购物车(0)
校园防范措施模板(10篇)
时间:2024-01-08 15:13:02
导言:作为写作爱好者,不可错过为您精心挑选的10篇校园防范措施,它们将为您的写作提供全新的视角,我们衷心期待您的阅读,并希望这些内容能为您提供灵感和参考。
篇1
中图分类号:X928.7 文献标识码:A
1 校园内火灾常见原因
1.1 教职员工和学生的消防安全意识淡薄。许多教职员工和学生因潜心研究学问,对其他事情关心较少,消防安全意识往往比较薄弱,消防法制观念不强,思想麻痹,缺乏防范意识和安全知识,纪律松弛,违反用火、用电等消防安全规定的情况时有发生。
1.2 用火用电不遵安全规范,火灾诱发原因众多。如乱拉乱接电线和保险丝,因电线短路或因接触不良发热而引起火灾;个别的因为用电经常超负荷常跳闸,图方便用铜丝或铁丝代替保险丝,使电路过载发生故障时不能及时熔断而造成电线起火。或在床上点蜡烛,吸烟者乱扔未熄灭的烟头和火柴等,在宿舍内焚烧杂物,在宿舍内使用煤气、液化气不当,使用煤油炉、汽油、酒精等易燃易爆物不当等导致明火引燃。还有电灯泡靠近可燃物长时间烘烤起火;使用电热器无人监管而烤燃起火;长时间使用电器不检修,电线绝缘老化、漏电短路而起火等。
1.3 老式建筑多,先天性火灾隐患多。在有着数十年甚至上百年历史的高校中,有不少木结构建筑仍在使用中。这些木结构建筑年代久远,屋面老化,破损严重,屋脊和封山脊开裂等现象随处可见。当时建筑设计防火等方面的规范尚不完备、法制不健全,导致建筑留下布局不合理,消防通道不畅通,防火间距不够,大型建筑无防火分隔,内部装修和疏散走道大量使用易燃材料等许多先天性火灾隐患。
1.4 校园情况复杂,人员流动性大。包括教学楼、办公楼、实验室、食堂、体育馆、宾馆、家属楼、学生宿舍、教职员工宿舍、校办工厂、出租门面房等,可以说涉及到校园内的各种场所。校园是一个浓缩、开放的小社会,是一个复杂的公共场所。从建筑来看有高层、多层民用建筑,有厂房、仓库,有的还有地下人防工程。从用途来看,既有教学场所、公共娱乐场所、宾馆、饭店、商业网点,又有实验室、宿舍和办公楼。建筑物相对集中,人员相对密集。有的学校中既有生活区、教学区,又有家属区,甚至还有附小、附中等附属单位,使消防安全管理工作难度进一步加大。
1.5 建筑物人员密度大,安全通道少。目前大部分在学生宿舍的建筑面积一般每幢在3000平方米左右,有的甚至更大,一幢楼内居住学生数额1000人上下。大多数在兴建学生宿舍时,虽然已考虑到消防安全需要而留有消防安全通道,但不少单位从日常的防盗安全或学生人身安全考虑而关闭大多数消防安全出口或加设防盗门,只留有一两个出口用于日常进出,使“安全出口”名存实亡,一旦发生火灾,造成的人员伤亡可想而知。有的为了防止男女生混窜宿舍,校方还让男、女生各住一半楼,在楼道中间加门、隔墙进行分隔,宿舍被一分为二,楼梯、消火栓、安全出口等消防设施也被一分为二,火灾危险性大大增加。
1.6 校方在消防安全上投入少。每年的经费开支主要靠各级政府的财政拨款,在国家财力有限,重点保障教育经费支出的情况下,用于消防安全方面的经费十分有限。重点是将经费用在师资力量和教学硬件设备的竞争上,很难投入到人们不易看到的消防基础设施建设和火灾隐患整改上。另外,大学里保卫部门真正实施消防安全管理的人员很少,有的甚至只有一个人,有的人还身兼数职,造成精力分散。
2 高校校园火灾的防范对策
2.1 提高对校园消防安全工作的重视程度。学校是国家培养各类人才的地方,学生们的身上寄托着祖国的未来和希望。学校一旦发生火灾,容易造成学生人员伤亡,造成的社会和政治影响将十分巨大而恶劣。各级教育行政管理部门应从保持社会稳定和可持续发展的角度来认识消防工作的重要性,从人力和物力两方面加大对消防工作的投入。
2.2 开展形式多样的消防宣传教育。学校对学生及教职员工的消防意识薄弱问题应有足够的认识,要加大消防宣传教育的力度,校园内应通过多种形式开展经常性的消防安全宣传与培训。对同学们的宣传应通过张贴消防宣传画、消防刊物、网络、举办消防文化活动等形式,定期组织进行消防演练,以增强其消防法制观念,提高其消防安全意识和责任心,使其掌握防火、灭火、逃生的常识,自觉遵守消防安全规章制度。在新生入学时就要进行消防安全教育,可将消防安全教育内容纳入军训项目之中,使新生一入校即体验到消防安全工作在学校的重要地位;定期举办课外消防知识讲座;从教职员工和学生中发展义务消防队员;举办消防运动会和灭火演练;利用电教设备开展有针对性的消防宣传等。
2.3 建立消防安全管理制度并狠抓落实。在消防安全管理上,学校要建立和健全各项消防安全管理制度,落实消防安全责任制,在宿舍、图书馆、实验室、食堂等重点部位和场所落实岗位消防安全责任制,做到每个岗位和场所都有专人负责消防安全,开展定期和不定期的安全检查,及时发现和消除火灾隐患,保证各项制度得到落实,按照国家有关规定配置消防设施和器材,并要确保其完好有效。
2.4 工作学习中严格遵守消防安全规程。在教室、实验室、研究室学习和工作时,要严格遵照各项安全管理规定、操作规程和有关制度。使用仪器设备前,应认真检查电源、管线、火源、辅助仪器设备等情况,如放置是否妥当,对操作过程是否清楚等,做好准备工作以后再进行操作。使用完毕应认真进行清理,关闭电源、火源、气源、水源等,还应清除杂物和垃圾。涉及使用易燃易爆危险品时,一定要注意防火安全规定,按照规定一丝不苟地进行操作。
2.5 强化学生宿舍的消防安全管理。学生宿舍发生火灾不仅给学生的学习生活带来不便,更重要的是因宿舍内物品多,人多拥挤,疏散不畅,极易造成重大财产损失和人员伤亡。学校要把学生宿舍作为全校防火工作的重点,在方便学生日常学习、生活的同时,要加强宿舍用火、用电的管理,严禁在宿舍内乱接乱拉电线和使用大功率电器,加强检查,及时制止学生的违章行为。同时要确保学生宿舍的消防安全通道畅通,以防不测。在宿舍,应自觉遵守宿舍安全管理规定,不乱拉乱接电线;不使用电炉、热得快、电热杯、电饭煲等电器;不在宿舍使用明火;不将易燃易爆物带进宿舍;不在宿舍内焚烧物品;不在寝室吸烟;发现不安全隐患及时向管理人员或有关部门报告;爱护消防设施和灭火器材,不随意移动或挪做他用;室内无人时,应关掉电器和电源开关等。
2.6 加大资金投入,逐步解决历史遗留问题。学校要广开渠道,多方筹措资金,每年要有足够的消防专项经费用于火灾隐患的整改以及消防器材、设施的配备、维修,力争消防经费投入年年有所增长,把消防安全环境的改善作为改善办学条件的首要任务。另外,还要合理调配人员,确保有足够的人员来进行大学校园的消防安全管理工作。对于历史遗留的建筑耐火等级低,电气线路老化,消防基础设施缺乏等火灾隐患,要根据本单位实际,制定可行的整改计划,及时加以整改。在解决历史遗留问题的同时,要确保新建的建筑决不能再留有火灾隐患。
篇2
中图分类号:TP393.08 文献标识码:A 文章编号:1007-9599 (2011) 21-0000-01
Campus Network Security Issues and Precautions
Tian Yadong
(Tianjin Polytechnic University,School of Computer Science&Software Engineering,Tianjin 300387,China)
Abstract:The campus network is facing serious security situation,this article will address the campus network around the issues of security solutions to ensure the safe operation of the campus network.
