淺析防范拒絕服務(wù)（Dos）攻擊在我校應(yīng)用

淺析防范拒絕服務(wù)（Dos）攻擊在我校應(yīng)用

大連市計算機學(xué)校 ?袁姍姍

【摘要】本文先分析我校校園網(wǎng)絡(luò)安全隱患，在此基礎(chǔ)上提出了保障校園網(wǎng)絡(luò)安全的解決方案，并在如何設(shè)置路由器防范拒絕服務(wù)（DoS）攻擊進行了重點闡述，以達(dá)到硬件防火墻的效果，從而提高校園網(wǎng)絡(luò)的安全性。

【關(guān)鍵詞】校園網(wǎng);安全隱患;路由器設(shè)置

一、校園網(wǎng)的安全隱患

探討校園網(wǎng)絡(luò)安全首先要分析校園網(wǎng)絡(luò)存在哪些方面的安全隱患及來源特點，筆者認(rèn)為我校校園網(wǎng)絡(luò)的安全隱患主要歸于如下幾種情況：

1.病毒感染

病毒感染是校園網(wǎng)中最常見、最嚴(yán)重的一種安全威脅，病毒防范最重要的方法是堵住它的入侵途徑。而校園網(wǎng)病毒的主要入侵途徑有以下四種：

（1）瀏覽網(wǎng)頁、電子郵件而感染的網(wǎng)絡(luò)病毒，如有蠕蟲類病毒、木馬程序等。

（2）網(wǎng)絡(luò)共享的攜帶病毒文件，從而感染了使用此共享文件的系統(tǒng)。

（3）攜帶病毒的盜版光盤的軟件。

（4）攜帶病毒的U盤、移動硬盤等移動存儲設(shè)備。

2.網(wǎng)絡(luò)攻擊

隨著網(wǎng)絡(luò)技術(shù)的發(fā)展，各種網(wǎng)絡(luò)攻擊事件頻頻發(fā)生，黑客的惡意行為不時導(dǎo)致學(xué)校網(wǎng)絡(luò)癱瘓，令校園網(wǎng)管理人員十分頭痛。網(wǎng)絡(luò)攻擊主要有以下四種形式：

（1）拒絕服務(wù)（DoS）：DoS攻擊是利用一批受控制的機器向一臺機器發(fā)起攻擊，具有較大的破壞性。DoS攻擊通過對服務(wù)器產(chǎn)生大量的服務(wù)請求，使服務(wù)器忙于響應(yīng)應(yīng)答訊息，造成TCMP棧崩潰，導(dǎo)致與Internet的連接中斷、無數(shù)的窗口被打開、系統(tǒng)死機，甚至重新啟動等，造成服務(wù)器系統(tǒng)不勝負(fù)荷，喪失提供正常服務(wù)的能力。

（2）木馬程序：是一種能夠在受害者毫不察覺的情況下滲透到系統(tǒng)的程序代碼。受害電腦一旦被種植了木馬，就意味著控制者能夠通過控制主機去控制受害系統(tǒng)，進行秘密信息的竊取或破壞。

（3）黑客入侵：是指某些具有頂尖網(wǎng)絡(luò)技術(shù)的人士，通過掃描程序發(fā)現(xiàn)系統(tǒng)開放的端口和漏洞，然后通過特殊的程序或進行特定操作控制整個系統(tǒng)。

3.校園網(wǎng)絡(luò)內(nèi)部的威脅

我校校園網(wǎng)的用戶數(shù)量很多，包括了教師、行政人員、學(xué)生和家長等。相對企業(yè)網(wǎng)絡(luò)，校園網(wǎng)來自內(nèi)部的威脅更加嚴(yán)重。主要有如下三種情況：（1）MAC地址盜用：指上網(wǎng)用戶通過修改注冊表，將自己的MAC地址改為一個未知的MAC地址或是別人的MAC地址。MAC地址的盜用對網(wǎng)絡(luò)安全帶來巨大的隱患。（2）IP地址的盜用：只用戶私自更改設(shè)好的IP地址，或通過軟件進行IP地址的攻擊，導(dǎo)致網(wǎng)絡(luò)管理混亂。（3）賬號盜用：對于校園管理者來說，沒有做好校園賬號的管理，多人擁有賬號，造成管理混亂。

