校園網絡設備安全及其偵查取證思路

郭永帥

中國刑警學院，遼寧　沈陽　110854

?

校園網絡設備安全及其偵查取證思路

郭永帥

中國刑警學院，遼寧沈陽110854

隨著網絡的普及和迅速發展，校園網絡的安全逐漸成為了國家建設中一個不可忽視的問題。盡管一些高校對校園網絡的安全建設提高到了一個新的等級，但在網絡設備方面卻存在一些漏洞。本文通過從物理設備配置方面進行全面的網絡安全措施防范，以及針對一些常見的黑客攻擊，在公安實戰中提供相關的偵查和取證思路。

校園網絡；網絡設備安全；偵查；取證

一、引言

隨著信息技術的不斷發展，校園網絡的建設也逐漸從單核心小型網絡上升到了雙核心大型網絡，網絡的擴大和網絡設備的增加使得校園網絡設備的安全問題變得岌岌可危。許多校園網絡缺乏統一身份認證與管理系統，網絡攻擊防范也只是通過外網的入侵檢測系統和防火墻來實現，對于網絡設備方面防范相對薄弱。現今社會，校園網絡的安全關乎高等院校的競爭軟實力、學術水平的發展，更有甚者，會涉及國家機密的安全以及影響教育事業的穩定。

二、校園網絡設備安全威脅狀況分析

校園網絡設備在這個密切關注網絡安全的時代，并沒有受到過多的關注，很多學校都建立了相應的網絡中心和網絡應急機制，但都是從網絡的角度來講。在網絡設備這個方面并沒有太多考慮，學校可能會因此而受到損失。

(一)校園網絡簡介

目前，校園網絡分為單核心網絡和雙核心網絡這兩種。單核心網絡則是指核心層有一臺交換機，雙核心網絡核心層交換機則是兩臺，以此類推。校園網絡往往采用三層網絡架構，即核心層、匯聚層和接入層。接入層是指網絡中直接面向用戶連接或訪問網絡的部分，匯聚層是指位于接入層和核心層之間的部分，而核心層是指網絡主干部分，核心層的主要目的在于通過高速轉發通信，核心層交換機應擁有更高的可靠性、性能和吞吐量①。

(二)校園網絡設備的安全問題

校園網絡設備中最重要的就是核心層設備，核心層的設備一般是三層或者三層以上的交換機。核心層設備擁有極高的轉發速率、鏈路聚合以及流量限制等功能。核心層交換機因為很少接觸，最容易出現弱口令現象，甚至沒有密碼等現象，從而給黑客提供了入口；其次，交換機的遠程登錄沒有設置密碼和IP地址限制，這會讓黑客很容易遠程控制交換機，產生隱患；再者，校園網絡內部的IP地址設置以及訪問限制問題設置不恰當，會使黑客跨網段攻擊其他交換機，從而造成更大的癱瘓。

(三)黑客攻擊安全問題

對于校園網絡設備，常見的黑客攻擊有三種。第一種是欺騙攻擊，欺騙攻擊主要類型是ARP欺騙，黑客通過網絡內終端使用一些ARP程序，例如ARP-SPOOF等，使得網段內所有流量通過某一臺主機，然后黑客使用某些抓包軟件等分析網段內流量來獲取受害人的信息。ARP欺騙不僅會造成局域網擁塞，還會讓受害人信息、財產等收到損失。第二種是黑客通過暴力破解等方式獲得某個路由器密碼，進而控制這個路由器，接著獲取整個網絡的權限。第三種是DDOS攻擊，DDOS的攻擊類型有很多，如SYN(TCP/IP握手包)攻擊、PING攻擊等。DDOS的攻擊會使得整個網絡癱瘓，造成大量的損失。

三、校園網絡設備安全防范

校園網絡設備一般由交換機和路由器組成，然而三層交換機也具有路由功能，所以在每個三層交換機和路由器都需要嚴格的配置管理來校園網絡及其設備。校園網絡設備可通過以下幾個方面來設置來防止安全隱患：

