高校计算机机房主流网络攻击与防范技术研究

文/杨俊

Intemet的发展在带给我们很多便利的同时，也给网络带来了越来越大的风险。无处不在的攻击者使得网络安全问题尤为突出。因此，网络管理人员们理应全面、深刻地了解黑客进行攻击的原理、方法以及过程，以便有的放矢的针对不同的攻击方法采取相应措施。唯有如此，才能够更有针对性的进行高效、主动的防护。

一、高校计算机机房主流网络攻击的研究意义

伴随着IT技术的逐渐发展与推广，国内很多学校也增设了计算机机房，以作为教师和学生们去学习、运用计算机相关知识、技巧的一个必不可缺的场地。当然，也有不少是建设用于图书馆的电子阅览室专用的计算机机房。越来越多的教学活动需要在机房中利用计算机来开展。问题是，机房所承担的教学、科研等任务的顺利实施同时也受到了越来越突出的网络、系统管理安全等问题的严重影响，尤其是在受到网络攻击后，机房设备中所发生的网络频繁掉线或者不顺畅、IP地址冲突等状况。因此，怎样高效、全面地保障网络安全、防止网络遭到攻击这一工作，已经被列为高校机房、网络安全管理人员日常工作里重中之重的内容。

二、高校计算机机房网络安全的现状

部分高校计算机网络安全防范没有形成完整的体系结构，没有建立完善的管理体系，其缺陷给攻击者有机可乘。机房、网络安全管理人员没有足够的安全知识储备，缺乏专业性以及防范意识，无法保障网络配置及管理的安全性，他们对于突发事件也没办法迅速做出反应和补救措施。再者网络协议本身就存在缺陷，比如ARP协议，一般而言，攻击者都会借助于网络协议或系统自身的漏洞缺陷来进行网络攻击。

三、高校计算机机房主流网络攻击技术及防范措施

(一)DDoS攻击技术

DDoS攻击是分布式拒绝服务(Distributed Denial of Service)的缩写。这类攻击会借助客户/服务器的技术，联合起多台计算机当作攻击平台，去DDoS攻击相同或者多个目标，进而数倍提升其拒绝服务攻击的力量。其攻击方式可以分成以下几种类型：

1.使得网络过载，进而实现对正常网络通讯的干扰甚至阻断；

2.阻断某一用户进行服务器访问；

3.对服务器提出大量的请求，使得服务器超负荷；

4.阻断某一服务和特定的系统或者个人之间的通讯。

(二)DDoS攻击的危害和防范

DD0S攻击极具隐蔽性，其常常会采用通过大量合法的请求的手段占用服务器网络资源，由此而达到瘫痪网络的目的。服务器在面对DDoS攻击时很难合理的判定和区分请求，因此遭受攻击时往往束手无策。因此，机房、网络安全管理人员需要提升安全防护意识，保障网络系统安全。通常，可以采取以下几种防范措施：

1.采用高性能的网络设备；

2.尽量避免NAT的使用；

3.充足的网络带宽保证；

4.升级主机服务器硬件；

5.把网站做成静态页面；

6.增强操作系统的TCP/IP栈。

(三)ARP欺骗攻击技术

ARP协议的全名是 “地址解析协议 ”(Address Resolution Protocot)。ARP协议最为基本的一个功能便是经由目标设备IP地址去查询目标设备MAC地址，以保证能够顺利进行通信。倘若透过假造MAC地址和IP地址去实现ARP欺骗，便可使得大量ARP通信量产生于网络中，进而使得网络发生阻塞，实现ARP攻击目的。而ARP欺骗一般有两种出现方式，一种为对路由器ARP表的欺骗；另一种是对内网PC的网关欺骗。

(四)ARP欺骗攻击的危害和防范

高校计算机机房比较容易遭受ARP欺骗攻击，并且一旦遇到攻击，就会发生间接性网络掉线问题，导致局域网中的一部分电脑在一定时间内无法上网；会经常发送IP地址冲突警报、浏览器也会频繁地出错；有的时候，部分电脑会轮流掉线，而有的时候，所有的电脑都无法上网，打不开网页或者打开网页的速度很慢，整体的网速也会越来越慢，在对交换机或者主机进行重启之后就可以解决问题，但过了一段时间之后同样问题又会再次出现。防范措施如下：

1.由于ARP攻击手段主要采用了伪装IP地址和MAC地址的方式对用户进行错误的诱导，因此，绑定IP及MAC地址，进而使用静态的ARP表，就可以不理会攻击者发送的任何干扰消息。

2.采用VLAN聚合技术和PVLAN技术，实现所有端口的隔离，杜绝ARP数据欺骗。

3.部分局域网内木马病毒的传播需要借助ARP欺骗，因此通过安装正版的杀毒软件并定期对病毒库进行更新，可以起到一定预防作用。

4.安装专业的ARP防火墙，国内知名的比如瑞星防火墙、腾讯电脑管家都具有ARP防火墙的功能模块。而ARP防火墙能够在系统内核层对ARP攻击数据包采取拦截措施，以保障无法篡改网关正确的MAC地址，进而保证数据流向的正确性，确保通讯数据不会受到第三者的控制，可以有效地解决局域网中ARP攻击的问题。

四、总结

网络攻击并没有我们想象中那幺的可怕，只需要掌握其原理，通过采取多种防范措施、充分利用机房中的软硬件，就可以有效地保障网络安全，最大限度地降低网络攻击的危害性。此外，还有一点很重要，那就是高校的机房、网络安全管理人员也需要具备比较高的责任心，要主动对机房中的计算机或者网络使用状况加以关注，在日常工作中注意定期升级机房中计算机的病毒库等。网络以及IT技术的日益发展，必然会带来越来越多的网络攻击，但是只要肯尽心尽责，相信我们是能够全面、有效地防范各种网络攻击的。

[1]李延香，袁辉，刘淑英.校园局域网ARP欺骗攻击的防御方法和实施[J].自动化与仪器仪表，2015(9).

[2]邓凌凌.信息工程中计算机网络技术的安全问题及应用[J].网络安全技术与应用，2017(04).