導(dǎo)言：作為寫作愛好者，不可錯(cuò)過(guò)為您精心挑選的10篇校園防范措施，它們將為您的寫作提供全新的視角，我們衷心期待您的閱讀，并希望這些內(nèi)容能為您提供靈感和參考。

篇1

中圖分類號(hào)：X928.7 文獻(xiàn)標(biāo)識(shí)碼：A

1 校園內(nèi)火災(zāi)常見原因

1.1 教職員工和學(xué)生的消防安全意識(shí)淡薄。許多教職員工和學(xué)生因潛心研究學(xué)問(wèn)，對(duì)其他事情關(guān)心較少，消防安全意識(shí)往往比較薄弱，消防法制觀念不強(qiáng)，思想麻痹，缺乏防范意識(shí)和安全知識(shí)，紀(jì)律松弛，違反用火、用電等消防安全規(guī)定的情況時(shí)有發(fā)生。

1.2 用火用電不遵安全規(guī)范，火災(zāi)誘發(fā)原因眾多。如亂拉亂接電線和保險(xiǎn)絲，因電線短路或因接觸不良發(fā)熱而引起火災(zāi)；個(gè)別的因?yàn)橛秒娊?jīng)常超負(fù)荷常跳閘，圖方便用銅絲或鐵絲代替保險(xiǎn)絲，使電路過(guò)載發(fā)生故障時(shí)不能及時(shí)熔斷而造成電線起火?；蛟诖采宵c(diǎn)蠟燭，吸煙者亂扔未熄滅的煙頭和火柴等，在宿舍內(nèi)焚燒雜物，在宿舍內(nèi)使用煤氣、液化氣不當(dāng)，使用煤油爐、汽油、酒精等易燃易爆物不當(dāng)?shù)葘?dǎo)致明火引燃。還有電燈泡靠近可燃物長(zhǎng)時(shí)間烘烤起火；使用電熱器無(wú)人監(jiān)管而烤燃起火；長(zhǎng)時(shí)間使用電器不檢修，電線絕緣老化、漏電短路而起火等。

1.3 老式建筑多，先天性火災(zāi)隱患多。在有著數(shù)十年甚至上百年歷史的高校中，有不少木結(jié)構(gòu)建筑仍在使用中。這些木結(jié)構(gòu)建筑年代久遠(yuǎn)，屋面老化，破損嚴(yán)重，屋脊和封山脊開裂等現(xiàn)象隨處可見。當(dāng)時(shí)建筑設(shè)計(jì)防火等方面的規(guī)范尚不完備、法制不健全，導(dǎo)致建筑留下布局不合理，消防通道不暢通，防火間距不夠，大型建筑無(wú)防火分隔，內(nèi)部裝修和疏散走道大量使用易燃材料等許多先天性火災(zāi)隱患。

1.4 校園情況復(fù)雜，人員流動(dòng)性大。包括教學(xué)樓、辦公樓、實(shí)驗(yàn)室、食堂、體育館、賓館、家屬樓、學(xué)生宿舍、教職員工宿舍、校辦工廠、出租門面房等，可以說(shuō)涉及到校園內(nèi)的各種場(chǎng)所。校園是一個(gè)濃縮、開放的小社會(huì)，是一個(gè)復(fù)雜的公共場(chǎng)所。從建筑來(lái)看有高層、多層民用建筑，有廠房、倉(cāng)庫(kù)，有的還有地下人防工程。從用途來(lái)看，既有教學(xué)場(chǎng)所、公共娛樂(lè)場(chǎng)所、賓館、飯店、商業(yè)網(wǎng)點(diǎn)，又有實(shí)驗(yàn)室、宿舍和辦公樓。建筑物相對(duì)集中，人員相對(duì)密集。有的學(xué)校中既有生活區(qū)、教學(xué)區(qū)，又有家屬區(qū)，甚至還有附小、附中等附屬單位，使消防安全管理工作難度進(jìn)一步加大。

1.5 建筑物人員密度大，安全通道少。目前大部分在學(xué)生宿舍的建筑面積一般每幢在3000平方米左右，有的甚至更大，一幢樓內(nèi)居住學(xué)生數(shù)額1000人上下。大多數(shù)在興建學(xué)生宿舍時(shí)，雖然已考慮到消防安全需要而留有消防安全通道，但不少單位從日常的防盜安全或?qū)W生人身安全考慮而關(guān)閉大多數(shù)消防安全出口或加設(shè)防盜門，只留有一兩個(gè)出口用于日常進(jìn)出，使“安全出口”名存實(shí)亡，一旦發(fā)生火災(zāi)，造成的人員傷亡可想而知。有的為了防止男女生混竄宿舍，校方還讓男、女生各住一半樓，在樓道中間加門、隔墻進(jìn)行分隔，宿舍被一分為二，樓梯、消火栓、安全出口等消防設(shè)施也被一分為二，火災(zāi)危險(xiǎn)性大大增加。

1.6 校方在消防安全上投入少。每年的經(jīng)費(fèi)開支主要靠各級(jí)政府的財(cái)政撥款，在國(guó)家財(cái)力有限，重點(diǎn)保障教育經(jīng)費(fèi)支出的情況下，用于消防安全方面的經(jīng)費(fèi)十分有限。重點(diǎn)是將經(jīng)費(fèi)用在師資力量和教學(xué)硬件設(shè)備的競(jìng)爭(zhēng)上，很難投入到人們不易看到的消防基礎(chǔ)設(shè)施建設(shè)和火災(zāi)隱患整改上。另外，大學(xué)里保衛(wèi)部門真正實(shí)施消防安全管理的人員很少，有的甚至只有一個(gè)人，有的人還身兼數(shù)職，造成精力分散。

2 高校校園火災(zāi)的防范對(duì)策

2.1 提高對(duì)校園消防安全工作的重視程度。學(xué)校是國(guó)家培養(yǎng)各類人才的地方，學(xué)生們的身上寄托著祖國(guó)的未來(lái)和希望。學(xué)校一旦發(fā)生火災(zāi)，容易造成學(xué)生人員傷亡，造成的社會(huì)和政治影響將十分巨大而惡劣。各級(jí)教育行政管理部門應(yīng)從保持社會(huì)穩(wěn)定和可持續(xù)發(fā)展的角度來(lái)認(rèn)識(shí)消防工作的重要性，從人力和物力兩方面加大對(duì)消防工作的投入。

2.2 開展形式多樣的消防宣傳教育。學(xué)校對(duì)學(xué)生及教職員工的消防意識(shí)薄弱問(wèn)題應(yīng)有足夠的認(rèn)識(shí)，要加大消防宣傳教育的力度，校園內(nèi)應(yīng)通過(guò)多種形式開展經(jīng)常性的消防安全宣傳與培訓(xùn)。對(duì)同學(xué)們的宣傳應(yīng)通過(guò)張貼消防宣傳畫、消防刊物、網(wǎng)絡(luò)、舉辦消防文化活動(dòng)等形式，定期組織進(jìn)行消防演練，以增強(qiáng)其消防法制觀念，提高其消防安全意識(shí)和責(zé)任心，使其掌握防火、滅火、逃生的常識(shí)，自覺遵守消防安全規(guī)章制度。在新生入學(xué)時(shí)就要進(jìn)行消防安全教育，可將消防安全教育內(nèi)容納入軍訓(xùn)項(xiàng)目之中，使新生一入校即體驗(yàn)到消防安全工作在學(xué)校的重要地位;定期舉辦課外消防知識(shí)講座;從教職員工和學(xué)生中發(fā)展義務(wù)消防隊(duì)員;舉辦消防運(yùn)動(dòng)會(huì)和滅火演練;利用電教設(shè)備開展有針對(duì)性的消防宣傳等。

2.3 建立消防安全管理制度并狠抓落實(shí)。在消防安全管理上，學(xué)校要建立和健全各項(xiàng)消防安全管理制度，落實(shí)消防安全責(zé)任制，在宿舍、圖書館、實(shí)驗(yàn)室、食堂等重點(diǎn)部位和場(chǎng)所落實(shí)崗位消防安全責(zé)任制，做到每個(gè)崗位和場(chǎng)所都有專人負(fù)責(zé)消防安全，開展定期和不定期的安全檢查，及時(shí)發(fā)現(xiàn)和消除火災(zāi)隱患，保證各項(xiàng)制度得到落實(shí)，按照國(guó)家有關(guān)規(guī)定配置消防設(shè)施和器材，并要確保其完好有效。

2.4 工作學(xué)習(xí)中嚴(yán)格遵守消防安全規(guī)程。在教室、實(shí)驗(yàn)室、研究室學(xué)習(xí)和工作時(shí)，要嚴(yán)格遵照各項(xiàng)安全管理規(guī)定、操作規(guī)程和有關(guān)制度。使用儀器設(shè)備前，應(yīng)認(rèn)真檢查電源、管線、火源、輔助儀器設(shè)備等情況，如放置是否妥當(dāng)，對(duì)操作過(guò)程是否清楚等，做好準(zhǔn)備工作以后再進(jìn)行操作。使用完畢應(yīng)認(rèn)真進(jìn)行清理，關(guān)閉電源、火源、氣源、水源等，還應(yīng)清除雜物和垃圾。涉及使用易燃易爆危險(xiǎn)品時(shí)，一定要注意防火安全規(guī)定，按照規(guī)定一絲不茍地進(jìn)行操作。

2.5 強(qiáng)化學(xué)生宿舍的消防安全管理。學(xué)生宿舍發(fā)生火災(zāi)不僅給學(xué)生的學(xué)習(xí)生活帶來(lái)不便，更重要的是因宿舍內(nèi)物品多，人多擁擠，疏散不暢，極易造成重大財(cái)產(chǎn)損失和人員傷亡。學(xué)校要把學(xué)生宿舍作為全校防火工作的重點(diǎn)，在方便學(xué)生日常學(xué)習(xí)、生活的同時(shí)，要加強(qiáng)宿舍用火、用電的管理，嚴(yán)禁在宿舍內(nèi)亂接亂拉電線和使用大功率電器，加強(qiáng)檢查，及時(shí)制止學(xué)生的違章行為。同時(shí)要確保學(xué)生宿舍的消防安全通道暢通，以防不測(cè)。在宿舍，應(yīng)自覺遵守宿舍安全管理規(guī)定，不亂拉亂接電線;不使用電爐、熱得快、電熱杯、電飯煲等電器;不在宿舍使用明火;不將易燃易爆物帶進(jìn)宿舍;不在宿舍內(nèi)焚燒物品;不在寢室吸煙;發(fā)現(xiàn)不安全隱患及時(shí)向管理人員或有關(guān)部門報(bào)告;愛護(hù)消防設(shè)施和滅火器材，不隨意移動(dòng)或挪做他用;室內(nèi)無(wú)人時(shí)，應(yīng)關(guān)掉電器和電源開關(guān)等。

2.6 加大資金投入，逐步解決歷史遺留問(wèn)題。學(xué)校要廣開渠道，多方籌措資金，每年要有足夠的消防專項(xiàng)經(jīng)費(fèi)用于火災(zāi)隱患的整改以及消防器材、設(shè)施的配備、維修，力爭(zhēng)消防經(jīng)費(fèi)投入年年有所增長(zhǎng)，把消防安全環(huán)境的改善作為改善辦學(xué)條件的首要任務(wù)。另外，還要合理調(diào)配人員，確保有足夠的人員來(lái)進(jìn)行大學(xué)校園的消防安全管理工作。對(duì)于歷史遺留的建筑耐火等級(jí)低，電氣線路老化，消防基礎(chǔ)設(shè)施缺乏等火災(zāi)隱患，要根據(jù)本單位實(shí)際，制定可行的整改計(jì)劃，及時(shí)加以整改。在解決歷史遺留問(wèn)題的同時(shí)，要確保新建的建筑決不能再留有火災(zāi)隱患。

篇2

中圖分類號(hào)：TP393.08 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1007-9599 (2011) 21-0000-01

Campus Network Security Issues and Precautions

Tian Yadong

(Tianjin Polytechnic University,School of Computer Science&Software Engineering,Tianjin 300387,China)

Abstract:The campus network is facing serious security situation,this article will address the campus network around the issues of security solutions to ensure the safe operation of the campus network.

Keywords:Campus network;Network security;Measures

隨著計(jì)算機(jī)技術(shù)的發(fā)展，校園網(wǎng)進(jìn)入師生們的校園生活。使校園生活、學(xué)習(xí)、工作和環(huán)境發(fā)生了巨大的變化。然而校園網(wǎng)絡(luò)作為學(xué)校重要的基礎(chǔ)設(shè)施，其安全狀況直接影響著學(xué)校的教學(xué)活動(dòng)，校園網(wǎng)網(wǎng)絡(luò)上各種信息數(shù)據(jù)急劇的增加，校園網(wǎng)絡(luò)信息安全面臨嚴(yán)峻問(wèn)題。

一、校園網(wǎng)絡(luò)的現(xiàn)狀

校園網(wǎng)內(nèi)部網(wǎng)絡(luò)數(shù)據(jù)一般用于滿足學(xué)校正常的師生行政辦公需要、教務(wù)教學(xué)需要、師生們的課余校園文化生活需要等，這些無(wú)論是涉及個(gè)人隱私的信息，還是學(xué)校行政辦公的文檔，都需要對(duì)進(jìn)出校園網(wǎng)的訪問(wèn)活動(dòng)進(jìn)行必要的控制、有效性的防范。

校園網(wǎng)絡(luò)系統(tǒng)中接入著具有各式各樣操作系統(tǒng)的計(jì)算機(jī)，通常分布在不同的物理位置，由不同的用戶操作，用于不同的用途，這些差異就使得校園網(wǎng)網(wǎng)絡(luò)中存在一些漏洞。又加上使用者的安全意識(shí)不強(qiáng)，或者采取措施不及時(shí)造成損失。因此采用安全、及時(shí)的漏洞掃描技術(shù)對(duì)校園網(wǎng)網(wǎng)絡(luò)中的系統(tǒng)漏洞進(jìn)行掃描，在攻擊發(fā)生之前發(fā)現(xiàn)網(wǎng)絡(luò)和系統(tǒng)中的漏洞，并及時(shí)采取措施進(jìn)行修復(fù)，可以進(jìn)一步提高校園網(wǎng)絡(luò)信息安全保障水平。

二、校園網(wǎng)絡(luò)存在的問(wèn)題

（一）校園網(wǎng)用戶使用網(wǎng)絡(luò)的自主性大，擁有龐大的用戶群體，一臺(tái)計(jì)算機(jī)會(huì)有很多用戶使用，而且各種操作系統(tǒng)以及應(yīng)用系統(tǒng)自身的漏洞也會(huì)帶來(lái)的安全威脅。