Keywords:Campus network;Network security;Measures
随着计算机技术的发展,校园网进入师生们的校园生活。使校园生活、学习、工作和环境发生了巨大的变化。然而校园网络作为学校重要的基础设施,其安全状况直接影响着学校的教学活动,校园网网络上各种信息数据急剧的增加,校园网络信息安全面临严峻问题。
一、校园网络的现状
校园网内部网络数据一般用于满足学校正常的师生行政办公需要、教务教学需要、师生们的课余校园文化生活需要等,这些无论是涉及个人隐私的信息,还是学校行政办公的文档,都需要对进出校园网的访问活动进行必要的控制、有效性的防范。
校园网络系统中接入着具有各式各样操作系统的计算机,通常分布在不同的物理位置,由不同的用户操作,用于不同的用途,这些差异就使得校园网网络中存在一些漏洞。又加上使用者的安全意识不强,或者采取措施不及时造成损失。因此采用安全、及时的漏洞扫描技术对校园网网络中的系统漏洞进行扫描,在攻击发生之前发现网络和系统中的漏洞,并及时采取措施进行修复,可以进一步提高校园网络信息安全保障水平。
二、校园网络存在的问题
(一)校园网用户使用网络的自主性大,拥有庞大的用户群体,一台计算机会有很多用户使用,而且各种操作系统以及应用系统自身的漏洞也会带来的安全威胁。
(二)校园网使用者安全意识强弱水参差不齐,对网络安全毫无意识或不会使用相关软件来避免安全隐患,不能及时发现并及时解决安全问题。
(三)校园网内的用户数量较大,局域网络数目较多,校园网的安全监控管理不到位,缺少专业人员的指导。
(四)不固定的使用群体和大量的信息交互以及使用来自校园网内外的各种病毒的威胁,内部教职工以及学生可能由于使用U盘介质将病毒带入校园内网;外部用户可能通过邮件以及文件传输等将病毒带入校园内网。
(五)存在Internet网络用户对校园网非法访问或恶意入侵的威胁;内外网恶意用户可能利用利用一些工具对网络及服务器发起DOS/DDOS攻击,导致网络及服务不可用。
三、校园网络的防范措施
(一)首先,应该加强使用者的安全意识
目前,大多数使用者普遍对网络安全问题和潜在的风险认识不到位,自我保护和防范措施不得力,人们的安全意识不够强。大多数人们认为安装了防火墙和防病毒软件就算建立了网络安全体系。即使考虑了安全,也只是把安全机制建立在物理连接上。从有关资料显示,国外最新研制出的计算机“接收还原设备”,可以在数百米、甚至数公里的距离内接收任何一台未采取保护措施的计算机屏幕信息。这则信息也许有人会认为是耸人听闻、不可能的事,但随着计算机技术的发展,任何不可能发生的事情都有可能发生。所以加强使用者的安全意识对校园网的安全起着很重要的作用,学校应该开展校园网使用安全课堂讲解这些问题的隐患。
(二)其次,对于恶意的攻击进行有效地防范
1.利用防火墙技术。防火墙作为一种将内外网隔离的技术,普遍运用于校园网安全建设中。防火墙是网络安全的一种防护手段,它是位于两个信任程度不同的软件或硬件设备之间的组合,对两个网络之间的通信进行控制,通过控制和监测网络之间的信息交换和访问行为来实现对网络安全的有效管理,防止外部网络不安全的信息流入内部网络和限制内部网络的重要信息流到外部网络,以达到保护系统安全的目的。
防火墙是一种按某种规则对专网和互联网,或对互联网的一部分和其余部分之间的信息交换进行有条件的控制(包括隔离),从而阻断不希望发生的网络间通信的系统。部署防火墙技术,构筑内外网之间的安全屏障,可以有效地将内部网与外部网隔离开来,保护校园网络不受未经授权的第三方侵入。
防火墙技术有一些局限性。防火墙不能防范不经过它的攻击,不能防止来自网络内部的攻击和安全问题,不具备实时监控入侵的能力,不能防止策略配置不当或错误配置引起的安全威胁,不能防止受病毒感染的文件的传输,不能防止利用服务器系统和网络协议漏洞进行的攻击,不能够防止内部合法用户的主动泄密行为,不能防止本身的安全漏洞威胁。
2.安装入侵检测系统。入侵检测系统通常被认为是防火墙之后的第二道安全闸门,部署于防火墙之后,对网络活动进行实时检测,是防火墙的延续和合理补充。入侵检测系统为网络提供实时的监控,并且在发现入侵的初期采取相应的防护手段,入侵检测系统已经成为网络信息安全架构中必要的附加手段。
根据对校园网网络信息安全的风险分析,通过入侵检测设备对核心交换机的流量进行监控,从而实现入侵检测的功能。一般采用具备入侵防护与入侵检测功能相结合的产品就可以满足需求。监测和防护校园网络系统中重要区域和服务器群的安全运行,全面把握安全状态,以便于及时发现可能的安全攻击,防止安全事件的发生,保证整个校园网系统的网络信息安全。
篇3
进入信息时代,许多大中专院校都组建了各自的校园网。校园网络中心在规划自己的内部网段时,为用户分配并制定了相应的网络IP地址资源,以保证通信数据的正常传输。在校园网络上,任何用户使用未经授权的IP地址的行为称为IP地址盗用,这会造成校园网络的安全隐患、网络资源损耗及IP地址冲突等问题。目前我校实现了行政楼、教学楼等区域的网络建设,随着校园网信息点的日益增多,IP分配方式及管理问题日益突出。针对校园网络的拓朴结构和规模、用户数量及应用状况,采用何种IP分配方式直接影响到校园网络管理的安全性。另一方面,由于我校开展了校企合作项目,加上年轻人对新鲜事物强烈的好奇心,常使用未经授权的IP地址,所以IP地址的防盗与防范措施成了首要问题。
1 IP地址盗用的基本途径及防范措施
1.1 IP地址盗用的基本途径。
1.1.1 静态修改IP地址。网络中的IP地址通常采用静态和动态分配两种方法,如果用户在配置TCP/IP或修改TCP/IP配置时,使用的不是网络管理中心分配的IP地址,就形成了IP地址盗用。由于IP地址是一个逻辑地址,是一个需要用户设置的值,因此无法限制用户对于IP地址的静态修改;而经过DHCP服务器动态分配的IP地址,网络管理人员无法确切的知道该IP的实际用户,又会带来其它管理问题。由于我校目前主要采用的是手动分配IP地址,以及划分了大量VLAN,所以使用此种方式盗用IP地址、盗用网络资源是最主要的。修改IP地址示意图如图1。
图1:手动修改IP地址
1.1.2 成对修改MAC地址和IP地址。针对静态路由技术,IP盗用技术又有了新的发展,即成对修改IP-MAC地址。MAC地址是由国际IEEE组织分配,是固化在网卡上的,一般不能随意改动。但现在的一些兼容网卡,其MAC地址可以使用网卡配置程序或者软件进行修改。如果将一台计算机的IP地址和MAC地址都改为另外一台合法主机的IP地址和MAC地址,那静态路由技术防止IP盗用就无能为力了。手动修改MAC地址示意图如图2。
图2:使用万能软件进行MAC地址修改
1.1.3 IP电子欺骗。IP欺骗就是指伪造某台主机的IP地址的技术,通常需要用编程来实现。通过使用SOCK-ET编程或者使用“黑客”工具,发送带有假冒源IP地址的IP数据包,绕过上层网络软件,达到正常数据通信。当前,借助一些“黑客”工具就可以实现IP动态修改,即对于普通用户来说,达到IP欺骗并不是一件很困难的事。实施IP欺骗示意图如图3。
图3:使用软件IpMap进行IP欺骗
1.2 基本防范措施。
1.2.1 交换机控制。解决lP地址盗用首先推荐使用的是应用交换机进行控制,即在TCP/IP第二层(数据链路层)进行控制。使用交换机提供的端口的单位地址工作模式,即交换机的每一个端口只允许一台主机通过该端口访问网络,任何其它地址的主机访问都被拒绝。通过交换机端口管理,可以在实际使用中迅速发现并阻断IP地址的盗用行为,尤其是解决了IP-MAC成对盗用的问题,同时也不影响网络的运行效率。但此方案的最大缺点在于它需要网络上全部采用交换机提供用户接入,这在高端交换机相对昂贵的今天并不是一个能够普遍采用的解决方案。
1.2.2 路由器隔离。路由器隔离具体的实现方法有两种:①使用静态路由表,即在路由器中建立一个MAC 地址与IP地址的对应表,只有“MAC-IP 地址对”合法匹配的机器才能得到正确的ARP应答;②通过SNMP协议定期扫描网络各路由器ARP表,获得当前IP-MAC对照关系,与存储的合法IP-MAC地址比较,不一致者即为非法访问。路由器隔离技术能够较好地解决IP地址的盗用问题,但是如果非法用户针对其理论依据进行破坏,成对修改IP-MAC地址,对这样的IP地址盗用它就无能为力了。
1.2.3 防火墙与服务器。使用防火墙与服务器相结合,也能较好地解决IP地址盗用问题,这是一种应用层面上解决IP盗用的办法。防火墙用来隔离内部网络和外部网络,用户访问外部网络通过服务器进行。任何上网用户需要到网络管理部门申请帐户和口令,即变IP管理为用户身份和口令的管理。因为用户对于网络的使用归根结底是网络的应用。合法用户可以选择任意一台IP主机使用,通过服务器访问外部网络资源,而无帐户的用户即使盗用IP,也没有用户名和密码,不能使用外部网络。使用防火墙和服务器的缺点也是明显的:①由于使用服务器访问外部网络对用户不是透明的,增加了用户操作的麻烦;②对于大数量的用户群来说,增加了用户管理的难度,同时也给合法用户的使用带来了诸多不便。
1.2.4 添加上网行为管理设备。在主干网中购置添加上网行为管理设备最为安全、稳定、易管理,完全可以解决IP地址盗用,网络资源盗用等问题。现在市面上有很多上网行为管理设备,比如深信服AC系列,然而,这在上网行为管理设备相对昂贵的今天也不是一个能够普遍采用的解决方案。
2 临沧卫校校园网络现状
2.1 校园网络拓扑图。
2.2 网络硬件设备配置。
表1:临沧卫校校园网络硬件配置清单
2.3 内网vlan规划。考虑到整个网络的安全性,避免大范围网络风暴,提高网络传输效能以及便于更好管理,网络管理中心把整个校园网络划分为21个vlan,其中:vlan99为学校领导专用,vlan100为行政办公楼四楼除校领导办公室之外的各部门,vlan101为教务处,vlan102为财务科,vlan103为总务处,vlan104为实验楼,vlan105为学科及教研组,vlan106为一楼教室,vlan107为二楼教室,vlan108为三楼教室,vlan109为四楼教室,vlan110为五楼教室,vlan111为计算机机房,vlan112为多功能报告厅及电教室,vlan113为食堂,vlan115为A幢宿舍楼,vlan116为B幢宿舍楼,vlan117为C幢宿舍楼,vlan118为D幢宿舍楼,vlan119为“翼机通”专用,vlan1000为网络设备管理及服务器群。
