淺析防范拒絕服務(wù)（Dos）攻擊在我校應(yīng)用

大連市計(jì)算機(jī)學(xué)校 ?袁姍姍

【摘要】本文先分析我校校園網(wǎng)絡(luò)安全隱患，在此基礎(chǔ)上提出了保障校園網(wǎng)絡(luò)安全的解決方案，并在如何設(shè)置路由器防范拒絕服務(wù)（DoS）攻擊進(jìn)行了重點(diǎn)闡述，以達(dá)到硬件防火墻的效果，從而提高校園網(wǎng)絡(luò)的安全性。

【關(guān)鍵詞】校園網(wǎng);安全隱患;路由器設(shè)置

一、校園網(wǎng)的安全隱患

探討校園網(wǎng)絡(luò)安全首先要分析校園網(wǎng)絡(luò)存在哪些方面的安全隱患及來源特點(diǎn)，筆者認(rèn)為我校校園網(wǎng)絡(luò)的安全隱患主要?dú)w于如下幾種情況：

1.病毒感染

病毒感染是校園網(wǎng)中最常見、最嚴(yán)重的一種安全威脅，病毒防范最重要的方法是堵住它的入侵途徑。而校園網(wǎng)病毒的主要入侵途徑有以下四種：

（1）瀏覽網(wǎng)頁(yè)、電子郵件而感染的網(wǎng)絡(luò)病毒，如有蠕蟲類病毒、木馬程序等。

（2）網(wǎng)絡(luò)共享的攜帶病毒文件，從而感染了使用此共享文件的系統(tǒng)。

（3）攜帶病毒的盜版光盤的軟件。

（4）攜帶病毒的U盤、移動(dòng)硬盤等移動(dòng)存儲(chǔ)設(shè)備。

2.網(wǎng)絡(luò)攻擊

隨著網(wǎng)絡(luò)技術(shù)的發(fā)展，各種網(wǎng)絡(luò)攻擊事件頻頻發(fā)生，黑客的惡意行為不時(shí)導(dǎo)致學(xué)校網(wǎng)絡(luò)癱瘓，令校園網(wǎng)管理人員十分頭痛。網(wǎng)絡(luò)攻擊主要有以下四種形式：

（1）拒絕服務(wù)（DoS）：DoS攻擊是利用一批受控制的機(jī)器向一臺(tái)機(jī)器發(fā)起攻擊，具有較大的破壞性。DoS攻擊通過對(duì)服務(wù)器產(chǎn)生大量的服務(wù)請(qǐng)求，使服務(wù)器忙于響應(yīng)應(yīng)答訊息，造成TCMP棧崩潰，導(dǎo)致與Internet的連接中斷、無數(shù)的窗口被打開、系統(tǒng)死機(jī)，甚至重新啟動(dòng)等，造成服務(wù)器系統(tǒng)不勝負(fù)荷，喪失提供正常服務(wù)的能力。

（2）木馬程序：是一種能夠在受害者毫不察覺的情況下滲透到系統(tǒng)的程序代碼。受害電腦一旦被種植了木馬，就意味著控制者能夠通過控制主機(jī)去控制受害系統(tǒng)，進(jìn)行秘密信息的竊取或破壞。

（3）黑客入侵：是指某些具有頂尖網(wǎng)絡(luò)技術(shù)的人士，通過掃描程序發(fā)現(xiàn)系統(tǒng)開放的端口和漏洞，然后通過特殊的程序或進(jìn)行特定操作控制整個(gè)系統(tǒng)。

3.校園網(wǎng)絡(luò)內(nèi)部的威脅

我校校園網(wǎng)的用戶數(shù)量很多，包括了教師、行政人員、學(xué)生和家長(zhǎng)等。相對(duì)企業(yè)網(wǎng)絡(luò)，校園網(wǎng)來自內(nèi)部的威脅更加嚴(yán)重。主要有如下三種情況：（1）MAC地址盜用：指上網(wǎng)用戶通過修改注冊(cè)表，將自己的MAC地址改為一個(gè)未知的MAC地址或是別人的MAC地址。MAC地址的盜用對(duì)網(wǎng)絡(luò)安全帶來巨大的隱患。（2）IP地址的盜用：只用戶私自更改設(shè)好的IP地址，或通過軟件進(jìn)行IP地址的攻擊，導(dǎo)致網(wǎng)絡(luò)管理混亂。（3）賬號(hào)盜用：對(duì)于校園管理者來說，沒有做好校園賬號(hào)的管理，多人擁有賬號(hào)，造成管理混亂。

