淺析防范拒絕服務（Dos）攻擊在我校應用

淺析防范拒絕服務（Dos）攻擊在我校應用

大連市計算機學校 ?袁姍姍

【摘要】本文先分析我校校園網絡安全隱患，在此基礎上提出了保障校園網絡安全的解決方案，并在如何設置路由器防范拒絕服務（DoS）攻擊進行了重點闡述，以達到硬件防火墻的效果，從而提高校園網絡的安全性。

【關鍵詞】校園網;安全隱患;路由器設置

一、校園網的安全隱患

探討校園網絡安全首先要分析校園網絡存在哪些方面的安全隱患及來源特點，筆者認為我校校園網絡的安全隱患主要歸于如下幾種情況：

1.病毒感染

病毒感染是校園網中最常見、最嚴重的一種安全威脅，病毒防范最重要的方法是堵住它的入侵途徑。而校園網病毒的主要入侵途徑有以下四種：

（1）瀏覽網頁、電子郵件而感染的網絡病毒，如有蠕蟲類病毒、木馬程序等。

（2）網絡共享的攜帶病毒文件，從而感染了使用此共享文件的系統。

（3）攜帶病毒的盜版光盤的軟件。

（4）攜帶病毒的U盤、移動硬盤等移動存儲設備。

2.網絡攻擊

隨著網絡技術的發展，各種網絡攻擊事件頻頻發生，黑客的惡意行為不時導致學校網絡癱瘓，令校園網管理人員十分頭痛。網絡攻擊主要有以下四種形式：

（1）拒絕服務（DoS）：DoS攻擊是利用一批受控制的機器向一臺機器發起攻擊，具有較大的破壞性。DoS攻擊通過對服務器產生大量的服務請求，使服務器忙于響應應答訊息，造成TCMP棧崩潰，導致與Internet的連接中斷、無數的窗口被打開、系統死機，甚至重新啟動等，造成服務器系統不勝負荷，喪失提供正常服務的能力。

（2）木馬程序：是一種能夠在受害者毫不察覺的情況下滲透到系統的程序代碼。受害電腦一旦被種植了木馬，就意味著控制者能夠通過控制主機去控制受害系統，進行秘密信息的竊取或破壞。

（3）黑客入侵：是指某些具有頂尖網絡技術的人士，通過掃描程序發現系統開放的端口和漏洞，然后通過特殊的程序或進行特定操作控制整個系統。

3.校園網絡內部的威脅

我校校園網的用戶數量很多，包括了教師、行政人員、學生和家長等。相對企業網絡，校園網來自內部的威脅更加嚴重。主要有如下三種情況：（1）MAC地址盜用：指上網用戶通過修改注冊表，將自己的MAC地址改為一個未知的MAC地址或是別人的MAC地址。MAC地址的盜用對網絡安全帶來巨大的隱患。（2）IP地址的盜用：只用戶私自更改設好的IP地址，或通過軟件進行IP地址的攻擊，導致網絡管理混亂。（3）賬號盜用：對于校園管理者來說，沒有做好校園賬號的管理，多人擁有賬號，造成管理混亂。

4.操作系統的安全漏洞

隨著技術的發展，操作系統越來越復雜，從而導致了操作系統本身的漏洞也越來越多，這樣就使得操作系統不是絕對安全、萬無一失的。

二、校園網絡安全解決方案

校園網絡安全是一個系統的、全局管理問題，網絡上的任何一個漏洞，都有可能影響整個網絡的安全。一個較好的安全解決方案不但要從環境、用戶、產品和意識等方面來考慮，同時要進行綜合分析，逐個解決存在的問題，把可能發生的危害排除在發生之前，達到安全防護的目的，并且把網絡安全理念貫穿于網絡建設、使用和維護的整個過程中。

1.選用先進的組網設備

在我校校園網建設和使用過程中，設備的選用和維護至關重要。如通過三層交換機來連接電信局的服務器和校園網的各個終端用戶實現寬帶上網，避免以太網偵聽的危險。

2.采用虛擬局域網技術LAN

1個VLAN就是一個邏輯廣播域，通過對VLAN的創建，隔離了廣播，縮小了廣播范圍，控制廣播風暴的產生。通過路由訪問列表和MAC地址分配等VLAN劃分原則，可以控制用戶訪問權限和邏輯網段大小，將不同用戶群劃分在不同的VLAN中，從而提高交換式網絡的整體性能和安全性。