（二）校園網(wǎng)使用者安全意識(shí)強(qiáng)弱水參差不齊，對(duì)網(wǎng)絡(luò)安全毫無(wú)意識(shí)或不會(huì)使用相關(guān)軟件來(lái)避免安全隱患，不能及時(shí)發(fā)現(xiàn)并及時(shí)解決安全問(wèn)題。

（三）校園網(wǎng)內(nèi)的用戶數(shù)量較大，局域網(wǎng)絡(luò)數(shù)目較多，校園網(wǎng)的安全監(jiān)控管理不到位，缺少專業(yè)人員的指導(dǎo)。

（四）不固定的使用群體和大量的信息交互以及使用來(lái)自校園網(wǎng)內(nèi)外的各種病毒的威脅，內(nèi)部教職工以及學(xué)生可能由于使用U盤介質(zhì)將病毒帶入校園內(nèi)網(wǎng)；外部用戶可能通過(guò)郵件以及文件傳輸?shù)葘⒉《編胄@內(nèi)網(wǎng)。

（五）存在Internet網(wǎng)絡(luò)用戶對(duì)校園網(wǎng)非法訪問(wèn)或惡意入侵的威脅；內(nèi)外網(wǎng)惡意用戶可能利用利用一些工具對(duì)網(wǎng)絡(luò)及服務(wù)器發(fā)起DOS/DDOS攻擊，導(dǎo)致網(wǎng)絡(luò)及服務(wù)不可用。

三、校園網(wǎng)絡(luò)的防范措施

（一）首先，應(yīng)該加強(qiáng)使用者的安全意識(shí)

目前，大多數(shù)使用者普遍對(duì)網(wǎng)絡(luò)安全問(wèn)題和潛在的風(fēng)險(xiǎn)認(rèn)識(shí)不到位，自我保護(hù)和防范措施不得力，人們的安全意識(shí)不夠強(qiáng)。大多數(shù)人們認(rèn)為安裝了防火墻和防病毒軟件就算建立了網(wǎng)絡(luò)安全體系。即使考慮了安全，也只是把安全機(jī)制建立在物理連接上。從有關(guān)資料顯示，國(guó)外最新研制出的計(jì)算機(jī)“接收還原設(shè)備”，可以在數(shù)百米、甚至數(shù)公里的距離內(nèi)接收任何一臺(tái)未采取保護(hù)措施的計(jì)算機(jī)屏幕信息。這則信息也許有人會(huì)認(rèn)為是聳人聽聞、不可能的事，但隨著計(jì)算機(jī)技術(shù)的發(fā)展，任何不可能發(fā)生的事情都有可能發(fā)生。所以加強(qiáng)使用者的安全意識(shí)對(duì)校園網(wǎng)的安全起著很重要的作用，學(xué)校應(yīng)該開展校園網(wǎng)使用安全課堂講解這些問(wèn)題的隱患。

（二）其次，對(duì)于惡意的攻擊進(jìn)行有效地防范

1.利用防火墻技術(shù)。防火墻作為一種將內(nèi)外網(wǎng)隔離的技術(shù)，普遍運(yùn)用于校園網(wǎng)安全建設(shè)中。防火墻是網(wǎng)絡(luò)安全的一種防護(hù)手段，它是位于兩個(gè)信任程度不同的軟件或硬件設(shè)備之間的組合，對(duì)兩個(gè)網(wǎng)絡(luò)之間的通信進(jìn)行控制，通過(guò)控制和監(jiān)測(cè)網(wǎng)絡(luò)之間的信息交換和訪問(wèn)行為來(lái)實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)安全的有效管理，防止外部網(wǎng)絡(luò)不安全的信息流入內(nèi)部網(wǎng)絡(luò)和限制內(nèi)部網(wǎng)絡(luò)的重要信息流到外部網(wǎng)絡(luò)，以達(dá)到保護(hù)系統(tǒng)安全的目的。

防火墻是一種按某種規(guī)則對(duì)專網(wǎng)和互聯(lián)網(wǎng)，或?qū)ヂ?lián)網(wǎng)的一部分和其余部分之間的信息交換進(jìn)行有條件的控制（包括隔離），從而阻斷不希望發(fā)生的網(wǎng)絡(luò)間通信的系統(tǒng)。部署防火墻技術(shù)，構(gòu)筑內(nèi)外網(wǎng)之間的安全屏障，可以有效地將內(nèi)部網(wǎng)與外部網(wǎng)隔離開來(lái)，保護(hù)校園網(wǎng)絡(luò)不受未經(jīng)授權(quán)的第三方侵入。

防火墻技術(shù)有一些局限性。防火墻不能防范不經(jīng)過(guò)它的攻擊，不能防止來(lái)自網(wǎng)絡(luò)內(nèi)部的攻擊和安全問(wèn)題，不具備實(shí)時(shí)監(jiān)控入侵的能力，不能防止策略配置不當(dāng)或錯(cuò)誤配置引起的安全威脅，不能防止受病毒感染的文件的傳輸，不能防止利用服務(wù)器系統(tǒng)和網(wǎng)絡(luò)協(xié)議漏洞進(jìn)行的攻擊，不能夠防止內(nèi)部合法用戶的主動(dòng)泄密行為，不能防止本身的安全漏洞威脅。

2.安裝入侵檢測(cè)系統(tǒng)。入侵檢測(cè)系統(tǒng)通常被認(rèn)為是防火墻之后的第二道安全閘門，部署于防火墻之后，對(duì)網(wǎng)絡(luò)活動(dòng)進(jìn)行實(shí)時(shí)檢測(cè)，是防火墻的延續(xù)和合理補(bǔ)充。入侵檢測(cè)系統(tǒng)為網(wǎng)絡(luò)提供實(shí)時(shí)的監(jiān)控，并且在發(fā)現(xiàn)入侵的初期采取相應(yīng)的防護(hù)手段，入侵檢測(cè)系統(tǒng)已經(jīng)成為網(wǎng)絡(luò)信息安全架構(gòu)中必要的附加手段。

根據(jù)對(duì)校園網(wǎng)網(wǎng)絡(luò)信息安全的風(fēng)險(xiǎn)分析，通過(guò)入侵檢測(cè)設(shè)備對(duì)核心交換機(jī)的流量進(jìn)行監(jiān)控，從而實(shí)現(xiàn)入侵檢測(cè)的功能。一般采用具備入侵防護(hù)與入侵檢測(cè)功能相結(jié)合的產(chǎn)品就可以滿足需求。監(jiān)測(cè)和防護(hù)校園網(wǎng)絡(luò)系統(tǒng)中重要區(qū)域和服務(wù)器群的安全運(yùn)行，全面把握安全狀態(tài)，以便于及時(shí)發(fā)現(xiàn)可能的安全攻擊，防止安全事件的發(fā)生，保證整個(gè)校園網(wǎng)系統(tǒng)的網(wǎng)絡(luò)信息安全。

篇3

進(jìn)入信息時(shí)代，許多大中專院校都組建了各自的校園網(wǎng)。校園網(wǎng)絡(luò)中心在規(guī)劃自己的內(nèi)部網(wǎng)段時(shí)，為用戶分配并制定了相應(yīng)的網(wǎng)絡(luò)IP地址資源，以保證通信數(shù)據(jù)的正常傳輸。在校園網(wǎng)絡(luò)上，任何用戶使用未經(jīng)授權(quán)的IP地址的行為稱為IP地址盜用，這會(huì)造成校園網(wǎng)絡(luò)的安全隱患、網(wǎng)絡(luò)資源損耗及IP地址沖突等問(wèn)題。目前我校實(shí)現(xiàn)了行政樓、教學(xué)樓等區(qū)域的網(wǎng)絡(luò)建設(shè)，隨著校園網(wǎng)信息點(diǎn)的日益增多，IP分配方式及管理問(wèn)題日益突出。針對(duì)校園網(wǎng)絡(luò)的拓樸結(jié)構(gòu)和規(guī)模、用戶數(shù)量及應(yīng)用狀況，采用何種IP分配方式直接影響到校園網(wǎng)絡(luò)管理的安全性。另一方面，由于我校開展了校企合作項(xiàng)目，加上年輕人對(duì)新鮮事物強(qiáng)烈的好奇心，常使用未經(jīng)授權(quán)的IP地址，所以IP地址的防盜與防范措施成了首要問(wèn)題。

1 IP地址盜用的基本途徑及防范措施

1.1 IP地址盜用的基本途徑。

1.1.1 靜態(tài)修改IP地址。網(wǎng)絡(luò)中的IP地址通常采用靜態(tài)和動(dòng)態(tài)分配兩種方法，如果用戶在配置TCP/IP或修改TCP/IP配置時(shí)，使用的不是網(wǎng)絡(luò)管理中心分配的IP地址，就形成了IP地址盜用。由于IP地址是一個(gè)邏輯地址，是一個(gè)需要用戶設(shè)置的值，因此無(wú)法限制用戶對(duì)于IP地址的靜態(tài)修改；而經(jīng)過(guò)DHCP服務(wù)器動(dòng)態(tài)分配的IP地址，網(wǎng)絡(luò)管理人員無(wú)法確切的知道該IP的實(shí)際用戶，又會(huì)帶來(lái)其它管理問(wèn)題。由于我校目前主要采用的是手動(dòng)分配IP地址，以及劃分了大量VLAN，所以使用此種方式盜用IP地址、盜用網(wǎng)絡(luò)資源是最主要的。修改IP地址示意圖如圖1。

圖1：手動(dòng)修改IP地址

1.1.2 成對(duì)修改MAC地址和IP地址。針對(duì)靜態(tài)路由技術(shù)，IP盜用技術(shù)又有了新的發(fā)展，即成對(duì)修改IP-MAC地址。MAC地址是由國(guó)際IEEE組織分配，是固化在網(wǎng)卡上的，一般不能隨意改動(dòng)。但現(xiàn)在的一些兼容網(wǎng)卡，其MAC地址可以使用網(wǎng)卡配置程序或者軟件進(jìn)行修改。如果將一臺(tái)計(jì)算機(jī)的IP地址和MAC地址都改為另外一臺(tái)合法主機(jī)的IP地址和MAC地址，那靜態(tài)路由技術(shù)防止IP盜用就無(wú)能為力了。手動(dòng)修改MAC地址示意圖如圖2。

圖2：使用萬(wàn)能軟件進(jìn)行MAC地址修改

1.1.3 IP電子欺騙。IP欺騙就是指?jìng)卧炷撑_(tái)主機(jī)的IP地址的技術(shù)，通常需要用編程來(lái)實(shí)現(xiàn)。通過(guò)使用SOCK-ET編程或者使用“黑客”工具，發(fā)送帶有假冒源IP地址的IP數(shù)據(jù)包，繞過(guò)上層網(wǎng)絡(luò)軟件，達(dá)到正常數(shù)據(jù)通信。當(dāng)前，借助一些“黑客”工具就可以實(shí)現(xiàn)IP動(dòng)態(tài)修改，即對(duì)于普通用戶來(lái)說(shuō)，達(dá)到IP欺騙并不是一件很困難的事。實(shí)施IP欺騙示意圖如圖3。

圖3：使用軟件IpMap進(jìn)行IP欺騙

1.2 基本防范措施。

1.2.1 交換機(jī)控制。解決lP地址盜用首先推薦使用的是應(yīng)用交換機(jī)進(jìn)行控制，即在TCP/IP第二層（數(shù)據(jù)鏈路層）進(jìn)行控制。使用交換機(jī)提供的端口的單位地址工作模式，即交換機(jī)的每一個(gè)端口只允許一臺(tái)主機(jī)通過(guò)該端口訪問(wèn)網(wǎng)絡(luò)，任何其它地址的主機(jī)訪問(wèn)都被拒絕。通過(guò)交換機(jī)端口管理，可以在實(shí)際使用中迅速發(fā)現(xiàn)并阻斷IP地址的盜用行為，尤其是解決了IP-MAC成對(duì)盜用的問(wèn)題，同時(shí)也不影響網(wǎng)絡(luò)的運(yùn)行效率。但此方案的最大缺點(diǎn)在于它需要網(wǎng)絡(luò)上全部采用交換機(jī)提供用戶接入，這在高端交換機(jī)相對(duì)昂貴的今天并不是一個(gè)能夠普遍采用的解決方案。

1.2.2 路由器隔離。路由器隔離具體的實(shí)現(xiàn)方法有兩種：①使用靜態(tài)路由表，即在路由器中建立一個(gè)MAC 地址與IP地址的對(duì)應(yīng)表，只有“MAC-IP 地址對(duì)”合法匹配的機(jī)器才能得到正確的ARP應(yīng)答；②通過(guò)SNMP協(xié)議定期掃描網(wǎng)絡(luò)各路由器ARP表，獲得當(dāng)前IP-MAC對(duì)照關(guān)系，與存儲(chǔ)的合法IP-MAC地址比較，不一致者即為非法訪問(wèn)。路由器隔離技術(shù)能夠較好地解決IP地址的盜用問(wèn)題，但是如果非法用戶針對(duì)其理論依據(jù)進(jìn)行破壞，成對(duì)修改IP-MAC地址，對(duì)這樣的IP地址盜用它就無(wú)能為力了。

1.2.3 防火墻與服務(wù)器。使用防火墻與服務(wù)器相結(jié)合，也能較好地解決IP地址盜用問(wèn)題，這是一種應(yīng)用層面上解決IP盜用的辦法。防火墻用來(lái)隔離內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)，用戶訪問(wèn)外部網(wǎng)絡(luò)通過(guò)服務(wù)器進(jìn)行。任何上網(wǎng)用戶需要到網(wǎng)絡(luò)管理部門申請(qǐng)帳戶和口令，即變IP管理為用戶身份和口令的管理。因?yàn)橛脩魧?duì)于網(wǎng)絡(luò)的使用歸根結(jié)底是網(wǎng)絡(luò)的應(yīng)用。合法用戶可以選擇任意一臺(tái)IP主機(jī)使用，通過(guò)服務(wù)器訪問(wèn)外部網(wǎng)絡(luò)資源，而無(wú)帳戶的用戶即使盜用IP，也沒有用戶名和密碼，不能使用外部網(wǎng)絡(luò)。使用防火墻和服務(wù)器的缺點(diǎn)也是明顯的：①由于使用服務(wù)器訪問(wèn)外部網(wǎng)絡(luò)對(duì)用戶不是透明的，增加了用戶操作的麻煩；②對(duì)于大數(shù)量的用戶群來(lái)說(shuō)，增加了用戶管理的難度，同時(shí)也給合法用戶的使用帶來(lái)了諸多不便。

