校園防范措施模板(10篇)
時間:2024-01-08 15:13:02
導言:作為寫作愛好者,不可錯過為您精心挑選的10篇校園防范措施,它們將為您的寫作提供全新的視角,我們衷心期待您的閱讀,并希望這些內容能為您提供靈感和參考。
篇1
中圖分類號:X928.7 文獻標識碼:A
1 校園內火災常見原因
1.1 教職員工和學生的消防安全意識淡薄。許多教職員工和學生因潛心研究學問,對其他事情關心較少,消防安全意識往往比較薄弱,消防法制觀念不強,思想麻痹,缺乏防范意識和安全知識,紀律松弛,違反用火、用電等消防安全規(guī)定的情況時有發(fā)生。
1.2 用火用電不遵安全規(guī)范,火災誘發(fā)原因眾多。如亂拉亂接電線和保險絲,因電線短路或因接觸不良發(fā)熱而引起火災;個別的因為用電經常超負荷常跳閘,圖方便用銅絲或鐵絲代替保險絲,使電路過載發(fā)生故障時不能及時熔斷而造成電線起火。或在床上點蠟燭,吸煙者亂扔未熄滅的煙頭和火柴等,在宿舍內焚燒雜物,在宿舍內使用煤氣、液化氣不當,使用煤油爐、汽油、酒精等易燃易爆物不當等導致明火引燃。還有電燈泡靠近可燃物長時間烘烤起火;使用電熱器無人監(jiān)管而烤燃起火;長時間使用電器不檢修,電線絕緣老化、漏電短路而起火等。
1.3 老式建筑多,先天性火災隱患多。在有著數十年甚至上百年歷史的高校中,有不少木結構建筑仍在使用中。這些木結構建筑年代久遠,屋面老化,破損嚴重,屋脊和封山脊開裂等現象隨處可見。當時建筑設計防火等方面的規(guī)范尚不完備、法制不健全,導致建筑留下布局不合理,消防通道不暢通,防火間距不夠,大型建筑無防火分隔,內部裝修和疏散走道大量使用易燃材料等許多先天性火災隱患。
1.4 校園情況復雜,人員流動性大。包括教學樓、辦公樓、實驗室、食堂、體育館、賓館、家屬樓、學生宿舍、教職員工宿舍、校辦工廠、出租門面房等,可以說涉及到校園內的各種場所。校園是一個濃縮、開放的小社會,是一個復雜的公共場所。從建筑來看有高層、多層民用建筑,有廠房、倉庫,有的還有地下人防工程。從用途來看,既有教學場所、公共娛樂場所、賓館、飯店、商業(yè)網點,又有實驗室、宿舍和辦公樓。建筑物相對集中,人員相對密集。有的學校中既有生活區(qū)、教學區(qū),又有家屬區(qū),甚至還有附小、附中等附屬單位,使消防安全管理工作難度進一步加大。
1.5 建筑物人員密度大,安全通道少。目前大部分在學生宿舍的建筑面積一般每幢在3000平方米左右,有的甚至更大,一幢樓內居住學生數額1000人上下。大多數在興建學生宿舍時,雖然已考慮到消防安全需要而留有消防安全通道,但不少單位從日常的防盜安全或學生人身安全考慮而關閉大多數消防安全出口或加設防盜門,只留有一兩個出口用于日常進出,使“安全出口”名存實亡,一旦發(fā)生火災,造成的人員傷亡可想而知。有的為了防止男女生混竄宿舍,校方還讓男、女生各住一半樓,在樓道中間加門、隔墻進行分隔,宿舍被一分為二,樓梯、消火栓、安全出口等消防設施也被一分為二,火災危險性大大增加。
1.6 校方在消防安全上投入少。每年的經費開支主要靠各級政府的財政撥款,在國家財力有限,重點保障教育經費支出的情況下,用于消防安全方面的經費十分有限。重點是將經費用在師資力量和教學硬件設備的競爭上,很難投入到人們不易看到的消防基礎設施建設和火災隱患整改上。另外,大學里保衛(wèi)部門真正實施消防安全管理的人員很少,有的甚至只有一個人,有的人還身兼數職,造成精力分散。
2 高校校園火災的防范對策
2.1 提高對校園消防安全工作的重視程度。學校是國家培養(yǎng)各類人才的地方,學生們的身上寄托著祖國的未來和希望。學校一旦發(fā)生火災,容易造成學生人員傷亡,造成的社會和政治影響將十分巨大而惡劣。各級教育行政管理部門應從保持社會穩(wěn)定和可持續(xù)發(fā)展的角度來認識消防工作的重要性,從人力和物力兩方面加大對消防工作的投入。
2.2 開展形式多樣的消防宣傳教育。學校對學生及教職員工的消防意識薄弱問題應有足夠的認識,要加大消防宣傳教育的力度,校園內應通過多種形式開展經常性的消防安全宣傳與培訓。對同學們的宣傳應通過張貼消防宣傳畫、消防刊物、網絡、舉辦消防文化活動等形式,定期組織進行消防演練,以增強其消防法制觀念,提高其消防安全意識和責任心,使其掌握防火、滅火、逃生的常識,自覺遵守消防安全規(guī)章制度。在新生入學時就要進行消防安全教育,可將消防安全教育內容納入軍訓項目之中,使新生一入校即體驗到消防安全工作在學校的重要地位;定期舉辦課外消防知識講座;從教職員工和學生中發(fā)展義務消防隊員;舉辦消防運動會和滅火演練;利用電教設備開展有針對性的消防宣傳等。
2.3 建立消防安全管理制度并狠抓落實。在消防安全管理上,學校要建立和健全各項消防安全管理制度,落實消防安全責任制,在宿舍、圖書館、實驗室、食堂等重點部位和場所落實崗位消防安全責任制,做到每個崗位和場所都有專人負責消防安全,開展定期和不定期的安全檢查,及時發(fā)現和消除火災隱患,保證各項制度得到落實,按照國家有關規(guī)定配置消防設施和器材,并要確保其完好有效。
2.4 工作學習中嚴格遵守消防安全規(guī)程。在教室、實驗室、研究室學習和工作時,要嚴格遵照各項安全管理規(guī)定、操作規(guī)程和有關制度。使用儀器設備前,應認真檢查電源、管線、火源、輔助儀器設備等情況,如放置是否妥當,對操作過程是否清楚等,做好準備工作以后再進行操作。使用完畢應認真進行清理,關閉電源、火源、氣源、水源等,還應清除雜物和垃圾。涉及使用易燃易爆危險品時,一定要注意防火安全規(guī)定,按照規(guī)定一絲不茍地進行操作。
2.5 強化學生宿舍的消防安全管理。學生宿舍發(fā)生火災不僅給學生的學習生活帶來不便,更重要的是因宿舍內物品多,人多擁擠,疏散不暢,極易造成重大財產損失和人員傷亡。學校要把學生宿舍作為全校防火工作的重點,在方便學生日常學習、生活的同時,要加強宿舍用火、用電的管理,嚴禁在宿舍內亂接亂拉電線和使用大功率電器,加強檢查,及時制止學生的違章行為。同時要確保學生宿舍的消防安全通道暢通,以防不測。在宿舍,應自覺遵守宿舍安全管理規(guī)定,不亂拉亂接電線;不使用電爐、熱得快、電熱杯、電飯煲等電器;不在宿舍使用明火;不將易燃易爆物帶進宿舍;不在宿舍內焚燒物品;不在寢室吸煙;發(fā)現不安全隱患及時向管理人員或有關部門報告;愛護消防設施和滅火器材,不隨意移動或挪做他用;室內無人時,應關掉電器和電源開關等。
2.6 加大資金投入,逐步解決歷史遺留問題。學校要廣開渠道,多方籌措資金,每年要有足夠的消防專項經費用于火災隱患的整改以及消防器材、設施的配備、維修,力爭消防經費投入年年有所增長,把消防安全環(huán)境的改善作為改善辦學條件的首要任務。另外,還要合理調配人員,確保有足夠的人員來進行大學校園的消防安全管理工作。對于歷史遺留的建筑耐火等級低,電氣線路老化,消防基礎設施缺乏等火災隱患,要根據本單位實際,制定可行的整改計劃,及時加以整改。在解決歷史遺留問題的同時,要確保新建的建筑決不能再留有火災隱患。
篇2
中圖分類號:TP393.08 文獻標識碼:A 文章編號:1007-9599 (2011) 21-0000-01
Campus Network Security Issues and Precautions
Tian Yadong
(Tianjin Polytechnic University,School of Computer Science&Software Engineering,Tianjin 300387,China)
Abstract:The campus network is facing serious security situation,this article will address the campus network around the issues of security solutions to ensure the safe operation of the campus network.
