高校計(jì)算機(jī)機(jī)房主流網(wǎng)絡(luò)攻擊與防范技術(shù)研究

文/楊俊

Intemet的發(fā)展在帶給我們很多便利的同時(shí)，也給網(wǎng)絡(luò)帶來(lái)了越來(lái)越大的風(fēng)險(xiǎn)。無(wú)處不在的攻擊者使得網(wǎng)絡(luò)安全問(wèn)題尤為突出。因此，網(wǎng)絡(luò)管理人員們理應(yīng)全面、深刻地了解黑客進(jìn)行攻擊的原理、方法以及過(guò)程，以便有的放矢的針對(duì)不同的攻擊方法采取相應(yīng)措施。唯有如此，才能夠更有針對(duì)性的進(jìn)行高效、主動(dòng)的防護(hù)。

一、高校計(jì)算機(jī)機(jī)房主流網(wǎng)絡(luò)攻擊的研究意義

伴隨著IT技術(shù)的逐漸發(fā)展與推廣，國(guó)內(nèi)很多學(xué)校也增設(shè)了計(jì)算機(jī)機(jī)房，以作為教師和學(xué)生們?nèi)W(xué)習(xí)、運(yùn)用計(jì)算機(jī)相關(guān)知識(shí)、技巧的一個(gè)必不可缺的場(chǎng)地。當(dāng)然，也有不少是建設(shè)用于圖書(shū)館的電子閱覽室專用的計(jì)算機(jī)機(jī)房。越來(lái)越多的教學(xué)活動(dòng)需要在機(jī)房中利用計(jì)算機(jī)來(lái)開(kāi)展。問(wèn)題是，機(jī)房所承擔(dān)的教學(xué)、科研等任務(wù)的順利實(shí)施同時(shí)也受到了越來(lái)越突出的網(wǎng)絡(luò)、系統(tǒng)管理安全等問(wèn)題的嚴(yán)重影響，尤其是在受到網(wǎng)絡(luò)攻擊后，機(jī)房設(shè)備中所發(fā)生的網(wǎng)絡(luò)頻繁掉線或者不順暢、IP地址沖突等狀況。因此，怎樣高效、全面地保障網(wǎng)絡(luò)安全、防止網(wǎng)絡(luò)遭到攻擊這一工作，已經(jīng)被列為高校機(jī)房、網(wǎng)絡(luò)安全管理人員日常工作里重中之重的內(nèi)容。

二、高校計(jì)算機(jī)機(jī)房網(wǎng)絡(luò)安全的現(xiàn)狀

部分高校計(jì)算機(jī)網(wǎng)絡(luò)安全防范沒(méi)有形成完整的體系結(jié)構(gòu)，沒(méi)有建立完善的管理體系，其缺陷給攻擊者有機(jī)可乘。機(jī)房、網(wǎng)絡(luò)安全管理人員沒(méi)有足夠的安全知識(shí)儲(chǔ)備，缺乏專業(yè)性以及防范意識(shí)，無(wú)法保障網(wǎng)絡(luò)配置及管理的安全性，他們對(duì)于突發(fā)事件也沒(méi)辦法迅速做出反應(yīng)和補(bǔ)救措施。再者網(wǎng)絡(luò)協(xié)議本身就存在缺陷，比如ARP協(xié)議，一般而言，攻擊者都會(huì)借助于網(wǎng)絡(luò)協(xié)議或系統(tǒng)自身的漏洞缺陷來(lái)進(jìn)行網(wǎng)絡(luò)攻擊。

三、高校計(jì)算機(jī)機(jī)房主流網(wǎng)絡(luò)攻擊技術(shù)及防范措施

(一)DDoS攻擊技術(shù)

DDoS攻擊是分布式拒絕服務(wù)(Distributed Denial of Service)的縮寫。這類攻擊會(huì)借助客戶/服務(wù)器的技術(shù)，聯(lián)合起多臺(tái)計(jì)算機(jī)當(dāng)作攻擊平臺(tái)，去DDoS攻擊相同或者多個(gè)目標(biāo)，進(jìn)而數(shù)倍提升其拒絕服務(wù)攻擊的力量。其攻擊方式可以分成以下幾種類型：

1.使得網(wǎng)絡(luò)過(guò)載，進(jìn)而實(shí)現(xiàn)對(duì)正常網(wǎng)絡(luò)通訊的干擾甚至阻斷；

2.阻斷某一用戶進(jìn)行服務(wù)器訪問(wèn)；

3.對(duì)服務(wù)器提出大量的請(qǐng)求，使得服務(wù)器超負(fù)荷；

4.阻斷某一服務(wù)和特定的系統(tǒng)或者個(gè)人之間的通訊。

(二)DDoS攻擊的危害和防范

DD0S攻擊極具隱蔽性，其常常會(huì)采用通過(guò)大量合法的請(qǐng)求的手段占用服務(wù)器網(wǎng)絡(luò)資源，由此而達(dá)到癱瘓網(wǎng)絡(luò)的目的。服務(wù)器在面對(duì)DDoS攻擊時(shí)很難合理的判定和區(qū)分請(qǐng)求，因此遭受攻擊時(shí)往往束手無(wú)策。因此，機(jī)房、網(wǎng)絡(luò)安全管理人員需要提升安全防護(hù)意識(shí)，保障網(wǎng)絡(luò)系統(tǒng)安全。通常，可以采取以下幾種防范措施：