1.2.4 添加上網(wǎng)行為管理設(shè)備。在主干網(wǎng)中購(gòu)置添加上網(wǎng)行為管理設(shè)備最為安全、穩(wěn)定、易管理，完全可以解決IP地址盜用，網(wǎng)絡(luò)資源盜用等問(wèn)題?，F(xiàn)在市面上有很多上網(wǎng)行為管理設(shè)備，比如深信服AC系列，然而，這在上網(wǎng)行為管理設(shè)備相對(duì)昂貴的今天也不是一個(gè)能夠普遍采用的解決方案。

2 臨滄衛(wèi)校校園網(wǎng)絡(luò)現(xiàn)狀

2.1 校園網(wǎng)絡(luò)拓?fù)鋱D。

2.2 網(wǎng)絡(luò)硬件設(shè)備配置。

表1：臨滄衛(wèi)校校園網(wǎng)絡(luò)硬件配置清單

2.3 內(nèi)網(wǎng)vlan規(guī)劃?？紤]到整個(gè)網(wǎng)絡(luò)的安全性，避免大范圍網(wǎng)絡(luò)風(fēng)暴，提高網(wǎng)絡(luò)傳輸效能以及便于更好管理，網(wǎng)絡(luò)管理中心把整個(gè)校園網(wǎng)絡(luò)劃分為21個(gè)vlan，其中：vlan99為學(xué)校領(lǐng)導(dǎo)專用，vlan100為行政辦公樓四樓除校領(lǐng)導(dǎo)辦公室之外的各部門，vlan101為教務(wù)處，vlan102為財(cái)務(wù)科，vlan103為總務(wù)處，vlan104為實(shí)驗(yàn)樓，vlan105為學(xué)科及教研組，vlan106為一樓教室，vlan107為二樓教室，vlan108為三樓教室，vlan109為四樓教室，vlan110為五樓教室，vlan111為計(jì)算機(jī)機(jī)房，vlan112為多功能報(bào)告廳及電教室，vlan113為食堂，vlan115為A幢宿舍樓，vlan116為B幢宿舍樓，vlan117為C幢宿舍樓，vlan118為D幢宿舍樓，vlan119為“翼機(jī)通”專用，vlan1000為網(wǎng)絡(luò)設(shè)備管理及服務(wù)器群。

3 臨滄衛(wèi)校校園網(wǎng)絡(luò)IP地址的防盜解決方案

3.1 “端口+IP+MAC 地址綁定”。食堂、學(xué)生宿舍區(qū)的用戶上網(wǎng)是我校網(wǎng)絡(luò)安全穩(wěn)定最大的隱患，所以針對(duì)我校實(shí)際，主要采用“端口+IP+MAC地址”綁定的技術(shù)解決方案。華為S2700-52P-EI交換機(jī)可以做到端口+IP+MAC 地址的綁定關(guān)系，華為S2700-52P-EI交換機(jī)可以支持基于MAC地址的802.1X認(rèn)證。MAC地址的綁定可以直接實(shí)現(xiàn)對(duì)邊緣用戶的管理，提高整個(gè)網(wǎng)絡(luò)的安全性、可維護(hù)性。這種方式具有很強(qiáng)的安全特性：防DOS的攻擊，防止用戶的MAC 地址的欺騙，對(duì)于更改MAC地址的用戶（MAC地址欺騙的用戶）可以實(shí)現(xiàn)強(qiáng)制下線。

“IP+MAC+端口”配置實(shí)例：

[4LouXinan] interface ethernet 0/0/1

[4LouXinan-Ethernet0/0/1] arp anti-attack check user-bind enable

[4LouXinan-Ethernet0/0/1] arp anti-attack check user-bind check-item ip-address mac-address vlan

[4LouXinan-Ethernet0/0/1] quit

[4LouXinan]user-bind static ip-address 192.168.100.1 mac-address 00-1E-90-BF-3E-15 interface Ethernet 0/0/1 vlan 100

圖5：S2700交換機(jī)IP+MAC+端口配置實(shí)物圖

“端口+IP+MAC 地址綁定”技術(shù)在一定程度上可以防止非法用戶盜用IP資源，但如果非法用戶使用編程或者軟件同時(shí)修改IP地址和MAC地址，此種策略也就無(wú)能為力了。所以需要配合以下兩種方案才能較為徹底地防范多種途徑的IP盜用。

3.2 IP源防攻擊。網(wǎng)絡(luò)中常常存在針對(duì)IP 源地址進(jìn)行欺騙的攻擊行為，如攻擊者仿冒合法用戶發(fā)送IP報(bào)文給服務(wù)器，或者偽造其他用戶的源IP地址進(jìn)行通信，從而導(dǎo)致合法用戶不能正常獲得網(wǎng)絡(luò)服務(wù)。針對(duì)此類攻擊，在第一個(gè)方案基礎(chǔ)上，我校網(wǎng)絡(luò)管理起用了IP Source Guard的功能。IP Source Guard用于對(duì)接口轉(zhuǎn)發(fā)的IP報(bào)文進(jìn)行過(guò)濾，防止非法報(bào)文通過(guò)接口，提高了接口的安全性。網(wǎng)絡(luò)中存在攻擊者向服務(wù)器發(fā)送帶有合法用戶IP 和MAC 的報(bào)文，令服務(wù)器誤以為已經(jīng)學(xué)到這個(gè)合法用戶的IP 和MAC，但真正的合法用戶不能從服務(wù)器獲得服務(wù)。如圖2所示，HostA 與HostB 分別與Switch的Eth0/0/1 和Eth0/0/2接口相連。要求在Switch上配置IP Source Guard功能，使HostB不能仿冒HostA 的IP和MAC欺騙服務(wù)器，保證HostA 的IP報(bào)文能正常上送。

圖6：IP Source Guard配置拓?fù)涫疽鈭D

IP Source Guard配置實(shí)例：

[4LouXinan] interface Ethernet 0/0/1

[4LouXinan-Ethernet0/0/1] ip source check user-bind enable

[4LouXinan-Ethernet0/0/1] ip source check user-bind alarm enable

[4LouXinan-Ethernet0/0/1] ip source check user-bind alarm threshold 200

[4LouXinan-Ethernet0/0/1] quit

[4LouXinan] user-bind static ip-address 10.0.0.1 mac-address 00-1E-90-BF-3E-15 interface ethernet 0/0/1 vlan 100

圖7：S2700交換機(jī)IP Source Guard配置實(shí)物圖

3.3 局域網(wǎng)管理軟件。我校校園網(wǎng)絡(luò)通過(guò)交換機(jī)相應(yīng)配置之后，還配合使用Super Lanadmin多方式防止IP盜用。Super Lanadmin不但可以多方式有效防止IP地址被盜用，從一定程度上來(lái)說(shuō)，通過(guò)Super Lanadmin軟件來(lái)防止IP地址盜用適合我校的校園網(wǎng)絡(luò)管理。Super Lanadmin操控界面如示意圖圖8。

圖8：SuperLanadmin操控界面

4 結(jié)束語(yǔ)

IP地址的管理是校園網(wǎng)絡(luò)管理中的一個(gè)重要環(huán)節(jié)，通過(guò)以上幾種IP地址防盜方法的應(yīng)用，可以有效地解決我校校園網(wǎng)絡(luò)IP地址的盜用問(wèn)題。但僅從軟件管理和交換機(jī)端口限制，仍然可能存在未經(jīng)授權(quán)的用戶使用授權(quán)的IP地址而造成IP地址沖突，侵犯了合法用戶的權(quán)益；另一方面，盡管盜用者無(wú)法使用IP地址，但也會(huì)造成網(wǎng)絡(luò)的混亂，甚至威脅到整個(gè)網(wǎng)絡(luò)的安全運(yùn)行。因此我們要加強(qiáng)用戶的網(wǎng)絡(luò)安全與網(wǎng)上職業(yè)道德教育，提高用戶的網(wǎng)絡(luò)安全意識(shí)和知識(shí)素質(zhì)才是校園網(wǎng)絡(luò)安全、穩(wěn)定、正常運(yùn)轉(zhuǎn)的重要保證。

參考文獻(xiàn)

1 王坤.IP監(jiān)控與管理系統(tǒng)研究與實(shí)現(xiàn)[J].西南交通大學(xué)，2002（1）

2 華為3Com技術(shù)有限公司編著.華為3Com網(wǎng)絡(luò)學(xué)院教材（V1.2）[M].2004.9

3 楊富國(guó).計(jì)算機(jī)網(wǎng)絡(luò)安全應(yīng)用基礎(chǔ)[M].北京：清華大學(xué)出版社出版社，2005.1

4 王智，校園網(wǎng)絡(luò)中IP地址盜用與防范技術(shù)[J].新疆石河子工程技術(shù)學(xué)校，2006

篇4

目前各種局域網(wǎng)中的ARP協(xié)議欺騙攻擊屢見不鮮，在高校尤為流行，經(jīng)常會(huì)遇到網(wǎng)絡(luò)無(wú)故中斷的情況。ARP欺騙技術(shù)易于操作、隱蔽性強(qiáng)，校園網(wǎng)中一旦有主機(jī)感染，便會(huì)迅速蔓延，導(dǎo)致嚴(yán)重的網(wǎng)絡(luò)故障以及用戶信息泄漏。黑客通過(guò)ARP欺騙技術(shù)，可以對(duì)網(wǎng)站內(nèi)容進(jìn)行篡改、不良信息、竊取用戶賬號(hào)以及對(duì)傳輸數(shù)據(jù)的非法監(jiān)聽。這對(duì)校園網(wǎng)的安全帶來(lái)了嚴(yán)重的威脅，如何有效防范ARP欺騙的攻擊，已成為高校網(wǎng)絡(luò)管理工作的重中之重。

1 ARP協(xié)議概述

ARP即地址解析協(xié)議，作用是將IP地址解析為設(shè)備的物理地址，每臺(tái)主機(jī)都有一個(gè)ARP緩存表，用來(lái)記錄IP地址與MAC地址的對(duì)應(yīng)關(guān)系。假設(shè)主機(jī)A要和B通信，它先在本地緩存中查詢B的IP，如果找到對(duì)應(yīng)的MAC地址，就直接發(fā)送數(shù)據(jù)給這個(gè)地址；否則會(huì)廣播發(fā)送一個(gè)ARP請(qǐng)求包，其中包含A的IP和MAC以及B的IP，各主機(jī)收到后將請(qǐng)求包中的目的IP同自身IP相比較，不同則忽略，只有B會(huì)發(fā)現(xiàn)請(qǐng)求包中目的IP與自己的相同，它先將A的IP和MAC記錄到自己的ARP列表中，如之前已存在該IP的信息，則進(jìn)行覆蓋，然后向A發(fā)回ARP響應(yīng)包，其中添加了它的MAC，A收到響應(yīng)包后，將B的MAC與B的IP記錄到自己的ARP緩存中，然后就可以發(fā)送數(shù)據(jù)。如果A一直沒收到響應(yīng)包，則說(shuō)明ARP查詢失敗。

2 ARP欺騙原理及危害

大部分操作系統(tǒng)在接收到ARP響應(yīng)后不做檢查便直接更新其ARP列表，ARP欺騙的原理就是偽造一個(gè)ARP響應(yīng)包發(fā)送給被騙主機(jī)，響應(yīng)包中的源IP和MAC的關(guān)系是偽造的，被騙主機(jī)收到后，更新ARP列表，從而建立IP與MAC之間錯(cuò)誤的對(duì)應(yīng)關(guān)系，發(fā)送數(shù)據(jù)到該IP時(shí)，無(wú)法到達(dá)正確的主機(jī)。下面是幾種典型的ARP欺騙。

（1）偽造網(wǎng)關(guān)。其原理是在局域網(wǎng)的同一網(wǎng)段內(nèi)建立假網(wǎng)關(guān)，發(fā)送ARP欺騙攻擊給網(wǎng)絡(luò)中的所有主機(jī)，被其欺騙的主機(jī)不能向正確的網(wǎng)關(guān)發(fā)送數(shù)據(jù)，而是將數(shù)據(jù)發(fā)送給了這個(gè)假網(wǎng)關(guān)，因而會(huì)導(dǎo)致主機(jī)與網(wǎng)關(guān)之間無(wú)法正常通信，對(duì)網(wǎng)絡(luò)用戶來(lái)說(shuō)就是計(jì)算機(jī)無(wú)法正常上網(wǎng)。

（2）對(duì)路由器的欺騙。其原理是給路由器發(fā)送ARP欺騙攻擊，使路由器獲取到一系列錯(cuò)誤的MAC地址信息，并按照特定的頻率不斷進(jìn)行刷新，因而真實(shí)的MAC地址信息也不能通過(guò)更新而存入路由器，這樣，路由器中的所有數(shù)據(jù)都被發(fā)送到了錯(cuò)誤的MAC地址，主機(jī)也就不能正常收到路由器的信息。

（3）ARP雙向欺騙。假設(shè)主機(jī)A和網(wǎng)關(guān)之間能正常通信，主機(jī)B為攻擊者，它首先向A發(fā)一個(gè)非法的ARP應(yīng)答，告訴A網(wǎng)關(guān)IP對(duì)應(yīng)的MAC為B的MAC，A收到后會(huì)將本機(jī)ARP緩存中網(wǎng)關(guān)的MAC改為B的MAC。同理，主機(jī)B以同樣的方式欺騙網(wǎng)關(guān)，使網(wǎng)關(guān)中A的MAC更新為B的MAC。這樣，通信雙方的數(shù)據(jù)都會(huì)到達(dá)B，B作為中間人竊取信息并轉(zhuǎn)發(fā)給對(duì)方。

ARP欺騙具有嚴(yán)重的危害性。一旦某臺(tái)主機(jī)感染ARP病毒，就會(huì)迅速蔓延至整個(gè)局域網(wǎng)，導(dǎo)致該網(wǎng)絡(luò)中的主機(jī)無(wú)法正常通信，如果網(wǎng)關(guān)被欺騙，則所有主機(jī)都會(huì)和外界失去聯(lián)系，通常的攻擊都是頻繁在網(wǎng)絡(luò)中發(fā)送ARP欺騙，會(huì)耗費(fèi)大量的帶寬，即使能通信網(wǎng)速也會(huì)很慢，這些將嚴(yán)重影響到學(xué)校的正常工作。ARP的雙向欺騙雖不影響網(wǎng)絡(luò)正常通信，但其對(duì)數(shù)據(jù)信息的竊取，直接威脅到高校網(wǎng)絡(luò)的信息安全。

