高校計算機機房主流網絡攻擊與防范技術研究

文/楊俊

Intemet的發展在帶給我們很多便利的同時，也給網絡帶來了越來越大的風險。無處不在的攻擊者使得網絡安全問題尤為突出。因此，網絡管理人員們理應全面、深刻地了解黑客進行攻擊的原理、方法以及過程，以便有的放矢的針對不同的攻擊方法采取相應措施。唯有如此，才能夠更有針對性的進行高效、主動的防護。

一、高校計算機機房主流網絡攻擊的研究意義

伴隨著IT技術的逐漸發展與推廣，國內很多學校也增設了計算機機房，以作為教師和學生們去學習、運用計算機相關知識、技巧的一個必不可缺的場地。當然，也有不少是建設用于圖書館的電子閱覽室專用的計算機機房。越來越多的教學活動需要在機房中利用計算機來開展。問題是，機房所承擔的教學、科研等任務的順利實施同時也受到了越來越突出的網絡、系統管理安全等問題的嚴重影響，尤其是在受到網絡攻擊后，機房設備中所發生的網絡頻繁掉線或者不順暢、IP地址沖突等狀況。因此，怎樣高效、全面地保障網絡安全、防止網絡遭到攻擊這一工作，已經被列為高校機房、網絡安全管理人員日常工作里重中之重的內容。

二、高校計算機機房網絡安全的現狀

部分高校計算機網絡安全防范沒有形成完整的體系結構，沒有建立完善的管理體系，其缺陷給攻擊者有機可乘。機房、網絡安全管理人員沒有足夠的安全知識儲備，缺乏專業性以及防范意識，無法保障網絡配置及管理的安全性，他們對于突發事件也沒辦法迅速做出反應和補救措施。再者網絡協議本身就存在缺陷，比如ARP協議，一般而言，攻擊者都會借助于網絡協議或系統自身的漏洞缺陷來進行網絡攻擊。

三、高校計算機機房主流網絡攻擊技術及防范措施

(一)DDoS攻擊技術

DDoS攻擊是分布式拒絕服務(Distributed Denial of Service)的縮寫。這類攻擊會借助客戶/服務器的技術，聯合起多臺計算機當作攻擊平臺，去DDoS攻擊相同或者多個目標，進而數倍提升其拒絕服務攻擊的力量。其攻擊方式可以分成以下幾種類型：

1.使得網絡過載，進而實現對正常網絡通訊的干擾甚至阻斷；

2.阻斷某一用戶進行服務器訪問；

3.對服務器提出大量的請求，使得服務器超負荷；

4.阻斷某一服務和特定的系統或者個人之間的通訊。

(二)DDoS攻擊的危害和防范

DD0S攻擊極具隱蔽性，其常常會采用通過大量合法的請求的手段占用服務器網絡資源，由此而達到癱瘓網絡的目的。服務器在面對DDoS攻擊時很難合理的判定和區分請求，因此遭受攻擊時往往束手無策。因此，機房、網絡安全管理人員需要提升安全防護意識，保障網絡系統安全。通常，可以采取以下幾種防范措施：

1.采用高性能的網絡設備；

2.盡量避免NAT的使用；

3.充足的網絡帶寬保證；

4.升級主機服務器硬件；

5.把網站做成靜態頁面；

6.增強操作系統的TCP/IP棧。

(三)ARP欺騙攻擊技術

ARP協議的全名是 “地址解析協議 ”(Address Resolution Protocot)。ARP協議最為基本的一個功能便是經由目標設備IP地址去查詢目標設備MAC地址，以保證能夠順利進行通信。倘若透過假造MAC地址和IP地址去實現ARP欺騙，便可使得大量ARP通信量產生于網絡中，進而使得網絡發生阻塞，實現ARP攻擊目的。而ARP欺騙一般有兩種出現方式，一種為對路由器ARP表的欺騙；另一種是對內網PC的網關欺騙。

(四)ARP欺騙攻擊的危害和防范

高校計算機機房比較容易遭受ARP欺騙攻擊，并且一旦遇到攻擊，就會發生間接性網絡掉線問題，導致局域網中的一部分電腦在一定時間內無法上網；會經常發送IP地址沖突警報、瀏覽器也會頻繁地出錯；有的時候，部分電腦會輪流掉線，而有的時候，所有的電腦都無法上網，打不開網頁或者打開網頁的速度很慢，整體的網速也會越來越慢，在對交換機或者主機進行重啟之后就可以解決問題，但過了一段時間之后同樣問題又會再次出現。防范措施如下：

1.由于ARP攻擊手段主要采用了偽裝IP地址和MAC地址的方式對用戶進行錯誤的誘導，因此，綁定IP及MAC地址，進而使用靜態的ARP表，就可以不理會攻擊者發送的任何干擾消息。

2.采用VLAN聚合技術和PVLAN技術，實現所有端口的隔離，杜絕ARP數據欺騙。

3.部分局域網內木馬病毒的傳播需要借助ARP欺騙，因此通過安裝正版的殺毒軟件并定期對病毒庫進行更新，可以起到一定預防作用。

4.安裝專業的ARP防火墻，國內知名的比如瑞星防火墻、騰訊電腦管家都具有ARP防火墻的功能模塊。而ARP防火墻能夠在系統內核層對ARP攻擊數據包采取攔截措施，以保障無法篡改網關正確的MAC地址，進而保證數據流向的正確性，確保通訊數據不會受到第三者的控制，可以有效地解決局域網中ARP攻擊的問題。

四、總結

網絡攻擊并沒有我們想象中那么的可怕，只需要掌握其原理，通過采取多種防范措施、充分利用機房中的軟硬件，就可以有效地保障網絡安全，最大限度地降低網絡攻擊的危害性。此外，還有一點很重要，那就是高校的機房、網絡安全管理人員也需要具備比較高的責任心，要主動對機房中的計算機或者網絡使用狀況加以關注，在日常工作中注意定期升級機房中計算機的病毒庫等。網絡以及IT技術的日益發展，必然會帶來越來越多的網絡攻擊，但是只要肯盡心盡責，相信我們是能夠全面、有效地防范各種網絡攻擊的。

[1]李延香，袁輝，劉淑英.校園局域網ARP欺騙攻擊的防御方法和實施[J].自動化與儀器儀表，2015(9).

[2]鄧凌凌.信息工程中計算機網絡技術的安全問題及應用[J].網絡安全技術與應用，2017(04).