浅析防范拒绝服务(Dos)攻击在我校应用

浅析防范拒绝服务（Dos）攻击在我校应用

大连市计算机学校 袁姗姗

【摘要】本文先分析我校校园网络安全隐患，在此基础上提出了保障校园网络安全的解决方案，并在如何设置路由器防范拒绝服务（DoS）攻击进行了重点阐述，以达到硬件防火墙的效果，从而提高校园网络的安全性。

【关键词】校园网;安全隐患;路由器设置

一、校园网的安全隐患

探讨校园网络安全首先要分析校园网络存在哪些方面的安全隐患及来源特点，笔者认为我校校园网络的安全隐患主要归于如下几种情况：

1.病毒感染

病毒感染是校园网中最常见、最严重的一种安全威胁，病毒防范最重要的方法是堵住它的入侵途径。而校园网病毒的主要入侵途径有以下四种：

（1）浏览网页、电子邮件而感染的网络病毒，如有蠕虫类病毒、木马程序等。

（2）网络共享的携带病毒文件，从而感染了使用此共享文件的系统。

（3）携带病毒的盗版光盘的软件。

（4）携带病毒的U盘、移动硬盘等移动存储设备。

2.网络攻击

随着网络技术的发展，各种网络攻击事件频频发生，黑客的恶意行为不时导致学校网络瘫痪，令校园网管理人员十分头痛。网络攻击主要有以下四种形式：

（1）拒绝服务（DoS）：DoS攻击是利用一批受控制的机器向一台机器发起攻击，具有较大的破坏性。DoS攻击通过对服务器产生大量的服务请求，使服务器忙于响应应答讯息，造成TCMP栈崩溃，导致与Internet的连接中断、无数的窗口被打开、系统死机，甚至重新启动等，造成服务器系统不胜负荷，丧失提供正常服务的能力。

（2）木马程序：是一种能够在受害者毫不察觉的情况下渗透到系统的程序代码。受害电脑一旦被种植了木马，就意味着控制者能够通过控制主机去控制受害系统，进行秘密信息的窃取或破坏。

（3）黑客入侵：是指某些具有顶尖网络技术的人士，通过扫描程序发现系统开放的端口和漏洞，然后通过特殊的程序或进行特定操作控制整个系统。

3.校园网络内部的威胁

我校校园网的用户数量很多，包括了教师、行政人员、学生和家长等。相对企业网络，校园网来自内部的威胁更加严重。主要有如下三种情况：（1）MAC地址盗用：指上网用户通过修改注册表，将自己的MAC地址改为一个未知的MAC地址或是别人的MAC地址。MAC地址的盗用对网络安全带来巨大的隐患。（2）IP地址的盗用：只用户私自更改设好的IP地址，或通过软件进行IP地址的攻击，导致网络管理混乱。（3）账号盗用：对于校园管理者来说，没有做好校园账号的管理，多人拥有账号，造成管理混乱。

4.操作系统的安全漏洞

随着技术的发展，操作系统越来越复杂，从而导致了操作系统本身的漏洞也越来越多，这样就使得操作系统不是绝对安全、万无一失的。

二、校园网络安全解决方案

校园网络安全是一个系统的、全局管理问题，网络上的任何一个漏洞，都有可能影响整个网络的安全。一个较好的安全解决方案不但要从环境、用户、产品和意识等方面来考虑，同时要进行综合分析，逐个解决存在的问题，把可能发生的危害排除在发生之前，达到安全防护的目的，并且把网络安全理念贯穿于网络建设、使用和维护的整个过程中。

1.选用先进的组网设备

在我校校园网建设和使用过程中，设备的选用和维护至关重要。如通过三层交换机来连接电信局的服务器和校园网的各个终端用户实现宽带上网，避免以太网侦听的危险。

2.采用虚拟局域网技术LAN

1个VLAN就是一个逻辑广播域，通过对VLAN的创建，隔离了广播，缩小了广播范围，控制广播风暴的产生。通过路由访问列表和MAC地址分配等VLAN划分原则，可以控制用户访问权限和逻辑网段大小，将不同用户群划分在不同的VLAN中，从而提高交换式网络的整体性能和安全性。