4.操作系統(tǒng)的安全漏洞

隨著技術(shù)的發(fā)展，操作系統(tǒng)越來越復(fù)雜，從而導(dǎo)致了操作系統(tǒng)本身的漏洞也越來越多，這樣就使得操作系統(tǒng)不是絕對(duì)安全、萬(wàn)無一失的。

二、校園網(wǎng)絡(luò)安全解決方案

校園網(wǎng)絡(luò)安全是一個(gè)系統(tǒng)的、全局管理問題，網(wǎng)絡(luò)上的任何一個(gè)漏洞，都有可能影響整個(gè)網(wǎng)絡(luò)的安全。一個(gè)較好的安全解決方案不但要從環(huán)境、用戶、產(chǎn)品和意識(shí)等方面來考慮，同時(shí)要進(jìn)行綜合分析，逐個(gè)解決存在的問題，把可能發(fā)生的危害排除在發(fā)生之前，達(dá)到安全防護(hù)的目的，并且把網(wǎng)絡(luò)安全理念貫穿于網(wǎng)絡(luò)建設(shè)、使用和維護(hù)的整個(gè)過程中。

1.選用先進(jìn)的組網(wǎng)設(shè)備

在我校校園網(wǎng)建設(shè)和使用過程中，設(shè)備的選用和維護(hù)至關(guān)重要。如通過三層交換機(jī)來連接電信局的服務(wù)器和校園網(wǎng)的各個(gè)終端用戶實(shí)現(xiàn)寬帶上網(wǎng)，避免以太網(wǎng)偵聽的危險(xiǎn)。

2.采用虛擬局域網(wǎng)技術(shù)LAN

1個(gè)VLAN就是一個(gè)邏輯廣播域，通過對(duì)VLAN的創(chuàng)建，隔離了廣播，縮小了廣播范圍，控制廣播風(fēng)暴的產(chǎn)生。通過路由訪問列表和MAC地址分配等VLAN劃分原則，可以控制用戶訪問權(quán)限和邏輯網(wǎng)段大小，將不同用戶群劃分在不同的VLAN中，從而提高交換式網(wǎng)絡(luò)的整體性能和安全性。

3.加固操作系統(tǒng)

針對(duì)Windows、Unix安全漏洞的各種病毒、網(wǎng)絡(luò)攻擊日益增多，因此網(wǎng)絡(luò)管理員必須加固操作系統(tǒng)，可采取以下方法：

（1）及時(shí)安裝系統(tǒng)補(bǔ)丁程序。

（2）最小化系統(tǒng)，提高系統(tǒng)的安全性。

（3）進(jìn)行安全設(shè)置，如用戶權(quán)限的分配，共享目錄的開放與否、注冊(cè)表的安全配置、瀏覽器的安全等級(jí)等。

4.安裝殺毒軟件

現(xiàn)在大多數(shù)用戶都安裝了殺毒軟件，但安裝了殺毒軟件后還需要及時(shí)升級(jí)殺毒軟件、經(jīng)常使用殺毒軟件檢查系統(tǒng)并清除病毒、開啟殺毒軟件的監(jiān)控功能。

5.安裝防火墻

防火墻技術(shù)是控制進(jìn)和出兩個(gè)方向通訊的門檻，是抵御來自網(wǎng)絡(luò)攻擊最有效的手段之一。它能夠最大程度地保護(hù)你的系統(tǒng)信息不外泄。對(duì)通過交換機(jī)直接上寬帶的用戶而言，防火墻至少可以抵擋來自網(wǎng)絡(luò)常見的攻擊方式。如通過拒絕服務(wù)（DoS）、監(jiān)控不明程序進(jìn)程、使用防火墻的端口阻塞功能關(guān)閉不需要的端口從而達(dá)到防范的目的。

6.加強(qiáng)內(nèi)部管理

對(duì)校園網(wǎng)絡(luò)的內(nèi)部威脅，只有通過制定相關(guān)的規(guī)章制度，加強(qiáng)內(nèi)部管理，減少校園網(wǎng)絡(luò)安全隱患。對(duì)學(xué)生的上網(wǎng)實(shí)施一人一個(gè)賬號(hào)一密碼驗(yàn)證身份的原則;對(duì)盜用MAC地址和IP地址的學(xué)生給予一定的處罰;同時(shí)在技術(shù)上捆綁IP地址和MAC地址，在DoS界面的提示符下輸入命令：ARP—S 192.168.1 1.*00—50一BA一19一C3一DD，即可把MAC地址和IP地址捆綁在一起。