Keywords:Campus network;Network security;Measures
隨著計算機技術的發(fā)展,校園網進入師生們的校園生活。使校園生活、學習、工作和環(huán)境發(fā)生了巨大的變化。然而校園網絡作為學校重要的基礎設施,其安全狀況直接影響著學校的教學活動,校園網網絡上各種信息數據急劇的增加,校園網絡信息安全面臨嚴峻問題。
一、校園網絡的現狀
校園網內部網絡數據一般用于滿足學校正常的師生行政辦公需要、教務教學需要、師生們的課余校園文化生活需要等,這些無論是涉及個人隱私的信息,還是學校行政辦公的文檔,都需要對進出校園網的訪問活動進行必要的控制、有效性的防范。
校園網絡系統(tǒng)中接入著具有各式各樣操作系統(tǒng)的計算機,通常分布在不同的物理位置,由不同的用戶操作,用于不同的用途,這些差異就使得校園網網絡中存在一些漏洞。又加上使用者的安全意識不強,或者采取措施不及時造成損失。因此采用安全、及時的漏洞掃描技術對校園網網絡中的系統(tǒng)漏洞進行掃描,在攻擊發(fā)生之前發(fā)現網絡和系統(tǒng)中的漏洞,并及時采取措施進行修復,可以進一步提高校園網絡信息安全保障水平。
二、校園網絡存在的問題
(一)校園網用戶使用網絡的自主性大,擁有龐大的用戶群體,一臺計算機會有很多用戶使用,而且各種操作系統(tǒng)以及應用系統(tǒng)自身的漏洞也會帶來的安全威脅。
(二)校園網使用者安全意識強弱水參差不齊,對網絡安全毫無意識或不會使用相關軟件來避免安全隱患,不能及時發(fā)現并及時解決安全問題。
(三)校園網內的用戶數量較大,局域網絡數目較多,校園網的安全監(jiān)控管理不到位,缺少專業(yè)人員的指導。
(四)不固定的使用群體和大量的信息交互以及使用來自校園網內外的各種病毒的威脅,內部教職工以及學生可能由于使用U盤介質將病毒帶入校園內網;外部用戶可能通過郵件以及文件傳輸等將病毒帶入校園內網。
(五)存在Internet網絡用戶對校園網非法訪問或惡意入侵的威脅;內外網惡意用戶可能利用利用一些工具對網絡及服務器發(fā)起DOS/DDOS攻擊,導致網絡及服務不可用。
三、校園網絡的防范措施
(一)首先,應該加強使用者的安全意識
目前,大多數使用者普遍對網絡安全問題和潛在的風險認識不到位,自我保護和防范措施不得力,人們的安全意識不夠強。大多數人們認為安裝了防火墻和防病毒軟件就算建立了網絡安全體系。即使考慮了安全,也只是把安全機制建立在物理連接上。從有關資料顯示,國外最新研制出的計算機“接收還原設備”,可以在數百米、甚至數公里的距離內接收任何一臺未采取保護措施的計算機屏幕信息。這則信息也許有人會認為是聳人聽聞、不可能的事,但隨著計算機技術的發(fā)展,任何不可能發(fā)生的事情都有可能發(fā)生。所以加強使用者的安全意識對校園網的安全起著很重要的作用,學校應該開展校園網使用安全課堂講解這些問題的隱患。
(二)其次,對于惡意的攻擊進行有效地防范
1.利用防火墻技術。防火墻作為一種將內外網隔離的技術,普遍運用于校園網安全建設中。防火墻是網絡安全的一種防護手段,它是位于兩個信任程度不同的軟件或硬件設備之間的組合,對兩個網絡之間的通信進行控制,通過控制和監(jiān)測網絡之間的信息交換和訪問行為來實現對網絡安全的有效管理,防止外部網絡不安全的信息流入內部網絡和限制內部網絡的重要信息流到外部網絡,以達到保護系統(tǒng)安全的目的。
防火墻是一種按某種規(guī)則對專網和互聯(lián)網,或對互聯(lián)網的一部分和其余部分之間的信息交換進行有條件的控制(包括隔離),從而阻斷不希望發(fā)生的網絡間通信的系統(tǒng)。部署防火墻技術,構筑內外網之間的安全屏障,可以有效地將內部網與外部網隔離開來,保護校園網絡不受未經授權的第三方侵入。
防火墻技術有一些局限性。防火墻不能防范不經過它的攻擊,不能防止來自網絡內部的攻擊和安全問題,不具備實時監(jiān)控入侵的能力,不能防止策略配置不當或錯誤配置引起的安全威脅,不能防止受病毒感染的文件的傳輸,不能防止利用服務器系統(tǒng)和網絡協(xié)議漏洞進行的攻擊,不能夠防止內部合法用戶的主動泄密行為,不能防止本身的安全漏洞威脅。
2.安裝入侵檢測系統(tǒng)。入侵檢測系統(tǒng)通常被認為是防火墻之后的第二道安全閘門,部署于防火墻之后,對網絡活動進行實時檢測,是防火墻的延續(xù)和合理補充。入侵檢測系統(tǒng)為網絡提供實時的監(jiān)控,并且在發(fā)現入侵的初期采取相應的防護手段,入侵檢測系統(tǒng)已經成為網絡信息安全架構中必要的附加手段。
根據對校園網網絡信息安全的風險分析,通過入侵檢測設備對核心交換機的流量進行監(jiān)控,從而實現入侵檢測的功能。一般采用具備入侵防護與入侵檢測功能相結合的產品就可以滿足需求。監(jiān)測和防護校園網絡系統(tǒng)中重要區(qū)域和服務器群的安全運行,全面把握安全狀態(tài),以便于及時發(fā)現可能的安全攻擊,防止安全事件的發(fā)生,保證整個校園網系統(tǒng)的網絡信息安全。
篇3
進入信息時代,許多大中專院校都組建了各自的校園網。校園網絡中心在規(guī)劃自己的內部網段時,為用戶分配并制定了相應的網絡IP地址資源,以保證通信數據的正常傳輸。在校園網絡上,任何用戶使用未經授權的IP地址的行為稱為IP地址盜用,這會造成校園網絡的安全隱患、網絡資源損耗及IP地址沖突等問題。目前我校實現了行政樓、教學樓等區(qū)域的網絡建設,隨著校園網信息點的日益增多,IP分配方式及管理問題日益突出。針對校園網絡的拓樸結構和規(guī)模、用戶數量及應用狀況,采用何種IP分配方式直接影響到校園網絡管理的安全性。另一方面,由于我校開展了校企合作項目,加上年輕人對新鮮事物強烈的好奇心,常使用未經授權的IP地址,所以IP地址的防盜與防范措施成了首要問題。
1 IP地址盜用的基本途徑及防范措施
1.1 IP地址盜用的基本途徑。
1.1.1 靜態(tài)修改IP地址。網絡中的IP地址通常采用靜態(tài)和動態(tài)分配兩種方法,如果用戶在配置TCP/IP或修改TCP/IP配置時,使用的不是網絡管理中心分配的IP地址,就形成了IP地址盜用。由于IP地址是一個邏輯地址,是一個需要用戶設置的值,因此無法限制用戶對于IP地址的靜態(tài)修改;而經過DHCP服務器動態(tài)分配的IP地址,網絡管理人員無法確切的知道該IP的實際用戶,又會帶來其它管理問題。由于我校目前主要采用的是手動分配IP地址,以及劃分了大量VLAN,所以使用此種方式盜用IP地址、盜用網絡資源是最主要的。修改IP地址示意圖如圖1。
圖1:手動修改IP地址
1.1.2 成對修改MAC地址和IP地址。針對靜態(tài)路由技術,IP盜用技術又有了新的發(fā)展,即成對修改IP-MAC地址。MAC地址是由國際IEEE組織分配,是固化在網卡上的,一般不能隨意改動。但現在的一些兼容網卡,其MAC地址可以使用網卡配置程序或者軟件進行修改。如果將一臺計算機的IP地址和MAC地址都改為另外一臺合法主機的IP地址和MAC地址,那靜態(tài)路由技術防止IP盜用就無能為力了。手動修改MAC地址示意圖如圖2。
圖2:使用萬能軟件進行MAC地址修改
1.1.3 IP電子欺騙。IP欺騙就是指偽造某臺主機的IP地址的技術,通常需要用編程來實現。通過使用SOCK-ET編程或者使用“黑客”工具,發(fā)送帶有假冒源IP地址的IP數據包,繞過上層網絡軟件,達到正常數據通信。當前,借助一些“黑客”工具就可以實現IP動態(tài)修改,即對于普通用戶來說,達到IP欺騙并不是一件很困難的事。實施IP欺騙示意圖如圖3。
圖3:使用軟件IpMap進行IP欺騙
1.2 基本防范措施。
1.2.1 交換機控制。解決lP地址盜用首先推薦使用的是應用交換機進行控制,即在TCP/IP第二層(數據鏈路層)進行控制。使用交換機提供的端口的單位地址工作模式,即交換機的每一個端口只允許一臺主機通過該端口訪問網絡,任何其它地址的主機訪問都被拒絕。通過交換機端口管理,可以在實際使用中迅速發(fā)現并阻斷IP地址的盜用行為,尤其是解決了IP-MAC成對盜用的問題,同時也不影響網絡的運行效率。但此方案的最大缺點在于它需要網絡上全部采用交換機提供用戶接入,這在高端交換機相對昂貴的今天并不是一個能夠普遍采用的解決方案。
1.2.2 路由器隔離。路由器隔離具體的實現方法有兩種:①使用靜態(tài)路由表,即在路由器中建立一個MAC 地址與IP地址的對應表,只有“MAC-IP 地址對”合法匹配的機器才能得到正確的ARP應答;②通過SNMP協(xié)議定期掃描網絡各路由器ARP表,獲得當前IP-MAC對照關系,與存儲的合法IP-MAC地址比較,不一致者即為非法訪問。路由器隔離技術能夠較好地解決IP地址的盜用問題,但是如果非法用戶針對其理論依據進行破壞,成對修改IP-MAC地址,對這樣的IP地址盜用它就無能為力了。
1.2.3 防火墻與服務器。使用防火墻與服務器相結合,也能較好地解決IP地址盜用問題,這是一種應用層面上解決IP盜用的辦法。防火墻用來隔離內部網絡和外部網絡,用戶訪問外部網絡通過服務器進行。任何上網用戶需要到網絡管理部門申請帳戶和口令,即變IP管理為用戶身份和口令的管理。因為用戶對于網絡的使用歸根結底是網絡的應用。合法用戶可以選擇任意一臺IP主機使用,通過服務器訪問外部網絡資源,而無帳戶的用戶即使盜用IP,也沒有用戶名和密碼,不能使用外部網絡。使用防火墻和服務器的缺點也是明顯的:①由于使用服務器訪問外部網絡對用戶不是透明的,增加了用戶操作的麻煩;②對于大數量的用戶群來說,增加了用戶管理的難度,同時也給合法用戶的使用帶來了諸多不便。
1.2.4 添加上網行為管理設備。在主干網中購置添加上網行為管理設備最為安全、穩(wěn)定、易管理,完全可以解決IP地址盜用,網絡資源盜用等問題。現在市面上有很多上網行為管理設備,比如深信服AC系列,然而,這在上網行為管理設備相對昂貴的今天也不是一個能夠普遍采用的解決方案。
2 臨滄衛(wèi)校校園網絡現狀
2.1 校園網絡拓撲圖。
2.2 網絡硬件設備配置。
表1:臨滄衛(wèi)校校園網絡硬件配置清單
2.3 內網vlan規(guī)劃。考慮到整個網絡的安全性,避免大范圍網絡風暴,提高網絡傳輸效能以及便于更好管理,網絡管理中心把整個校園網絡劃分為21個vlan,其中:vlan99為學校領導專用,vlan100為行政辦公樓四樓除校領導辦公室之外的各部門,vlan101為教務處,vlan102為財務科,vlan103為總務處,vlan104為實驗樓,vlan105為學科及教研組,vlan106為一樓教室,vlan107為二樓教室,vlan108為三樓教室,vlan109為四樓教室,vlan110為五樓教室,vlan111為計算機機房,vlan112為多功能報告廳及電教室,vlan113為食堂,vlan115為A幢宿舍樓,vlan116為B幢宿舍樓,vlan117為C幢宿舍樓,vlan118為D幢宿舍樓,vlan119為“翼機通”專用,vlan1000為網絡設備管理及服務器群。