1.采用高性能的網(wǎng)絡(luò)設(shè)備；

2.盡量避免NAT的使用；

3.充足的網(wǎng)絡(luò)帶寬保證；

4.升級(jí)主機(jī)服務(wù)器硬件；

5.把網(wǎng)站做成靜態(tài)頁(yè)面；

6.增強(qiáng)操作系統(tǒng)的TCP/IP棧。

(三)ARP欺騙攻擊技術(shù)

ARP協(xié)議的全名是 “地址解析協(xié)議 ”(Address Resolution Protocot)。ARP協(xié)議最為基本的一個(gè)功能便是經(jīng)由目標(biāo)設(shè)備IP地址去查詢目標(biāo)設(shè)備MAC地址，以保證能夠順利進(jìn)行通信。倘若透過(guò)假造MAC地址和IP地址去實(shí)現(xiàn)ARP欺騙，便可使得大量ARP通信量產(chǎn)生于網(wǎng)絡(luò)中，進(jìn)而使得網(wǎng)絡(luò)發(fā)生阻塞，實(shí)現(xiàn)ARP攻擊目的。而ARP欺騙一般有兩種出現(xiàn)方式，一種為對(duì)路由器ARP表的欺騙；另一種是對(duì)內(nèi)網(wǎng)PC的網(wǎng)關(guān)欺騙。

(四)ARP欺騙攻擊的危害和防范

高校計(jì)算機(jī)機(jī)房比較容易遭受ARP欺騙攻擊，并且一旦遇到攻擊，就會(huì)發(fā)生間接性網(wǎng)絡(luò)掉線問(wèn)題，導(dǎo)致局域網(wǎng)中的一部分電腦在一定時(shí)間內(nèi)無(wú)法上網(wǎng)；會(huì)經(jīng)常發(fā)送IP地址沖突警報(bào)、瀏覽器也會(huì)頻繁地出錯(cuò)；有的時(shí)候，部分電腦會(huì)輪流掉線，而有的時(shí)候，所有的電腦都無(wú)法上網(wǎng)，打不開(kāi)網(wǎng)頁(yè)或者打開(kāi)網(wǎng)頁(yè)的速度很慢，整體的網(wǎng)速也會(huì)越來(lái)越慢，在對(duì)交換機(jī)或者主機(jī)進(jìn)行重啟之后就可以解決問(wèn)題，但過(guò)了一段時(shí)間之后同樣問(wèn)題又會(huì)再次出現(xiàn)。防范措施如下：

1.由于ARP攻擊手段主要采用了偽裝IP地址和MAC地址的方式對(duì)用戶進(jìn)行錯(cuò)誤的誘導(dǎo)，因此，綁定IP及MAC地址，進(jìn)而使用靜態(tài)的ARP表，就可以不理會(huì)攻擊者發(fā)送的任何干擾消息。

2.采用VLAN聚合技術(shù)和PVLAN技術(shù)，實(shí)現(xiàn)所有端口的隔離，杜絕ARP數(shù)據(jù)欺騙。

3.部分局域網(wǎng)內(nèi)木馬病毒的傳播需要借助ARP欺騙，因此通過(guò)安裝正版的殺毒軟件并定期對(duì)病毒庫(kù)進(jìn)行更新，可以起到一定預(yù)防作用。

4.安裝專業(yè)的ARP防火墻，國(guó)內(nèi)知名的比如瑞星防火墻、騰訊電腦管家都具有ARP防火墻的功能模塊。而ARP防火墻能夠在系統(tǒng)內(nèi)核層對(duì)ARP攻擊數(shù)據(jù)包采取攔截措施，以保障無(wú)法篡改網(wǎng)關(guān)正確的MAC地址，進(jìn)而保證數(shù)據(jù)流向的正確性，確保通訊數(shù)據(jù)不會(huì)受到第三者的控制，可以有效地解決局域網(wǎng)中ARP攻擊的問(wèn)題。

四、總結(jié)

網(wǎng)絡(luò)攻擊并沒(méi)有我們想象中那么的可怕，只需要掌握其原理，通過(guò)采取多種防范措施、充分利用機(jī)房中的軟硬件，就可以有效地保障網(wǎng)絡(luò)安全，最大限度地降低網(wǎng)絡(luò)攻擊的危害性。此外，還有一點(diǎn)很重要，那就是高校的機(jī)房、網(wǎng)絡(luò)安全管理人員也需要具備比較高的責(zé)任心，要主動(dòng)對(duì)機(jī)房中的計(jì)算機(jī)或者網(wǎng)絡(luò)使用狀況加以關(guān)注，在日常工作中注意定期升級(jí)機(jī)房中計(jì)算機(jī)的病毒庫(kù)等。網(wǎng)絡(luò)以及IT技術(shù)的日益發(fā)展，必然會(huì)帶來(lái)越來(lái)越多的網(wǎng)絡(luò)攻擊，但是只要肯盡心盡責(zé)，相信我們是能夠全面、有效地防范各種網(wǎng)絡(luò)攻擊的。

[1]李延香，袁輝，劉淑英.校園局域網(wǎng)ARP欺騙攻擊的防御方法和實(shí)施[J].自動(dòng)化與儀器儀表，2015(9).

[2]鄧凌凌.信息工程中計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的安全問(wèn)題及應(yīng)用[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2017(04).