3 临沧卫校校园网络IP地址的防盗解决方案
3.1 “端口+IP+MAC 地址绑定”。食堂、学生宿舍区的用户上网是我校网络安全稳定最大的隐患,所以针对我校实际,主要采用“端口+IP+MAC地址”绑定的技术解决方案。华为S2700-52P-EI交换机可以做到端口+IP+MAC 地址的绑定关系,华为S2700-52P-EI交换机可以支持基于MAC地址的802.1X认证。MAC地址的绑定可以直接实现对边缘用户的管理,提高整个网络的安全性、可维护性。这种方式具有很强的安全特性:防DOS的攻击,防止用户的MAC 地址的欺骗,对于更改MAC地址的用户(MAC地址欺骗的用户)可以实现强制下线。
“IP+MAC+端口”配置实例:
[4LouXinan] interface ethernet 0/0/1
[4LouXinan-Ethernet0/0/1] arp anti-attack check user-bind enable
[4LouXinan-Ethernet0/0/1] arp anti-attack check user-bind check-item ip-address mac-address vlan
[4LouXinan-Ethernet0/0/1] quit
[4LouXinan]user-bind static ip-address 192.168.100.1 mac-address 00-1E-90-BF-3E-15 interface Ethernet 0/0/1 vlan 100
图5:S2700交换机IP+MAC+端口配置实物图
“端口+IP+MAC 地址绑定”技术在一定程度上可以防止非法用户盗用IP资源,但如果非法用户使用编程或者软件同时修改IP地址和MAC地址,此种策略也就无能为力了。所以需要配合以下两种方案才能较为彻底地防范多种途径的IP盗用。
3.2 IP源防攻击。网络中常常存在针对IP 源地址进行欺骗的攻击行为,如攻击者仿冒合法用户发送IP报文给服务器,或者伪造其他用户的源IP地址进行通信,从而导致合法用户不能正常获得网络服务。针对此类攻击,在第一个方案基础上,我校网络管理起用了IP Source Guard的功能。IP Source Guard用于对接口转发的IP报文进行过滤,防止非法报文通过接口,提高了接口的安全性。网络中存在攻击者向服务器发送带有合法用户IP 和MAC 的报文,令服务器误以为已经学到这个合法用户的IP 和MAC,但真正的合法用户不能从服务器获得服务。如图2所示,HostA 与HostB 分别与Switch的Eth0/0/1 和Eth0/0/2接口相连。要求在Switch上配置IP Source Guard功能,使HostB不能仿冒HostA 的IP和MAC欺骗服务器,保证HostA 的IP报文能正常上送。
图6:IP Source Guard配置拓扑示意图
IP Source Guard配置实例:
[4LouXinan] interface Ethernet 0/0/1
[4LouXinan-Ethernet0/0/1] ip source check user-bind enable
[4LouXinan-Ethernet0/0/1] ip source check user-bind alarm enable
[4LouXinan-Ethernet0/0/1] ip source check user-bind alarm threshold 200
[4LouXinan-Ethernet0/0/1] quit
[4LouXinan] user-bind static ip-address 10.0.0.1 mac-address 00-1E-90-BF-3E-15 interface ethernet 0/0/1 vlan 100
图7:S2700交换机IP Source Guard配置实物图
3.3 局域网管理软件。我校校园网络通过交换机相应配置之后,还配合使用Super Lanadmin多方式防止IP盗用。Super Lanadmin不但可以多方式有效防止IP地址被盗用,从一定程度上来说,通过Super Lanadmin软件来防止IP地址盗用适合我校的校园网络管理。Super Lanadmin操控界面如示意图图8。
图8:SuperLanadmin操控界面
4 结束语
IP地址的管理是校园网络管理中的一个重要环节,通过以上几种IP地址防盗方法的应用,可以有效地解决我校校园网络IP地址的盗用问题。但仅从软件管理和交换机端口限制,仍然可能存在未经授权的用户使用授权的IP地址而造成IP地址冲突,侵犯了合法用户的权益;另一方面,尽管盗用者无法使用IP地址,但也会造成网络的混乱,甚至威胁到整个网络的安全运行。因此我们要加强用户的网络安全与网上职业道德教育,提高用户的网络安全意识和知识素质才是校园网络安全、稳定、正常运转的重要保证。
参考文献
1 王坤.IP监控与管理系统研究与实现[J].西南交通大学,2002(1)
2 华为3Com技术有限公司编著.华为3Com网络学院教材(V1.2)[M].2004.9
3 杨富国.计算机网络安全应用基础[M].北京:清华大学出版社出版社,2005.1
4 王智,校园网络中IP地址盗用与防范技术[J].新疆石河子工程技术学校,2006
篇4
目前各种局域网中的ARP协议欺骗攻击屡见不鲜,在高校尤为流行,经常会遇到网络无故中断的情况。ARP欺骗技术易于操作、隐蔽性强,校园网中一旦有主机感染,便会迅速蔓延,导致严重的网络故障以及用户信息泄漏。黑客通过ARP欺骗技术,可以对网站内容进行篡改、不良信息、窃取用户账号以及对传输数据的非法监听。这对校园网的安全带来了严重的威胁,如何有效防范ARP欺骗的攻击,已成为高校网络管理工作的重中之重。
1 ARP协议概述
ARP即地址解析协议,作用是将IP地址解析为设备的物理地址,每台主机都有一个ARP缓存表,用来记录IP地址与MAC地址的对应关系。假设主机A要和B通信,它先在本地缓存中查询B的IP,如果找到对应的MAC地址,就直接发送数据给这个地址;否则会广播发送一个ARP请求包,其中包含A的IP和MAC以及B的IP,各主机收到后将请求包中的目的IP同自身IP相比较,不同则忽略,只有B会发现请求包中目的IP与自己的相同,它先将A的IP和MAC记录到自己的ARP列表中,如之前已存在该IP的信息,则进行覆盖,然后向A发回ARP响应包,其中添加了它的MAC,A收到响应包后,将B的MAC与B的IP记录到自己的ARP缓存中,然后就可以发送数据。如果A一直没收到响应包,则说明ARP查询失败。
2 ARP欺骗原理及危害
大部分操作系统在接收到ARP响应后不做检查便直接更新其ARP列表,ARP欺骗的原理就是伪造一个ARP响应包发送给被骗主机,响应包中的源IP和MAC的关系是伪造的,被骗主机收到后,更新ARP列表,从而建立IP与MAC之间错误的对应关系,发送数据到该IP时,无法到达正确的主机。下面是几种典型的ARP欺骗。
(1)伪造网关。其原理是在局域网的同一网段内建立假网关,发送ARP欺骗攻击给网络中的所有主机,被其欺骗的主机不能向正确的网关发送数据,而是将数据发送给了这个假网关,因而会导致主机与网关之间无法正常通信,对网络用户来说就是计算机无法正常上网。
(2)对路由器的欺骗。其原理是给路由器发送ARP欺骗攻击,使路由器获取到一系列错误的MAC地址信息,并按照特定的频率不断进行刷新,因而真实的MAC地址信息也不能通过更新而存入路由器,这样,路由器中的所有数据都被发送到了错误的MAC地址,主机也就不能正常收到路由器的信息。
(3)ARP双向欺骗。假设主机A和网关之间能正常通信,主机B为攻击者,它首先向A发一个非法的ARP应答,告诉A网关IP对应的MAC为B的MAC,A收到后会将本机ARP缓存中网关的MAC改为B的MAC。同理,主机B以同样的方式欺骗网关,使网关中A的MAC更新为B的MAC。这样,通信双方的数据都会到达B,B作为中间人窃取信息并转发给对方。
ARP欺骗具有严重的危害性。一旦某台主机感染ARP病毒,就会迅速蔓延至整个局域网,导致该网络中的主机无法正常通信,如果网关被欺骗,则所有主机都会和外界失去联系,通常的攻击都是频繁在网络中发送ARP欺骗,会耗费大量的带宽,即使能通信网速也会很慢,这些将严重影响到学校的正常工作。ARP的双向欺骗虽不影响网络正常通信,但其对数据信息的窃取,直接威胁到高校网络的信息安全。
3 ARP欺骗防范措施
3.1 建立静态ARP缓存
在主机中建立静态ARP缓存,主机向其它计算机或网关发送数据时,直接从静态缓存中查找目的IP对应的MAC。当收到欺骗的ARP响应包时,设置好的IP与MAC的对应关系不会被更新,因而攻击者无法达到其欺骗的目的。此方法只能人工设置,工作量巨大,校园网中设备数目较大,不可能一一设置,因此综合校园网的情况,可以对其中某些重要的小型子网以及网关之间采取这种方法,既不用投入过多的网络管理成本,又能有效保障网络的安全稳定。
3.2 绑定主机MAC地址与交换机端口
在局域网的交换机上将各端口与其所连主机的MAC进行绑定,通过这个端口的数据帧的MAC是固定的,如端口发现数据中的MAC与其绑定的MAC不同,则锁定该端口,与其相连的主机则无法接入局域网。当攻击者发送伪造的ARP响应时,会立即被端口检测到其MAC值不同并中断连接。此方法适用于高端交换机,可有效防止攻击者接入局域网,但是合法主机更换端口也必须重新绑定,增加了网管工作量。在校园网中,通常对重要的服务器和相关安全设备所连接的交换机应用此方法。
3.3 安装ARP防欺骗软件
目前大部分安全软件都含有ARP防火墙,如360安全卫士、腾讯电脑管家等,可以有效抵御ARP病毒的侵入,启动ARP防火墙后,系统会将网关与本机的IP与MAC地址进行绑定,当其遭受ARP欺骗攻击时会进行警告。ARP防欺骗软件可以有效拦截ARP攻击,但需要不断地在网络中广播正确的IP和MAC地址信息,会占用一定的网络负载。同时ARP防欺骗软件也可阻止攻击者修改主机ARP缓存,能有效保障主机在局域网中的正常通信。
参考文献
[1]李爱贞.高校防范ARP病毒攻击的策略和方法[J].计算机安全,2010(12).