3 臨滄衛(wèi)校校園網絡IP地址的防盜解決方案
3.1 “端口+IP+MAC 地址綁定”。食堂、學生宿舍區(qū)的用戶上網是我校網絡安全穩(wěn)定最大的隱患,所以針對我校實際,主要采用“端口+IP+MAC地址”綁定的技術解決方案。華為S2700-52P-EI交換機可以做到端口+IP+MAC 地址的綁定關系,華為S2700-52P-EI交換機可以支持基于MAC地址的802.1X認證。MAC地址的綁定可以直接實現對邊緣用戶的管理,提高整個網絡的安全性、可維護性。這種方式具有很強的安全特性:防DOS的攻擊,防止用戶的MAC 地址的欺騙,對于更改MAC地址的用戶(MAC地址欺騙的用戶)可以實現強制下線。
“IP+MAC+端口”配置實例:
[4LouXinan] interface ethernet 0/0/1
[4LouXinan-Ethernet0/0/1] arp anti-attack check user-bind enable
[4LouXinan-Ethernet0/0/1] arp anti-attack check user-bind check-item ip-address mac-address vlan
[4LouXinan-Ethernet0/0/1] quit
[4LouXinan]user-bind static ip-address 192.168.100.1 mac-address 00-1E-90-BF-3E-15 interface Ethernet 0/0/1 vlan 100
圖5:S2700交換機IP+MAC+端口配置實物圖
“端口+IP+MAC 地址綁定”技術在一定程度上可以防止非法用戶盜用IP資源,但如果非法用戶使用編程或者軟件同時修改IP地址和MAC地址,此種策略也就無能為力了。所以需要配合以下兩種方案才能較為徹底地防范多種途徑的IP盜用。
3.2 IP源防攻擊。網絡中常常存在針對IP 源地址進行欺騙的攻擊行為,如攻擊者仿冒合法用戶發(fā)送IP報文給服務器,或者偽造其他用戶的源IP地址進行通信,從而導致合法用戶不能正常獲得網絡服務。針對此類攻擊,在第一個方案基礎上,我校網絡管理起用了IP Source Guard的功能。IP Source Guard用于對接口轉發(fā)的IP報文進行過濾,防止非法報文通過接口,提高了接口的安全性。網絡中存在攻擊者向服務器發(fā)送帶有合法用戶IP 和MAC 的報文,令服務器誤以為已經學到這個合法用戶的IP 和MAC,但真正的合法用戶不能從服務器獲得服務。如圖2所示,HostA 與HostB 分別與Switch的Eth0/0/1 和Eth0/0/2接口相連。要求在Switch上配置IP Source Guard功能,使HostB不能仿冒HostA 的IP和MAC欺騙服務器,保證HostA 的IP報文能正常上送。
圖6:IP Source Guard配置拓撲示意圖
IP Source Guard配置實例:
[4LouXinan] interface Ethernet 0/0/1
[4LouXinan-Ethernet0/0/1] ip source check user-bind enable
[4LouXinan-Ethernet0/0/1] ip source check user-bind alarm enable
[4LouXinan-Ethernet0/0/1] ip source check user-bind alarm threshold 200
[4LouXinan-Ethernet0/0/1] quit
[4LouXinan] user-bind static ip-address 10.0.0.1 mac-address 00-1E-90-BF-3E-15 interface ethernet 0/0/1 vlan 100
圖7:S2700交換機IP Source Guard配置實物圖
3.3 局域網管理軟件。我校校園網絡通過交換機相應配置之后,還配合使用Super Lanadmin多方式防止IP盜用。Super Lanadmin不但可以多方式有效防止IP地址被盜用,從一定程度上來說,通過Super Lanadmin軟件來防止IP地址盜用適合我校的校園網絡管理。Super Lanadmin操控界面如示意圖圖8。
圖8:SuperLanadmin操控界面
4 結束語
IP地址的管理是校園網絡管理中的一個重要環(huán)節(jié),通過以上幾種IP地址防盜方法的應用,可以有效地解決我校校園網絡IP地址的盜用問題。但僅從軟件管理和交換機端口限制,仍然可能存在未經授權的用戶使用授權的IP地址而造成IP地址沖突,侵犯了合法用戶的權益;另一方面,盡管盜用者無法使用IP地址,但也會造成網絡的混亂,甚至威脅到整個網絡的安全運行。因此我們要加強用戶的網絡安全與網上職業(yè)道德教育,提高用戶的網絡安全意識和知識素質才是校園網絡安全、穩(wěn)定、正常運轉的重要保證。
參考文獻
1 王坤.IP監(jiān)控與管理系統(tǒng)研究與實現[J].西南交通大學,2002(1)
2 華為3Com技術有限公司編著.華為3Com網絡學院教材(V1.2)[M].2004.9
3 楊富國.計算機網絡安全應用基礎[M].北京:清華大學出版社出版社,2005.1
4 王智,校園網絡中IP地址盜用與防范技術[J].新疆石河子工程技術學校,2006
篇4
目前各種局域網中的ARP協(xié)議欺騙攻擊屢見不鮮,在高校尤為流行,經常會遇到網絡無故中斷的情況。ARP欺騙技術易于操作、隱蔽性強,校園網中一旦有主機感染,便會迅速蔓延,導致嚴重的網絡故障以及用戶信息泄漏。黑客通過ARP欺騙技術,可以對網站內容進行篡改、不良信息、竊取用戶賬號以及對傳輸數據的非法監(jiān)聽。這對校園網的安全帶來了嚴重的威脅,如何有效防范ARP欺騙的攻擊,已成為高校網絡管理工作的重中之重。
1 ARP協(xié)議概述
ARP即地址解析協(xié)議,作用是將IP地址解析為設備的物理地址,每臺主機都有一個ARP緩存表,用來記錄IP地址與MAC地址的對應關系。假設主機A要和B通信,它先在本地緩存中查詢B的IP,如果找到對應的MAC地址,就直接發(fā)送數據給這個地址;否則會廣播發(fā)送一個ARP請求包,其中包含A的IP和MAC以及B的IP,各主機收到后將請求包中的目的IP同自身IP相比較,不同則忽略,只有B會發(fā)現請求包中目的IP與自己的相同,它先將A的IP和MAC記錄到自己的ARP列表中,如之前已存在該IP的信息,則進行覆蓋,然后向A發(fā)回ARP響應包,其中添加了它的MAC,A收到響應包后,將B的MAC與B的IP記錄到自己的ARP緩存中,然后就可以發(fā)送數據。如果A一直沒收到響應包,則說明ARP查詢失敗。
2 ARP欺騙原理及危害
大部分操作系統(tǒng)在接收到ARP響應后不做檢查便直接更新其ARP列表,ARP欺騙的原理就是偽造一個ARP響應包發(fā)送給被騙主機,響應包中的源IP和MAC的關系是偽造的,被騙主機收到后,更新ARP列表,從而建立IP與MAC之間錯誤的對應關系,發(fā)送數據到該IP時,無法到達正確的主機。下面是幾種典型的ARP欺騙。
(1)偽造網關。其原理是在局域網的同一網段內建立假網關,發(fā)送ARP欺騙攻擊給網絡中的所有主機,被其欺騙的主機不能向正確的網關發(fā)送數據,而是將數據發(fā)送給了這個假網關,因而會導致主機與網關之間無法正常通信,對網絡用戶來說就是計算機無法正常上網。
(2)對路由器的欺騙。其原理是給路由器發(fā)送ARP欺騙攻擊,使路由器獲取到一系列錯誤的MAC地址信息,并按照特定的頻率不斷進行刷新,因而真實的MAC地址信息也不能通過更新而存入路由器,這樣,路由器中的所有數據都被發(fā)送到了錯誤的MAC地址,主機也就不能正常收到路由器的信息。
(3)ARP雙向欺騙。假設主機A和網關之間能正常通信,主機B為攻擊者,它首先向A發(fā)一個非法的ARP應答,告訴A網關IP對應的MAC為B的MAC,A收到后會將本機ARP緩存中網關的MAC改為B的MAC。同理,主機B以同樣的方式欺騙網關,使網關中A的MAC更新為B的MAC。這樣,通信雙方的數據都會到達B,B作為中間人竊取信息并轉發(fā)給對方。
ARP欺騙具有嚴重的危害性。一旦某臺主機感染ARP病毒,就會迅速蔓延至整個局域網,導致該網絡中的主機無法正常通信,如果網關被欺騙,則所有主機都會和外界失去聯(lián)系,通常的攻擊都是頻繁在網絡中發(fā)送ARP欺騙,會耗費大量的帶寬,即使能通信網速也會很慢,這些將嚴重影響到學校的正常工作。ARP的雙向欺騙雖不影響網絡正常通信,但其對數據信息的竊取,直接威脅到高校網絡的信息安全。
3 ARP欺騙防范措施
3.1 建立靜態(tài)ARP緩存
在主機中建立靜態(tài)ARP緩存,主機向其它計算機或網關發(fā)送數據時,直接從靜態(tài)緩存中查找目的IP對應的MAC。當收到欺騙的ARP響應包時,設置好的IP與MAC的對應關系不會被更新,因而攻擊者無法達到其欺騙的目的。此方法只能人工設置,工作量巨大,校園網中設備數目較大,不可能一一設置,因此綜合校園網的情況,可以對其中某些重要的小型子網以及網關之間采取這種方法,既不用投入過多的網絡管理成本,又能有效保障網絡的安全穩(wěn)定。
3.2 綁定主機MAC地址與交換機端口
在局域網的交換機上將各端口與其所連主機的MAC進行綁定,通過這個端口的數據幀的MAC是固定的,如端口發(fā)現數據中的MAC與其綁定的MAC不同,則鎖定該端口,與其相連的主機則無法接入局域網。當攻擊者發(fā)送偽造的ARP響應時,會立即被端口檢測到其MAC值不同并中斷連接。此方法適用于高端交換機,可有效防止攻擊者接入局域網,但是合法主機更換端口也必須重新綁定,增加了網管工作量。在校園網中,通常對重要的服務器和相關安全設備所連接的交換機應用此方法。
3.3 安裝ARP防欺騙軟件
目前大部分安全軟件都含有ARP防火墻,如360安全衛(wèi)士、騰訊電腦管家等,可以有效抵御ARP病毒的侵入,啟動ARP防火墻后,系統(tǒng)會將網關與本機的IP與MAC地址進行綁定,當其遭受ARP欺騙攻擊時會進行警告。ARP防欺騙軟件可以有效攔截ARP攻擊,但需要不斷地在網絡中廣播正確的IP和MAC地址信息,會占用一定的網絡負載。同時ARP防欺騙軟件也可阻止攻擊者修改主機ARP緩存,能有效保障主機在局域網中的正常通信。
參考文獻
[1]李愛貞.高校防范ARP病毒攻擊的策略和方法[J].計算機安全,2010(12).
