高職院校校園網(wǎng)絡(luò)典型現(xiàn)狀分析

摘要：該文從某高職院校校園網(wǎng)絡(luò)拓?fù)涞恼f明出發(fā)，分析了常見校園網(wǎng)絡(luò)中容易出現(xiàn)的網(wǎng)絡(luò)攻擊及其相應(yīng)對(duì)策，對(duì)萬人校園網(wǎng)絡(luò)的管理和安全維護(hù)有一定的參考價(jià)值。

關(guān)鍵詞：網(wǎng)絡(luò)拓?fù)?；ARP攻擊；DOS攻擊

中圖分類號(hào)：TP393 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1009-3044（2014）05-1144-03

Analysis of Typical College Campus Network Current Situation

JIANG Fan

（Jianghan Art Colledge， Qianjiang 433100，China）

Abstract： This article begins with taling about a college campus network toplogy.It analyses the comman problems which are happened in campus network and gives the corresponding methods to resolve them.This will be helpful for the management and maintaince of 10 thousand people level campus network.

Key words： MVC；Codeigniter framework； e-commercial website

1 概述

計(jì)算機(jī)網(wǎng)絡(luò)作為現(xiàn)代信息交流的工具已經(jīng)廣泛深入到了人們的生活與工作中。學(xué)校作為信息交流特別頻繁的單位，計(jì)算機(jī)網(wǎng)絡(luò)更是起著不可或缺的作用。信息及時(shí)、準(zhǔn)確和迅速地傳達(dá)，可以大大提高學(xué)生和教師的教學(xué)效率。同時(shí)，由于設(shè)備故障或者人為因素，使得校園計(jì)算機(jī)網(wǎng)絡(luò)（簡(jiǎn)稱校園網(wǎng)）有時(shí)候變得很脆弱，從而影響人們的工作和學(xué)習(xí)效率。如何提高校園網(wǎng)的魯棒性，更好的為師生員工提供服務(wù)，這是本文要探討的主要問題。

2 校園網(wǎng)拓?fù)浣Y(jié)構(gòu)

某高職學(xué)院校園網(wǎng)采用經(jīng)典的三層拓?fù)浣Y(jié)構(gòu)，具體入圖1所示：

圖1 某高職院校園總體網(wǎng)拓?fù)鋱D

在這個(gè)拓?fù)鋱D中，我們可以看到，整個(gè)校園網(wǎng)絡(luò)是以百兆以太網(wǎng)的標(biāo)準(zhǔn)進(jìn)行構(gòu)建的，采用的傳輸介質(zhì)主要是超五類雙絞線，在距離超過一百米的地方考慮使用集線器或者使用光纖來代替，比如學(xué)生宿舍到網(wǎng)絡(luò)中心，就是采用光纖作為傳輸介質(zhì)。校園網(wǎng)對(duì)稱的分成兩半，一半是學(xué)生的，另外一半是教師的，每一半網(wǎng)絡(luò)采用的都是三層結(jié)構(gòu)：接入層、匯聚層和核心層。這里的接入層采用的交換機(jī)型號(hào)是銳捷1900系列的，比如學(xué)生宿舍，也有的地方比如實(shí)驗(yàn)樓和家屬區(qū)采用的是集線器。銳捷1900系列的交換機(jī)比集線器要多劃分VLAN和進(jìn)行802.1X認(rèn)證的功能，這兩項(xiàng)功能便于對(duì)學(xué)生進(jìn)行管理。

圖2 接入層網(wǎng)絡(luò)拓?fù)鋱D

匯聚層采用的交換機(jī)大部分是銳捷3760系列的交換機(jī)，除了綜合樓采用銳捷2150以外。學(xué)生區(qū)和實(shí)驗(yàn)樓機(jī)房的核心層使用的是銳捷6806交換機(jī)，而教師宿舍和綜合樓這一半則采用3760交換機(jī)作為網(wǎng)絡(luò)的核心層。