[2]向磊,贺琦.浅析校园网ARP病毒的防范[J].计算机光盘软件与应用,2011(2).
[3]王和平.校园网环境中ARP的欺骗原理与防范方法[J].软件工程师,2010(12).
篇5
随着互联网的迅猛发展,校园网已在我国各地高校得到广泛应用,成为学校教学、科研及管理工作的一大助力。然而,随着校园网络互连的迅速发展,网络安全问题也日益显现,如何加强对校园网络的安全控制,确保校园网络高效、安全地运行,已经成为了各学校最亟待解决的问题之一。
1 校园网网络安全问题
⑴网络系统缺陷。网络系统缺陷包括操作系统缺陷和网络结构缺陷两大部分。
对于操作系统而言,由于设计缺陷或编写代码错误,使得操作系统存在着系统漏洞。而攻击者则可以通过这些系统漏洞移入病毒,从而获取数据信息,甚至破坏操作系统。互联网是由无数个局域网互连而成的巨大网络。当人们使用某一台主机与另一局域网的主机进行通信时,通常情况下它们之间互相传送的数据流要经过多台机器的重重转发[1],任何一个节点的网卡均能截取在同一以太网上所传送的通信数据包。
⑵网络软件的漏洞和“后门”。任何软件都不会是完善无缺陷、无漏洞的,网络软件也是如此,而这些漏洞恰恰是黑客进行攻击的首选目标。在软件开发阶段,后门可便于测试、修改和增强模块功能。通常情况下,设计完成后应该去掉各个模块的后门,不过有时也会因为疏忽或其他原因,如为方便今后访问、测试或维护而未去除后门,而那些别有用心的人则会利用这些后门进入系统并发动攻击。
⑶人为恶意入侵。恶意入侵是互联网所面临的最大威胁。黑客攻击可分为主动攻击和被动攻击两种,被动攻击是指在不影响网络正常工作的情况下,进行截获、窃取、破译以获取机密信息。由于它主要是收集信息而不是进行访问,数据的合法用户对这种活动一点也不会觉察到。主动攻击是以各种方式选择性地破坏信息的有效性和完整性。这两种攻击均可能对网络造成极大危害并导致重要数据的泄漏。[2]
⑷网络安全意识薄弱。随着互联网的迅速发展,网络用户越来越多,但很多人对网络知识了解得并不多,网络安全意识不强,主要有以下问题:各类口令设置过于简单、随意将自己的账号借给他人、与他人共享某些资源、计算机没有安装安全软件和防火墙、随意登录不安全网站或使用不安全的软件等。[3]
2 网络安全技术及防范措施
网络安全是指网络系统的硬件、软件及其系统中的数据受到保护,不因偶然的或者恶意的原因而遭到破坏、更改、泄露,系统连续、可靠、正常地运行,网络服务不中断。
⑴防火墙技术。所谓防火墙是由软件和硬件设备的组合体,是一种用来加强网络之间访问控制的网络隔离控制技术。它能将校园网与外网分开,能有效地防止外网用户以非法手段进入内网、访问内网资源,通过预定义的安全策略,对内外网通信强制实施访问控制。
虽然防火墙是保护网络免遭黑客袭击的有效手段,但也存在不足,不能一味倚重,否则一旦防火墙被攻破,校园网网络系统的安全性将轻易被破坏。
⑵加密技术。在计算机网络系统中,与防火墙配合使用的安全技术还有文件加密技术,它是为提高信息系统及数据的安全性与保密性,防止秘密数据被外部窃取、侦听或破坏所采用的主要技术手段之一。[4]
在数据传输过程中,利用技术手段把数据进行加密传送,对信息进行重新组合,到达目的地后再进行解密。通过数据加密技术,可以有效防止未授权的用户访问,在一定程度上提高了数据传输的安全性,保证了数据传输的完整性。
⑶入侵检测技术。入侵检测技术是防火墙的合理补充,被认为是防火墙之后的第二道安全闸门,它作为一种积极主动地安全防护技术,可起到防御网络攻击的作用,因而提高了网络系统的安全性和防御体系的完整性。
入侵检测在不影响网络性能的情况下能对网络进行监测,通过对行为、安全日志、审计数据或其他网络上可以获得的信息进行处理,从而发现入侵行为并及时作出响应,包括切断网络连接、记录事件和报警等,进而提供对内部攻击、外部攻击和误操作的实时保护。
⑷安全扫描技术。网络安全扫描技术是一种有效的主动防御技术,,它是检测远程或本地系统安全脆弱性的一种安全技术。其基本原理是采用模拟黑客攻击的方式对目标可能存在的已知安全漏洞进行逐项检测,以便对工作站、服务器、交换机、数据库等各种对象进行安全漏洞检测。[5]
基于网络的安全扫描主要扫描设定网络内的服务器、路由器、网桥、变换机、访问服务器、防火墙等设备的安全漏洞,并可设定模拟攻击,以测试系统的防御能力。安全扫描技术与防火墙、安全监控系统互相配合能够提供很高安全性的网络。
3 结束语
在校园网快速发展的今天,网络安全已成为各学校网络管理不可忽略的问题,如何合理运用技术手段有效提高网络安全也成了学校网络管理中的重中之重。作为校园网络管理者,应在实践中灵活运用各种网络安全技术,更好地保障校园网络的安全运行。
[参考文献]
[1]陈东.计算机网络安全技术[M].天津市电视技术研究会2013年年会论文集,2013年.
[2]王健.计算机网络的安全技术[J].宁夏机械,2009.4.
