文/楊俊

Intemet的發(fā)展在帶給我們很多便利的同時，也給網(wǎng)絡帶來了越來越大的風險。無處不在的攻擊者使得網(wǎng)絡安全問題尤為突出。因此，網(wǎng)絡管理人員們理應全面、深刻地了解黑客進行攻擊的原理、方法以及過程，以便有的放矢的針對不同的攻擊方法采取相應措施。唯有如此，才能夠更有針對性的進行高效、主動的防護。

一、高校計算機機房主流網(wǎng)絡攻擊的研究意義

伴隨著IT技術的逐漸發(fā)展與推廣，國內(nèi)很多學校也增設了計算機機房，以作為教師和學生們?nèi)W習、運用計算機相關知識、技巧的一個必不可缺的場地。當然，也有不少是建設用于圖書館的電子閱覽室專用的計算機機房。越來越多的教學活動需要在機房中利用計算機來開展。問題是，機房所承擔的教學、科研等任務的順利實施同時也受到了越來越突出的網(wǎng)絡、系統(tǒng)管理安全等問題的嚴重影響，尤其是在受到網(wǎng)絡攻擊后，機房設備中所發(fā)生的網(wǎng)絡頻繁掉線或者不順暢、IP地址沖突等狀況。因此，怎樣高效、全面地保障網(wǎng)絡安全、防止網(wǎng)絡遭到攻擊這一工作，已經(jīng)被列為高校機房、網(wǎng)絡安全管理人員日常工作里重中之重的內(nèi)容。

二、高校計算機機房網(wǎng)絡安全的現(xiàn)狀

部分高校計算機網(wǎng)絡安全防范沒有形成完整的體系結(jié)構(gòu)，沒有建立完善的管理體系，其缺陷給攻擊者有機可乘。機房、網(wǎng)絡安全管理人員沒有足夠的安全知識儲備，缺乏專業(yè)性以及防范意識，無法保障網(wǎng)絡配置及管理的安全性，他們對于突發(fā)事件也沒辦法迅速做出反應和補救措施。再者網(wǎng)絡協(xié)議本身就存在缺陷，比如ARP協(xié)議，一般而言，攻擊者都會借助于網(wǎng)絡協(xié)議或系統(tǒng)自身的漏洞缺陷來進行網(wǎng)絡攻擊。

三、高校計算機機房主流網(wǎng)絡攻擊技術及防范措施

(一)DDoS攻擊技術

DDoS攻擊是分布式拒絕服務(Distributed Denial of Service)的縮寫。這類攻擊會借助客戶/服務器的技術，聯(lián)合起多臺計算機當作攻擊平臺，去DDoS攻擊相同或者多個目標，進而數(shù)倍提升其拒絕服務攻擊的力量。其攻擊方式可以分成以下幾種類型：

1.使得網(wǎng)絡過載，進而實現(xiàn)對正常網(wǎng)絡通訊的干擾甚至阻斷；

2.阻斷某一用戶進行服務器訪問；

3.對服務器提出大量的請求，使得服務器超負荷；

4.阻斷某一服務和特定的系統(tǒng)或者個人之間的通訊。

(二)DDoS攻擊的危害和防范

DD0S攻擊極具隱蔽性，其常常會采用通過大量合法的請求的手段占用服務器網(wǎng)絡資源，由此而達到癱瘓網(wǎng)絡的目的。服務器在面對DDoS攻擊時很難合理的判定和區(qū)分請求，因此遭受攻擊時往往束手無策。因此，機房、網(wǎng)絡安全管理人員需要提升安全防護意識，保障網(wǎng)絡系統(tǒng)安全。通常，可以采取以下幾種防范措施：