3 ARP欺騙防范措施

3.1 建立靜態(tài)ARP緩存

在主機(jī)中建立靜態(tài)ARP緩存，主機(jī)向其它計(jì)算機(jī)或網(wǎng)關(guān)發(fā)送數(shù)據(jù)時(shí)，直接從靜態(tài)緩存中查找目的IP對(duì)應(yīng)的MAC。當(dāng)收到欺騙的ARP響應(yīng)包時(shí)，設(shè)置好的IP與MAC的對(duì)應(yīng)關(guān)系不會(huì)被更新，因而攻擊者無(wú)法達(dá)到其欺騙的目的。此方法只能人工設(shè)置，工作量巨大，校園網(wǎng)中設(shè)備數(shù)目較大，不可能一一設(shè)置，因此綜合校園網(wǎng)的情況，可以對(duì)其中某些重要的小型子網(wǎng)以及網(wǎng)關(guān)之間采取這種方法，既不用投入過(guò)多的網(wǎng)絡(luò)管理成本，又能有效保障網(wǎng)絡(luò)的安全穩(wěn)定。

3.2 綁定主機(jī)MAC地址與交換機(jī)端口

在局域網(wǎng)的交換機(jī)上將各端口與其所連主機(jī)的MAC進(jìn)行綁定，通過(guò)這個(gè)端口的數(shù)據(jù)幀的MAC是固定的，如端口發(fā)現(xiàn)數(shù)據(jù)中的MAC與其綁定的MAC不同，則鎖定該端口，與其相連的主機(jī)則無(wú)法接入局域網(wǎng)。當(dāng)攻擊者發(fā)送偽造的ARP響應(yīng)時(shí)，會(huì)立即被端口檢測(cè)到其MAC值不同并中斷連接。此方法適用于高端交換機(jī)，可有效防止攻擊者接入局域網(wǎng)，但是合法主機(jī)更換端口也必須重新綁定，增加了網(wǎng)管工作量。在校園網(wǎng)中，通常對(duì)重要的服務(wù)器和相關(guān)安全設(shè)備所連接的交換機(jī)應(yīng)用此方法。

3.3 安裝ARP防欺騙軟件

目前大部分安全軟件都含有ARP防火墻，如360安全衛(wèi)士、騰訊電腦管家等，可以有效抵御ARP病毒的侵入，啟動(dòng)ARP防火墻后，系統(tǒng)會(huì)將網(wǎng)關(guān)與本機(jī)的IP與MAC地址進(jìn)行綁定，當(dāng)其遭受ARP欺騙攻擊時(shí)會(huì)進(jìn)行警告。ARP防欺騙軟件可以有效攔截ARP攻擊，但需要不斷地在網(wǎng)絡(luò)中廣播正確的IP和MAC地址信息，會(huì)占用一定的網(wǎng)絡(luò)負(fù)載。同時(shí)ARP防欺騙軟件也可阻止攻擊者修改主機(jī)ARP緩存，能有效保障主機(jī)在局域網(wǎng)中的正常通信。

參考文獻(xiàn)

[1]李愛貞.高校防范ARP病毒攻擊的策略和方法[J].計(jì)算機(jī)安全，2010（12）.

[2]向磊，賀琦.淺析校園網(wǎng)ARP病毒的防范[J].計(jì)算機(jī)光盤軟件與應(yīng)用，2011（2）.

[3]王和平.校園網(wǎng)環(huán)境中ARP的欺騙原理與防范方法[J].軟件工程師，2010（12）.

篇5

隨著互聯(lián)網(wǎng)的迅猛發(fā)展，校園網(wǎng)已在我國(guó)各地高校得到廣泛應(yīng)用，成為學(xué)校教學(xué)、科研及管理工作的一大助力。然而，隨著校園網(wǎng)絡(luò)互連的迅速發(fā)展，網(wǎng)絡(luò)安全問(wèn)題也日益顯現(xiàn)，如何加強(qiáng)對(duì)校園網(wǎng)絡(luò)的安全控制，確保校園網(wǎng)絡(luò)高效、安全地運(yùn)行，已經(jīng)成為了各學(xué)校最亟待解決的問(wèn)題之一。

1 校園網(wǎng)網(wǎng)絡(luò)安全問(wèn)題

⑴網(wǎng)絡(luò)系統(tǒng)缺陷。網(wǎng)絡(luò)系統(tǒng)缺陷包括操作系統(tǒng)缺陷和網(wǎng)絡(luò)結(jié)構(gòu)缺陷兩大部分。

對(duì)于操作系統(tǒng)而言，由于設(shè)計(jì)缺陷或編寫代碼錯(cuò)誤，使得操作系統(tǒng)存在著系統(tǒng)漏洞。而攻擊者則可以通過(guò)這些系統(tǒng)漏洞移入病毒，從而獲取數(shù)據(jù)信息，甚至破壞操作系統(tǒng)?；ヂ?lián)網(wǎng)是由無(wú)數(shù)個(gè)局域網(wǎng)互連而成的巨大網(wǎng)絡(luò)。當(dāng)人們使用某一臺(tái)主機(jī)與另一局域網(wǎng)的主機(jī)進(jìn)行通信時(shí)，通常情況下它們之間互相傳送的數(shù)據(jù)流要經(jīng)過(guò)多臺(tái)機(jī)器的重重轉(zhuǎn)發(fā)[1]，任何一個(gè)節(jié)點(diǎn)的網(wǎng)卡均能截取在同一以太網(wǎng)上所傳送的通信數(shù)據(jù)包。

⑵網(wǎng)絡(luò)軟件的漏洞和“后門”。任何軟件都不會(huì)是完善無(wú)缺陷、無(wú)漏洞的，網(wǎng)絡(luò)軟件也是如此，而這些漏洞恰恰是黑客進(jìn)行攻擊的首選目標(biāo)。在軟件開發(fā)階段，后門可便于測(cè)試、修改和增強(qiáng)模塊功能。通常情況下，設(shè)計(jì)完成后應(yīng)該去掉各個(gè)模塊的后門，不過(guò)有時(shí)也會(huì)因?yàn)槭韬龌蚱渌?，如為方便今后訪問(wèn)、測(cè)試或維護(hù)而未去除后門，而那些別有用心的人則會(huì)利用這些后門進(jìn)入系統(tǒng)并發(fā)動(dòng)攻擊。

⑶人為惡意入侵。惡意入侵是互聯(lián)網(wǎng)所面臨的最大威脅。黑客攻擊可分為主動(dòng)攻擊和被動(dòng)攻擊兩種，被動(dòng)攻擊是指在不影響網(wǎng)絡(luò)正常工作的情況下，進(jìn)行截獲、竊取、破譯以獲取機(jī)密信息。由于它主要是收集信息而不是進(jìn)行訪問(wèn)，數(shù)據(jù)的合法用戶對(duì)這種活動(dòng)一點(diǎn)也不會(huì)覺察到。主動(dòng)攻擊是以各種方式選擇性地破壞信息的有效性和完整性。這兩種攻擊均可能對(duì)網(wǎng)絡(luò)造成極大危害并導(dǎo)致重要數(shù)據(jù)的泄漏。[2]

⑷網(wǎng)絡(luò)安全意識(shí)薄弱。隨著互聯(lián)網(wǎng)的迅速發(fā)展，網(wǎng)絡(luò)用戶越來(lái)越多，但很多人對(duì)網(wǎng)絡(luò)知識(shí)了解得并不多，網(wǎng)絡(luò)安全意識(shí)不強(qiáng)，主要有以下問(wèn)題：各類口令設(shè)置過(guò)于簡(jiǎn)單、隨意將自己的賬號(hào)借給他人、與他人共享某些資源、計(jì)算機(jī)沒有安裝安全軟件和防火墻、隨意登錄不安全網(wǎng)站或使用不安全的軟件等。[3]

2 網(wǎng)絡(luò)安全技術(shù)及防范措施

網(wǎng)絡(luò)安全是指網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護(hù)，不因偶然的或者惡意的原因而遭到破壞、更改、泄露，系統(tǒng)連續(xù)、可靠、正常地運(yùn)行，網(wǎng)絡(luò)服務(wù)不中斷。

⑴防火墻技術(shù)。所謂防火墻是由軟件和硬件設(shè)備的組合體，是一種用來(lái)加強(qiáng)網(wǎng)絡(luò)之間訪問(wèn)控制的網(wǎng)絡(luò)隔離控制技術(shù)。它能將校園網(wǎng)與外網(wǎng)分開，能有效地防止外網(wǎng)用戶以非法手段進(jìn)入內(nèi)網(wǎng)、訪問(wèn)內(nèi)網(wǎng)資源，通過(guò)預(yù)定義的安全策略，對(duì)內(nèi)外網(wǎng)通信強(qiáng)制實(shí)施訪問(wèn)控制。

雖然防火墻是保護(hù)網(wǎng)絡(luò)免遭黑客襲擊的有效手段，但也存在不足，不能一味倚重，否則一旦防火墻被攻破，校園網(wǎng)網(wǎng)絡(luò)系統(tǒng)的安全性將輕易被破壞。

⑵加密技術(shù)。在計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)中，與防火墻配合使用的安全技術(shù)還有文件加密技術(shù)，它是為提高信息系統(tǒng)及數(shù)據(jù)的安全性與保密性，防止秘密數(shù)據(jù)被外部竊取、偵聽或破壞所采用的主要技術(shù)手段之一。[4]

在數(shù)據(jù)傳輸過(guò)程中，利用技術(shù)手段把數(shù)據(jù)進(jìn)行加密傳送，對(duì)信息進(jìn)行重新組合，到達(dá)目的地后再進(jìn)行解密。通過(guò)數(shù)據(jù)加密技術(shù)，可以有效防止未授權(quán)的用戶訪問(wèn)，在一定程度上提高了數(shù)據(jù)傳輸?shù)陌踩?，保證了數(shù)據(jù)傳輸?shù)耐暾浴?/p>

⑶入侵檢測(cè)技術(shù)。入侵檢測(cè)技術(shù)是防火墻的合理補(bǔ)充，被認(rèn)為是防火墻之后的第二道安全閘門，它作為一種積極主動(dòng)地安全防護(hù)技術(shù)，可起到防御網(wǎng)絡(luò)攻擊的作用，因而提高了網(wǎng)絡(luò)系統(tǒng)的安全性和防御體系的完整性。

入侵檢測(cè)在不影響網(wǎng)絡(luò)性能的情況下能對(duì)網(wǎng)絡(luò)進(jìn)行監(jiān)測(cè)，通過(guò)對(duì)行為、安全日志、審計(jì)數(shù)據(jù)或其他網(wǎng)絡(luò)上可以獲得的信息進(jìn)行處理，從而發(fā)現(xiàn)入侵行為并及時(shí)作出響應(yīng)，包括切斷網(wǎng)絡(luò)連接、記錄事件和報(bào)警等，進(jìn)而提供對(duì)內(nèi)部攻擊、外部攻擊和誤操作的實(shí)時(shí)保護(hù)。

⑷安全掃描技術(shù)。網(wǎng)絡(luò)安全掃描技術(shù)是一種有效的主動(dòng)防御技術(shù)，，它是檢測(cè)遠(yuǎn)程或本地系統(tǒng)安全脆弱性的一種安全技術(shù)。其基本原理是采用模擬黑客攻擊的方式對(duì)目標(biāo)可能存在的已知安全漏洞進(jìn)行逐項(xiàng)檢測(cè)，以便對(duì)工作站、服務(wù)器、交換機(jī)、數(shù)據(jù)庫(kù)等各種對(duì)象進(jìn)行安全漏洞檢測(cè)。[5]

基于網(wǎng)絡(luò)的安全掃描主要掃描設(shè)定網(wǎng)絡(luò)內(nèi)的服務(wù)器、路由器、網(wǎng)橋、變換機(jī)、訪問(wèn)服務(wù)器、防火墻等設(shè)備的安全漏洞，并可設(shè)定模擬攻擊，以測(cè)試系統(tǒng)的防御能力。安全掃描技術(shù)與防火墻、安全監(jiān)控系統(tǒng)互相配合能夠提供很高安全性的網(wǎng)絡(luò)。

3 結(jié)束語(yǔ)

在校園網(wǎng)快速發(fā)展的今天，網(wǎng)絡(luò)安全已成為各學(xué)校網(wǎng)絡(luò)管理不可忽略的問(wèn)題，如何合理運(yùn)用技術(shù)手段有效提高網(wǎng)絡(luò)安全也成了學(xué)校網(wǎng)絡(luò)管理中的重中之重。作為校園網(wǎng)絡(luò)管理者，應(yīng)在實(shí)踐中靈活運(yùn)用各種網(wǎng)絡(luò)安全技術(shù)，更好地保障校園網(wǎng)絡(luò)的安全運(yùn)行。

[參考文獻(xiàn)]

[1]陳東.計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)[M].天津市電視技術(shù)研究會(huì)2013年年會(huì)論文集，2013年.

[2]王健.計(jì)算機(jī)網(wǎng)絡(luò)的安全技術(shù)[J].寧夏機(jī)械，2009.4.

