作為校園網(wǎng)的重要組成部分——高校宿舍網(wǎng)絡往往是在校學生第一時間享受豐富校園網(wǎng)應用的網(wǎng)絡環(huán)境。對于這樣一個環(huán)境來說，為學生提供便捷的校園網(wǎng)服務同時也要考慮宿舍網(wǎng)絡安全隱患的防御。如何構(gòu)建一個安全穩(wěn)定的高校宿舍網(wǎng)絡是各個高校信息網(wǎng)絡部門的重要課題。

宿舍網(wǎng)絡一般是屬于校園網(wǎng)內(nèi)網(wǎng)的一部分，統(tǒng)一由高校信息網(wǎng)絡部門管理。其特點如下：

1.網(wǎng)絡結(jié)構(gòu)復雜，用戶眾多

宿舍網(wǎng)絡用戶眾多，網(wǎng)絡使用比較集中，整個網(wǎng)絡由多個區(qū)域的對等子網(wǎng)組成，由于要為每一名學生提供網(wǎng)絡應用，而且有線無線兼有，所以宿舍內(nèi)部的網(wǎng)絡信息點眾多，網(wǎng)絡規(guī)模比較復雜。

2.學生網(wǎng)絡安全意識淡薄

學生用戶的信息網(wǎng)絡水平參差不齊，對于網(wǎng)絡安全防范的意識也比較淡薄，而且在宿舍內(nèi)部的網(wǎng)絡需求也千姿百態(tài)，一旦某些學生網(wǎng)絡終端操作不當或者被因特網(wǎng)病毒攻擊就會直接威脅到校園內(nèi)網(wǎng)的每臺設備。

3.上網(wǎng)時間集中，網(wǎng)絡流量較大

學生一般都是課后回到宿舍上網(wǎng)，造成宿舍網(wǎng)絡的使用時間比較集中，另外學生一般都會利用網(wǎng)絡觀看視頻，下載文件，開展網(wǎng)絡學習娛樂活動。這些活動本身產(chǎn)生的網(wǎng)絡流量較大，很容易造成網(wǎng)絡的擁塞，所以高校宿舍網(wǎng)絡環(huán)境，必須有合理的網(wǎng)絡流量策略和穩(wěn)定的網(wǎng)絡負載，才能避免宿舍網(wǎng)絡安全故障發(fā)生。

宿舍網(wǎng)絡的特點給高校信息網(wǎng)絡部門管理帶來不小的困難，稍有疏忽就可能產(chǎn)生嚴重的安全漏洞，給整個校園網(wǎng)帶來嚴重的損失。

高校宿舍網(wǎng)絡安全威脅分析

由于以上高校宿舍的特點，在宿舍網(wǎng)絡環(huán)境下會存在一些網(wǎng)絡安全的隱患，具體有以下幾方面：

1.網(wǎng)絡環(huán)路故障

學生通常在宿舍內(nèi)部增設交換機或路由器等網(wǎng)絡擴展設備，當網(wǎng)線較多時經(jīng)常由于網(wǎng)線兩頭同時插入擴展設備造成網(wǎng)絡環(huán)路，嚴重影響網(wǎng)絡性能。

2.DHCP攻擊

宿舍網(wǎng)絡一般都是通過匯聚層設備的DHCP服務器自動獲取IP地址，但是有的學生在宿舍內(nèi)通過帶DHCP功能的小路由器擴展網(wǎng)絡時經(jīng)常插錯路由器的端口，造成宿舍區(qū)域內(nèi)出現(xiàn)多個DHCP服務器引起網(wǎng)絡沖突，造成DHCP攻擊，影響其他用戶正常獲取地址上網(wǎng)。

3.網(wǎng)絡蠕蟲病毒及惡意代碼攻擊

學生網(wǎng)絡安全防患意識差，不注意個人電腦的安全維護，如不安裝防病毒軟件，不適時更新操作系統(tǒng)漏洞補丁，開放不必要的應用端口，造成個人電腦很容易受到蠕蟲病毒及惡意代碼的攻擊，給網(wǎng)絡的安全性以及性能帶來嚴重的威脅。

4.ARP欺騙攻擊

ARP欺騙攻擊是近些年來高校宿舍網(wǎng)絡常見的網(wǎng)絡攻擊行為。學生電腦在進行網(wǎng)游或下載文件時很容易感染ARP病毒，成為ARP宿主機。而整個ARP欺騙的過程是宿主機收到ARP Request廣播包，能偷聽到其他電腦IP、MAC地址,宿主機就偽裝為A，告訴B(受害者)一個假地址，使得B在發(fā)送給A的數(shù)據(jù)包都被宿主機截取，而A、B渾然不知。ARP欺騙攻擊對于宿舍網(wǎng)絡危害是極大的，可造成網(wǎng)絡中斷及個人信息被盜取等嚴重后果。