4.操作系統(tǒng)的安全漏洞

隨著技術(shù)的發(fā)展，操作系統(tǒng)越來越復(fù)雜，從而導(dǎo)致了操作系統(tǒng)本身的漏洞也越來越多，這樣就使得操作系統(tǒng)不是絕對安全、萬無一失的。

二、校園網(wǎng)絡(luò)安全解決方案

校園網(wǎng)絡(luò)安全是一個系統(tǒng)的、全局管理問題，網(wǎng)絡(luò)上的任何一個漏洞，都有可能影響整個網(wǎng)絡(luò)的安全。一個較好的安全解決方案不但要從環(huán)境、用戶、產(chǎn)品和意識等方面來考慮，同時要進行綜合分析，逐個解決存在的問題，把可能發(fā)生的危害排除在發(fā)生之前，達(dá)到安全防護的目的，并且把網(wǎng)絡(luò)安全理念貫穿于網(wǎng)絡(luò)建設(shè)、使用和維護的整個過程中。

1.選用先進的組網(wǎng)設(shè)備

在我校校園網(wǎng)建設(shè)和使用過程中，設(shè)備的選用和維護至關(guān)重要。如通過三層交換機來連接電信局的服務(wù)器和校園網(wǎng)的各個終端用戶實現(xiàn)寬帶上網(wǎng)，避免以太網(wǎng)偵聽的危險。

2.采用虛擬局域網(wǎng)技術(shù)LAN

1個VLAN就是一個邏輯廣播域，通過對VLAN的創(chuàng)建，隔離了廣播，縮小了廣播范圍，控制廣播風(fēng)暴的產(chǎn)生。通過路由訪問列表和MAC地址分配等VLAN劃分原則，可以控制用戶訪問權(quán)限和邏輯網(wǎng)段大小，將不同用戶群劃分在不同的VLAN中，從而提高交換式網(wǎng)絡(luò)的整體性能和安全性。

3.加固操作系統(tǒng)

針對Windows、Unix安全漏洞的各種病毒、網(wǎng)絡(luò)攻擊日益增多，因此網(wǎng)絡(luò)管理員必須加固操作系統(tǒng)，可采取以下方法：

（1）及時安裝系統(tǒng)補丁程序。

（2）最小化系統(tǒng)，提高系統(tǒng)的安全性。

（3）進行安全設(shè)置，如用戶權(quán)限的分配，共享目錄的開放與否、注冊表的安全配置、瀏覽器的安全等級等。

4.安裝殺毒軟件

現(xiàn)在大多數(shù)用戶都安裝了殺毒軟件，但安裝了殺毒軟件后還需要及時升級殺毒軟件、經(jīng)常使用殺毒軟件檢查系統(tǒng)并清除病毒、開啟殺毒軟件的監(jiān)控功能。

5.安裝防火墻

防火墻技術(shù)是控制進和出兩個方向通訊的門檻，是抵御來自網(wǎng)絡(luò)攻擊最有效的手段之一。它能夠最大程度地保護你的系統(tǒng)信息不外泄。對通過交換機直接上寬帶的用戶而言，防火墻至少可以抵擋來自網(wǎng)絡(luò)常見的攻擊方式。如通過拒絕服務(wù)（DoS）、監(jiān)控不明程序進程、使用防火墻的端口阻塞功能關(guān)閉不需要的端口從而達(dá)到防范的目的。

6.加強內(nèi)部管理

對校園網(wǎng)絡(luò)的內(nèi)部威脅，只有通過制定相關(guān)的規(guī)章制度，加強內(nèi)部管理，減少校園網(wǎng)絡(luò)安全隱患。對學(xué)生的上網(wǎng)實施一人一個賬號一密碼驗證身份的原則;對盜用MAC地址和IP地址的學(xué)生給予一定的處罰;同時在技術(shù)上捆綁IP地址和MAC地址，在DoS界面的提示符下輸入命令：ARP—S 192.168.1 1.*00—50一BA一19一C3一DD，即可把MAC地址和IP地址捆綁在一起。