3.加固操作系統

針對Windows、Unix安全漏洞的各種病毒、網絡攻擊日益增多，因此網絡管理員必須加固操作系統，可采取以下方法：

（1）及時安裝系統補丁程序。

（2）最小化系統，提高系統的安全性。

（3）進行安全設置，如用戶權限的分配，共享目錄的開放與否、注冊表的安全配置、瀏覽器的安全等級等。

4.安裝殺毒軟件

現在大多數用戶都安裝了殺毒軟件，但安裝了殺毒軟件后還需要及時升級殺毒軟件、經常使用殺毒軟件檢查系統并清除病毒、開啟殺毒軟件的監控功能。

5.安裝防火墻

防火墻技術是控制進和出兩個方向通訊的門檻，是抵御來自網絡攻擊最有效的手段之一。它能夠最大程度地保護你的系統信息不外泄。對通過交換機直接上寬帶的用戶而言，防火墻至少可以抵擋來自網絡常見的攻擊方式。如通過拒絕服務（DoS）、監控不明程序進程、使用防火墻的端口阻塞功能關閉不需要的端口從而達到防范的目的。

6.加強內部管理

對校園網絡的內部威脅，只有通過制定相關的規章制度，加強內部管理，減少校園網絡安全隱患。對學生的上網實施一人一個賬號一密碼驗證身份的原則;對盜用MAC地址和IP地址的學生給予一定的處罰;同時在技術上捆綁IP地址和MAC地址，在DoS界面的提示符下輸入命令：ARP—S 192.168.1 1.*00—50一BA一19一C3一DD，即可把MAC地址和IP地址捆綁在一起。

三、設置路由器防范拒絕服務攻擊（DoS）

上文提到的校園網絡安全解決方案是一個一般性的解決方案，特別提到了防火墻在網絡安全中的作用。針對防火墻不能購置安裝的條件下，而面對日益增多的網絡攻擊，特別是拒絕服務（DoS）攻擊越來越嚴重地威脅著我校園網絡的安全，在這種的情況下，如何解決防范拒絕服務（DoS）攻擊的問題？下文筆者介紹一種利用設置路由器來防范拒絕服務（DoS）攻擊的方法。設置步驟如下：

1.使用ip verfy unicast reverse—path網絡接口命令

本命令的功能是檢查每一個經過路由器的數據包。在路由器的CEF（Cisco Express Forwarding）表該數據包所到達網絡接口的所有路由項中，如果沒有該數據包源IP地址的路由，路由器將丟棄該數據包。如路由器接收到一個源IP地址為1.2-3.4的數據包，如果CEF路由表中沒有為IP地址1.2.3.4提供任何路由（即反向數據包傳輸時所需的路由），則路由器會丟棄它。單一地址反向傳輸路徑轉發在ISP（局端）實現阻止SMURF攻擊和其它基于IP地址偽裝的攻擊。這能夠保護網絡和客戶免受來自互聯網其它地方的侵擾。使用Unicast RPF需要打開路由器的“CEF swithing”或“CEF distributed switching”選項。不需要將輸入接口配置為CEF交換。只要該路由器打開了CEF功能，所有獨立的網絡接口都可以配置為其它交換模式。RPF（反向傳輸路轉發）屬于在一個網絡接口或子接口上激活的輸入端功能，處理路由器接收的數據包。在路由器上打開CEF功能是非常重要的，因為RPF必須依靠CEF。Uni.cast RPF的Cisco IOS 12.0及以上版本中，但不支持Cisco IOS 11.2或l1.3版本。

2.使用訪問控制列表（ACL）過濾進出報文

{ISP中心}一一IsP端邊界路由器一一客戶端邊界路由器一一客戶端網絡ISP端邊界路由器應該只接受源地址屬于客戶端網絡的通信，而客戶端網絡則應該只接受源地址未被客戶端網絡過濾的通信。

四、結語

校園網絡安全管理是一個系統的工程，學校不但要建立一套校園網絡安全管理模式，制定詳細的安全管理制度，全面考慮系統的安全需求，并將各種安全技術結合在一起，才能形成一個有效、通用、安全的網絡系統。同時作為校園網絡技術管理人員，如果學校沒有經濟能力購置硬件設備，應更多地考慮用“軟件”方法構建一個比較安全的校園網絡系統。同時作為校園網絡技術管理人員，如果學校沒有經濟能力購置硬件設備，應更多的考慮利用“軟件”設置的方法，來構建一個相對比較安全的校園計算機網絡安全環境。

參考文獻

[1]湯明亮.面向Dos攻擊的路由回溯技術研究[J].國防科技大學，2009（1）.

[2]王會林.計算機網絡黑客攻擊與防范技術研究探索[J].民營科技，2010（5）.

作者簡介：袁姍姍（1983—），女，吉林白城人，碩士，遼寧省大連市計算機學校講師，研究方向：網絡技術，多媒體技術。