5.MAC地址泛洪攻擊

另外一種通過ARP協(xié)議攻擊的行為叫做MAC地址泛洪攻擊，也是宿舍網(wǎng)絡常見的網(wǎng)絡攻擊行為。其原理也是通過構(gòu)造非法的ARP報文，修改報文中的源IP地址與源MAC地址，不同于ARP欺騙攻擊在于后者用自己的MAC地址進行欺騙，而MAC地址泛洪攻擊則大量發(fā)送虛假的ARP報文，形成網(wǎng)絡擁塞。在宿舍網(wǎng)絡中多種原因可以造成MAC地址泛洪攻擊，最常見的是學生電腦感染盜號木馬、蠕蟲病毒以及啟用“P2P終結(jié)者”、“網(wǎng)路崗”等網(wǎng)絡上用于帶寬控制的小軟件試圖控制帶寬的行為。

解決高校宿舍網(wǎng)絡安全管理策略

根據(jù)高校宿舍網(wǎng)絡環(huán)境的特點，針對以上常見的宿舍網(wǎng)絡安全威脅，應采取相應的技術(shù)手段和管理策略來部署整個宿舍網(wǎng)絡的安全體系，以保證宿舍網(wǎng)絡的安全穩(wěn)定運行。常用的技術(shù)策略有以下幾方面：

1.啟用生成樹協(xié)議控制網(wǎng)絡環(huán)路形成

在宿舍網(wǎng)絡的接入交換機上要開啟生成樹協(xié)議，防止由于網(wǎng)線連接錯誤所產(chǎn)生的網(wǎng)絡環(huán)路故障，具體配置如下：

全局模式下：spanningtree //開啟生成樹；

普通接入端口下：spanning-tree portfast//配置生成樹portfast模式，目的是讓此端口的up、down狀態(tài)變化不參與生成樹計算，節(jié)省生成樹收斂時間；

普通接入端口下：spanning-tree bpduguard enable //開啟生成樹的BPDUguard功能，防止此端口下的擴展設備自己成環(huán)。

上聯(lián)端口下：spanningtree bpdufilter enable//過濾生成樹報文，此生成樹截止在此區(qū)域。

2.解決DHCP欺騙、ARP欺騙攻擊問題

在宿舍網(wǎng)絡的接入交換機上通過開啟DHCP嗅探，同時進行IP、MAC對應的校驗可以有效的控制DHCP欺騙和ARP欺騙的攻擊行為，具體配置步驟如下：

全局模式下：ip dhcp snooping //開啟DHCP嗅探；

普通接入端口下：ip verify source port-security //開啟端口安全功能；

普通接入端口下：arpcheck //進行IP-MAC的對應校驗，以dhcp snooping獲取的對應關(guān)系為參考，防止arp地址欺騙行為；

上聯(lián)端口下：ip dhcp snooping trust //開 啟snooping信任端口，

只有上聯(lián)端口才能通過DHCP Offer的報文，預防私設DHCP服務器的問題。

3.防止網(wǎng)絡蠕蟲病毒及惡意代碼攻擊

通過訪問控制列表在接入交換機過濾掉網(wǎng)絡蠕蟲及惡意代碼的常用端口，可以有效的防止其在網(wǎng)絡中的傳播，具體配置步驟是：

全局模式下：定義如下訪問控制列表。

//列表中包括了網(wǎng)絡蠕蟲及惡意代碼的常用端口號。

普通接入端口下：ip access-group anti_worm in//把ACL應用到所有接入端口下。

4.解決MAC地址泛洪攻擊

有兩種方式來防MAC地址泛洪：基于端口和基于IP的ARP掃描。

基于端口的掃描會計算一段時間內(nèi)從某個端口接收到的ARP報文的數(shù)量，若超過了預先設定的閾值，則會“down”掉此端口。基于IP的掃描則計算一段時間內(nèi)從網(wǎng)段內(nèi)某IP收到的ARP報文的數(shù)量，若超過了預先設置的閾值，則禁止來自此IP的任何流量，而不是“down”與此IP相連的端口。此兩種防MAC地址泛洪功能可以同時啟用。端口或IP被禁掉后，可以通過自動恢復功能自動恢復其狀態(tài)。具體的配置步驟如下：

全局模式下：anti-arp scan enable //開啟arp掃描功能；

全局模式下：anti-arp scan port-based threshold 50 //基于端口的ARP掃描，掃描速率閥值設為每秒50個；

全局模式下：anti-arp scan ip-based threshold 17 //基 于IP地址的ARP掃描，掃描速率閥值設為每秒20個；

全局模式下：anti-arp scan recovery time 300//設置掃描恢復時間為300秒；

上聯(lián)端口下 ：antiarpscan trust super trust-port //設置交換機的上聯(lián)端口為ARP掃描的信任端口。

總結(jié)

一個安全穩(wěn)定的宿舍網(wǎng)絡環(huán)境對于學生的學習生活非常重要，作為高校信息網(wǎng)絡管理人員，應當詳細分析高校宿舍網(wǎng)絡環(huán)境的特點，研究各種網(wǎng)絡安全問題，通過各種措施確保宿舍網(wǎng)絡安全穩(wěn)定，為學生創(chuàng)造一個良好的學習與生活的網(wǎng)絡環(huán)境。