3.加固操作系统

针对Windows、Unix安全漏洞的各种病毒、网络攻击日益增多，因此网络管理员必须加固操作系统，可采取以下方法：

（1）及时安装系统补丁程序。

（2）最小化系统，提高系统的安全性。

（3）进行安全设置，如用户权限的分配，共享目录的开放与否、注册表的安全配置、浏览器的安全等级等。

4.安装杀毒软件

现在大多数用户都安装了杀毒软件，但安装了杀毒软件后还需要及时升级杀毒软件、经常使用杀毒软件检查系统并清除病毒、开启杀毒软件的监控功能。

5.安装防火墙

防火墙技术是控制进和出两个方向通讯的门槛，是抵御来自网络攻击最有效的手段之一。它能够最大程度地保护你的系统信息不外泄。对通过交换机直接上宽带的用户而言，防火墙至少可以抵挡来自网络常见的攻击方式。如通过拒绝服务（DoS）、监控不明程序进程、使用防火墙的端口阻塞功能关闭不需要的端口从而达到防范的目的。

6.加强内部管理

对校园网络的内部威胁，只有通过制定相关的规章制度，加强内部管理，减少校园网络安全隐患。对学生的上网实施一人一个账号一密码验证身份的原则;对盗用MAC地址和IP地址的学生给予一定的处罚;同时在技术上捆绑IP地址和MAC地址，在DoS界面的提示符下输入命令：ARP―S 192.168.1 1.*00―50一BA一19一C3一DD，即可把MAC地址和IP地址捆绑在一起。

三、设置路由器防范拒绝服务攻击（DoS）

上文提到的校园网络安全解决方案是一个一般性的解决方案，特别提到了防火墙在网络安全中的作用。针对防火墙不能购置安装的条件下，而面对日益增多的网络攻击，特别是拒绝服务（DoS）攻击越来越严重地威胁着我校园网络的安全，在这种的情况下，如何解决防范拒绝服务（DoS）攻击的问题？下文笔者介绍一种利用设置路由器来防范拒绝服务（DoS）攻击的方法。设置步骤如下：

1.使用ip verfy unicast reverse―path网络接口命令

本命令的功能是检查每一个经过路由器的数据包。在路由器的CEF（Cisco Express Forwarding）表该数据包所到达网络接口的所有路由项中，如果没有该数据包源IP地址的路由，路由器将丢弃该数据包。如路由器接收到一个源IP地址为1.2-3.4的数据包，如果CEF路由表中没有为IP地址1.2.3.4提供任何路由（即反向数据包传输时所需的路由），则路由器会丢弃它。单一地址反向传输路径转发在ISP（局端）实现阻止SMURF攻击和其它基于IP地址伪装的攻击。这能够保护网络和客户免受来自互联网其它地方的侵扰。使用Unicast RPF需要打开路由器的“CEF swithing”或“CEF distributed switching”选项。不需要将输入接口配置为CEF交换。只要该路由器打开了CEF功能，所有独立的网络接口都可以配置为其它交换模式。RPF（反向传输路转发）属于在一个网络接口或子接口上激活的输入端功能，处理路由器接收的数据包。在路由器上打开CEF功能是非常重要的，因为RPF必须依靠CEF。Uni.cast RPF的Cisco IOS 12.0及以上版本中，但不支持Cisco IOS 11.2或l1.3版本。

2.使用访问控制列表（ACL）过滤进出报文

{ISP中心}一一IsP端边界路由器一一客户端边界路由器一一客户端网络ISP端边界路由器应该只接受源地址属于客户端网络的通信，而客户端网络则应该只接受源地址未被客户端网络过滤的通信。

四、结语

校园网络安全管理是一个系统的工程，学校不但要建立一套校园网络安全管理模式，制定详细的安全管理制度，全面考虑系统的安全需求，并将各种安全技术结合在一起，才能形成一个有效、通用、安全的网络系统。同时作为校园网络技术管理人员，如果学校没有经济能力购置硬件设备，应更多地考虑用“软件”方法构建一个比较安全的校园网络系统。同时作为校园网络技术管理人员，如果学校没有经济能力购置硬件设备，应更多的考虑利用“软件”设置的方法，来构建一个相对比较安全的校园计算机网络安全环境。

参考文献

[1]汤明亮.面向Dos攻击的路由回溯技术研究[J].国防科技大学，2009（1）.

[2]王会林.计算机网络黑客攻击与防范技术研究探索[J].民营科技，2010（5）.

作者简介：袁姗姗（1983―），女，吉林白城人，硕士，辽宁省大连市计算机学校讲师，研究方向：网络技术，多媒体技术。