篇6

一、前言

近幾年來(lái)校園借貸在校園中風(fēng)靡開來(lái)，為何高校中的借貸還比社會(huì)中更火熱呢？通過(guò)相關(guān)調(diào)查了解到，原來(lái)校園的分期貸款辦理很簡(jiǎn)單，只要你是在校學(xué)生，僅用一張身份證就可以搞定，并且相對(duì)于信用卡而言，校園分期貸具有門檻低，額度高的優(yōu)點(diǎn)，就如一些平臺(tái)向?qū)W生貸款的額度高達(dá)一萬(wàn)元。這些分期貸款主要是以p2P的運(yùn)營(yíng)方式推廣，由該公司提供大量的原始資金，尋求大量潛在的學(xué)生人群，誘導(dǎo)學(xué)生群體分期消費(fèi)。但是這些分期貸款的年息都很高，甚至超出信用卡利息的一倍以上，導(dǎo)致學(xué)生無(wú)法償還貸款，從而影響到學(xué)生的學(xué)習(xí)情況和信用記錄，對(duì)學(xué)生今后的生活帶來(lái)巨大的不便。

二、目前校園借貸存在問(wèn)題

1.缺乏校園的系統(tǒng)管理。校園借貸如此火熱，前提就是不需要較多的證明，沒有學(xué)校的監(jiān)督，沒有財(cái)產(chǎn)的驗(yàn)證，沒有信用的考慮，只要一張能證明自己本人是在校學(xué)生就能輕松辦理，并且貸款的數(shù)額巨大，多者能達(dá)幾十萬(wàn)，很明顯這是校園借貸的一大風(fēng)險(xiǎn)，其實(shí)真正的風(fēng)險(xiǎn)在于校園借貸的利息高和催貸的方式讓人難以想象。通過(guò)正規(guī)的流程借貸，若是到期后無(wú)法償還只需要到法院進(jìn)行，由法院判定，通過(guò)法律程序追回拖欠的財(cái)產(chǎn)，這種方式不會(huì)威脅到個(gè)人的人生安全，更不會(huì)影響到家庭和將來(lái)的就業(yè)問(wèn)題。但是這些校園借貸機(jī)構(gòu)往往是威脅恐嚇等極端方式催債，嚴(yán)重影響了學(xué)生的心理和生理健康發(fā)展，甚至導(dǎo)致悲劇的發(fā)生。

2.學(xué)生缺乏借貸風(fēng)險(xiǎn)意識(shí)。若是按理想的發(fā)展?fàn)顩r來(lái)考慮，其實(shí)借貸對(duì)于學(xué)生是有積極的意義的。目前許多高校生對(duì)創(chuàng)業(yè)的熱情都很高漲，但是創(chuàng)業(yè)所需的原始資金卻讓人卻步，這時(shí)候校園借貸的出現(xiàn)正是為圓滿學(xué)生一個(gè)美好的創(chuàng)業(yè)夢(mèng)，有了校園借貸還能緩解家庭困難的學(xué)生學(xué)費(fèi)的問(wèn)題。但是校園借貸的高額利息風(fēng)險(xiǎn)需要自己來(lái)管控，對(duì)于還沒有經(jīng)濟(jì)來(lái)源的學(xué)生來(lái)說(shuō)，一定要擺正自己的消費(fèi)觀，不能盲目的消費(fèi)和攀比，將每一分借來(lái)的貸款用在提升自身價(jià)值的地方。

3.相關(guān)監(jiān)管力度薄弱。正常P2P模式受到校園借貸平臺(tái)的漏洞和風(fēng)險(xiǎn)的嚴(yán)重打擊。因?yàn)樾@借貸的門檻低，限制少，吸引了眾多的高校學(xué)生，但是也影響了部分學(xué)生的消費(fèi)觀念，導(dǎo)致這類學(xué)生步入還貸的深淵。校園借貸平臺(tái)應(yīng)該科學(xué)的引導(dǎo)學(xué)生的消費(fèi)觀，用真心換取真情的方式打入學(xué)生市場(chǎng)，只有這樣，才能做到適合學(xué)生群體的產(chǎn)品，才能長(zhǎng)遠(yuǎn)發(fā)展。

三、校園借貸風(fēng)險(xiǎn)控制

（一）完善貸款政策體系

1.借貸體系中加入“擔(dān)保人”。校園借貸之所以如此風(fēng)靡，受到學(xué)生的喜愛，無(wú)非是門檻低，方便貸款，但是后期的還款制度沒有健全，應(yīng)當(dāng)加入這次交易自鏟擔(dān)保人”簽訂協(xié)議，若是債務(wù)人無(wú)法償還債務(wù)，需要擔(dān)保人承擔(dān)責(zé)任，擔(dān)保人應(yīng)該是學(xué)生的直系親屬或是組織結(jié)構(gòu)；若是學(xué)生借貸創(chuàng)業(yè)，那么這筆資金應(yīng)該經(jīng)過(guò)學(xué)院的調(diào)查評(píng)估，作為學(xué)生的擔(dān)保人，@樣實(shí)施不僅提高的門檻，避免了學(xué)生的盲目消費(fèi)，還能樹立學(xué)生正確的消費(fèi)觀。

2.完善校園借貸法律法規(guī)。借貸機(jī)構(gòu)在高校中往往以虛假的信息吸引學(xué)生的關(guān)注，在實(shí)際還貸中利息還比宣傳時(shí)候的高的多，從而導(dǎo)致學(xué)生無(wú)力償還，形成利滾利，越滾越大，直至悲劇的發(fā)生。各個(gè)放貸機(jī)構(gòu)的違約金從每天0.5%到8%不等，并且可能會(huì)摻雜有高額的服務(wù)費(fèi)用，這類的費(fèi)用是不明確告訴借貸人的，在咨詢的時(shí)候也沒有明確的答案。針對(duì)這種漏洞，應(yīng)立馬建立起相應(yīng)的法律法規(guī)，嚴(yán)打這類違法的行為。

3.加強(qiáng)身份的審核。身份是作為唯一識(shí)別的標(biāo)志，借貸者應(yīng)使用自己的身份進(jìn)行流程的申請(qǐng)，才能進(jìn)一步保障借貸風(fēng)險(xiǎn)。但是新聞曝光中就有使用身邊同學(xué)的身份一樣能通過(guò)審核，這非常明顯的體現(xiàn)出借貸風(fēng)險(xiǎn)漏洞，也造成學(xué)生借貸風(fēng)險(xiǎn)的增加。

（二）增強(qiáng)學(xué)生借貸風(fēng)險(xiǎn)意識(shí)

1.加強(qiáng)學(xué)生相關(guān)知識(shí)教育。當(dāng)今社會(huì)信用基本與個(gè)人的生活息息相關(guān)，步入社會(huì)后需要貸款買房，貸款出過(guò)留學(xué)等都需要信用的支持。但是我國(guó)的高校目前還未給學(xué)生普及這類常識(shí)，只有學(xué)生與銀行打交道的時(shí)候才意識(shí)到信用的重要性。我國(guó)高校應(yīng)該通過(guò)科學(xué)的方式去培養(yǎng)學(xué)生注重信用的培養(yǎng)以及注重自己的信用意識(shí)，以避免將來(lái)受信用不良而影響了個(gè)人發(fā)展前途。

2.限制學(xué)生貸款的金額。如今有很多的分期貸款機(jī)構(gòu)進(jìn)入校園，這些機(jī)構(gòu)有個(gè)共同點(diǎn)就是不在乎你的信用度和償還能力，只要你借，他就能貸。這類問(wèn)題的存在會(huì)促使學(xué)生向多家機(jī)構(gòu)同時(shí)借貸，最終的結(jié)果就是無(wú)法償還。

（三）加強(qiáng)網(wǎng)絡(luò)監(jiān)管工作

篇7

中圖分類號(hào)：TP393.08文獻(xiàn)標(biāo)識(shí)碼：A文章編號(hào)：1007-9599 (2012) 06-0000-02

近年來(lái)，隨著高等職業(yè)教育的不斷發(fā)展，隨著高職院校辦學(xué)實(shí)力、社會(huì)服務(wù)能力不斷提升，社會(huì)對(duì)高職教育的關(guān)注和認(rèn)識(shí)也在逐步加深。同時(shí)隨著科技的進(jìn)步，計(jì)算機(jī)的普及，網(wǎng)絡(luò)技術(shù)的飛速發(fā)展，計(jì)算機(jī)及計(jì)算機(jī)網(wǎng)絡(luò)在高職教育中無(wú)論從教學(xué)、科研還是管理等方面都起著舉足輕重的的作用。當(dāng)然，隨之而來(lái)的校園網(wǎng)絡(luò)安全問(wèn)題也成為各大高職院校日益重視的問(wèn)題。當(dāng)前的網(wǎng)絡(luò)安全問(wèn)題已經(jīng)不是僅僅的存在于簡(jiǎn)單的病毒傳播，很大程度上已經(jīng)影響到了教師的教學(xué)。為了確保網(wǎng)絡(luò)能有效的保證教學(xué)效果及各部門的工作效率，如何在黑客、病毒橫行的時(shí)代提高校園網(wǎng)絡(luò)的安全已成為各大高職院校迫切需要解決的問(wèn)題。

一、什么是計(jì)算機(jī)網(wǎng)絡(luò)安全

（一）計(jì)算機(jī)網(wǎng)絡(luò)安全

計(jì)算機(jī)網(wǎng)絡(luò)安全是指利用網(wǎng)絡(luò)管理控制和技術(shù)措施，保證在一個(gè)網(wǎng)絡(luò)環(huán)境里，數(shù)據(jù)的保密性、完整性及可使用性受到保護(hù)。計(jì)算機(jī)網(wǎng)絡(luò)安全包括即物理安全和邏輯安全兩個(gè)方面。物理安全指系統(tǒng)設(shè)備及相關(guān)設(shè)施受到物理保護(hù)，免于破壞、丟失等。邏輯安安全包括信息的完整性、保密性和可用性。

（二）對(duì)計(jì)算機(jī)信息構(gòu)成不安全的因素

對(duì)計(jì)算機(jī)信息構(gòu)成不安全的因素很多，其中包括人為的因素、自然的因素和偶發(fā)的因素。其中，人為因素是指，一些不法之徒利用計(jì)算機(jī)網(wǎng)絡(luò)存在的漏洞，或者潛入計(jì)算機(jī)房，盜用計(jì)算機(jī)系統(tǒng)資源，非法獲取重要數(shù)據(jù)、篡改系統(tǒng)數(shù)據(jù)、破壞硬件設(shè)備、編制計(jì)算機(jī)病毒。

網(wǎng)絡(luò)安全一詞也這樣被解釋：網(wǎng)絡(luò)系統(tǒng)的硬件，軟件及其系統(tǒng)中的數(shù)據(jù)受到保護(hù)，不受偶然的或者惡意的原因而遭到破壞，更改，泄露，系統(tǒng)連續(xù)可靠正常地運(yùn)行，網(wǎng)絡(luò)服務(wù)不中斷。”

二、高職院校校園網(wǎng)中出現(xiàn)的網(wǎng)絡(luò)安全問(wèn)題

（一）安全漏洞

所謂漏洞，就是程序設(shè)計(jì)者在設(shè)計(jì)過(guò)程中的人為疏忽。當(dāng)然，漏洞是在任何程序中都無(wú)法絕對(duì)避免。我們所說(shuō)的“黑客”也正是利用設(shè)計(jì)者的這一點(diǎn)點(diǎn)疏忽對(duì)網(wǎng)絡(luò)進(jìn)行攻擊的。其實(shí)真正對(duì)黑客的定義我們就可以理解他們?yōu)椤皩ふ衣┒吹娜恕?。他們中的大多?shù)并不是以網(wǎng)絡(luò)攻擊為初衷，只是天天專注與研究他人的程序并努力找到其中的缺陷。我們也可以這樣理解，從某種程度上講，一開始的大多數(shù)黑客都是“好人”，他們之所以找漏洞是為了追求完善、建立安全的互聯(lián)網(wǎng)模式才加入此行列的。只不過(guò)因?yàn)閭€(gè)別居心不良或受人唆使的黑客經(jīng)常利用那些具有攻擊性的漏洞，加上一些影視中夸張的表現(xiàn)手法，近些年才讓人們對(duì)黑客有了畏懼和敵視的心理。高職院校中大多數(shù)教師及學(xué)生使用的都是WINDOWS XP WINDOWS 7操作系統(tǒng)。這些操作系統(tǒng)同樣不是萬(wàn)無(wú)一失，在不同層面上都存在著這樣那樣的問(wèn)題；這就意味著學(xué)生實(shí)用的各種應(yīng)用軟件、防火墻等硬件設(shè)備在不同程度上也存在安全漏洞問(wèn)題。這些漏洞對(duì)很多剛剛接觸計(jì)算機(jī)的同學(xué)來(lái)說(shuō)是很容易導(dǎo)致機(jī)器不能正常使用，機(jī)器的不正常工作一部分原因可能由于操作的不當(dāng)出現(xiàn)硬件問(wèn)題，當(dāng)然有相當(dāng)一部分問(wèn)題是由于黑客或病毒找到了系統(tǒng)漏洞，對(duì)計(jì)算機(jī)進(jìn)行攻擊造成的。

同時(shí)校園網(wǎng)站在系統(tǒng)安全保障的建設(shè)中也會(huì)由技術(shù)人員在設(shè)計(jì)網(wǎng)站應(yīng)用架構(gòu)時(shí)出現(xiàn)了不規(guī)范，從而使得高校網(wǎng)站上出現(xiàn)了嚴(yán)重缺失，網(wǎng)站掛馬、網(wǎng)頁(yè)篡改等各種攻擊行為；近年來(lái)針對(duì)高職教育的校園網(wǎng)站的攻擊熱點(diǎn)已經(jīng)從單純的網(wǎng)站攻擊行為衍生到攻擊利益鏈模式，許多學(xué)校都面臨較大的形象及經(jīng)濟(jì)損失。

（二）病毒感染破壞

從計(jì)算機(jī)普及的那一天起，各種計(jì)算機(jī)病毒就隨之而來(lái)。損壞操作系統(tǒng)的、將文件夾變?yōu)榭蓤?zhí)行性文件的，導(dǎo)致硬盤打不開的等等。有些計(jì)算機(jī)病毒不但本身具有破壞性，更有害的是具有傳染性，一旦病毒被復(fù)制或產(chǎn)生變種，其速度之快令人難以預(yù)防。同樣，計(jì)算機(jī)病毒也會(huì)通過(guò)各種渠道從已被感染的計(jì)算機(jī)擴(kuò)散到未被感染的計(jì)算機(jī)，學(xué)生之間通過(guò)U盤拷貝文件，或教師通過(guò)網(wǎng)絡(luò)上傳下載文件都隨時(shí)有可能幫助病毒進(jìn)行傳播。還有些病毒像定時(shí)炸彈一樣，讓它什么時(shí)間發(fā)作是預(yù)先設(shè)計(jì)好的。比如黑色星期五病毒，不到預(yù)定時(shí)間一點(diǎn)都覺察不出來(lái)，等到條件具備的時(shí)候一下子就爆炸開來(lái)，對(duì)系統(tǒng)進(jìn)行破壞。一個(gè)編制精巧的計(jì)算機(jī)病毒程序，進(jìn)入系統(tǒng)之后一般不會(huì)馬上發(fā)作，可以在幾周或者幾個(gè)月內(nèi)甚至幾年內(nèi)隱藏在合法文件中，對(duì)其他系統(tǒng)進(jìn)行傳染，而不被人發(fā)現(xiàn)，潛伏性愈好，其在系統(tǒng)中的存在時(shí)間就會(huì)愈長(zhǎng)，病毒的傳染范圍就會(huì)愈大。由于高職院校中存在使用計(jì)算機(jī)人員多，層次多，病毒多的特點(diǎn)，所以各種病毒都會(huì)有機(jī)可乘。