[2]向磊,賀琦.淺析校園網ARP病毒的防范[J].計算機光盤軟件與應用,2011(2).
[3]王和平.校園網環(huán)境中ARP的欺騙原理與防范方法[J].軟件工程師,2010(12).
篇5
隨著互聯(lián)網的迅猛發(fā)展,校園網已在我國各地高校得到廣泛應用,成為學校教學、科研及管理工作的一大助力。然而,隨著校園網絡互連的迅速發(fā)展,網絡安全問題也日益顯現,如何加強對校園網絡的安全控制,確保校園網絡高效、安全地運行,已經成為了各學校最亟待解決的問題之一。
1 校園網網絡安全問題
⑴網絡系統(tǒng)缺陷。網絡系統(tǒng)缺陷包括操作系統(tǒng)缺陷和網絡結構缺陷兩大部分。
對于操作系統(tǒng)而言,由于設計缺陷或編寫代碼錯誤,使得操作系統(tǒng)存在著系統(tǒng)漏洞。而攻擊者則可以通過這些系統(tǒng)漏洞移入病毒,從而獲取數據信息,甚至破壞操作系統(tǒng)。互聯(lián)網是由無數個局域網互連而成的巨大網絡。當人們使用某一臺主機與另一局域網的主機進行通信時,通常情況下它們之間互相傳送的數據流要經過多臺機器的重重轉發(fā)[1],任何一個節(jié)點的網卡均能截取在同一以太網上所傳送的通信數據包。
⑵網絡軟件的漏洞和“后門”。任何軟件都不會是完善無缺陷、無漏洞的,網絡軟件也是如此,而這些漏洞恰恰是黑客進行攻擊的首選目標。在軟件開發(fā)階段,后門可便于測試、修改和增強模塊功能。通常情況下,設計完成后應該去掉各個模塊的后門,不過有時也會因為疏忽或其他原因,如為方便今后訪問、測試或維護而未去除后門,而那些別有用心的人則會利用這些后門進入系統(tǒng)并發(fā)動攻擊。
⑶人為惡意入侵。惡意入侵是互聯(lián)網所面臨的最大威脅。黑客攻擊可分為主動攻擊和被動攻擊兩種,被動攻擊是指在不影響網絡正常工作的情況下,進行截獲、竊取、破譯以獲取機密信息。由于它主要是收集信息而不是進行訪問,數據的合法用戶對這種活動一點也不會覺察到。主動攻擊是以各種方式選擇性地破壞信息的有效性和完整性。這兩種攻擊均可能對網絡造成極大危害并導致重要數據的泄漏。[2]
⑷網絡安全意識薄弱。隨著互聯(lián)網的迅速發(fā)展,網絡用戶越來越多,但很多人對網絡知識了解得并不多,網絡安全意識不強,主要有以下問題:各類口令設置過于簡單、隨意將自己的賬號借給他人、與他人共享某些資源、計算機沒有安裝安全軟件和防火墻、隨意登錄不安全網站或使用不安全的軟件等。[3]
2 網絡安全技術及防范措施
網絡安全是指網絡系統(tǒng)的硬件、軟件及其系統(tǒng)中的數據受到保護,不因偶然的或者惡意的原因而遭到破壞、更改、泄露,系統(tǒng)連續(xù)、可靠、正常地運行,網絡服務不中斷。
⑴防火墻技術。所謂防火墻是由軟件和硬件設備的組合體,是一種用來加強網絡之間訪問控制的網絡隔離控制技術。它能將校園網與外網分開,能有效地防止外網用戶以非法手段進入內網、訪問內網資源,通過預定義的安全策略,對內外網通信強制實施訪問控制。
雖然防火墻是保護網絡免遭黑客襲擊的有效手段,但也存在不足,不能一味倚重,否則一旦防火墻被攻破,校園網網絡系統(tǒng)的安全性將輕易被破壞。
⑵加密技術。在計算機網絡系統(tǒng)中,與防火墻配合使用的安全技術還有文件加密技術,它是為提高信息系統(tǒng)及數據的安全性與保密性,防止秘密數據被外部竊取、偵聽或破壞所采用的主要技術手段之一。[4]
在數據傳輸過程中,利用技術手段把數據進行加密傳送,對信息進行重新組合,到達目的地后再進行解密。通過數據加密技術,可以有效防止未授權的用戶訪問,在一定程度上提高了數據傳輸的安全性,保證了數據傳輸的完整性。
⑶入侵檢測技術。入侵檢測技術是防火墻的合理補充,被認為是防火墻之后的第二道安全閘門,它作為一種積極主動地安全防護技術,可起到防御網絡攻擊的作用,因而提高了網絡系統(tǒng)的安全性和防御體系的完整性。
入侵檢測在不影響網絡性能的情況下能對網絡進行監(jiān)測,通過對行為、安全日志、審計數據或其他網絡上可以獲得的信息進行處理,從而發(fā)現入侵行為并及時作出響應,包括切斷網絡連接、記錄事件和報警等,進而提供對內部攻擊、外部攻擊和誤操作的實時保護。
⑷安全掃描技術。網絡安全掃描技術是一種有效的主動防御技術,,它是檢測遠程或本地系統(tǒng)安全脆弱性的一種安全技術。其基本原理是采用模擬黑客攻擊的方式對目標可能存在的已知安全漏洞進行逐項檢測,以便對工作站、服務器、交換機、數據庫等各種對象進行安全漏洞檢測。[5]
基于網絡的安全掃描主要掃描設定網絡內的服務器、路由器、網橋、變換機、訪問服務器、防火墻等設備的安全漏洞,并可設定模擬攻擊,以測試系統(tǒng)的防御能力。安全掃描技術與防火墻、安全監(jiān)控系統(tǒng)互相配合能夠提供很高安全性的網絡。
3 結束語
在校園網快速發(fā)展的今天,網絡安全已成為各學校網絡管理不可忽略的問題,如何合理運用技術手段有效提高網絡安全也成了學校網絡管理中的重中之重。作為校園網絡管理者,應在實踐中靈活運用各種網絡安全技術,更好地保障校園網絡的安全運行。
[參考文獻]
[1]陳東.計算機網絡安全技術[M].天津市電視技術研究會2013年年會論文集,2013年.
[2]王健.計算機網絡的安全技術[J].寧夏機械,2009.4.