篇6
一、前言
近几年来校园借贷在校园中风靡开来,为何高校中的借贷还比社会中更火热呢?通过相关调查了解到,原来校园的分期贷款办理很简单,只要你是在校学生,仅用一张身份证就可以搞定,并且相对于信用卡而言,校园分期贷具有门槛低,额度高的优点,就如一些平台向学生贷款的额度高达一万元。这些分期贷款主要是以p2P的运营方式推广,由该公司提供大量的原始资金,寻求大量潜在的学生人群,诱导学生群体分期消费。但是这些分期贷款的年息都很高,甚至超出信用卡利息的一倍以上,导致学生无法偿还贷款,从而影响到学生的学习情况和信用记录,对学生今后的生活带来巨大的不便。
二、目前校园借贷存在问题
1.缺乏校园的系统管理。校园借贷如此火热,前提就是不需要较多的证明,没有学校的监督,没有财产的验证,没有信用的考虑,只要一张能证明自己本人是在校学生就能轻松办理,并且贷款的数额巨大,多者能达几十万,很明显这是校园借贷的一大风险,其实真正的风险在于校园借贷的利息高和催贷的方式让人难以想象。通过正规的流程借贷,若是到期后无法偿还只需要到法院进行,由法院判定,通过法律程序追回拖欠的财产,这种方式不会威胁到个人的人生安全,更不会影响到家庭和将来的就业问题。但是这些校园借贷机构往往是威胁恐吓等极端方式催债,严重影响了学生的心理和生理健康发展,甚至导致悲剧的发生。
2.学生缺乏借贷风险意识。若是按理想的发展状况来考虑,其实借贷对于学生是有积极的意义的。目前许多高校生对创业的热情都很高涨,但是创业所需的原始资金却让人却步,这时候校园借贷的出现正是为圆满学生一个美好的创业梦,有了校园借贷还能缓解家庭困难的学生学费的问题。但是校园借贷的高额利息风险需要自己来管控,对于还没有经济来源的学生来说,一定要摆正自己的消费观,不能盲目的消费和攀比,将每一分借来的贷款用在提升自身价值的地方。
3.相关监管力度薄弱。正常P2P模式受到校园借贷平台的漏洞和风险的严重打击。因为校园借贷的门槛低,限制少,吸引了众多的高校学生,但是也影响了部分学生的消费观念,导致这类学生步入还贷的深渊。校园借贷平台应该科学的引导学生的消费观,用真心换取真情的方式打入学生市场,只有这样,才能做到适合学生群体的产品,才能长远发展。
三、校园借贷风险控制
(一)完善贷款政策体系
1.借贷体系中加入“担保人”。校园借贷之所以如此风靡,受到学生的喜爱,无非是门槛低,方便贷款,但是后期的还款制度没有健全,应当加入这次交易自铲担保人”签订协议,若是债务人无法偿还债务,需要担保人承担责任,担保人应该是学生的直系亲属或是组织结构;若是学生借贷创业,那么这笔资金应该经过学院的调查评估,作为学生的担保人,@样实施不仅提高的门槛,避免了学生的盲目消费,还能树立学生正确的消费观。
2.完善校园借贷法律法规。借贷机构在高校中往往以虚假的信息吸引学生的关注,在实际还贷中利息还比宣传时候的高的多,从而导致学生无力偿还,形成利滚利,越滚越大,直至悲剧的发生。各个放贷机构的违约金从每天0.5%到8%不等,并且可能会掺杂有高额的服务费用,这类的费用是不明确告诉借贷人的,在咨询的时候也没有明确的答案。针对这种漏洞,应立马建立起相应的法律法规,严打这类违法的行为。
3.加强身份的审核。身份是作为唯一识别的标志,借贷者应使用自己的身份进行流程的申请,才能进一步保障借贷风险。但是新闻曝光中就有使用身边同学的身份一样能通过审核,这非常明显的体现出借贷风险漏洞,也造成学生借贷风险的增加。
(二)增强学生借贷风险意识
1.加强学生相关知识教育。当今社会信用基本与个人的生活息息相关,步入社会后需要贷款买房,贷款出过留学等都需要信用的支持。但是我国的高校目前还未给学生普及这类常识,只有学生与银行打交道的时候才意识到信用的重要性。我国高校应该通过科学的方式去培养学生注重信用的培养以及注重自己的信用意识,以避免将来受信用不良而影响了个人发展前途。
2.限制学生贷款的金额。如今有很多的分期贷款机构进入校园,这些机构有个共同点就是不在乎你的信用度和偿还能力,只要你借,他就能贷。这类问题的存在会促使学生向多家机构同时借贷,最终的结果就是无法偿还。
(三)加强网络监管工作
篇7
中图分类号:TP393.08文献标识码:A文章编号:1007-9599 (2012) 06-0000-02
近年来,随着高等职业教育的不断发展,随着高职院校办学实力、社会服务能力不断提升,社会对高职教育的关注和认识也在逐步加深。同时随着科技的进步,计算机的普及,网络技术的飞速发展,计算机及计算机网络在高职教育中无论从教学、科研还是管理等方面都起着举足轻重的的作用。当然,随之而来的校园网络安全问题也成为各大高职院校日益重视的问题。当前的网络安全问题已经不是仅仅的存在于简单的病毒传播,很大程度上已经影响到了教师的教学。为了确保网络能有效的保证教学效果及各部门的工作效率,如何在黑客、病毒横行的时代提高校园网络的安全已成为各大高职院校迫切需要解决的问题。
一、什么是计算机网络安全
(一)计算机网络安全
计算机网络安全是指利用网络管理控制和技术措施,保证在一个网络环境里,数据的保密性、完整性及可使用性受到保护。计算机网络安全包括即物理安全和逻辑安全两个方面。物理安全指系统设备及相关设施受到物理保护,免于破坏、丢失等。逻辑安安全包括信息的完整性、保密性和可用性。
(二)对计算机信息构成不安全的因素
对计算机信息构成不安全的因素很多,其中包括人为的因素、自然的因素和偶发的因素。其中,人为因素是指,一些不法之徒利用计算机网络存在的漏洞,或者潜入计算机房,盗用计算机系统资源,非法获取重要数据、篡改系统数据、破坏硬件设备、编制计算机病毒。
网络安全一词也这样被解释:网络系统的硬件,软件及其系统中的数据受到保护,不受偶然的或者恶意的原因而遭到破坏,更改,泄露,系统连续可靠正常地运行,网络服务不中断。”
二、高职院校校园网中出现的网络安全问题
(一)安全漏洞
所谓漏洞,就是程序设计者在设计过程中的人为疏忽。当然,漏洞是在任何程序中都无法绝对避免。我们所说的“黑客”也正是利用设计者的这一点点疏忽对网络进行攻击的。其实真正对黑客的定义我们就可以理解他们为“寻找漏洞的人”。他们中的大多数并不是以网络攻击为初衷,只是天天专注与研究他人的程序并努力找到其中的缺陷。我们也可以这样理解,从某种程度上讲,一开始的大多数黑客都是“好人”,他们之所以找漏洞是为了追求完善、建立安全的互联网模式才加入此行列的。只不过因为个别居心不良或受人唆使的黑客经常利用那些具有攻击性的漏洞,加上一些影视中夸张的表现手法,近些年才让人们对黑客有了畏惧和敌视的心理。高职院校中大多数教师及学生使用的都是WINDOWS XP WINDOWS 7操作系统。这些操作系统同样不是万无一失,在不同层面上都存在着这样那样的问题;这就意味着学生实用的各种应用软件、防火墙等硬件设备在不同程度上也存在安全漏洞问题。这些漏洞对很多刚刚接触计算机的同学来说是很容易导致机器不能正常使用,机器的不正常工作一部分原因可能由于操作的不当出现硬件问题,当然有相当一部分问题是由于黑客或病毒找到了系统漏洞,对计算机进行攻击造成的。
同时校园网站在系统安全保障的建设中也会由技术人员在设计网站应用架构时出现了不规范,从而使得高校网站上出现了严重缺失,网站挂马、网页篡改等各种攻击行为;近年来针对高职教育的校园网站的攻击热点已经从单纯的网站攻击行为衍生到攻击利益链模式,许多学校都面临较大的形象及经济损失。
(二)病毒感染破坏
从计算机普及的那一天起,各种计算机病毒就随之而来。损坏操作系统的、将文件夹变为可执行性文件的,导致硬盘打不开的等等。有些计算机病毒不但本身具有破坏性,更有害的是具有传染性,一旦病毒被复制或产生变种,其速度之快令人难以预防。同样,计算机病毒也会通过各种渠道从已被感染的计算机扩散到未被感染的计算机,学生之间通过U盘拷贝文件,或教师通过网络上传下载文件都随时有可能帮助病毒进行传播。还有些病毒像定时炸弹一样,让它什么时间发作是预先设计好的。比如黑色星期五病毒,不到预定时间一点都觉察不出来,等到条件具备的时候一下子就爆炸开来,对系统进行破坏。一个编制精巧的计算机病毒程序,进入系统之后一般不会马上发作,可以在几周或者几个月内甚至几年内隐藏在合法文件中,对其他系统进行传染,而不被人发现,潜伏性愈好,其在系统中的存在时间就会愈长,病毒的传染范围就会愈大。由于高职院校中存在使用计算机人员多,层次多,病毒多的特点,所以各种病毒都会有机可乘。
(三)网络资源滥用