有兩個(gè)互聯(lián)網(wǎng)出口IP，一個(gè)是學(xué)生端的，另外一個(gè)是教師端的。

3 校園網(wǎng)絡(luò)比較容易出現(xiàn)的網(wǎng)絡(luò)攻擊情況

3.1 ARP攻擊

ARP[1]是Address Resolve Protocol（地址解析協(xié)議）的縮寫。在TCP/IP協(xié)議族中，ARP協(xié)議從層次上看是最低的，可以說它是介于數(shù)據(jù)鏈路層和網(wǎng)絡(luò)層之間的一個(gè)協(xié)議。所有其他TCP/IP協(xié)議族協(xié)議都是封裝在IP數(shù)據(jù)包中，只有ARP像IP協(xié)議一樣直接封裝在數(shù)據(jù)鏈路層的數(shù)據(jù)幀中。數(shù)據(jù)鏈路層的數(shù)據(jù)幀在局域網(wǎng)中主要是以太網(wǎng)數(shù)據(jù)幀。以太網(wǎng)幀地?cái)?shù)據(jù)幀格式如下圖：

圖3 以太網(wǎng)幀地?cái)?shù)據(jù)幀格式

對(duì)于以太網(wǎng)幀來說，當(dāng)它的協(xié)議類型字段值是0x0800時(shí)，表示它里面封裝的是IP數(shù)據(jù)包；當(dāng)它的協(xié)議類型字段值是0x0806，表示以太網(wǎng)數(shù)據(jù)幀中封裝的是ARP數(shù)據(jù)包。ARP協(xié)議用于將IP地址轉(zhuǎn)換為MAC地址。MAC地址是數(shù)據(jù)鏈路層的地址，在局域網(wǎng)里，計(jì)算機(jī)之間通信要將數(shù)據(jù)包封裝在數(shù)據(jù)幀中傳輸，數(shù)據(jù)包使用的是IP地址，數(shù)據(jù)幀使用的是MAC地址。只有將包含IP地址的數(shù)據(jù)包封裝在包含MAC地址的數(shù)據(jù)幀中，數(shù)據(jù)包才會(huì)被計(jì)算機(jī)網(wǎng)卡發(fā)送出去。

圖4 用wireshark捕獲的包含ARP數(shù)據(jù)包的以太網(wǎng)數(shù)據(jù)幀

在圖4中，10.1.19.12這臺(tái)主機(jī)知道目的主機(jī)的IP地址（10.1.19.254），不知道目的主機(jī)的MAC地址，源主機(jī)（MAC地址為00-16-ec-a5-e1-90）就要向局域網(wǎng)發(fā)送ARP廣播數(shù)據(jù)包，內(nèi)容就是誰有10.1.19.254這個(gè)IP地址對(duì)應(yīng)的MAC地址，請(qǐng)告訴00-16-ec-a5-e1-90？目的主機(jī)收到這個(gè)廣播包后，給源主機(jī)一個(gè)單播包，內(nèi)容是10.1.19.254這個(gè)IP地址在00-d0-f8-05-c9-53（假設(shè)它就是目標(biāo)主機(jī)的MAC地址）上。這樣，源主機(jī)和目的主機(jī)的通信就可以在網(wǎng)絡(luò)層以上展開，而不用管數(shù)據(jù)鏈路層關(guān)于MAC地址的細(xì)節(jié)了。在圖4中，我們還可以看到在一臺(tái)主機(jī)上可以捕獲到其他主機(jī)上發(fā)送的ARP數(shù)據(jù)包，這也說明了ARP數(shù)據(jù)包是廣播的。

由于ARP協(xié)議是一個(gè)不經(jīng)過認(rèn)證的協(xié)議，如果局域網(wǎng)中有主機(jī)向外發(fā)送偽造的ARP報(bào)文，報(bào)告虛假的網(wǎng)關(guān)MAC地址信息，就會(huì)出現(xiàn)大部分受騙主機(jī)上不了網(wǎng)的情況。因?yàn)樵摳呗氃盒Ｐ@網(wǎng)是局域網(wǎng)，局域網(wǎng)多人共用一個(gè)IP，最容易遭到ARP攻擊。出現(xiàn)這種情況應(yīng)該用網(wǎng)管工具及時(shí)鎖定向外發(fā)送虛假ARP報(bào)文的機(jī)器，對(duì)該機(jī)器進(jìn)行網(wǎng)絡(luò)隔離，直至修復(fù)后才可以重新接入網(wǎng)絡(luò)。