篇6
一、前言
近幾年來校園借貸在校園中風靡開來,為何高校中的借貸還比社會中更火熱呢?通過相關調查了解到,原來校園的分期貸款辦理很簡單,只要你是在校學生,僅用一張身份證就可以搞定,并且相對于信用卡而言,校園分期貸具有門檻低,額度高的優(yōu)點,就如一些平臺向學生貸款的額度高達一萬元。這些分期貸款主要是以p2P的運營方式推廣,由該公司提供大量的原始資金,尋求大量潛在的學生人群,誘導學生群體分期消費。但是這些分期貸款的年息都很高,甚至超出信用卡利息的一倍以上,導致學生無法償還貸款,從而影響到學生的學習情況和信用記錄,對學生今后的生活帶來巨大的不便。
二、目前校園借貸存在問題
1.缺乏校園的系統(tǒng)管理。校園借貸如此火熱,前提就是不需要較多的證明,沒有學校的監(jiān)督,沒有財產的驗證,沒有信用的考慮,只要一張能證明自己本人是在校學生就能輕松辦理,并且貸款的數額巨大,多者能達幾十萬,很明顯這是校園借貸的一大風險,其實真正的風險在于校園借貸的利息高和催貸的方式讓人難以想象。通過正規(guī)的流程借貸,若是到期后無法償還只需要到法院進行,由法院判定,通過法律程序追回拖欠的財產,這種方式不會威脅到個人的人生安全,更不會影響到家庭和將來的就業(yè)問題。但是這些校園借貸機構往往是威脅恐嚇等極端方式催債,嚴重影響了學生的心理和生理健康發(fā)展,甚至導致悲劇的發(fā)生。
2.學生缺乏借貸風險意識。若是按理想的發(fā)展狀況來考慮,其實借貸對于學生是有積極的意義的。目前許多高校生對創(chuàng)業(yè)的熱情都很高漲,但是創(chuàng)業(yè)所需的原始資金卻讓人卻步,這時候校園借貸的出現正是為圓滿學生一個美好的創(chuàng)業(yè)夢,有了校園借貸還能緩解家庭困難的學生學費的問題。但是校園借貸的高額利息風險需要自己來管控,對于還沒有經濟來源的學生來說,一定要擺正自己的消費觀,不能盲目的消費和攀比,將每一分借來的貸款用在提升自身價值的地方。
3.相關監(jiān)管力度薄弱。正常P2P模式受到校園借貸平臺的漏洞和風險的嚴重打擊。因為校園借貸的門檻低,限制少,吸引了眾多的高校學生,但是也影響了部分學生的消費觀念,導致這類學生步入還貸的深淵。校園借貸平臺應該科學的引導學生的消費觀,用真心換取真情的方式打入學生市場,只有這樣,才能做到適合學生群體的產品,才能長遠發(fā)展。
三、校園借貸風險控制
(一)完善貸款政策體系
1.借貸體系中加入“擔保人”。校園借貸之所以如此風靡,受到學生的喜愛,無非是門檻低,方便貸款,但是后期的還款制度沒有健全,應當加入這次交易自鏟擔保人”簽訂協(xié)議,若是債務人無法償還債務,需要擔保人承擔責任,擔保人應該是學生的直系親屬或是組織結構;若是學生借貸創(chuàng)業(yè),那么這筆資金應該經過學院的調查評估,作為學生的擔保人,@樣實施不僅提高的門檻,避免了學生的盲目消費,還能樹立學生正確的消費觀。
2.完善校園借貸法律法規(guī)。借貸機構在高校中往往以虛假的信息吸引學生的關注,在實際還貸中利息還比宣傳時候的高的多,從而導致學生無力償還,形成利滾利,越滾越大,直至悲劇的發(fā)生。各個放貸機構的違約金從每天0.5%到8%不等,并且可能會摻雜有高額的服務費用,這類的費用是不明確告訴借貸人的,在咨詢的時候也沒有明確的答案。針對這種漏洞,應立馬建立起相應的法律法規(guī),嚴打這類違法的行為。
3.加強身份的審核。身份是作為唯一識別的標志,借貸者應使用自己的身份進行流程的申請,才能進一步保障借貸風險。但是新聞曝光中就有使用身邊同學的身份一樣能通過審核,這非常明顯的體現出借貸風險漏洞,也造成學生借貸風險的增加。
(二)增強學生借貸風險意識
1.加強學生相關知識教育。當今社會信用基本與個人的生活息息相關,步入社會后需要貸款買房,貸款出過留學等都需要信用的支持。但是我國的高校目前還未給學生普及這類常識,只有學生與銀行打交道的時候才意識到信用的重要性。我國高校應該通過科學的方式去培養(yǎng)學生注重信用的培養(yǎng)以及注重自己的信用意識,以避免將來受信用不良而影響了個人發(fā)展前途。
2.限制學生貸款的金額。如今有很多的分期貸款機構進入校園,這些機構有個共同點就是不在乎你的信用度和償還能力,只要你借,他就能貸。這類問題的存在會促使學生向多家機構同時借貸,最終的結果就是無法償還。
(三)加強網絡監(jiān)管工作
篇7
中圖分類號:TP393.08文獻標識碼:A文章編號:1007-9599 (2012) 06-0000-02
近年來,隨著高等職業(yè)教育的不斷發(fā)展,隨著高職院校辦學實力、社會服務能力不斷提升,社會對高職教育的關注和認識也在逐步加深。同時隨著科技的進步,計算機的普及,網絡技術的飛速發(fā)展,計算機及計算機網絡在高職教育中無論從教學、科研還是管理等方面都起著舉足輕重的的作用。當然,隨之而來的校園網絡安全問題也成為各大高職院校日益重視的問題。當前的網絡安全問題已經不是僅僅的存在于簡單的病毒傳播,很大程度上已經影響到了教師的教學。為了確保網絡能有效的保證教學效果及各部門的工作效率,如何在黑客、病毒橫行的時代提高校園網絡的安全已成為各大高職院校迫切需要解決的問題。
一、什么是計算機網絡安全
(一)計算機網絡安全
計算機網絡安全是指利用網絡管理控制和技術措施,保證在一個網絡環(huán)境里,數據的保密性、完整性及可使用性受到保護。計算機網絡安全包括即物理安全和邏輯安全兩個方面。物理安全指系統(tǒng)設備及相關設施受到物理保護,免于破壞、丟失等。邏輯安安全包括信息的完整性、保密性和可用性。
(二)對計算機信息構成不安全的因素
對計算機信息構成不安全的因素很多,其中包括人為的因素、自然的因素和偶發(fā)的因素。其中,人為因素是指,一些不法之徒利用計算機網絡存在的漏洞,或者潛入計算機房,盜用計算機系統(tǒng)資源,非法獲取重要數據、篡改系統(tǒng)數據、破壞硬件設備、編制計算機病毒。
網絡安全一詞也這樣被解釋:網絡系統(tǒng)的硬件,軟件及其系統(tǒng)中的數據受到保護,不受偶然的或者惡意的原因而遭到破壞,更改,泄露,系統(tǒng)連續(xù)可靠正常地運行,網絡服務不中斷。”
二、高職院校校園網中出現的網絡安全問題
(一)安全漏洞
所謂漏洞,就是程序設計者在設計過程中的人為疏忽。當然,漏洞是在任何程序中都無法絕對避免。我們所說的“黑客”也正是利用設計者的這一點點疏忽對網絡進行攻擊的。其實真正對黑客的定義我們就可以理解他們?yōu)椤皩ふ衣┒吹娜恕薄K麄冎械拇蠖鄶挡⒉皇且跃W絡攻擊為初衷,只是天天專注與研究他人的程序并努力找到其中的缺陷。我們也可以這樣理解,從某種程度上講,一開始的大多數黑客都是“好人”,他們之所以找漏洞是為了追求完善、建立安全的互聯(lián)網模式才加入此行列的。只不過因為個別居心不良或受人唆使的黑客經常利用那些具有攻擊性的漏洞,加上一些影視中夸張的表現手法,近些年才讓人們對黑客有了畏懼和敵視的心理。高職院校中大多數教師及學生使用的都是WINDOWS XP WINDOWS 7操作系統(tǒng)。這些操作系統(tǒng)同樣不是萬無一失,在不同層面上都存在著這樣那樣的問題;這就意味著學生實用的各種應用軟件、防火墻等硬件設備在不同程度上也存在安全漏洞問題。這些漏洞對很多剛剛接觸計算機的同學來說是很容易導致機器不能正常使用,機器的不正常工作一部分原因可能由于操作的不當出現硬件問題,當然有相當一部分問題是由于黑客或病毒找到了系統(tǒng)漏洞,對計算機進行攻擊造成的。
同時校園網站在系統(tǒng)安全保障的建設中也會由技術人員在設計網站應用架構時出現了不規(guī)范,從而使得高校網站上出現了嚴重缺失,網站掛馬、網頁篡改等各種攻擊行為;近年來針對高職教育的校園網站的攻擊熱點已經從單純的網站攻擊行為衍生到攻擊利益鏈模式,許多學校都面臨較大的形象及經濟損失。
(二)病毒感染破壞
從計算機普及的那一天起,各種計算機病毒就隨之而來。損壞操作系統(tǒng)的、將文件夾變?yōu)榭蓤?zhí)行性文件的,導致硬盤打不開的等等。有些計算機病毒不但本身具有破壞性,更有害的是具有傳染性,一旦病毒被復制或產生變種,其速度之快令人難以預防。同樣,計算機病毒也會通過各種渠道從已被感染的計算機擴散到未被感染的計算機,學生之間通過U盤拷貝文件,或教師通過網絡上傳下載文件都隨時有可能幫助病毒進行傳播。還有些病毒像定時炸彈一樣,讓它什么時間發(fā)作是預先設計好的。比如黑色星期五病毒,不到預定時間一點都覺察不出來,等到條件具備的時候一下子就爆炸開來,對系統(tǒng)進行破壞。一個編制精巧的計算機病毒程序,進入系統(tǒng)之后一般不會馬上發(fā)作,可以在幾周或者幾個月內甚至幾年內隱藏在合法文件中,對其他系統(tǒng)進行傳染,而不被人發(fā)現,潛伏性愈好,其在系統(tǒng)中的存在時間就會愈長,病毒的傳染范圍就會愈大。由于高職院校中存在使用計算機人員多,層次多,病毒多的特點,所以各種病毒都會有機可乘。
(三)網絡資源濫用