在高职院校的校园网内,各类用户滥用网络资源的情况严重。高职学生大多数都是起点较低并且对学习兴趣不浓。不排除极个别同学会在校园网上查阅资料,用来学习,但这类人群在当前的高职院校中可以说少之又少。个别同学不安装杀毒软件,或者安装了杀毒软件也不及时更新,上网随便下载乱七八糟的软件,随意接收别人的文件,还有的同学会浏览一些不合法网站,随着各种不正当操作的进行,病毒也就逐渐的渗透到学校的各个角落,严重影响了学校网络的正常使用,也严重影响了学校各项工作的顺利开展。
三、校园网络的安全防范策略
近年来,随着校园信息化建设的逐步深入,各项工作对信息系统依赖的程度越来越高。作为窗口的校园网站,所面向的用户群也越来越广泛,所承载的功能也越来越全面,不单是面向校内,同时面向社会也提供了诸多服务功能。校园网站已从一个简单的信息、展示平台,逐步转变为汇集了招生就业、远程教育、成果共享、招标采购等功能的综合性业务平台。随着国家对高职教育的逐步重视,越来越成多的攻击和威胁出现在校园内,学院网站所面临的Web应用安全问题越来越复杂,混合威胁的风险正在飞速增长,如网页篡改、蠕虫病毒、DDoS攻击、SQL注入、跨站脚本、Web应用安全漏洞利用等,极大地困扰着学校和学生用户。高职院校校园网络安全管理是一项复杂的系统工程,尤其在高职院校人员分布零散,学生素质参差不齐,整体管理相对困难的前提下要提高网络安全,必须从校园的各个层面入手,才能从根本上解决问题。
(一)安全的物理环境
要保证整个学校的计算机网络系统的安全、可靠,必须保证系统有个安全的物理环境。这个安全的环境包括机房、办公室、寝室等相关的计算机设施。
(二)配备高性能的防火墙
凡是能有效阻止网络非法连接的方式,都算防火墙。早期的防火墙一般就是利用设置的条件,监测通过的包的特征来决定放行或者阻止的。虽然防火墙技术发展到现在有了很多新的理念提出,但是包过滤依然是非常重要的一环,如同四层交换机首要的仍是要具备包的快速转发这样一个交换机的基本功能一样。通过包过滤,防火墙可以实现阻挡攻击,禁止外部/内部访问某些站点,限制每个IP的流量和连接数。
(三)及时修复系统软件漏洞
可以以讲座或学生宣传的形式提醒各位教师及同学们及时更新操作系统,安装各种补丁程序的重要性。
(四)建立全面的网络防杀毒系统
篇8
关键词:校园网;网络安全;网络安全的维护
中图分类号:TP393 文献标识码:A 文章编号:1007-9599 (2012) 10-0000-02
一、引言
在社会不断地进步,互联网在生活中扮演的角色越来越重要,人们的工作、学习和生活已经离不开互联网。近年来,在高职院校,为方便师生的学习、工作,纷纷组建了校园网,校园网的发展也非常迅速,不过由于其起步较晚,软硬件设施较差,在组建校园网运行中存在着很多不足之处,导致了现存的高职院校校园网存在足多隐患的局面,高职院校校内网的安全问题也益发凸显。
二、目前高职院校校园网存在的隐患及问题
高职院校的校园网网络安全存在很大的隐患,这给广大师生的学习,工作都带来很大的不便,更有甚者回影响到学校、师生的利益。这些隐患主要体现在以下几个方面:
(一)互联网的开放性决定了校园网的安全更容易受到攻击
互联网网络的通信协议是开放性的,通信协议是互联网通信的基础,目前高职院校校园网普遍使用TCP/IP协议簇,而通用性和开放性是TCP/IP协议簇的一大特点,基于这种特点,只要具备了一定的技术就可以分析并使用这一协议,这就造成了校园网在通信上的漏洞。数据窃听(Packet Sniff):TCP/IP协议数据流采用明文传输,因此数据信息很容易被窃听、篡改和伪造。特别是在使用含有用户账号、口令的数据包进行通信时,使用Sniff,Snoop或网络分析仪等可以对以上信息进行截取,达到攻击的目的。例如:源地址欺骗(Source address spoofing);源路由选择欺骗(Source Routing spoofing);鉴别攻击(Authentication Attacks);TCP序列号欺骗(TCP Sequence number spoofing);ICMP攻击(工CMP Attacks);拒绝服务((DOS)攻击;IP栈攻击(IP Stack Attack)等,这种由于互联网的根本属性而来的漏洞,不能够彻底解决,但是由于校内网的特点却更容易使其安全受到攻击。
(二)硬件设施的落后导致其安全隐患巨大
高职院校的校园网虽然发展迅速,但由于其起步较晚,加之在建设校园网的过程中,大部分高职院校并没有进行大幅度的改变,而是在原有局域网的基础上进行一些整改,这种硬件上的落后必然导致校园网的安全隐患。
(三)系统防火墙抵抗外来攻击入侵能力较弱
校园网的系统防火墙是抵御外来入侵的有效手段,对于外来的攻击能提供有效的屏蔽,但目前大部分高职高校的校园网系统却存在很多漏洞,容易被不法分子利用,校园网的防火墙能力也比较弱,对于拥有一定技术的黑客而言基本形同虚设。
(四)网络安全管理存在巨大的缺陷,非常不完善
网络的管理能够很大程度上消除校园网的安全隐患,但大部分高职院校学院网络的管理相对比较较混乱,没有统一的网络出口、网络管理软件和网络监控、日志系统,缺乏上网的有效监控和日志。这种管理能力的欠缺也是导致目前高职院校网络安全问题的一大原因。
(五)校内人员安全意识单薄,并出现内部攻击校园网的情况
微型计算机的普及使得拥有个人计算机的学生数量在飞速的增长,但是除了个别对于计算机比较熟练地用户以外,目前,很大一部分的学生对于计算机的安全意识比较单薄,比如:安全软件更新不够,系统的漏洞更是比比皆是,这些问题导致了校园网的计算机更容易沾染病毒,而基于校内网特点,这带来的后果往往更加严重。此外,校园网的防火墙虽然能够对于校外的入侵起到一定抵御作用,可是对于来自校园网内部的攻击的防护能力却基本为零,而根据研究,目前基本上校园网受到的大部分攻击都是来自校内,这主要是由于校园内的人员大多属于有想法,有冲劲的年轻人,加之互联网上的攻击软件,黑客软件比比皆是,再加上目前国内外舆论对于黑客行为的不可观的评价,这就对于年轻人带来很大的诱惑,希望通过一些比较出位的手段来获得心理的满足,于是,攻击校园网也就成了一种可选择的手段。
(六)高职院校的特殊性导致其更易受到攻击
校园网的一大特点即是速度和规模上比较大,由于存在以上隐患,对于不法之徒而言,攻击、入侵校内网的效率相对而来就会更高,目前,越来越多的黑客把目标瞄向了校园网,加之层出不穷的网络病毒在校园网内传播的更加迅速,虽然校园网目前大都建立了防火墙,但这些依旧给校园网的安全带来很大的压力。
三、针对高职院校校园网存在问题的改善意见及措施
针对我国目前高职院校校园网存在的问题,学校应该从提高技术,增强防范意识,提高软硬件设施等方面出发。
(一)加大基础设施投入
篇9
中图分类号:TP
文献标识码:A
文章编号:1672-3198(2010)09-0284-02
1 ARP协议及欺骗原理
1.1 ARP协议
ARP欺骗,一个让我们耳熟能详的网络安全事件,普遍的存在于校园网、企业网等网络环境中,给我们的工作、学习和生活带来了很大的不变,轻则网络变慢、时断时续,重则直接无法上网、重要信息被窃取,可以说,ARP欺骗是网络的一块顽疾。分析ARP欺骗,就不得不研究一下ARP协议,因为这种攻击行为正是利用了ARP协议本身的漏洞来实现的。
ARP协议是“Address Resolution Protocol”(地址解析协议)的缩写,它的作用,就是将IP地址转换为MAC地址。在局域网中,网络中实际传输的是“数据帧”,数据帧如果要到达目的地,就必须知道对方的MAC地址,它不认IP的。但这个目标MAC地址是如何获得的呢?它就是通过ARP协议获得的。所谓“地址解析”就是主机在发送帧前将目标IP地址转换成目标MAC地址的过程。ARP协议的基本功能就是通过目标设备的IP地址,查询目标设备的MAC地址,以保证通信的顺利进行。
每台安装有TCP/IP协议的电脑里都有一个ARP缓存表,表里的IP地址与MAC地址是一一对应的。
我们以主机A向主机B发送数据为例。当发送数据时,主机A会在自己的ARP缓存表中寻找是否有目标IP地址。如果找到了,也就知道了目标MAC地址,直接把目标MAC地址写入帧里面发送就可以了;如果在ARP缓存表中没有找到相对应的IP地址,主机A就会在网络上发送一个广播,目标MAC地址是“FF.FF.FF.FF.FF.FF”,这表示向同一网段内的所有主机发出这样的询问。网络上其他主机并不响应ARP询问,只有主机B接收到这个帧时,才向主机A做出这样的回应。这样,主机A就知道了主机B的MAC地址,它就可以向主机B发送信息了。同时它还更新了自己的ARP缓存表,下次再向主机B发送信息时,直接从ARP缓存表里查找就可以了。