（三）網(wǎng)絡(luò)資源濫用

在高職院校的校園網(wǎng)內(nèi)，各類用戶濫用網(wǎng)絡(luò)資源的情況嚴(yán)重。高職學(xué)生大多數(shù)都是起點(diǎn)較低并且對(duì)學(xué)習(xí)興趣不濃。不排除極個(gè)別同學(xué)會(huì)在校園網(wǎng)上查閱資料，用來(lái)學(xué)習(xí)，但這類人群在當(dāng)前的高職院校中可以說(shuō)少之又少。個(gè)別同學(xué)不安裝殺毒軟件，或者安裝了殺毒軟件也不及時(shí)更新，上網(wǎng)隨便下載亂七八糟的軟件，隨意接收別人的文件，還有的同學(xué)會(huì)瀏覽一些不合法網(wǎng)站，隨著各種不正當(dāng)操作的進(jìn)行，病毒也就逐漸的滲透到學(xué)校的各個(gè)角落，嚴(yán)重影響了學(xué)校網(wǎng)絡(luò)的正常使用，也嚴(yán)重影響了學(xué)校各項(xiàng)工作的順利開展。

三、校園網(wǎng)絡(luò)的安全防范策略

近年來(lái)，隨著校園信息化建設(shè)的逐步深入，各項(xiàng)工作對(duì)信息系統(tǒng)依賴的程度越來(lái)越高。作為窗口的校園網(wǎng)站，所面向的用戶群也越來(lái)越廣泛，所承載的功能也越來(lái)越全面，不單是面向校內(nèi)，同時(shí)面向社會(huì)也提供了諸多服務(wù)功能。校園網(wǎng)站已從一個(gè)簡(jiǎn)單的信息、展示平臺(tái)，逐步轉(zhuǎn)變?yōu)閰R集了招生就業(yè)、遠(yuǎn)程教育、成果共享、招標(biāo)采購(gòu)等功能的綜合性業(yè)務(wù)平臺(tái)。隨著國(guó)家對(duì)高職教育的逐步重視，越來(lái)越成多的攻擊和威脅出現(xiàn)在校園內(nèi)，學(xué)院網(wǎng)站所面臨的Web應(yīng)用安全問(wèn)題越來(lái)越復(fù)雜，混合威脅的風(fēng)險(xiǎn)正在飛速增長(zhǎng)，如網(wǎng)頁(yè)篡改、蠕蟲病毒、DDoS攻擊、SQL注入、跨站腳本、Web應(yīng)用安全漏洞利用等，極大地困擾著學(xué)校和學(xué)生用戶。高職院校校園網(wǎng)絡(luò)安全管理是一項(xiàng)復(fù)雜的系統(tǒng)工程，尤其在高職院校人員分布零散，學(xué)生素質(zhì)參差不齊，整體管理相對(duì)困難的前提下要提高網(wǎng)絡(luò)安全，必須從校園的各個(gè)層面入手，才能從根本上解決問(wèn)題。

（一）安全的物理環(huán)境

要保證整個(gè)學(xué)校的計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的安全、可靠，必須保證系統(tǒng)有個(gè)安全的物理環(huán)境。這個(gè)安全的環(huán)境包括機(jī)房、辦公室、寢室等相關(guān)的計(jì)算機(jī)設(shè)施。

（二）配備高性能的防火墻

凡是能有效阻止網(wǎng)絡(luò)非法連接的方式，都算防火墻。早期的防火墻一般就是利用設(shè)置的條件，監(jiān)測(cè)通過(guò)的包的特征來(lái)決定放行或者阻止的。雖然防火墻技術(shù)發(fā)展到現(xiàn)在有了很多新的理念提出，但是包過(guò)濾依然是非常重要的一環(huán)，如同四層交換機(jī)首要的仍是要具備包的快速轉(zhuǎn)發(fā)這樣一個(gè)交換機(jī)的基本功能一樣。通過(guò)包過(guò)濾，防火墻可以實(shí)現(xiàn)阻擋攻擊，禁止外部/內(nèi)部訪問(wèn)某些站點(diǎn)，限制每個(gè)IP的流量和連接數(shù)。

（三）及時(shí)修復(fù)系統(tǒng)軟件漏洞

可以以講座或?qū)W生宣傳的形式提醒各位教師及同學(xué)們及時(shí)更新操作系統(tǒng)，安裝各種補(bǔ)丁程序的重要性。

（四）建立全面的網(wǎng)絡(luò)防殺毒系統(tǒng)

篇8

關(guān)鍵詞：校園網(wǎng)；網(wǎng)絡(luò)安全；網(wǎng)絡(luò)安全的維護(hù)

中圖分類號(hào)：TP393 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1007-9599 (2012) 10-0000-02

一、引言

在社會(huì)不斷地進(jìn)步，互聯(lián)網(wǎng)在生活中扮演的角色越來(lái)越重要，人們的工作、學(xué)習(xí)和生活已經(jīng)離不開互聯(lián)網(wǎng)。近年來(lái)，在高職院校，為方便師生的學(xué)習(xí)、工作，紛紛組建了校園網(wǎng)，校園網(wǎng)的發(fā)展也非常迅速，不過(guò)由于其起步較晚，軟硬件設(shè)施較差，在組建校園網(wǎng)運(yùn)行中存在著很多不足之處，導(dǎo)致了現(xiàn)存的高職院校校園網(wǎng)存在足多隱患的局面，高職院校校內(nèi)網(wǎng)的安全問(wèn)題也益發(fā)凸顯。

二、目前高職院校校園網(wǎng)存在的隱患及問(wèn)題

高職院校的校園網(wǎng)網(wǎng)絡(luò)安全存在很大的隱患，這給廣大師生的學(xué)習(xí)，工作都帶來(lái)很大的不便，更有甚者回影響到學(xué)校、師生的利益。這些隱患主要體現(xiàn)在以下幾個(gè)方面：

（一）互聯(lián)網(wǎng)的開放性決定了校園網(wǎng)的安全更容易受到攻擊

互聯(lián)網(wǎng)網(wǎng)絡(luò)的通信協(xié)議是開放性的，通信協(xié)議是互聯(lián)網(wǎng)通信的基礎(chǔ)，目前高職院校校園網(wǎng)普遍使用TCP/IP協(xié)議簇，而通用性和開放性是TCP/IP協(xié)議簇的一大特點(diǎn)，基于這種特點(diǎn)，只要具備了一定的技術(shù)就可以分析并使用這一協(xié)議，這就造成了校園網(wǎng)在通信上的漏洞。數(shù)據(jù)竊聽(Packet Sniff)：TCP/IP協(xié)議數(shù)據(jù)流采用明文傳輸，因此數(shù)據(jù)信息很容易被竊聽、篡改和偽造。特別是在使用含有用戶賬號(hào)、口令的數(shù)據(jù)包進(jìn)行通信時(shí)，使用Sniff，Snoop或網(wǎng)絡(luò)分析儀等可以對(duì)以上信息進(jìn)行截取，達(dá)到攻擊的目的。例如：源地址欺騙(Source address spoofing)；源路由選擇欺騙(Source Routing spoofing)；鑒別攻擊(Authentication Attacks)；TCP序列號(hào)欺騙(TCP Sequence number spoofing)；ICMP攻擊(工CMP Attacks)；拒絕服務(wù)((DOS)攻擊；IP棧攻擊(IP Stack Attack)等，這種由于互聯(lián)網(wǎng)的根本屬性而來(lái)的漏洞，不能夠徹底解決，但是由于校內(nèi)網(wǎng)的特點(diǎn)卻更容易使其安全受到攻擊。

（二）硬件設(shè)施的落后導(dǎo)致其安全隱患巨大

高職院校的校園網(wǎng)雖然發(fā)展迅速，但由于其起步較晚，加之在建設(shè)校園網(wǎng)的過(guò)程中，大部分高職院校并沒有進(jìn)行大幅度的改變，而是在原有局域網(wǎng)的基礎(chǔ)上進(jìn)行一些整改，這種硬件上的落后必然導(dǎo)致校園網(wǎng)的安全隱患。

（三）系統(tǒng)防火墻抵抗外來(lái)攻擊入侵能力較弱

校園網(wǎng)的系統(tǒng)防火墻是抵御外來(lái)入侵的有效手段，對(duì)于外來(lái)的攻擊能提供有效的屏蔽，但目前大部分高職高校的校園網(wǎng)系統(tǒng)卻存在很多漏洞，容易被不法分子利用，校園網(wǎng)的防火墻能力也比較弱，對(duì)于擁有一定技術(shù)的黑客而言基本形同虛設(shè)。

（四）網(wǎng)絡(luò)安全管理存在巨大的缺陷，非常不完善

網(wǎng)絡(luò)的管理能夠很大程度上消除校園網(wǎng)的安全隱患，但大部分高職院校學(xué)院網(wǎng)絡(luò)的管理相對(duì)比較較混亂，沒有統(tǒng)一的網(wǎng)絡(luò)出口、網(wǎng)絡(luò)管理軟件和網(wǎng)絡(luò)監(jiān)控、日志系統(tǒng)，缺乏上網(wǎng)的有效監(jiān)控和日志。這種管理能力的欠缺也是導(dǎo)致目前高職院校網(wǎng)絡(luò)安全問(wèn)題的一大原因。

（五）校內(nèi)人員安全意識(shí)單薄，并出現(xiàn)內(nèi)部攻擊校園網(wǎng)的情況

微型計(jì)算機(jī)的普及使得擁有個(gè)人計(jì)算機(jī)的學(xué)生數(shù)量在飛速的增長(zhǎng)，但是除了個(gè)別對(duì)于計(jì)算機(jī)比較熟練地用戶以外，目前，很大一部分的學(xué)生對(duì)于計(jì)算機(jī)的安全意識(shí)比較單薄，比如：安全軟件更新不夠，系統(tǒng)的漏洞更是比比皆是，這些問(wèn)題導(dǎo)致了校園網(wǎng)的計(jì)算機(jī)更容易沾染病毒，而基于校內(nèi)網(wǎng)特點(diǎn)，這帶來(lái)的后果往往更加嚴(yán)重。此外，校園網(wǎng)的防火墻雖然能夠?qū)τ谛Ｍ獾娜肭制鸬揭欢ǖ钟饔?，可是?duì)于來(lái)自校園網(wǎng)內(nèi)部的攻擊的防護(hù)能力卻基本為零，而根據(jù)研究，目前基本上校園網(wǎng)受到的大部分攻擊都是來(lái)自校內(nèi)，這主要是由于校園內(nèi)的人員大多屬于有想法，有沖勁的年輕人，加之互聯(lián)網(wǎng)上的攻擊軟件，黑客軟件比比皆是，再加上目前國(guó)內(nèi)外輿論對(duì)于黑客行為的不可觀的評(píng)價(jià)，這就對(duì)于年輕人帶來(lái)很大的誘惑，希望通過(guò)一些比較出位的手段來(lái)獲得心理的滿足，于是，攻擊校園網(wǎng)也就成了一種可選擇的手段。

（六）高職院校的特殊性導(dǎo)致其更易受到攻擊

校園網(wǎng)的一大特點(diǎn)即是速度和規(guī)模上比較大，由于存在以上隱患，對(duì)于不法之徒而言，攻擊、入侵校內(nèi)網(wǎng)的效率相對(duì)而來(lái)就會(huì)更高，目前，越來(lái)越多的黑客把目標(biāo)瞄向了校園網(wǎng)，加之層出不窮的網(wǎng)絡(luò)病毒在校園網(wǎng)內(nèi)傳播的更加迅速，雖然校園網(wǎng)目前大都建立了防火墻，但這些依舊給校園網(wǎng)的安全帶來(lái)很大的壓力。

三、針對(duì)高職院校校園網(wǎng)存在問(wèn)題的改善意見及措施

針對(duì)我國(guó)目前高職院校校園網(wǎng)存在的問(wèn)題，學(xué)校應(yīng)該從提高技術(shù)，增強(qiáng)防范意識(shí)，提高軟硬件設(shè)施等方面出發(fā)。

（一）加大基礎(chǔ)設(shè)施投入

篇9

中圖分類號(hào):TP

文獻(xiàn)標(biāo)識(shí)碼:A

文章編號(hào):1672-3198(2010)09-0284-02

1 ARP協(xié)議及欺騙原理

1.1 ARP協(xié)議

ARP欺騙,一個(gè)讓我們耳熟能詳?shù)木W(wǎng)絡(luò)安全事件,普遍的存在于校園網(wǎng)、企業(yè)網(wǎng)等網(wǎng)絡(luò)環(huán)境中,給我們的工作、學(xué)習(xí)和生活帶來(lái)了很大的不變,輕則網(wǎng)絡(luò)變慢、時(shí)斷時(shí)續(xù),重則直接無(wú)法上網(wǎng)、重要信息被竊取,可以說(shuō),ARP欺騙是網(wǎng)絡(luò)的一塊頑疾。分析ARP欺騙,就不得不研究一下ARP協(xié)議,因?yàn)檫@種攻擊行為正是利用了ARP協(xié)議本身的漏洞來(lái)實(shí)現(xiàn)的。

ARP協(xié)議是“Address Resolution Protocol”(地址解析協(xié)議)的縮寫,它的作用,就是將IP地址轉(zhuǎn)換為MAC地址。在局域網(wǎng)中,網(wǎng)絡(luò)中實(shí)際傳輸?shù)氖恰皵?shù)據(jù)幀”,數(shù)據(jù)幀如果要到達(dá)目的地,就必須知道對(duì)方的MAC地址,它不認(rèn)IP的。但這個(gè)目標(biāo)MAC地址是如何獲得的呢?它就是通過(guò)ARP協(xié)議獲得的。所謂“地址解析”就是主機(jī)在發(fā)送幀前將目標(biāo)IP地址轉(zhuǎn)換成目標(biāo)MAC地址的過(guò)程。ARP協(xié)議的基本功能就是通過(guò)目標(biāo)設(shè)備的IP地址,查詢目標(biāo)設(shè)備的MAC地址,以保證通信的順利進(jìn)行。

每臺(tái)安裝有TCP/IP協(xié)議的電腦里都有一個(gè)ARP緩存表,表里的IP地址與MAC地址是一一對(duì)應(yīng)的。

我們以主機(jī)A向主機(jī)B發(fā)送數(shù)據(jù)為例。當(dāng)發(fā)送數(shù)據(jù)時(shí),主機(jī)A會(huì)在自己的ARP緩存表中尋找是否有目標(biāo)IP地址。如果找到了,也就知道了目標(biāo)MAC地址,直接把目標(biāo)MAC地址寫入幀里面發(fā)送就可以了;如果在ARP緩存表中沒有找到相對(duì)應(yīng)的IP地址,主機(jī)A就會(huì)在網(wǎng)絡(luò)上發(fā)送一個(gè)廣播,目標(biāo)MAC地址是“FF.FF.FF.FF.FF.FF”,這表示向同一網(wǎng)段內(nèi)的所有主機(jī)發(fā)出這樣的詢問(wèn)。網(wǎng)絡(luò)上其他主機(jī)并不響應(yīng)ARP詢問(wèn),只有主機(jī)B接收到這個(gè)幀時(shí),才向主機(jī)A做出這樣的回應(yīng)。這樣,主機(jī)A就知道了主機(jī)B的MAC地址,它就可以向主機(jī)B發(fā)送信息了。同時(shí)它還更新了自己的ARP緩存表,下次再向主機(jī)B發(fā)送信息時(shí),直接從ARP緩存表里查找就可以了。