三、設(shè)置路由器防范拒絕服務(wù)攻擊（DoS）

上文提到的校園網(wǎng)絡(luò)安全解決方案是一個(gè)一般性的解決方案，特別提到了防火墻在網(wǎng)絡(luò)安全中的作用。針對(duì)防火墻不能購(gòu)置安裝的條件下，而面對(duì)日益增多的網(wǎng)絡(luò)攻擊，特別是拒絕服務(wù)（DoS）攻擊越來越嚴(yán)重地威脅著我校園網(wǎng)絡(luò)的安全，在這種的情況下，如何解決防范拒絕服務(wù)（DoS）攻擊的問題？下文筆者介紹一種利用設(shè)置路由器來防范拒絕服務(wù)（DoS）攻擊的方法。設(shè)置步驟如下：

1.使用ip verfy unicast reverse—path網(wǎng)絡(luò)接口命令

本命令的功能是檢查每一個(gè)經(jīng)過路由器的數(shù)據(jù)包。在路由器的CEF（Cisco Express Forwarding）表該數(shù)據(jù)包所到達(dá)網(wǎng)絡(luò)接口的所有路由項(xiàng)中，如果沒有該數(shù)據(jù)包源IP地址的路由，路由器將丟棄該數(shù)據(jù)包。如路由器接收到一個(gè)源IP地址為1.2-3.4的數(shù)據(jù)包，如果CEF路由表中沒有為IP地址1.2.3.4提供任何路由（即反向數(shù)據(jù)包傳輸時(shí)所需的路由），則路由器會(huì)丟棄它。單一地址反向傳輸路徑轉(zhuǎn)發(fā)在ISP（局端）實(shí)現(xiàn)阻止SMURF攻擊和其它基于IP地址偽裝的攻擊。這能夠保護(hù)網(wǎng)絡(luò)和客戶免受來自互聯(lián)網(wǎng)其它地方的侵?jǐn)_。使用Unicast RPF需要打開路由器的“CEF swithing”或“CEF distributed switching”選項(xiàng)。不需要將輸入接口配置為CEF交換。只要該路由器打開了CEF功能，所有獨(dú)立的網(wǎng)絡(luò)接口都可以配置為其它交換模式。RPF（反向傳輸路轉(zhuǎn)發(fā)）屬于在一個(gè)網(wǎng)絡(luò)接口或子接口上激活的輸入端功能，處理路由器接收的數(shù)據(jù)包。在路由器上打開CEF功能是非常重要的，因?yàn)镽PF必須依靠CEF。Uni.cast RPF的Cisco IOS 12.0及以上版本中，但不支持Cisco IOS 11.2或l1.3版本。

2.使用訪問控制列表（ACL）過濾進(jìn)出報(bào)文

{ISP中心}一一IsP端邊界路由器一一客戶端邊界路由器一一客戶端網(wǎng)絡(luò)ISP端邊界路由器應(yīng)該只接受源地址屬于客戶端網(wǎng)絡(luò)的通信，而客戶端網(wǎng)絡(luò)則應(yīng)該只接受源地址未被客戶端網(wǎng)絡(luò)過濾的通信。

四、結(jié)語(yǔ)

校園網(wǎng)絡(luò)安全管理是一個(gè)系統(tǒng)的工程，學(xué)校不但要建立一套校園網(wǎng)絡(luò)安全管理模式，制定詳細(xì)的安全管理制度，全面考慮系統(tǒng)的安全需求，并將各種安全技術(shù)結(jié)合在一起，才能形成一個(gè)有效、通用、安全的網(wǎng)絡(luò)系統(tǒng)。同時(shí)作為校園網(wǎng)絡(luò)技術(shù)管理人員，如果學(xué)校沒有經(jīng)濟(jì)能力購(gòu)置硬件設(shè)備，應(yīng)更多地考慮用“軟件”方法構(gòu)建一個(gè)比較安全的校園網(wǎng)絡(luò)系統(tǒng)。同時(shí)作為校園網(wǎng)絡(luò)技術(shù)管理人員，如果學(xué)校沒有經(jīng)濟(jì)能力購(gòu)置硬件設(shè)備，應(yīng)更多的考慮利用“軟件”設(shè)置的方法，來構(gòu)建一個(gè)相對(duì)比較安全的校園計(jì)算機(jī)網(wǎng)絡(luò)安全環(huán)境。

參考文獻(xiàn)

[1]湯明亮.面向Dos攻擊的路由回溯技術(shù)研究[J].國(guó)防科技大學(xué)，2009（1）.

[2]王會(huì)林.計(jì)算機(jī)網(wǎng)絡(luò)黑客攻擊與防范技術(shù)研究探索[J].民營(yíng)科技，2010（5）.

作者簡(jiǎn)介：袁姍姍（1983—），女，吉林白城人，碩士，遼寧省大連市計(jì)算機(jī)學(xué)校講師，研究方向：網(wǎng)絡(luò)技術(shù)，多媒體技術(shù)。