ARP缓存表采用了老化机制,在一段时间内如果表中的某一行没有使用,就会被删除,这样可以大大减少ARP缓存表的长度,加快查询速度。
以上就是ARP协议的作用以及其工作过程,看来是很简单的,也正因为其简单的原理,没有其他措施的保障,也就使得ARP欺骗产生了。下面我们来看看ARP欺骗到底是怎么回事。1.2 ARP欺骗原理
为什么会有ARP欺骗,这还要从ARP协议说起,前面我们介绍了,当源主机不知道目标主机的MAC地址的话,就会发起广播询问所有主机,然后目标主机回复它,告知其正确的MAC地址,漏洞就在这里,如果一个有不轨图谋的主机想收到源主机发来的信息(可能是用户名、密码、银行账号之类的信息),那么它只需也向源主机回复一下,响应的IP地址没错,但MAC地址却变成了发起欺骗的主机的,这样,信息就发到它那里去了(前面说了,数据帧只认MAC地址)。这是一种欺骗的方式,还有一种方式,是利用了“免费ARP”的机制。所谓免费ARP就是不需要别人问,一上来就先告诉别人,我的IP地址是多少,我的MAC地址是多少,别的主机无需广播,就已经知道了该主机的IP和MAC,下次需要发到这个IP的时候,直接发就行了。既然是主动发起的,就可以被别有用心的人利用了,用一个假冒的IP地址(可能是网关的或者重要服务器的地址)加上自己的MAC出去骗别人,就把重要的信息都骗到这里来了。下面我们来看看ARP欺骗的具体操作过程。
1.2.1 局域网主机冒充网关进行ARP欺骗
欺骗过程:如下图所示,PC A跟网关GW C通讯时,要知道GW的MAC地址,如果PC B假冒GW告诉PC A,GW的Mac地址是MACB;或者干脆告诉PC A,GW的Mac地址是MACX,那么,PC A就受骗了,PC A的数据就到不了网关,造成断线。
1.2.2 局域网主机冒充其他主机欺骗网关
欺骗过程:网络通讯是一个双向的过程,也就是说,只有保证PC A-> GW C以及GW C->PC A 都没问题,才能确保正常通讯。假如,PC B冒充主机PC A,告诉GW C:PC A的MAC是MAC B, 网关就受骗了,那么,PC A到GW C没有问题,可是,GW C到不了PC A,因而造成网络断线。
以上两种欺骗,尤其是第二种类型的欺骗,现在更为常见。从本质上说,同一局域网内(这里指在同一网段)的任何两个点的通讯都可能被欺骗,无论是主机到网关,网关到主机,主机到服务器,服务器到主机,还有主机之间都是一样,都可能产生进行ARP欺骗,欺骗本质都是一样。
1.2.3 其他欺骗类型
主机冒用其它主机,欺骗其它主机的方式:如主机A冒用主机B的MAC,欺骗主机C,以达到监听主机B和主机C的目的.并且导致主机B到主机C之间的网络连接中断。
外网欺骗:外网冒用路由器A的MAC,欺骗更上一级的路由器B,导致更上一级的路由器被骗,将内网信息全部转发给外网恶意主机。
2 ARP的主要欺骗及攻击方式
2.1 ARP欺骗
网络欺骗是黑客常用的攻击手段之一,网络ARP欺骗分为两种,一种是对路由器ARP表的欺骗,另一种是对内网主机的网关欺骗。前一种欺骗的原理是攻击者通过截获分析网关数据,并通知路由器一系列错误的内网IP地址和MAC地址的映射,按照一定的频率不断进行使真实的地址信息映射无法通过更新保存在路由器中,结果路由器转发数据到错误的MAC地址的主机,造成正常主机无法收到信息;后一种ARP欺骗的原理是伪造网关,它的原理是把真实网关的的IP地址映射到错误的MAC地址,这样主机在向网关发送数据时,不能够到达真正的网关,如果假网关不能上网,那么真实的主机通过假网关也不能上网。
2.2 中间人攻击
按照ARP协议的设计,一个主机即使收到的ARP应答并非自身请求得到的,也会将其IP地址和MAC地址的对应关系添加到自身的ARP映射表中。这样可以减少网络上过多的ARP数据通信,但也为ARP欺骗创造了条件。如图1所示,PC-X为X主机,MAC-X为X主机的物理地址,IP-X为X主机的IP地址。PC-A和PC-C通过交换机S进行通信。此时,如果有攻击者(PC-B)想探听PC-A和PC-C之间的通信,它可以分别给这两台主机发送伪造的ARP应答报文,使PC-A中的ARP缓存表中IP-C和MAC-B所对应,PC-C中的ARP缓存表中IP-A和MAC-B所对应。此后,PC-A和PC-C之间看似直接的通信,实际上都是通过攻击者所在的主机间接进行的,如图1虚箭头所示,即PC-B担当了中间人的角色,可以对信息进行窃取和篡改。这种攻击方式就称作中间人攻击。
2.3 ARP泛洪攻击
攻击主机持续把伪造的IP地址和MAC地址的映射对发给受害主机,对于局域网内的所有主机和网关进行广播,抢占网络带宽并干扰正常通信。导致网络中的主机和交换机不停地来更新自己的IP地址和MAC地址的映射表,浪费网络带宽和主机的CPU,使主机间都不能正常通信。除了中间人攻击、ARP泛洪攻击外,还有Dos攻击等。
目前知道的带有ARP欺骗功能的软件有“QQ第六感”、“网络执法官”、“P2P终结者”、“网吧传奇杀手”等,这些软件中,有些是人为手工操作来破坏网络的,有些是做为病毒或者木马出现,使用者可能根本不知道它的存在,所以更加扩大了ARP攻击的杀伤力
3 ARP攻击的主要防范措施
3.1 IP地址和MAC地址的静态绑定
3.1.1 在用户端进行绑定
ARP欺骗是通过ARP的动态刷新,并不进行验证的漏洞,来欺骗内网主机的,所以我们把ARP表全部设置为静态可以解决对内网的欺骗,也就是在用户端实施IP和MAC地址绑定,可以再用户主机上建立一个批处理文件,此文件内容是绑定内网主机IP地址和MAC地址,并包括网关主机的IP地址和MAC地址的绑定,并把此批处理文件放到系统的启动目录下,使系统每次重启后,自动运行此文件,自动生成内网主机IP地址到MAC地址的映射表。这种方法使用于小型的网络中。
3.1.2 在交换机上绑定
在核心交换机上绑定用户主机IP地址和网卡的MAC地址,同时在边缘交换机上将用户计算机网卡的IP地址和交换机端口绑定的双重安全绑定方式。这样可以极大程度上避免非法用户使用ARP欺骗或盗用合法用户的IP地址进行流量的盗取,可以防止非法用户随意接入网络,网络用户如果擅自改动本机网卡的IP或MAC地址,该机器的网络访问将被拒绝,从而降低了ARP攻击的概率。
3.2 采用VLAN技术隔离端口
局域网的网络管理员可根据需要,将本单位网络规划出若干个VLAN,当发现有非法用户在恶意利用ARP欺骗攻击网络,或因合法用户受病毒ARP病毒感染而影响网络时,网络管理员可先找到该用户所在的交换机端口,然后将该端口划一个单独的VLAN,将该用户与其它用户进行隔离,以避免对其它用户的影响,当然也可以利用将交换机的该端口关掉来屏蔽该用户对网络造成影响。
3.3 采取802.1X认证
802.1X认证可以将使未通过认证的主机隔离,当发现某台主机中毒时,将禁止其认证从而达到将中毒主机隔离网络的目的。
篇10
中图分类号:TN915.08文献标识码:A文章编号:1007-9599 (2010) 06-0000-02
Attacks Principle& Preventive Measures of ARP Protocol Under Campus Network
Li Hui,Du Shanlin
Abstract:From the function of the ARP protocol to explain the working mechanism ARP.ARP works by analyzing the protocol,discuss the ARP protocol to the physical address from IP address resolution process in the presence of the security risk, given the same network segment and the process of inter-segment ARP cheating. Articles from the client and the network equipment side,puts forward the countermeasures,including the IP address and MAC address binding,switch port and MAC address binding,VLAN isolation techniques on the ARP spoofing attack,the security policy.
