻的

23、狀態(tài)、網絡接口和、安全咨詢以及 服務器進程，掃描代碼以及攻擊代碼。1妻子的xing要求不能得到滿足，影響夫妻感情造成家庭不和睦2愛愛中立刻she精，精子不能很好的進入女性體內，導致不育3心情苦悶、情緒壓抑，喪失生活激情，產生心里疾病4早*泄容易導致精神恐懼焦慮，從而發(fā)生陽*痿等勃起功能障礙直至 性機能衰竭。咨詢加老zhong醫(yī)的v： msdf003愿您早日康復?。?）程序系統(tǒng)的結構1系統(tǒng)模塊層次結構本系統(tǒng)每個模塊名稱及其程序層次結構如表4.1所示，對于特別簡單 的程序模塊，在此從略，僅給出較為復雜的程序層次結構。表4.1程序層次結構表tab 4.1 table of process hiera

24、rchy structure（2）顯示防火墻狀態(tài)16圖 4.1 狀態(tài)顯示結構圖 fig.4.1 state display structure（2）網絡接口模塊圖 4.2 網絡接 口模塊結構圖 fig.4.2 network interface structure（3）掃描功能圖4.3掃描原理圖17fig.4.3 sean theory（4）模擬攻擊代碼圖4.4攻擊原理fig.4.4 attrack theory（二）程序模塊設計說明以下主要包括的子模塊顯示防火墻狀態(tài)，安全咨詢，服務器模塊，結 束進程子模塊，操作、設置模塊以及掃描代碼，攻擊代碼。1顯示防火墻狀態(tài)（1）模塊描述在防火墻軟件的用戶

25、交互界面上動態(tài)顯示出計算機屮內核的系統(tǒng)狀 態(tài)信息以及本防火墻軟件的執(zhí)行信息。（2）模塊功能圖4.3狀態(tài)顯示模塊ipo圖fig.4.3 ipo of state display module18圖4.4狀態(tài)信息詳細圖fig.4.4 figure of state's detail infomation（3）模塊輸入項無（4）模塊輸出項把系統(tǒng)狀態(tài)信息，防火墻狀態(tài)信息顯示到用戶界面相應位置。（5）模塊流程邏輯19圖4.5系統(tǒng)信息顯75流程圖fig.4.5 flow chart of system information display圖4.6狀態(tài)信息顯示流程圖fig.4.6 flow cha

26、rt of state information display20（6）模塊接口表4.2模塊接口tab 4.2 table ofmodule interface所用到的文件：/etc/issue/proc/sys/kernel/ostype setting.config2安全咨詢模塊（1）模塊描述安全咨詢頁面顯示。（2）模塊功能圖 4.9 安全咨詢 ip0 圖 fig.4.9 ipo of safe information asking（3）模塊輸入項表4.3程序輸入項tab 4.3 table of module inpute21（4）模塊輸出項把服務器端顯示在界面上。（5）模塊流程圖4.1

27、0安全咨詢模塊流程圖fig.4.10 flow chart of safe information asking module（6）模塊接口表4.4模塊接口tab 4.4 table of module interface 223服務器端模塊（1）模塊描述負責建立服務器端程序，接收防火墻軟件客戶端請求，發(fā)送數據到客 戶端。（2）模塊功能圖4.11服務器端模塊ipo圖fig.4.11 ipo of server module（3）模塊輸入項表4.4程序輸入項tab 4.4 table of module inpute（4）模塊輸岀項東莞理工學院超鏈接字符串。（5）模塊流程邏輯：23圖 4.11

28、服務器端模塊流程圖 fig.4.11 flow chart of server module4結朿進程子模塊（1）模塊描述24結束進程了模塊是由系統(tǒng)顯示模塊中把正在進行互聯網連接的應用程序列出來后，根據進程pid號把該進程結束的子功能模塊。（2）模塊功能圖4.13結束進程子模塊ipo圖fig.4.13 ipo of kill process sub module（3）模塊流程邏輯：圖4.14結束進程子模塊流程圖fig.4.14 float of article upload module（4）模塊接口表4.5模塊接口tab 4.5 table ofmodule in terface25所用到的

29、命令函數kill （）；5操作，設置模塊（1）模塊描述用戶可以按照個人上網習慣，選擇對防火墻相關配置的設置。本模塊 用作顯示選項及其功能，記錄用戶選擇設置，發(fā)送給內核模塊。（2）模塊功能處理圖4.16操作，設置模塊ipo圖fig.4.16 ipo of operation setting module（3）模塊流程邏輯圖4.17操作，設置模塊模塊流程圖fig.4.17 flow chart of operation setting module（4）模塊接口表4.6模塊接口tab 4.6 table of module interface5掃描代碼模塊（1）模塊描述27利用端口掃描技術，對目標

30、機（ip識別）打開的端口號掃描并顯示出 來。（2）模塊功能處理圖 4.17 掃描代碼模塊 ipo 圖 fig.4.17 ipo of scan code module（3）模塊輸入項表4.7程序輸入項tab 4.7 table of module inpute（4）模塊輸出項把065534號打開的端口輸岀。（5）模塊流程邏輯28圖4.18掃描程序流程圖fig.4.18 flow chart of sean code反掃描功能已在icmp內核過濾中實現。具體參考同組成員劉曉潤的報告。5攻擊代碼模塊（1）模塊描述本模塊模仿灰鴿子等木馬程序的工作原理，黑客軟件通過讓受感染用 戶連接到自己的服務器上，

31、然后獲得感染機的相關信息甚至控制。（2）模塊功能293）模塊流程邏輯處理圖4.19攻擊代碼ipo圖fig.4.19 ipo of attrack code30（圖4.20操作，設置模塊模塊流程圖fig.4.20 flow chart of operation setting module五系統(tǒng)測試軟件測試是針對開發(fā)需求文檔對需求提出的功能測試，對質量或可接 受性做岀判斷，以及發(fā)現問題。我們進行測試，是因為知道我們很容易犯 錯誤，特別是在軟件領域和軟件控制的系統(tǒng)中6。系統(tǒng)測試是軟件測試里面專門對功能的一種測試。我們通過對功能逐 步測試，了解軟件對需求計劃的實現程度，找出軟件中的bug進行排錯修 復，逐一完善軟件。31（-）測試計劃表 5.1 測試計劃 tab 5.1 table oftest plan（二）測試結果及發(fā)現（1）顯示防火墻狀態(tài)測試32圖5.1顯示防火墻狀態(tài)測試結果fig.5.1 display test result33圖5.2顯示防火墻狀態(tài)測試結果fig.5.2 display test result圖5.3顯示防火墻狀態(tài)測試結果fig.5.3 display test r