在高職院校的校園網內,各類用戶濫用網絡資源的情況嚴重。高職學生大多數都是起點較低并且對學習興趣不濃。不排除極個別同學會在校園網上查閱資料,用來學習,但這類人群在當前的高職院校中可以說少之又少。個別同學不安裝殺毒軟件,或者安裝了殺毒軟件也不及時更新,上網隨便下載亂七八糟的軟件,隨意接收別人的文件,還有的同學會瀏覽一些不合法網站,隨著各種不正當操作的進行,病毒也就逐漸的滲透到學校的各個角落,嚴重影響了學校網絡的正常使用,也嚴重影響了學校各項工作的順利開展。
三、校園網絡的安全防范策略
近年來,隨著校園信息化建設的逐步深入,各項工作對信息系統(tǒng)依賴的程度越來越高。作為窗口的校園網站,所面向的用戶群也越來越廣泛,所承載的功能也越來越全面,不單是面向校內,同時面向社會也提供了諸多服務功能。校園網站已從一個簡單的信息、展示平臺,逐步轉變?yōu)閰R集了招生就業(yè)、遠程教育、成果共享、招標采購等功能的綜合性業(yè)務平臺。隨著國家對高職教育的逐步重視,越來越成多的攻擊和威脅出現在校園內,學院網站所面臨的Web應用安全問題越來越復雜,混合威脅的風險正在飛速增長,如網頁篡改、蠕蟲病毒、DDoS攻擊、SQL注入、跨站腳本、Web應用安全漏洞利用等,極大地困擾著學校和學生用戶。高職院校校園網絡安全管理是一項復雜的系統(tǒng)工程,尤其在高職院校人員分布零散,學生素質參差不齊,整體管理相對困難的前提下要提高網絡安全,必須從校園的各個層面入手,才能從根本上解決問題。
(一)安全的物理環(huán)境
要保證整個學校的計算機網絡系統(tǒng)的安全、可靠,必須保證系統(tǒng)有個安全的物理環(huán)境。這個安全的環(huán)境包括機房、辦公室、寢室等相關的計算機設施。
(二)配備高性能的防火墻
凡是能有效阻止網絡非法連接的方式,都算防火墻。早期的防火墻一般就是利用設置的條件,監(jiān)測通過的包的特征來決定放行或者阻止的。雖然防火墻技術發(fā)展到現在有了很多新的理念提出,但是包過濾依然是非常重要的一環(huán),如同四層交換機首要的仍是要具備包的快速轉發(fā)這樣一個交換機的基本功能一樣。通過包過濾,防火墻可以實現阻擋攻擊,禁止外部/內部訪問某些站點,限制每個IP的流量和連接數。
(三)及時修復系統(tǒng)軟件漏洞
可以以講座或學生宣傳的形式提醒各位教師及同學們及時更新操作系統(tǒng),安裝各種補丁程序的重要性。
(四)建立全面的網絡防殺毒系統(tǒng)
篇8
關鍵詞:校園網;網絡安全;網絡安全的維護
中圖分類號:TP393 文獻標識碼:A 文章編號:1007-9599 (2012) 10-0000-02
一、引言
在社會不斷地進步,互聯(lián)網在生活中扮演的角色越來越重要,人們的工作、學習和生活已經離不開互聯(lián)網。近年來,在高職院校,為方便師生的學習、工作,紛紛組建了校園網,校園網的發(fā)展也非常迅速,不過由于其起步較晚,軟硬件設施較差,在組建校園網運行中存在著很多不足之處,導致了現存的高職院校校園網存在足多隱患的局面,高職院校校內網的安全問題也益發(fā)凸顯。
二、目前高職院校校園網存在的隱患及問題
高職院校的校園網網絡安全存在很大的隱患,這給廣大師生的學習,工作都帶來很大的不便,更有甚者回影響到學校、師生的利益。這些隱患主要體現在以下幾個方面:
(一)互聯(lián)網的開放性決定了校園網的安全更容易受到攻擊
互聯(lián)網網絡的通信協(xié)議是開放性的,通信協(xié)議是互聯(lián)網通信的基礎,目前高職院校校園網普遍使用TCP/IP協(xié)議簇,而通用性和開放性是TCP/IP協(xié)議簇的一大特點,基于這種特點,只要具備了一定的技術就可以分析并使用這一協(xié)議,這就造成了校園網在通信上的漏洞。數據竊聽(Packet Sniff):TCP/IP協(xié)議數據流采用明文傳輸,因此數據信息很容易被竊聽、篡改和偽造。特別是在使用含有用戶賬號、口令的數據包進行通信時,使用Sniff,Snoop或網絡分析儀等可以對以上信息進行截取,達到攻擊的目的。例如:源地址欺騙(Source address spoofing);源路由選擇欺騙(Source Routing spoofing);鑒別攻擊(Authentication Attacks);TCP序列號欺騙(TCP Sequence number spoofing);ICMP攻擊(工CMP Attacks);拒絕服務((DOS)攻擊;IP棧攻擊(IP Stack Attack)等,這種由于互聯(lián)網的根本屬性而來的漏洞,不能夠徹底解決,但是由于校內網的特點卻更容易使其安全受到攻擊。
(二)硬件設施的落后導致其安全隱患巨大
高職院校的校園網雖然發(fā)展迅速,但由于其起步較晚,加之在建設校園網的過程中,大部分高職院校并沒有進行大幅度的改變,而是在原有局域網的基礎上進行一些整改,這種硬件上的落后必然導致校園網的安全隱患。
(三)系統(tǒng)防火墻抵抗外來攻擊入侵能力較弱
校園網的系統(tǒng)防火墻是抵御外來入侵的有效手段,對于外來的攻擊能提供有效的屏蔽,但目前大部分高職高校的校園網系統(tǒng)卻存在很多漏洞,容易被不法分子利用,校園網的防火墻能力也比較弱,對于擁有一定技術的黑客而言基本形同虛設。
(四)網絡安全管理存在巨大的缺陷,非常不完善
網絡的管理能夠很大程度上消除校園網的安全隱患,但大部分高職院校學院網絡的管理相對比較較混亂,沒有統(tǒng)一的網絡出口、網絡管理軟件和網絡監(jiān)控、日志系統(tǒng),缺乏上網的有效監(jiān)控和日志。這種管理能力的欠缺也是導致目前高職院校網絡安全問題的一大原因。
(五)校內人員安全意識單薄,并出現內部攻擊校園網的情況
微型計算機的普及使得擁有個人計算機的學生數量在飛速的增長,但是除了個別對于計算機比較熟練地用戶以外,目前,很大一部分的學生對于計算機的安全意識比較單薄,比如:安全軟件更新不夠,系統(tǒng)的漏洞更是比比皆是,這些問題導致了校園網的計算機更容易沾染病毒,而基于校內網特點,這帶來的后果往往更加嚴重。此外,校園網的防火墻雖然能夠對于校外的入侵起到一定抵御作用,可是對于來自校園網內部的攻擊的防護能力卻基本為零,而根據研究,目前基本上校園網受到的大部分攻擊都是來自校內,這主要是由于校園內的人員大多屬于有想法,有沖勁的年輕人,加之互聯(lián)網上的攻擊軟件,黑客軟件比比皆是,再加上目前國內外輿論對于黑客行為的不可觀的評價,這就對于年輕人帶來很大的誘惑,希望通過一些比較出位的手段來獲得心理的滿足,于是,攻擊校園網也就成了一種可選擇的手段。
(六)高職院校的特殊性導致其更易受到攻擊
校園網的一大特點即是速度和規(guī)模上比較大,由于存在以上隱患,對于不法之徒而言,攻擊、入侵校內網的效率相對而來就會更高,目前,越來越多的黑客把目標瞄向了校園網,加之層出不窮的網絡病毒在校園網內傳播的更加迅速,雖然校園網目前大都建立了防火墻,但這些依舊給校園網的安全帶來很大的壓力。
三、針對高職院校校園網存在問題的改善意見及措施
針對我國目前高職院校校園網存在的問題,學校應該從提高技術,增強防范意識,提高軟硬件設施等方面出發(fā)。
(一)加大基礎設施投入
篇9
中圖分類號:TP
文獻標識碼:A
文章編號:1672-3198(2010)09-0284-02
1 ARP協(xié)議及欺騙原理
1.1 ARP協(xié)議
ARP欺騙,一個讓我們耳熟能詳的網絡安全事件,普遍的存在于校園網、企業(yè)網等網絡環(huán)境中,給我們的工作、學習和生活帶來了很大的不變,輕則網絡變慢、時斷時續(xù),重則直接無法上網、重要信息被竊取,可以說,ARP欺騙是網絡的一塊頑疾。分析ARP欺騙,就不得不研究一下ARP協(xié)議,因為這種攻擊行為正是利用了ARP協(xié)議本身的漏洞來實現的。
ARP協(xié)議是“Address Resolution Protocol”(地址解析協(xié)議)的縮寫,它的作用,就是將IP地址轉換為MAC地址。在局域網中,網絡中實際傳輸的是“數據幀”,數據幀如果要到達目的地,就必須知道對方的MAC地址,它不認IP的。但這個目標MAC地址是如何獲得的呢?它就是通過ARP協(xié)議獲得的。所謂“地址解析”就是主機在發(fā)送幀前將目標IP地址轉換成目標MAC地址的過程。ARP協(xié)議的基本功能就是通過目標設備的IP地址,查詢目標設備的MAC地址,以保證通信的順利進行。
每臺安裝有TCP/IP協(xié)議的電腦里都有一個ARP緩存表,表里的IP地址與MAC地址是一一對應的。
我們以主機A向主機B發(fā)送數據為例。當發(fā)送數據時,主機A會在自己的ARP緩存表中尋找是否有目標IP地址。如果找到了,也就知道了目標MAC地址,直接把目標MAC地址寫入幀里面發(fā)送就可以了;如果在ARP緩存表中沒有找到相對應的IP地址,主機A就會在網絡上發(fā)送一個廣播,目標MAC地址是“FF.FF.FF.FF.FF.FF”,這表示向同一網段內的所有主機發(fā)出這樣的詢問。網絡上其他主機并不響應ARP詢問,只有主機B接收到這個幀時,才向主機A做出這樣的回應。這樣,主機A就知道了主機B的MAC地址,它就可以向主機B發(fā)送信息了。同時它還更新了自己的ARP緩存表,下次再向主機B發(fā)送信息時,直接從ARP緩存表里查找就可以了。