ARP緩存表采用了老化機(jī)制,在一段時(shí)間內(nèi)如果表中的某一行沒有使用,就會(huì)被刪除,這樣可以大大減少ARP緩存表的長(zhǎng)度,加快查詢速度。

以上就是ARP協(xié)議的作用以及其工作過(guò)程,看來(lái)是很簡(jiǎn)單的,也正因?yàn)槠浜?jiǎn)單的原理,沒有其他措施的保障,也就使得ARP欺騙產(chǎn)生了。下面我們來(lái)看看ARP欺騙到底是怎么回事。1.2 ARP欺騙原理

為什么會(huì)有ARP欺騙,這還要從ARP協(xié)議說(shuō)起,前面我們介紹了,當(dāng)源主機(jī)不知道目標(biāo)主機(jī)的MAC地址的話,就會(huì)發(fā)起廣播詢問(wèn)所有主機(jī),然后目標(biāo)主機(jī)回復(fù)它,告知其正確的MAC地址,漏洞就在這里,如果一個(gè)有不軌圖謀的主機(jī)想收到源主機(jī)發(fā)來(lái)的信息(可能是用戶名、密碼、銀行賬號(hào)之類的信息),那么它只需也向源主機(jī)回復(fù)一下,響應(yīng)的IP地址沒錯(cuò),但MAC地址卻變成了發(fā)起欺騙的主機(jī)的,這樣,信息就發(fā)到它那里去了(前面說(shuō)了,數(shù)據(jù)幀只認(rèn)MAC地址)。這是一種欺騙的方式,還有一種方式,是利用了“免費(fèi)ARP”的機(jī)制。所謂免費(fèi)ARP就是不需要?jiǎng)e人問(wèn),一上來(lái)就先告訴別人,我的IP地址是多少,我的MAC地址是多少,別的主機(jī)無(wú)需廣播,就已經(jīng)知道了該主機(jī)的IP和MAC,下次需要發(fā)到這個(gè)IP的時(shí)候,直接發(fā)就行了。既然是主動(dòng)發(fā)起的,就可以被別有用心的人利用了,用一個(gè)假冒的IP地址(可能是網(wǎng)關(guān)的或者重要服務(wù)器的地址)加上自己的MAC出去騙別人,就把重要的信息都騙到這里來(lái)了。下面我們來(lái)看看ARP欺騙的具體操作過(guò)程。

1.2.1 局域網(wǎng)主機(jī)冒充網(wǎng)關(guān)進(jìn)行ARP欺騙

欺騙過(guò)程:如下圖所示,PC A跟網(wǎng)關(guān)GW C通訊時(shí),要知道GW的MAC地址,如果PC B假冒GW告訴PC A,GW的Mac地址是MACB;或者干脆告訴PC A,GW的Mac地址是MACX,那么,PC A就受騙了,PC A的數(shù)據(jù)就到不了網(wǎng)關(guān),造成斷線。

1.2.2 局域網(wǎng)主機(jī)冒充其他主機(jī)欺騙網(wǎng)關(guān)

欺騙過(guò)程:網(wǎng)絡(luò)通訊是一個(gè)雙向的過(guò)程,也就是說(shuō),只有保證PC A-> GW C以及GW C->PC A 都沒問(wèn)題,才能確保正常通訊。假如,PC B冒充主機(jī)PC A,告訴GW C:PC A的MAC是MAC B, 網(wǎng)關(guān)就受騙了,那么,PC A到GW C沒有問(wèn)題,可是,GW C到不了PC A,因而造成網(wǎng)絡(luò)斷線。

以上兩種欺騙,尤其是第二種類型的欺騙,現(xiàn)在更為常見。從本質(zhì)上說(shuō),同一局域網(wǎng)內(nèi)(這里指在同一網(wǎng)段)的任何兩個(gè)點(diǎn)的通訊都可能被欺騙,無(wú)論是主機(jī)到網(wǎng)關(guān),網(wǎng)關(guān)到主機(jī),主機(jī)到服務(wù)器,服務(wù)器到主機(jī),還有主機(jī)之間都是一樣,都可能產(chǎn)生進(jìn)行ARP欺騙,欺騙本質(zhì)都是一樣。

1.2.3 其他欺騙類型

主機(jī)冒用其它主機(jī),欺騙其它主機(jī)的方式:如主機(jī)A冒用主機(jī)B的MAC,欺騙主機(jī)C,以達(dá)到監(jiān)聽主機(jī)B和主機(jī)C的目的.并且導(dǎo)致主機(jī)B到主機(jī)C之間的網(wǎng)絡(luò)連接中斷。

外網(wǎng)欺騙:外網(wǎng)冒用路由器A的MAC,欺騙更上一級(jí)的路由器B,導(dǎo)致更上一級(jí)的路由器被騙,將內(nèi)網(wǎng)信息全部轉(zhuǎn)發(fā)給外網(wǎng)惡意主機(jī)。

2 ARP的主要欺騙及攻擊方式

2.1 ARP欺騙

網(wǎng)絡(luò)欺騙是黑客常用的攻擊手段之一,網(wǎng)絡(luò)ARP欺騙分為兩種,一種是對(duì)路由器ARP表的欺騙,另一種是對(duì)內(nèi)網(wǎng)主機(jī)的網(wǎng)關(guān)欺騙。前一種欺騙的原理是攻擊者通過(guò)截獲分析網(wǎng)關(guān)數(shù)據(jù),并通知路由器一系列錯(cuò)誤的內(nèi)網(wǎng)IP地址和MAC地址的映射,按照一定的頻率不斷進(jìn)行使真實(shí)的地址信息映射無(wú)法通過(guò)更新保存在路由器中,結(jié)果路由器轉(zhuǎn)發(fā)數(shù)據(jù)到錯(cuò)誤的MAC地址的主機(jī),造成正常主機(jī)無(wú)法收到信息;后一種ARP欺騙的原理是偽造網(wǎng)關(guān),它的原理是把真實(shí)網(wǎng)關(guān)的的IP地址映射到錯(cuò)誤的MAC地址,這樣主機(jī)在向網(wǎng)關(guān)發(fā)送數(shù)據(jù)時(shí),不能夠到達(dá)真正的網(wǎng)關(guān),如果假網(wǎng)關(guān)不能上網(wǎng),那么真實(shí)的主機(jī)通過(guò)假網(wǎng)關(guān)也不能上網(wǎng)。

2.2 中間人攻擊

按照ARP協(xié)議的設(shè)計(jì),一個(gè)主機(jī)即使收到的ARP應(yīng)答并非自身請(qǐng)求得到的,也會(huì)將其IP地址和MAC地址的對(duì)應(yīng)關(guān)系添加到自身的ARP映射表中。這樣可以減少網(wǎng)絡(luò)上過(guò)多的ARP數(shù)據(jù)通信,但也為ARP欺騙創(chuàng)造了條件。如圖1所示,PC-X為X主機(jī),MAC-X為X主機(jī)的物理地址,IP-X為X主機(jī)的IP地址。PC-A和PC-C通過(guò)交換機(jī)S進(jìn)行通信。此時(shí),如果有攻擊者(PC-B)想探聽PC-A和PC-C之間的通信,它可以分別給這兩臺(tái)主機(jī)發(fā)送偽造的ARP應(yīng)答報(bào)文,使PC-A中的ARP緩存表中IP-C和MAC-B所對(duì)應(yīng),PC-C中的ARP緩存表中IP-A和MAC-B所對(duì)應(yīng)。此后,PC-A和PC-C之間看似直接的通信,實(shí)際上都是通過(guò)攻擊者所在的主機(jī)間接進(jìn)行的,如圖1虛箭頭所示,即PC-B擔(dān)當(dāng)了中間人的角色,可以對(duì)信息進(jìn)行竊取和篡改。這種攻擊方式就稱作中間人攻擊。

2.3 ARP泛洪攻擊

攻擊主機(jī)持續(xù)把偽造的IP地址和MAC地址的映射對(duì)發(fā)給受害主機(jī),對(duì)于局域網(wǎng)內(nèi)的所有主機(jī)和網(wǎng)關(guān)進(jìn)行廣播,搶占網(wǎng)絡(luò)帶寬并干擾正常通信。導(dǎo)致網(wǎng)絡(luò)中的主機(jī)和交換機(jī)不停地來(lái)更新自己的IP地址和MAC地址的映射表,浪費(fèi)網(wǎng)絡(luò)帶寬和主機(jī)的CPU,使主機(jī)間都不能正常通信。除了中間人攻擊、ARP泛洪攻擊外,還有Dos攻擊等。

目前知道的帶有ARP欺騙功能的軟件有“QQ第六感”、“網(wǎng)絡(luò)執(zhí)法官”、“P2P終結(jié)者”、“網(wǎng)吧傳奇殺手”等,這些軟件中,有些是人為手工操作來(lái)破壞網(wǎng)絡(luò)的,有些是做為病毒或者木馬出現(xiàn),使用者可能根本不知道它的存在,所以更加擴(kuò)大了ARP攻擊的殺傷力

3 ARP攻擊的主要防范措施

3.1 IP地址和MAC地址的靜態(tài)綁定

3.1.1 在用戶端進(jìn)行綁定

ARP欺騙是通過(guò)ARP的動(dòng)態(tài)刷新,并不進(jìn)行驗(yàn)證的漏洞,來(lái)欺騙內(nèi)網(wǎng)主機(jī)的,所以我們把ARP表全部設(shè)置為靜態(tài)可以解決對(duì)內(nèi)網(wǎng)的欺騙,也就是在用戶端實(shí)施IP和MAC地址綁定,可以再用戶主機(jī)上建立一個(gè)批處理文件,此文件內(nèi)容是綁定內(nèi)網(wǎng)主機(jī)IP地址和MAC地址,并包括網(wǎng)關(guān)主機(jī)的IP地址和MAC地址的綁定,并把此批處理文件放到系統(tǒng)的啟動(dòng)目錄下,使系統(tǒng)每次重啟后,自動(dòng)運(yùn)行此文件,自動(dòng)生成內(nèi)網(wǎng)主機(jī)IP地址到MAC地址的映射表。這種方法使用于小型的網(wǎng)絡(luò)中。

3.1.2 在交換機(jī)上綁定

在核心交換機(jī)上綁定用戶主機(jī)IP地址和網(wǎng)卡的MAC地址,同時(shí)在邊緣交換機(jī)上將用戶計(jì)算機(jī)網(wǎng)卡的IP地址和交換機(jī)端口綁定的雙重安全綁定方式。這樣可以極大程度上避免非法用戶使用ARP欺騙或盜用合法用戶的IP地址進(jìn)行流量的盜取,可以防止非法用戶隨意接入網(wǎng)絡(luò),網(wǎng)絡(luò)用戶如果擅自改動(dòng)本機(jī)網(wǎng)卡的IP或MAC地址,該機(jī)器的網(wǎng)絡(luò)訪問(wèn)將被拒絕,從而降低了ARP攻擊的概率。

3.2 采用VLAN技術(shù)隔離端口

局域網(wǎng)的網(wǎng)絡(luò)管理員可根據(jù)需要,將本單位網(wǎng)絡(luò)規(guī)劃出若干個(gè)VLAN,當(dāng)發(fā)現(xiàn)有非法用戶在惡意利用ARP欺騙攻擊網(wǎng)絡(luò),或因合法用戶受病毒ARP病毒感染而影響網(wǎng)絡(luò)時(shí),網(wǎng)絡(luò)管理員可先找到該用戶所在的交換機(jī)端口,然后將該端口劃一個(gè)單獨(dú)的VLAN,將該用戶與其它用戶進(jìn)行隔離,以避免對(duì)其它用戶的影響,當(dāng)然也可以利用將交換機(jī)的該端口關(guān)掉來(lái)屏蔽該用戶對(duì)網(wǎng)絡(luò)造成影響。

3.3 采取802.1X認(rèn)證

802.1X認(rèn)證可以將使未通過(guò)認(rèn)證的主機(jī)隔離,當(dāng)發(fā)現(xiàn)某臺(tái)主機(jī)中毒時(shí),將禁止其認(rèn)證從而達(dá)到將中毒主機(jī)隔離網(wǎng)絡(luò)的目的。

篇10

中圖分類號(hào):TN915.08文獻(xiàn)標(biāo)識(shí)碼:A文章編號(hào):1007-9599 (2010) 06-0000-02

Attacks Principle& Preventive Measures of ARP Protocol Under Campus Network

Li Hui,Du Shanlin

Abstract:From the function of the ARP protocol to explain the working mechanism ARP.ARP works by analyzing the protocol,discuss the ARP protocol to the physical address from IP address resolution process in the presence of the security risk, given the same network segment and the process of inter-segment ARP cheating. Articles from the client and the network equipment side,puts forward the countermeasures,including the IP address and MAC address binding,switch port and MAC address binding,VLAN isolation techniques on the ARP spoofing attack,the security policy.