1.采用高性能的網(wǎng)絡設備；

2.盡量避免NAT的使用；

3.充足的網(wǎng)絡帶寬保證；

4.升級主機服務器硬件；

5.把網(wǎng)站做成靜態(tài)頁面；

6.增強操作系統(tǒng)的TCP/IP棧。

(三)ARP欺騙攻擊技術

ARP協(xié)議的全名是 “地址解析協(xié)議 ”(Address Resolution Protocot)。ARP協(xié)議最為基本的一個功能便是經(jīng)由目標設備IP地址去查詢目標設備MAC地址，以保證能夠順利進行通信。倘若透過假造MAC地址和IP地址去實現(xiàn)ARP欺騙，便可使得大量ARP通信量產(chǎn)生于網(wǎng)絡中，進而使得網(wǎng)絡發(fā)生阻塞，實現(xiàn)ARP攻擊目的。而ARP欺騙一般有兩種出現(xiàn)方式，一種為對路由器ARP表的欺騙；另一種是對內(nèi)網(wǎng)PC的網(wǎng)關欺騙。

(四)ARP欺騙攻擊的危害和防范

高校計算機機房比較容易遭受ARP欺騙攻擊，并且一旦遇到攻擊，就會發(fā)生間接性網(wǎng)絡掉線問題，導致局域網(wǎng)中的一部分電腦在一定時間內(nèi)無法上網(wǎng)；會經(jīng)常發(fā)送IP地址沖突警報、瀏覽器也會頻繁地出錯；有的時候，部分電腦會輪流掉線，而有的時候，所有的電腦都無法上網(wǎng)，打不開網(wǎng)頁或者打開網(wǎng)頁的速度很慢，整體的網(wǎng)速也會越來越慢，在對交換機或者主機進行重啟之后就可以解決問題，但過了一段時間之后同樣問題又會再次出現(xiàn)。防范措施如下：

1.由于ARP攻擊手段主要采用了偽裝IP地址和MAC地址的方式對用戶進行錯誤的誘導，因此，綁定IP及MAC地址，進而使用靜態(tài)的ARP表，就可以不理會攻擊者發(fā)送的任何干擾消息。

2.采用VLAN聚合技術和PVLAN技術，實現(xiàn)所有端口的隔離，杜絕ARP數(shù)據(jù)欺騙。

3.部分局域網(wǎng)內(nèi)木馬病毒的傳播需要借助ARP欺騙，因此通過安裝正版的殺毒軟件并定期對病毒庫進行更新，可以起到一定預防作用。

4.安裝專業(yè)的ARP防火墻，國內(nèi)知名的比如瑞星防火墻、騰訊電腦管家都具有ARP防火墻的功能模塊。而ARP防火墻能夠在系統(tǒng)內(nèi)核層對ARP攻擊數(shù)據(jù)包采取攔截措施，以保障無法篡改網(wǎng)關正確的MAC地址，進而保證數(shù)據(jù)流向的正確性，確保通訊數(shù)據(jù)不會受到第三者的控制，可以有效地解決局域網(wǎng)中ARP攻擊的問題。

四、總結(jié)

網(wǎng)絡攻擊并沒有我們想象中那么的可怕，只需要掌握其原理，通過采取多種防范措施、充分利用機房中的軟硬件，就可以有效地保障網(wǎng)絡安全，最大限度地降低網(wǎng)絡攻擊的危害性。此外，還有一點很重要，那就是高校的機房、網(wǎng)絡安全管理人員也需要具備比較高的責任心，要主動對機房中的計算機或者網(wǎng)絡使用狀況加以關注，在日常工作中注意定期升級機房中計算機的病毒庫等。網(wǎng)絡以及IT技術的日益發(fā)展，必然會帶來越來越多的網(wǎng)絡攻擊，但是只要肯盡心盡責，相信我們是能夠全面、有效地防范各種網(wǎng)絡攻擊的。

[1]李延香，袁輝，劉淑英.校園局域網(wǎng)ARP欺騙攻擊的防御方法和實施[J].自動化與儀器儀表，2015(9).

[2]鄧凌凌.信息工程中計算機網(wǎng)絡技術的安全問題及應用[J].網(wǎng)絡安全技術與應用，2017(04).