三、設(shè)置路由器防范拒絕服務(wù)攻擊（DoS）

上文提到的校園網(wǎng)絡(luò)安全解決方案是一個一般性的解決方案，特別提到了防火墻在網(wǎng)絡(luò)安全中的作用。針對防火墻不能購置安裝的條件下，而面對日益增多的網(wǎng)絡(luò)攻擊，特別是拒絕服務(wù)（DoS）攻擊越來越嚴(yán)重地威脅著我校園網(wǎng)絡(luò)的安全，在這種的情況下，如何解決防范拒絕服務(wù)（DoS）攻擊的問題？下文筆者介紹一種利用設(shè)置路由器來防范拒絕服務(wù)（DoS）攻擊的方法。設(shè)置步驟如下：

1.使用ip verfy unicast reverse—path網(wǎng)絡(luò)接口命令

本命令的功能是檢查每一個經(jīng)過路由器的數(shù)據(jù)包。在路由器的CEF（Cisco Express Forwarding）表該數(shù)據(jù)包所到達(dá)網(wǎng)絡(luò)接口的所有路由項中，如果沒有該數(shù)據(jù)包源IP地址的路由，路由器將丟棄該數(shù)據(jù)包。如路由器接收到一個源IP地址為1.2-3.4的數(shù)據(jù)包，如果CEF路由表中沒有為IP地址1.2.3.4提供任何路由（即反向數(shù)據(jù)包傳輸時所需的路由），則路由器會丟棄它。單一地址反向傳輸路徑轉(zhuǎn)發(fā)在ISP（局端）實現(xiàn)阻止SMURF攻擊和其它基于IP地址偽裝的攻擊。這能夠保護網(wǎng)絡(luò)和客戶免受來自互聯(lián)網(wǎng)其它地方的侵?jǐn)_。使用Unicast RPF需要打開路由器的“CEF swithing”或“CEF distributed switching”選項。不需要將輸入接口配置為CEF交換。只要該路由器打開了CEF功能，所有獨立的網(wǎng)絡(luò)接口都可以配置為其它交換模式。RPF（反向傳輸路轉(zhuǎn)發(fā)）屬于在一個網(wǎng)絡(luò)接口或子接口上激活的輸入端功能，處理路由器接收的數(shù)據(jù)包。在路由器上打開CEF功能是非常重要的，因為RPF必須依靠CEF。Uni.cast RPF的Cisco IOS 12.0及以上版本中，但不支持Cisco IOS 11.2或l1.3版本。

2.使用訪問控制列表（ACL）過濾進出報文

{ISP中心}一一IsP端邊界路由器一一客戶端邊界路由器一一客戶端網(wǎng)絡(luò)ISP端邊界路由器應(yīng)該只接受源地址屬于客戶端網(wǎng)絡(luò)的通信，而客戶端網(wǎng)絡(luò)則應(yīng)該只接受源地址未被客戶端網(wǎng)絡(luò)過濾的通信。

四、結(jié)語

校園網(wǎng)絡(luò)安全管理是一個系統(tǒng)的工程，學(xué)校不但要建立一套校園網(wǎng)絡(luò)安全管理模式，制定詳細(xì)的安全管理制度，全面考慮系統(tǒng)的安全需求，并將各種安全技術(shù)結(jié)合在一起，才能形成一個有效、通用、安全的網(wǎng)絡(luò)系統(tǒng)。同時作為校園網(wǎng)絡(luò)技術(shù)管理人員，如果學(xué)校沒有經(jīng)濟能力購置硬件設(shè)備，應(yīng)更多地考慮用“軟件”方法構(gòu)建一個比較安全的校園網(wǎng)絡(luò)系統(tǒng)。同時作為校園網(wǎng)絡(luò)技術(shù)管理人員，如果學(xué)校沒有經(jīng)濟能力購置硬件設(shè)備，應(yīng)更多的考慮利用“軟件”設(shè)置的方法，來構(gòu)建一個相對比較安全的校園計算機網(wǎng)絡(luò)安全環(huán)境。

參考文獻

[1]湯明亮.面向Dos攻擊的路由回溯技術(shù)研究[J].國防科技大學(xué)，2009（1）.

[2]王會林.計算機網(wǎng)絡(luò)黑客攻擊與防范技術(shù)研究探索[J].民營科技，2010（5）.

作者簡介：袁姍姍（1983—），女，吉林白城人，碩士，遼寧省大連市計算機學(xué)校講師，研究方向：網(wǎng)絡(luò)技術(shù)，多媒體技術(shù)。