Keywords:ARP protocol;ARP attack;MAC address;Preventive measures

一、ARP工作原理

(一)ARP協(xié)議介紹

ARP在局域網(wǎng)中,實(shí)際傳輸?shù)氖恰皫?幀包括源MAC地址及目標(biāo)的MAC地址。 在以太網(wǎng)中,一主機(jī)要和另一主機(jī)進(jìn)行通信,必須要知道目標(biāo)MAC地址。MAC是通過(guò)ARP地址解析協(xié)議獲得的?！暗刂方馕觥本褪侵鳈C(jī)在發(fā)送幀前將目標(biāo)IP地址轉(zhuǎn)換成目標(biāo)MAC地址的過(guò)程。ARP的基本功能就是通過(guò)目標(biāo)設(shè)備的IP地址,查詢目標(biāo)設(shè)備的MAC地址,以保證通信的順利進(jìn)行。

ARP協(xié)議規(guī)定每一個(gè)主機(jī)都設(shè)有一個(gè)ARP高速緩存,里面存有所在局域網(wǎng)上的各主機(jī)和路由器的IP地址到硬件地址的一張映射表。根據(jù)存儲(chǔ)類型,ARP地址轉(zhuǎn)換表可被分為動(dòng)態(tài)和靜態(tài)兩種。

(二)ARP的工作流程

當(dāng)主機(jī)A準(zhǔn)備向B發(fā)送數(shù)據(jù)時(shí),己知A明確B的IP地址IPB為192.168.1.101,MAC地址為BB-BB-BB-BB-BB-BB。通過(guò)比較IPB與子網(wǎng)掩碼,判斷A與B是否在同一網(wǎng)段。

1.A與B在同一個(gè)網(wǎng)段,A檢查本機(jī)上ARP緩存區(qū)是否有B的MAC地址,如果有則直接發(fā)送信息給B,沒有就以廣播的形式向A所在本局域網(wǎng)內(nèi)所有主機(jī)發(fā)送ARP請(qǐng)求報(bào)文,意思是本地主機(jī)大喊一聲“誰(shuí)的IP是192.168.1.101?請(qǐng)把你的MAC地址傳過(guò)來(lái)!”。網(wǎng)絡(luò)上其他主機(jī)并不響應(yīng)ARP詢問(wèn),只有B收到此廣播幀后,向A返回ARP reply報(bào)文(含MAC地址),意思是對(duì)A說(shuō)“我的IP是IPB,我的MAC地址是BB-BB-BB-BB-BB-BB,當(dāng)A接收到應(yīng)答后,更新本機(jī)上的ARP緩存,然后用該物理地址把數(shù)據(jù)包直接發(fā)送給B。

2.A與B不在同一網(wǎng)段, A若想要發(fā)送信息給B,就必須通過(guò)本地網(wǎng)關(guān)S1來(lái)轉(zhuǎn)發(fā),由本地網(wǎng)關(guān)通過(guò)路由將數(shù)據(jù)包發(fā)送到B所在網(wǎng)段中的網(wǎng)關(guān)S2,網(wǎng)關(guān)S2收到這個(gè)數(shù)據(jù)包發(fā)現(xiàn)是發(fā)送給B的,就會(huì)檢查自己的ARP緩存,看是否有B的MAC地址,如果沒有就使用ARP協(xié)議獲得,如果有就用該MAC地址與主機(jī)B通信。

二、ARP病毒欺騙的實(shí)現(xiàn)

(一)ARP協(xié)議存在的安全隱患

由于ARP協(xié)議不對(duì)報(bào)文信息的真實(shí)性校驗(yàn),而且沒有被請(qǐng)求的ARP響應(yīng)報(bào)文同樣可以被目標(biāo)主機(jī)所接受。目標(biāo)主機(jī)刷新自己的緩存,把新的地址映射信息加入到ARP高速緩存中。這種缺陷使得偽造別人的IP地址或MAC地址實(shí)現(xiàn)ARP欺騙,進(jìn)而影響系統(tǒng)報(bào)文通信成為一種可能。

(二)ARP病毒作用機(jī)理

ARP病毒工作時(shí),首先在將安裝有ARP機(jī)器的網(wǎng)卡MAC地址通過(guò)ARP欺騙廣播至整個(gè)局域網(wǎng),使局域網(wǎng)中的工作站誤認(rèn)為安裝ARP的機(jī)器是該局域網(wǎng)的網(wǎng)關(guān)。由于局域網(wǎng)中的所有信息都必須通過(guò)網(wǎng)關(guān)來(lái)中轉(zhuǎn),當(dāng)它偽裝成網(wǎng)關(guān)時(shí),由于物理地址錯(cuò)誤,網(wǎng)絡(luò)上的計(jì)算機(jī)發(fā)來(lái)的數(shù)據(jù)無(wú)法正常發(fā)送到網(wǎng)關(guān),無(wú)法正常上網(wǎng),造成這些計(jì)算機(jī)無(wú)法訪問(wèn)外網(wǎng),而局域網(wǎng)中所有機(jī)器的數(shù)據(jù)卻都可能流經(jīng)它而被它竊取。

1.同一網(wǎng)段的ARP欺騙。

設(shè)在同一網(wǎng)段的三臺(tái)主機(jī):A,B,C。

假設(shè)A與B是信任關(guān)系,A欲向B發(fā)送數(shù)據(jù)包。攻擊方C通過(guò)前期準(zhǔn)備,收集信息,發(fā)現(xiàn)B的漏洞,使B暫時(shí)無(wú)法工作。然后C發(fā)送包含自己MAC地址的ARP應(yīng)答給A。由于大多數(shù)的操作系統(tǒng)在接收到ARP應(yīng)答后會(huì)及時(shí)更新ARP緩存,而不考慮是否發(fā)出過(guò)真實(shí)的ARP請(qǐng)求,所以A接收到應(yīng)答后,就更新它的ARP緩存,建立新的IP/MAC地址映射對(duì),即B的IP地址對(duì)應(yīng)C的MAC地址。這樣,A就將發(fā)往B的數(shù)據(jù)包發(fā)向了C。

2.跨網(wǎng)段的ARP欺騙。

這種方式需要把ARP欺騙與ICMP重定向攻擊結(jié)合在一起。假設(shè)A和B在同一網(wǎng)段,C在另一網(wǎng)段,其IP地址和物理(MAC)地址映射關(guān)系如表

跨網(wǎng)段IP/MAC地址映射關(guān)系

首先攻擊方C修改IP包的生存時(shí)間,將其延長(zhǎng),以便做充足的廣播。然后尋找B的漏洞,攻擊此漏洞,使主機(jī)B暫時(shí)無(wú)法工作。此后,攻擊方C發(fā)送B的IP地址和C的MAC地址的ARP應(yīng)答給A。A接收到應(yīng)答后,更新其ARP緩存。這樣,在主機(jī)A上B的IP地址就對(duì)應(yīng)C的MAC地址。但是,A在發(fā)數(shù)據(jù)包給B時(shí),仍然會(huì)在局域網(wǎng)內(nèi)尋找192.168.1.101的MAC地址,不會(huì)把包發(fā)給路由器,這時(shí)就需要進(jìn)行ICMP重定向,告A“到192.168.1.101的最短路徑不是局域網(wǎng),而是路由,請(qǐng)主機(jī)重定向路由路徑,把所有到192.168.1.101的包發(fā)給路由器”。主機(jī)A在接受到這個(gè)合理的ICMP重定向后,修改自己的路由路徑,把對(duì)192.168.1.101的數(shù)據(jù)包都發(fā)給路由器。這樣攻擊方C就能得到來(lái)自內(nèi)部網(wǎng)段的數(shù)據(jù)包。

基于ARP協(xié)議的這一工作特性,借助于一些黑客工具如網(wǎng)絡(luò)剪刀手等,黑客向?qū)Ψ接?jì)算機(jī)不斷發(fā)送有欺詐性質(zhì)的ARP數(shù)據(jù)包和ARP恢復(fù)數(shù)據(jù)包,數(shù)據(jù)包內(nèi)包含有與當(dāng)前設(shè)備重復(fù)的MAC地址,使對(duì)方在回應(yīng)時(shí),由于簡(jiǎn)單的地址重復(fù)錯(cuò)誤而導(dǎo)致不能進(jìn)行正常的網(wǎng)絡(luò)通信,這樣就可以在一臺(tái)普通計(jì)算機(jī)上通過(guò)發(fā)送ARP數(shù)據(jù)包的方法來(lái)控制網(wǎng)絡(luò)中任何一臺(tái)計(jì)算機(jī)的上網(wǎng)與否,甚至還可以直接對(duì)網(wǎng)關(guān)進(jìn)行攻擊,讓所有連接網(wǎng)絡(luò)的計(jì)算機(jī)都無(wú)法正常上網(wǎng)。

三、安全防范策略

(一)用戶端計(jì)算機(jī)的防御策略

1.安裝殺毒軟件、防火墻。安裝金山毒霸、瑞星、360安全衛(wèi)士、金山ARP防火墻等殺毒軟件,必須要定期升級(jí)更新病毒代碼,每天定時(shí)對(duì)機(jī)器進(jìn)行病毒掃描,及時(shí)更新補(bǔ)丁程序等。安裝影子系統(tǒng)或其它還原系統(tǒng),這樣在受到ARP攻擊后可以通過(guò)重啟實(shí)現(xiàn)ARP病毒的清除。

2.網(wǎng)上玩游戲要注意安全。許多帶有ARP病毒的木馬程序往往都是隱藏在網(wǎng)絡(luò)游戲的外掛中通過(guò)網(wǎng)絡(luò)游戲私服進(jìn)行傳播的。

3.在用戶端計(jì)算機(jī)上綁定交換機(jī)網(wǎng)關(guān)的IP和MAC地址。Windows用戶可通過(guò)在命令行方式執(zhí)行“arp Cs 網(wǎng)關(guān) IP 網(wǎng)關(guān)MAC 地址”命令來(lái)減輕中毒計(jì)算機(jī)對(duì)本機(jī)的影響。網(wǎng)關(guān)IP和網(wǎng)關(guān)MAC地址可在網(wǎng)絡(luò)工作正常時(shí)通過(guò)命令行方式下的“arp -a”命令來(lái)得到?？梢跃帉懸粋€(gè)批處理文件arp.bat,實(shí)現(xiàn)將交換機(jī)網(wǎng)關(guān)的MAC地址和網(wǎng)關(guān)的IP地址的綁定,并將這個(gè)批處理文件拖到“開始-程序-啟動(dòng)”中,以便用戶每次開機(jī)后計(jì)算機(jī)自動(dòng)加載并執(zhí)行該批處理文件。

4.安裝常見的防范ARP欺騙攻擊的工具軟件。針對(duì)ARP欺騙攻擊出現(xiàn)了一些可以保護(hù)客戶端的網(wǎng)關(guān)MAC地址不被修改的工具軟件,并且報(bào)警當(dāng)前是哪個(gè)MAC地址在攻擊網(wǎng)絡(luò)。

5.計(jì)算機(jī)中了ARP病毒后的處理方法。一旦你的計(jì)算中了ARP病毒,各種防病毒軟件或?qū)⒐ぞ吆茈y完全清除,只有重裝系統(tǒng),并施加相關(guān)防護(hù)措施,才可以得到比較徹底的恢復(fù)。

(二)網(wǎng)絡(luò)設(shè)備管理端的防御策略

1.在核心交換機(jī)上綁定用戶主機(jī)的IP地址和網(wǎng)卡的MAC地址,同時(shí)在邊緣交換機(jī)上將用戶計(jì)算機(jī)網(wǎng)卡的MAC地址和交換機(jī)端口綁定的雙重安全綁定方式。同時(shí)在三層交換機(jī)上實(shí)時(shí)檢控用戶的IP MAC對(duì)應(yīng)表以及在二層交換機(jī)上限制用戶端接口上最大可以上傳的MAC數(shù)量。

(1)IP和MAC地址的綁定。

在核心交換機(jī)上將所有局域網(wǎng)絡(luò)用戶的IP地址與其網(wǎng)卡MAC地址一一對(duì)應(yīng)進(jìn)行全部綁定。這樣可以極大程度上避免非法用戶使用ARP欺騙或盜用合法用戶的IP地址進(jìn)行流量的盜取。

(2)MAC地址與交換機(jī)端口的綁定。

根據(jù)局域網(wǎng)絡(luò)用戶所在的區(qū)域、樓體和用戶房間所對(duì)應(yīng)的交換機(jī)端口號(hào),將用戶計(jì)算機(jī)網(wǎng)卡的MAC地址和交換機(jī)端口綁定。此方案可以防止非法用戶隨意接入網(wǎng)絡(luò)端口上網(wǎng)。網(wǎng)絡(luò)用戶如果擅自改動(dòng)本機(jī)網(wǎng)卡的MAC地址,該機(jī)器的網(wǎng)絡(luò)訪問(wèn)將因其MAC地址被交換機(jī)認(rèn)定為非法而無(wú)法實(shí)現(xiàn)上網(wǎng),自然也就不會(huì)對(duì)局域網(wǎng)造成干擾了。

2.開啟交換機(jī)上針對(duì)ARP的特定功能。在銳捷S21系列二層交換機(jī)上可以通過(guò)開啟Anti-ARP-Spoofing功能,防止同一網(wǎng)段內(nèi)針對(duì)用戶的ARP欺騙攻擊。其他廠家的設(shè)備也有類似功能,CISCO的可以使用ARP-Inspection,H3C的可以使用Anti-ARP-at2tack。

3.使用ARP服務(wù)器查找自己的ARP轉(zhuǎn)換表來(lái)響應(yīng)其他機(jī)器的ARP廣播。

4.對(duì)上網(wǎng)用戶進(jìn)行上網(wǎng)認(rèn)證和地址綁定。通過(guò)在用戶側(cè)使用靜態(tài)IP同時(shí)在匯聚交換機(jī)上進(jìn)行IP-MAC對(duì)的綁定,同時(shí)開啟帳號(hào)+密碼+IP+MAC+接入交換機(jī)IP+接入交換機(jī)PORT的六元素綁定。由于用戶名、密碼、用戶端IP、MAC和接入交換機(jī)IP、PORT都對(duì)應(yīng)起來(lái)了,杜絕了同一MAC對(duì)應(yīng)多個(gè)IP和用戶MAC對(duì)應(yīng)網(wǎng)關(guān)IP的ARP欺騙,因此通過(guò)地址綁定基本可以實(shí)現(xiàn)網(wǎng)絡(luò)對(duì)于ARP欺騙攻擊的完全性免疫。

四、結(jié)束語(yǔ)

本文通過(guò)分析ARP協(xié)議的工作原理,探討了基于ARP協(xié)議漏洞的欺騙攻擊的實(shí)現(xiàn)過(guò)程,提出了多種可行的安全防御策略,并分析了多種防御措施各自存在的局限性,對(duì)于徹底的防范ARP欺騙攻擊,一般需要多種方案配合使用,特別是對(duì)用戶上網(wǎng)進(jìn)行認(rèn)證"如果要從根本上解決這一問(wèn)題,最好的方法將是重新設(shè)計(jì)一種安全的地址解析協(xié)議,已經(jīng)在IPV6中已經(jīng)考慮到了這個(gè)問(wèn)題,采用了更安全的方式杜絕了來(lái)自底層的攻擊。

參考文獻(xiàn):

[1]謝希仁.計(jì)算機(jī)網(wǎng)絡(luò).北京:電子工業(yè)出版社,2003,6

[2]傅偉,謝宜辰.基于ARP協(xié)議的欺騙攻擊及安全防御策略.湘潭師范學(xué)院學(xué)報(bào),2007,12

[3]鄧清華,陳松喬.ARP欺騙攻擊及其防范.微機(jī)發(fā)展,2004,14,8:126-128

[4]周增國(guó).局域網(wǎng)絡(luò)環(huán)境下ARP欺騙攻擊及安全防范策略.計(jì)算機(jī)與信息技術(shù)

[5]潘鋒.局域網(wǎng)中ARP欺騙的防范.Computer Era,2007,5