ARP緩存表采用了老化機制,在一段時間內如果表中的某一行沒有使用,就會被刪除,這樣可以大大減少ARP緩存表的長度,加快查詢速度。
以上就是ARP協(xié)議的作用以及其工作過程,看來是很簡單的,也正因為其簡單的原理,沒有其他措施的保障,也就使得ARP欺騙產生了。下面我們來看看ARP欺騙到底是怎么回事。1.2 ARP欺騙原理
為什么會有ARP欺騙,這還要從ARP協(xié)議說起,前面我們介紹了,當源主機不知道目標主機的MAC地址的話,就會發(fā)起廣播詢問所有主機,然后目標主機回復它,告知其正確的MAC地址,漏洞就在這里,如果一個有不軌圖謀的主機想收到源主機發(fā)來的信息(可能是用戶名、密碼、銀行賬號之類的信息),那么它只需也向源主機回復一下,響應的IP地址沒錯,但MAC地址卻變成了發(fā)起欺騙的主機的,這樣,信息就發(fā)到它那里去了(前面說了,數據幀只認MAC地址)。這是一種欺騙的方式,還有一種方式,是利用了“免費ARP”的機制。所謂免費ARP就是不需要別人問,一上來就先告訴別人,我的IP地址是多少,我的MAC地址是多少,別的主機無需廣播,就已經知道了該主機的IP和MAC,下次需要發(fā)到這個IP的時候,直接發(fā)就行了。既然是主動發(fā)起的,就可以被別有用心的人利用了,用一個假冒的IP地址(可能是網關的或者重要服務器的地址)加上自己的MAC出去騙別人,就把重要的信息都騙到這里來了。下面我們來看看ARP欺騙的具體操作過程。
1.2.1 局域網主機冒充網關進行ARP欺騙
欺騙過程:如下圖所示,PC A跟網關GW C通訊時,要知道GW的MAC地址,如果PC B假冒GW告訴PC A,GW的Mac地址是MACB;或者干脆告訴PC A,GW的Mac地址是MACX,那么,PC A就受騙了,PC A的數據就到不了網關,造成斷線。
1.2.2 局域網主機冒充其他主機欺騙網關
欺騙過程:網絡通訊是一個雙向的過程,也就是說,只有保證PC A-> GW C以及GW C->PC A 都沒問題,才能確保正常通訊。假如,PC B冒充主機PC A,告訴GW C:PC A的MAC是MAC B, 網關就受騙了,那么,PC A到GW C沒有問題,可是,GW C到不了PC A,因而造成網絡斷線。
以上兩種欺騙,尤其是第二種類型的欺騙,現在更為常見。從本質上說,同一局域網內(這里指在同一網段)的任何兩個點的通訊都可能被欺騙,無論是主機到網關,網關到主機,主機到服務器,服務器到主機,還有主機之間都是一樣,都可能產生進行ARP欺騙,欺騙本質都是一樣。
1.2.3 其他欺騙類型
主機冒用其它主機,欺騙其它主機的方式:如主機A冒用主機B的MAC,欺騙主機C,以達到監(jiān)聽主機B和主機C的目的.并且導致主機B到主機C之間的網絡連接中斷。
外網欺騙:外網冒用路由器A的MAC,欺騙更上一級的路由器B,導致更上一級的路由器被騙,將內網信息全部轉發(fā)給外網惡意主機。
2 ARP的主要欺騙及攻擊方式
2.1 ARP欺騙
網絡欺騙是黑客常用的攻擊手段之一,網絡ARP欺騙分為兩種,一種是對路由器ARP表的欺騙,另一種是對內網主機的網關欺騙。前一種欺騙的原理是攻擊者通過截獲分析網關數據,并通知路由器一系列錯誤的內網IP地址和MAC地址的映射,按照一定的頻率不斷進行使真實的地址信息映射無法通過更新保存在路由器中,結果路由器轉發(fā)數據到錯誤的MAC地址的主機,造成正常主機無法收到信息;后一種ARP欺騙的原理是偽造網關,它的原理是把真實網關的的IP地址映射到錯誤的MAC地址,這樣主機在向網關發(fā)送數據時,不能夠到達真正的網關,如果假網關不能上網,那么真實的主機通過假網關也不能上網。
2.2 中間人攻擊
按照ARP協(xié)議的設計,一個主機即使收到的ARP應答并非自身請求得到的,也會將其IP地址和MAC地址的對應關系添加到自身的ARP映射表中。這樣可以減少網絡上過多的ARP數據通信,但也為ARP欺騙創(chuàng)造了條件。如圖1所示,PC-X為X主機,MAC-X為X主機的物理地址,IP-X為X主機的IP地址。PC-A和PC-C通過交換機S進行通信。此時,如果有攻擊者(PC-B)想探聽PC-A和PC-C之間的通信,它可以分別給這兩臺主機發(fā)送偽造的ARP應答報文,使PC-A中的ARP緩存表中IP-C和MAC-B所對應,PC-C中的ARP緩存表中IP-A和MAC-B所對應。此后,PC-A和PC-C之間看似直接的通信,實際上都是通過攻擊者所在的主機間接進行的,如圖1虛箭頭所示,即PC-B擔當了中間人的角色,可以對信息進行竊取和篡改。這種攻擊方式就稱作中間人攻擊。
2.3 ARP泛洪攻擊
攻擊主機持續(xù)把偽造的IP地址和MAC地址的映射對發(fā)給受害主機,對于局域網內的所有主機和網關進行廣播,搶占網絡帶寬并干擾正常通信。導致網絡中的主機和交換機不停地來更新自己的IP地址和MAC地址的映射表,浪費網絡帶寬和主機的CPU,使主機間都不能正常通信。除了中間人攻擊、ARP泛洪攻擊外,還有Dos攻擊等。
目前知道的帶有ARP欺騙功能的軟件有“QQ第六感”、“網絡執(zhí)法官”、“P2P終結者”、“網吧傳奇殺手”等,這些軟件中,有些是人為手工操作來破壞網絡的,有些是做為病毒或者木馬出現,使用者可能根本不知道它的存在,所以更加擴大了ARP攻擊的殺傷力
3 ARP攻擊的主要防范措施
3.1 IP地址和MAC地址的靜態(tài)綁定
3.1.1 在用戶端進行綁定
ARP欺騙是通過ARP的動態(tài)刷新,并不進行驗證的漏洞,來欺騙內網主機的,所以我們把ARP表全部設置為靜態(tài)可以解決對內網的欺騙,也就是在用戶端實施IP和MAC地址綁定,可以再用戶主機上建立一個批處理文件,此文件內容是綁定內網主機IP地址和MAC地址,并包括網關主機的IP地址和MAC地址的綁定,并把此批處理文件放到系統(tǒng)的啟動目錄下,使系統(tǒng)每次重啟后,自動運行此文件,自動生成內網主機IP地址到MAC地址的映射表。這種方法使用于小型的網絡中。
3.1.2 在交換機上綁定
在核心交換機上綁定用戶主機IP地址和網卡的MAC地址,同時在邊緣交換機上將用戶計算機網卡的IP地址和交換機端口綁定的雙重安全綁定方式。這樣可以極大程度上避免非法用戶使用ARP欺騙或盜用合法用戶的IP地址進行流量的盜取,可以防止非法用戶隨意接入網絡,網絡用戶如果擅自改動本機網卡的IP或MAC地址,該機器的網絡訪問將被拒絕,從而降低了ARP攻擊的概率。
3.2 采用VLAN技術隔離端口
局域網的網絡管理員可根據需要,將本單位網絡規(guī)劃出若干個VLAN,當發(fā)現有非法用戶在惡意利用ARP欺騙攻擊網絡,或因合法用戶受病毒ARP病毒感染而影響網絡時,網絡管理員可先找到該用戶所在的交換機端口,然后將該端口劃一個單獨的VLAN,將該用戶與其它用戶進行隔離,以避免對其它用戶的影響,當然也可以利用將交換機的該端口關掉來屏蔽該用戶對網絡造成影響。
3.3 采取802.1X認證
802.1X認證可以將使未通過認證的主機隔離,當發(fā)現某臺主機中毒時,將禁止其認證從而達到將中毒主機隔離網絡的目的。
篇10
中圖分類號:TN915.08文獻標識碼:A文章編號:1007-9599 (2010) 06-0000-02
Attacks Principle& Preventive Measures of ARP Protocol Under Campus Network
Li Hui,Du Shanlin
Abstract:From the function of the ARP protocol to explain the working mechanism ARP.ARP works by analyzing the protocol,discuss the ARP protocol to the physical address from IP address resolution process in the presence of the security risk, given the same network segment and the process of inter-segment ARP cheating. Articles from the client and the network equipment side,puts forward the countermeasures,including the IP address and MAC address binding,switch port and MAC address binding,VLAN isolation techniques on the ARP spoofing attack,the security policy.