Keywords:ARP protocol;ARP attack;MAC address;Preventive measures
一、ARP工作原理
(一)ARP协议介绍
ARP在局域网中,实际传输的是“帧”,帧包括源MAC地址及目标的MAC地址。 在以太网中,一主机要和另一主机进行通信,必须要知道目标MAC地址。MAC是通过ARP地址解析协议获得的。“地址解析”就是主机在发送帧前将目标IP地址转换成目标MAC地址的过程。ARP的基本功能就是通过目标设备的IP地址,查询目标设备的MAC地址,以保证通信的顺利进行。
ARP协议规定每一个主机都设有一个ARP高速缓存,里面存有所在局域网上的各主机和路由器的IP地址到硬件地址的一张映射表。根据存储类型,ARP地址转换表可被分为动态和静态两种。
(二)ARP的工作流程
当主机A准备向B发送数据时,己知A明确B的IP地址IPB为192.168.1.101,MAC地址为BB-BB-BB-BB-BB-BB。通过比较IPB与子网掩码,判断A与B是否在同一网段。
1.A与B在同一个网段,A检查本机上ARP缓存区是否有B的MAC地址,如果有则直接发送信息给B,没有就以广播的形式向A所在本局域网内所有主机发送ARP请求报文,意思是本地主机大喊一声“谁的IP是192.168.1.101?请把你的MAC地址传过来!”。网络上其他主机并不响应ARP询问,只有B收到此广播帧后,向A返回ARP reply报文(含MAC地址),意思是对A说“我的IP是IPB,我的MAC地址是BB-BB-BB-BB-BB-BB,当A接收到应答后,更新本机上的ARP缓存,然后用该物理地址把数据包直接发送给B。
2.A与B不在同一网段, A若想要发送信息给B,就必须通过本地网关S1来转发,由本地网关通过路由将数据包发送到B所在网段中的网关S2,网关S2收到这个数据包发现是发送给B的,就会检查自己的ARP缓存,看是否有B的MAC地址,如果没有就使用ARP协议获得,如果有就用该MAC地址与主机B通信。
二、ARP病毒欺骗的实现
(一)ARP协议存在的安全隐患
由于ARP协议不对报文信息的真实性校验,而且没有被请求的ARP响应报文同样可以被目标主机所接受。目标主机刷新自己的缓存,把新的地址映射信息加入到ARP高速缓存中。这种缺陷使得伪造别人的IP地址或MAC地址实现ARP欺骗,进而影响系统报文通信成为一种可能。
(二)ARP病毒作用机理
ARP病毒工作时,首先在将安装有ARP机器的网卡MAC地址通过ARP欺骗广播至整个局域网,使局域网中的工作站误认为安装ARP的机器是该局域网的网关。由于局域网中的所有信息都必须通过网关来中转,当它伪装成网关时,由于物理地址错误,网络上的计算机发来的数据无法正常发送到网关,无法正常上网,造成这些计算机无法访问外网,而局域网中所有机器的数据却都可能流经它而被它窃取。
1.同一网段的ARP欺骗。
设在同一网段的三台主机:A,B,C。
假设A与B是信任关系,A欲向B发送数据包。攻击方C通过前期准备,收集信息,发现B的漏洞,使B暂时无法工作。然后C发送包含自己MAC地址的ARP应答给A。由于大多数的操作系统在接收到ARP应答后会及时更新ARP缓存,而不考虑是否发出过真实的ARP请求,所以A接收到应答后,就更新它的ARP缓存,建立新的IP/MAC地址映射对,即B的IP地址对应C的MAC地址。这样,A就将发往B的数据包发向了C。
2.跨网段的ARP欺骗。
这种方式需要把ARP欺骗与ICMP重定向攻击结合在一起。假设A和B在同一网段,C在另一网段,其IP地址和物理(MAC)地址映射关系如表
跨网段IP/MAC地址映射关系
首先攻击方C修改IP包的生存时间,将其延长,以便做充足的广播。然后寻找B的漏洞,攻击此漏洞,使主机B暂时无法工作。此后,攻击方C发送B的IP地址和C的MAC地址的ARP应答给A。A接收到应答后,更新其ARP缓存。这样,在主机A上B的IP地址就对应C的MAC地址。但是,A在发数据包给B时,仍然会在局域网内寻找192.168.1.101的MAC地址,不会把包发给路由器,这时就需要进行ICMP重定向,告A“到192.168.1.101的最短路径不是局域网,而是路由,请主机重定向路由路径,把所有到192.168.1.101的包发给路由器”。主机A在接受到这个合理的ICMP重定向后,修改自己的路由路径,把对192.168.1.101的数据包都发给路由器。这样攻击方C就能得到来自内部网段的数据包。
基于ARP协议的这一工作特性,借助于一些黑客工具如网络剪刀手等,黑客向对方计算机不断发送有欺诈性质的ARP数据包和ARP恢复数据包,数据包内包含有与当前设备重复的MAC地址,使对方在回应时,由于简单的地址重复错误而导致不能进行正常的网络通信,这样就可以在一台普通计算机上通过发送ARP数据包的方法来控制网络中任何一台计算机的上网与否,甚至还可以直接对网关进行攻击,让所有连接网络的计算机都无法正常上网。
三、安全防范策略
(一)用户端计算机的防御策略
1.安装杀毒软件、防火墙。安装金山毒霸、瑞星、360安全卫士、金山ARP防火墙等杀毒软件,必须要定期升级更新病毒代码,每天定时对机器进行病毒扫描,及时更新补丁程序等。安装影子系统或其它还原系统,这样在受到ARP攻击后可以通过重启实现ARP病毒的清除。
2.网上玩游戏要注意安全。许多带有ARP病毒的木马程序往往都是隐藏在网络游戏的外挂中通过网络游戏私服进行传播的。
3.在用户端计算机上绑定交换机网关的IP和MAC地址。Windows用户可通过在命令行方式执行“arp Cs 网关 IP 网关MAC 地址”命令来减轻中毒计算机对本机的影响。网关IP和网关MAC地址可在网络工作正常时通过命令行方式下的“arp -a”命令来得到。可以编写一个批处理文件arp.bat,实现将交换机网关的MAC地址和网关的IP地址的绑定,并将这个批处理文件拖到“开始-程序-启动”中,以便用户每次开机后计算机自动加载并执行该批处理文件。
4.安装常见的防范ARP欺骗攻击的工具软件。针对ARP欺骗攻击出现了一些可以保护客户端的网关MAC地址不被修改的工具软件,并且报警当前是哪个MAC地址在攻击网络。
5.计算机中了ARP病毒后的处理方法。一旦你的计算中了ARP病毒,各种防病毒软件或专杀工具很难完全清除,只有重装系统,并施加相关防护措施,才可以得到比较彻底的恢复。
(二)网络设备管理端的防御策略
1.在核心交换机上绑定用户主机的IP地址和网卡的MAC地址,同时在边缘交换机上将用户计算机网卡的MAC地址和交换机端口绑定的双重安全绑定方式。同时在三层交换机上实时检控用户的IP MAC对应表以及在二层交换机上限制用户端接口上最大可以上传的MAC数量。
(1)IP和MAC地址的绑定。
在核心交换机上将所有局域网络用户的IP地址与其网卡MAC地址一一对应进行全部绑定。这样可以极大程度上避免非法用户使用ARP欺骗或盗用合法用户的IP地址进行流量的盗取。
(2)MAC地址与交换机端口的绑定。
根据局域网络用户所在的区域、楼体和用户房间所对应的交换机端口号,将用户计算机网卡的MAC地址和交换机端口绑定。此方案可以防止非法用户随意接入网络端口上网。网络用户如果擅自改动本机网卡的MAC地址,该机器的网络访问将因其MAC地址被交换机认定为非法而无法实现上网,自然也就不会对局域网造成干扰了。
2.开启交换机上针对ARP的特定功能。在锐捷S21系列二层交换机上可以通过开启Anti-ARP-Spoofing功能,防止同一网段内针对用户的ARP欺骗攻击。其他厂家的设备也有类似功能,CISCO的可以使用ARP-Inspection,H3C的可以使用Anti-ARP-at2tack。
3.使用ARP服务器查找自己的ARP转换表来响应其他机器的ARP广播。
4.对上网用户进行上网认证和地址绑定。通过在用户侧使用静态IP同时在汇聚交换机上进行IP-MAC对的绑定,同时开启帐号+密码+IP+MAC+接入交换机IP+接入交换机PORT的六元素绑定。由于用户名、密码、用户端IP、MAC和接入交换机IP、PORT都对应起来了,杜绝了同一MAC对应多个IP和用户MAC对应网关IP的ARP欺骗,因此通过地址绑定基本可以实现网络对于ARP欺骗攻击的完全性免疫。
四、结束语
本文通过分析ARP协议的工作原理,探讨了基于ARP协议漏洞的欺骗攻击的实现过程,提出了多种可行的安全防御策略,并分析了多种防御措施各自存在的局限性,对于彻底的防范ARP欺骗攻击,一般需要多种方案配合使用,特别是对用户上网进行认证"如果要从根本上解决这一问题,最好的方法将是重新设计一种安全的地址解析协议,已经在IPV6中已经考虑到了这个问题,采用了更安全的方式杜绝了来自底层的攻击。
参考文献:
[1]谢希仁.计算机网络.北京:电子工业出版社,2003,6
[2]傅伟,谢宜辰.基于ARP协议的欺骗攻击及安全防御策略.湘潭师范学院学报,2007,12
[3]邓清华,陈松乔.ARP欺骗攻击及其防范.微机发展,2004,14,8:126-128
[4]周增国.局域网络环境下ARP欺骗攻击及安全防范策略.计算机与信息技术
[5]潘锋.局域网中ARP欺骗的防范.Computer Era,2007,5