3.2 拒絕服務(wù)攻擊

拒絕服務(wù)DoS（Denial of Service）攻擊顧名思義就是使Internet中的受攻擊對(duì)象（主機(jī)、服務(wù)器、路由器等網(wǎng)絡(luò)設(shè)備）無法提供或者接受正常服務(wù)的一種攻擊，典型的DoS攻擊中，攻擊者向受害者發(fā)送大量的數(shù)據(jù)包消耗受害主機(jī)的資源（網(wǎng)絡(luò)帶寬，路由器上的包緩沖區(qū)，目標(biāo)機(jī)器的CPU和內(nèi)存），從而使合法用戶無法訪問所需信息。因此可以說DoS是一種損人不利已的攻擊行為[2]。

拒絕服務(wù)攻擊的方式主要有死亡之ping攻擊和SYN泛洪攻擊。

在上面某高職院校的網(wǎng)絡(luò)拓?fù)鋱D中，從學(xué)生宿舍到校園網(wǎng)絡(luò)內(nèi)的關(guān)鍵設(shè)備如出口路由器和Web服務(wù)器之間鏈路層的連接都是通的，這為學(xué)生進(jìn)行拒絕服務(wù)攻擊創(chuàng)造了基礎(chǔ)條件。另外學(xué)生的好奇心是他們進(jìn)行網(wǎng)絡(luò)攻擊的首要?jiǎng)訖C(jī)，他們不需要掌握很多專業(yè)網(wǎng)絡(luò)知識(shí)，只需要下載一些簡(jiǎn)單的黑客工具或者使用windows自帶的網(wǎng)絡(luò)命令，就可以實(shí)現(xiàn)對(duì)目標(biāo)主機(jī)的攻擊。

對(duì)于死亡之ping攻擊，攻擊者通過使用多臺(tái)主機(jī)向目標(biāo)服務(wù)器發(fā)送超大的數(shù)據(jù)包，使目標(biāo)服務(wù)器出現(xiàn)緩沖區(qū)溢出的現(xiàn)象，從而死機(jī)，這樣目標(biāo)服務(wù)器就不能對(duì)外提供服務(wù)。

對(duì)于這類事件我們可以在連接服務(wù)器的防火墻上設(shè)置相應(yīng)的策略，禁止死亡之ping。

對(duì)于SYN泛洪攻擊，它利用的原理是TCP協(xié)議三次握手。TCP（Transmission Control Protocol，傳輸控制協(xié)議）目前是Internet上承擔(dān)任務(wù)最為繁重的一個(gè)協(xié)議。大多數(shù)應(yīng)用層服務(wù)比如http、ftp、telnet等都需要通過它遞交給網(wǎng)絡(luò)層的IP 協(xié)議來實(shí)現(xiàn)。眾所周知的是，IP層并不保證數(shù)據(jù)報(bào)一定被正確地遞交到目的端，為了保證在不可靠地互聯(lián)網(wǎng)絡(luò)上提供一個(gè)可靠的端到端字節(jié)流，網(wǎng)絡(luò)設(shè)計(jì)師們?cè)O(shè)計(jì)了TCP協(xié)議。同IP協(xié)議一樣，默認(rèn)的TCP數(shù)據(jù)頭都是20個(gè)字節(jié)長(zhǎng)。在20個(gè)字節(jié)中，最重要的字段是源端口號(hào)、目的端口號(hào)、序列號(hào)（SEQ）、確認(rèn)應(yīng)答號(hào)（ACK）、控制代碼位或標(biāo)志位（CTL或CODE）。TCP的連接是保證數(shù)據(jù)包可靠傳遞的基礎(chǔ)。TCP的連接包括建立連接和釋放連接。