Keywords:ARP protocol;ARP attack;MAC address;Preventive measures
一、ARP工作原理
(一)ARP協(xié)議介紹
ARP在局域網中,實際傳輸的是“幀”,幀包括源MAC地址及目標的MAC地址。 在以太網中,一主機要和另一主機進行通信,必須要知道目標MAC地址。MAC是通過ARP地址解析協(xié)議獲得的。“地址解析”就是主機在發(fā)送幀前將目標IP地址轉換成目標MAC地址的過程。ARP的基本功能就是通過目標設備的IP地址,查詢目標設備的MAC地址,以保證通信的順利進行。
ARP協(xié)議規(guī)定每一個主機都設有一個ARP高速緩存,里面存有所在局域網上的各主機和路由器的IP地址到硬件地址的一張映射表。根據存儲類型,ARP地址轉換表可被分為動態(tài)和靜態(tài)兩種。
(二)ARP的工作流程
當主機A準備向B發(fā)送數據時,己知A明確B的IP地址IPB為192.168.1.101,MAC地址為BB-BB-BB-BB-BB-BB。通過比較IPB與子網掩碼,判斷A與B是否在同一網段。
1.A與B在同一個網段,A檢查本機上ARP緩存區(qū)是否有B的MAC地址,如果有則直接發(fā)送信息給B,沒有就以廣播的形式向A所在本局域網內所有主機發(fā)送ARP請求報文,意思是本地主機大喊一聲“誰的IP是192.168.1.101?請把你的MAC地址傳過來!”。網絡上其他主機并不響應ARP詢問,只有B收到此廣播幀后,向A返回ARP reply報文(含MAC地址),意思是對A說“我的IP是IPB,我的MAC地址是BB-BB-BB-BB-BB-BB,當A接收到應答后,更新本機上的ARP緩存,然后用該物理地址把數據包直接發(fā)送給B。
2.A與B不在同一網段, A若想要發(fā)送信息給B,就必須通過本地網關S1來轉發(fā),由本地網關通過路由將數據包發(fā)送到B所在網段中的網關S2,網關S2收到這個數據包發(fā)現是發(fā)送給B的,就會檢查自己的ARP緩存,看是否有B的MAC地址,如果沒有就使用ARP協(xié)議獲得,如果有就用該MAC地址與主機B通信。
二、ARP病毒欺騙的實現
(一)ARP協(xié)議存在的安全隱患
由于ARP協(xié)議不對報文信息的真實性校驗,而且沒有被請求的ARP響應報文同樣可以被目標主機所接受。目標主機刷新自己的緩存,把新的地址映射信息加入到ARP高速緩存中。這種缺陷使得偽造別人的IP地址或MAC地址實現ARP欺騙,進而影響系統(tǒng)報文通信成為一種可能。
(二)ARP病毒作用機理
ARP病毒工作時,首先在將安裝有ARP機器的網卡MAC地址通過ARP欺騙廣播至整個局域網,使局域網中的工作站誤認為安裝ARP的機器是該局域網的網關。由于局域網中的所有信息都必須通過網關來中轉,當它偽裝成網關時,由于物理地址錯誤,網絡上的計算機發(fā)來的數據無法正常發(fā)送到網關,無法正常上網,造成這些計算機無法訪問外網,而局域網中所有機器的數據卻都可能流經它而被它竊取。
1.同一網段的ARP欺騙。
設在同一網段的三臺主機:A,B,C。
假設A與B是信任關系,A欲向B發(fā)送數據包。攻擊方C通過前期準備,收集信息,發(fā)現B的漏洞,使B暫時無法工作。然后C發(fā)送包含自己MAC地址的ARP應答給A。由于大多數的操作系統(tǒng)在接收到ARP應答后會及時更新ARP緩存,而不考慮是否發(fā)出過真實的ARP請求,所以A接收到應答后,就更新它的ARP緩存,建立新的IP/MAC地址映射對,即B的IP地址對應C的MAC地址。這樣,A就將發(fā)往B的數據包發(fā)向了C。
2.跨網段的ARP欺騙。
這種方式需要把ARP欺騙與ICMP重定向攻擊結合在一起。假設A和B在同一網段,C在另一網段,其IP地址和物理(MAC)地址映射關系如表
跨網段IP/MAC地址映射關系
首先攻擊方C修改IP包的生存時間,將其延長,以便做充足的廣播。然后尋找B的漏洞,攻擊此漏洞,使主機B暫時無法工作。此后,攻擊方C發(fā)送B的IP地址和C的MAC地址的ARP應答給A。A接收到應答后,更新其ARP緩存。這樣,在主機A上B的IP地址就對應C的MAC地址。但是,A在發(fā)數據包給B時,仍然會在局域網內尋找192.168.1.101的MAC地址,不會把包發(fā)給路由器,這時就需要進行ICMP重定向,告A“到192.168.1.101的最短路徑不是局域網,而是路由,請主機重定向路由路徑,把所有到192.168.1.101的包發(fā)給路由器”。主機A在接受到這個合理的ICMP重定向后,修改自己的路由路徑,把對192.168.1.101的數據包都發(fā)給路由器。這樣攻擊方C就能得到來自內部網段的數據包。
基于ARP協(xié)議的這一工作特性,借助于一些黑客工具如網絡剪刀手等,黑客向對方計算機不斷發(fā)送有欺詐性質的ARP數據包和ARP恢復數據包,數據包內包含有與當前設備重復的MAC地址,使對方在回應時,由于簡單的地址重復錯誤而導致不能進行正常的網絡通信,這樣就可以在一臺普通計算機上通過發(fā)送ARP數據包的方法來控制網絡中任何一臺計算機的上網與否,甚至還可以直接對網關進行攻擊,讓所有連接網絡的計算機都無法正常上網。
三、安全防范策略
(一)用戶端計算機的防御策略
1.安裝殺毒軟件、防火墻。安裝金山毒霸、瑞星、360安全衛(wèi)士、金山ARP防火墻等殺毒軟件,必須要定期升級更新病毒代碼,每天定時對機器進行病毒掃描,及時更新補丁程序等。安裝影子系統(tǒng)或其它還原系統(tǒng),這樣在受到ARP攻擊后可以通過重啟實現ARP病毒的清除。
2.網上玩游戲要注意安全。許多帶有ARP病毒的木馬程序往往都是隱藏在網絡游戲的外掛中通過網絡游戲私服進行傳播的。
3.在用戶端計算機上綁定交換機網關的IP和MAC地址。Windows用戶可通過在命令行方式執(zhí)行“arp Cs 網關 IP 網關MAC 地址”命令來減輕中毒計算機對本機的影響。網關IP和網關MAC地址可在網絡工作正常時通過命令行方式下的“arp -a”命令來得到。可以編寫一個批處理文件arp.bat,實現將交換機網關的MAC地址和網關的IP地址的綁定,并將這個批處理文件拖到“開始-程序-啟動”中,以便用戶每次開機后計算機自動加載并執(zhí)行該批處理文件。
4.安裝常見的防范ARP欺騙攻擊的工具軟件。針對ARP欺騙攻擊出現了一些可以保護客戶端的網關MAC地址不被修改的工具軟件,并且報警當前是哪個MAC地址在攻擊網絡。
5.計算機中了ARP病毒后的處理方法。一旦你的計算中了ARP病毒,各種防病毒軟件或專殺工具很難完全清除,只有重裝系統(tǒng),并施加相關防護措施,才可以得到比較徹底的恢復。
(二)網絡設備管理端的防御策略
1.在核心交換機上綁定用戶主機的IP地址和網卡的MAC地址,同時在邊緣交換機上將用戶計算機網卡的MAC地址和交換機端口綁定的雙重安全綁定方式。同時在三層交換機上實時檢控用戶的IP MAC對應表以及在二層交換機上限制用戶端接口上最大可以上傳的MAC數量。
(1)IP和MAC地址的綁定。
在核心交換機上將所有局域網絡用戶的IP地址與其網卡MAC地址一一對應進行全部綁定。這樣可以極大程度上避免非法用戶使用ARP欺騙或盜用合法用戶的IP地址進行流量的盜取。
(2)MAC地址與交換機端口的綁定。
根據局域網絡用戶所在的區(qū)域、樓體和用戶房間所對應的交換機端口號,將用戶計算機網卡的MAC地址和交換機端口綁定。此方案可以防止非法用戶隨意接入網絡端口上網。網絡用戶如果擅自改動本機網卡的MAC地址,該機器的網絡訪問將因其MAC地址被交換機認定為非法而無法實現上網,自然也就不會對局域網造成干擾了。
2.開啟交換機上針對ARP的特定功能。在銳捷S21系列二層交換機上可以通過開啟Anti-ARP-Spoofing功能,防止同一網段內針對用戶的ARP欺騙攻擊。其他廠家的設備也有類似功能,CISCO的可以使用ARP-Inspection,H3C的可以使用Anti-ARP-at2tack。
3.使用ARP服務器查找自己的ARP轉換表來響應其他機器的ARP廣播。
4.對上網用戶進行上網認證和地址綁定。通過在用戶側使用靜態(tài)IP同時在匯聚交換機上進行IP-MAC對的綁定,同時開啟帳號+密碼+IP+MAC+接入交換機IP+接入交換機PORT的六元素綁定。由于用戶名、密碼、用戶端IP、MAC和接入交換機IP、PORT都對應起來了,杜絕了同一MAC對應多個IP和用戶MAC對應網關IP的ARP欺騙,因此通過地址綁定基本可以實現網絡對于ARP欺騙攻擊的完全性免疫。
四、結束語
本文通過分析ARP協(xié)議的工作原理,探討了基于ARP協(xié)議漏洞的欺騙攻擊的實現過程,提出了多種可行的安全防御策略,并分析了多種防御措施各自存在的局限性,對于徹底的防范ARP欺騙攻擊,一般需要多種方案配合使用,特別是對用戶上網進行認證"如果要從根本上解決這一問題,最好的方法將是重新設計一種安全的地址解析協(xié)議,已經在IPV6中已經考慮到了這個問題,采用了更安全的方式杜絕了來自底層的攻擊。
參考文獻:
[1]謝希仁.計算機網絡.北京:電子工業(yè)出版社,2003,6
[2]傅偉,謝宜辰.基于ARP協(xié)議的欺騙攻擊及安全防御策略.湘潭師范學院學報,2007,12
[3]鄧清華,陳松喬.ARP欺騙攻擊及其防范.微機發(fā)展,2004,14,8:126-128
[4]周增國.局域網絡環(huán)境下ARP欺騙攻擊及安全防范策略.計算機與信息技術
[5]潘鋒.局域網中ARP欺騙的防范.Computer Era,2007,5