(一)訪問控制列表

訪問控制列表(ACL)是應用于路由器和交換機上的包過濾訪問控制技術，應用ACL可以有效的限制IP地址，限制局域網內流量或者阻止其他局域網的通信。交換機支持下面兩種訪問列表的應用過濾傳輸：(1)端口訪問列表。也稱MAC訪問列表，對路由器接口和交換機接口進行基于mac地址的訪問控制。(2)路由訪問列表。限制不同vlan之間的雙向通信或者限制網絡接口之間的雙向通信。借助訪問控制列表不僅可以控制ip地址來控制上網，并且可以通過控制端口來限制蠕蟲病毒在網絡中蔓延。

(二)終端訪問限制安全

默認狀態下，用戶可以通過網絡中的任何一臺計算機登錄到交換機或路由器。因此，必須將訪問列表應用于接入層終端接口上，使得擁有特定IP地址的用戶才有權限通過網絡訪問設備，這樣也可以防止從內部進行的攻擊。

(三)網絡設備設置密碼

網絡設備的密碼與Windows的開機密碼的作用和重要性相同，只有獲得了網絡設備的密碼才能對網絡設備進行配置和管理。通過配置交換機和路由器登錄enable密碼可以防止黑客沒有認證就直接登錄；配置Telnet(遠程登錄)使用戶可與遠程登錄管理路由器和交換機，默認情況下，Telnet沒有設置密碼，這樣就會導致非網管人員也輕松方便的登錄路由器和交換機，給網絡的穩定帶來嚴重的后果。

(四)啟動路由器、交換機日志

網絡設備的日志可以將重要時間信息(如系統錯誤、系統配置、狀態變化、狀態定期報告、系統退出等)等記錄下來，當網絡遭到入侵時，網管人員可以查看日志來進行相應的防護。

(五)IEEE802.1x認證

IEEE802.1x認證是指連入局域網的設備需要進行認證才能連入互聯網，最常用的就是高校中學生使用學號認證上網。IEEE802.1x完美的解決了終端設備上網安全，而且目前的交換機和路由器均支持IEEE80.21x認證。配置IEEE802.1x認證可以讓終端接入收到審核，從底層限制非法人員的登錄，有效防止黑客從內部攻擊。

(六)SNMP安全協議

SNMP安全協議是一種管理員與用戶通信之間的協議。SNMP可以使網絡組成一個系統，管理者可以遠程管理用戶，用戶更改路由器配置信息需要向管理員發送信息。通過SNMP安全協議可以及時了解路由器的信息，從而避免被黑客攻擊。

四、校園網絡設備的偵查取證思路

當校園網絡設備遭受到攻擊時，網絡并沒有癱瘓時，這時候第一時間我們要保存網絡的狀態，取得SNMP協議報告，然后定位到黑客入侵的那一臺交換機或路由器，通過查看路由器日志以得到用戶遠程登錄的IP，之后便可以進行定位，確定嫌疑人。

當校園網絡設備因為遭到攻擊而癱瘓時，很可能是黑客使用DDos攻擊來消耗服務器內存和堵塞帶寬。DDos攻擊的方式多種多樣，如SYN攻擊、PING攻擊等。這時最好的方法是使用PPM算法(數據包標記算法)，抽絲剝繭，反向追蹤黑客的IP，然后再進行定位，找到嫌疑人。

五、結語

本文列舉了校園網絡的安全配置，如訪問控制列表、設置密碼等，以及針對一些常見黑客攻擊進行安全防范，并針對這些攻擊給公安機關提供相關的偵查和取證思路。目前在公安在校園網絡設備方面的研究相對較少，我們不僅要在網絡方面深入研究，在設備方面更需要深入研究，這樣才能在工作中防范于未然，保護校園網絡的安全。

[注釋]

①唐燈平.利用Packet Tracer模擬組建校園單核心網絡的研究[J].實驗室研究與探索，2011.

[1]劉曉輝.網絡安全管理實踐[M].北京：電子工業出版社，2007.

[2]沈鑫剡，葉寒鋒，劉鵬，景麗.計算機網絡安全學習輔導與實驗指南[M].北京：清華大學出版社，2012．

[3]楊德華，鄭迪穎.關于動態模型的網絡安全體系及在校園企業的應用研究[M].上海：同濟大學出版社，2004.

G47

A

2095-4379-(2016)26-0222-02

郭永帥(1992-)，男，安徽亳州人，中國刑警學院網絡安全執法系，碩士研究生。