TCP使用了三次握手法來建立和釋放連接。在三次握手中，

圖5 TCP連接的建立過程

在圖5中，為了建立連接，首先由一方發(fā)起建立連接的請(qǐng)求，圖中首先由TCP實(shí)體A向TCP實(shí)體B發(fā)送一個(gè)序列號(hào)（SEQ）為100的TCP段，這個(gè)段的控制信號(hào)為SYN（將TCP段格式中的SYN標(biāo)志位置為1），表示請(qǐng)求建立一個(gè)連接，這個(gè)段是不帶確認(rèn)號(hào)的。接著由TCP實(shí)體B向TCP實(shí)體A回送一個(gè)TCP段，在這個(gè)段中，我們可以看到TCP實(shí)體B會(huì)帶上自己的序列號(hào)（SEQ）300，并將TCP段格式中的SYN標(biāo)志位置為1，除此之外，這個(gè)TCP段還會(huì)將TCP段格式中的ACK標(biāo)志位置為1，并將TCP段中的確認(rèn)號(hào)置為101，這樣可以向TCP實(shí)體A表示：“你的序列號(hào)為100的TCP段已經(jīng)收到，請(qǐng)發(fā)下一個(gè)序列號(hào)為101的TCP段。”在前兩次握手中，兩個(gè)TCP實(shí)體都會(huì)帶上SYN標(biāo)志，表示請(qǐng)求建立連接，在第二次握手中還會(huì)帶上對(duì)第一次握手的確認(rèn)，在接下來的第三次握手中，不再包含SYN這個(gè)標(biāo)志位，只是向?qū)Ψ酱_認(rèn)已經(jīng)收到上一個(gè)TCP段，或者還帶上數(shù)據(jù)（如上圖所示）。至此，一個(gè)完整的TCP連接的過程已經(jīng)建立。

在網(wǎng)絡(luò)安全中，黑客可以利用TCP三次握手的完整性來使服務(wù)器陷入拒絕服務(wù)狀態(tài)（Deny Of Service）。方法是這樣的，黑客機(jī)器不斷向服務(wù)器發(fā)送SYN標(biāo)志位置為1的TCP數(shù)據(jù)段，請(qǐng)求連接到服務(wù)器，服務(wù)器響應(yīng)黑客機(jī)器，不斷地向黑客機(jī)器發(fā)送SYN和ACK標(biāo)志位置為1的TCP數(shù)據(jù)段，表示已經(jīng)收到黑客機(jī)器的連接請(qǐng)求，并請(qǐng)求和黑客機(jī)器也建立連接，但是黑客機(jī)器就是不回第三次握手中的ACK標(biāo)志位置為1的TCP數(shù)據(jù)段，使得雙方的TCP連接無法建立，服務(wù)器陷入等待黑客機(jī)器的狀態(tài)。如果黑客機(jī)器上用惡意軟件不斷地向服務(wù)器只發(fā)送SYN標(biāo)志位置為1的TCP數(shù)據(jù)段，而不回應(yīng)服務(wù)器ACK標(biāo)志位置為1的TCP數(shù)據(jù)段，服務(wù)器就會(huì)被忙于應(yīng)付黑客機(jī)器，而對(duì)其他機(jī)器正常的資源請(qǐng)求拒絕服務(wù)。

對(duì)于這類事件我們可以在連接服務(wù)器的防火墻上設(shè)置相應(yīng)的策略，禁止TCP半連接。

4 小結(jié)

本文以某高職院校的校園網(wǎng)現(xiàn)狀分析為切入點(diǎn)，深入分析了當(dāng)前校園網(wǎng)絡(luò)中可能出現(xiàn)的各種網(wǎng)絡(luò)安全事件的原理，并給出了相應(yīng)的對(duì)策。對(duì)于網(wǎng)絡(luò)攻擊原理，該文分析比較詳細(xì)，對(duì)策方面由于使用的網(wǎng)絡(luò)安全設(shè)備不一樣，該文沒有祥述。另外由于篇幅的限制，該文在計(jì)算機(jī)病毒引起的網(wǎng)絡(luò)安全事件并未提及。

參考文獻(xiàn)：

[1] 劉佰明，姜帆.計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)與實(shí)訓(xùn)教程[M].大連：東軟電子出版社，2011.

[2] http：//online.gxut.edu.cn/xssj/itxt/20100510/30680.html.