关于局域网安全管理问题的分析和探讨

摘要：在整个网络体系中，局域网处于最底层、最接近用户的环节，用户面也最广。随着计算机应用的普及和上虞宽带网络技术的发展，拥有局域网的集团和单位逐渐增多，实现了网络通信、资源共享和办公自动化。但由于局域网具有开放性、分布性等特征，任何人都可以通过计算机访问局域网，这就可能为“黑客”攻击网络、破坏网络、传播计算机病毒、窃取保密的技术资料及数据等提供了机会。因此，网络安全显得尤为重要。本文就基于宽带接入的局域网安全性管理进行了分析，并提出了一些防范技术加以探讨。

关键词：局域网；宽带；网络安全管理；网络攻击；防范

引言

在整个网络体系中，局域网处于最底层、最接近用户的环节，用户面也最广。随着上虞市宽带网络技术的发展，拥有局域网的集团和单位逐渐增多，实现了网络通信、资源共享和办公自动化。目前的局域网基本上都采用以广播为技术基础的以太网，任何两个节点之间的通信数据包，不仅为这两个节点的网卡所接收，也同时为处在同一以太网上的任何一个节点的网卡所截取。因此，黑客只要接入以太网上的任一节点进行侦听，就可以捕获发生在这个以太网上的所有数据包，对其进行解包分析，从而窃取关键信息，这就是以太网所固有的安全隐患。一个没有安全防范的局域网根本没有“安全可言”。在这种形式下，如何有效地预防和检测来自Internet的黑客攻击和病毒入侵已成为当前网络安全领域的重要课题。作为一名合格的网络管理员，必须要能敏锐地、及时地发现和处理网络别是网络服务器中存在的系统漏洞和安全隐患，有效地抑制和防止黑客的非法攻击。

1　网络攻击

什么是攻击，难道仅仅发生在入侵行为完全完成且入侵者已侵入目标网络内才算是攻击?一切可能使得网络受到破坏的行为都应称之为攻击。就拿一个很常见的现象来说吧，很多在互联网中具有固定IP的服务器，每天都要受到数以百计的端口扫描和试图侵入，虽然不一定会被攻克，但你总不能说它没有受到攻击。在正式攻击之前，攻击者一般都会先进行试探性攻击，目标是获取系统有用的信息。此时比较常用的包括ping扫描。端口扫描，帐户扫描，dns转换，以及恶性的ipsniffer等。如果在某一个集中的时期内，有人在频繁的对你所管理的网络进行试探攻击，或有不明身份的用户经常连入网络，这时网络管理员就要注意了，你该好好分析一下日志文件，并应该对系统深入检查了。

(1)收集信息攻击

经常使用的工具包括：NSS，Strobe，Netscan，SATAN(SecurityAadministrator's Tool for Auditing Network)，Jakal，IdentTCPscan，FTPScan、omnipeek等以及各种sniffer。收集信息攻击有时是其它攻击手段的前奏。对于简单的端口扫描，敏锐的安全管理员往往可以从异常的日志记录中发现攻击者的企图。但是对于隐秘的sniffer程序来说，检测就是件更高级和困难的任务了。

Sniffer：它们可以截获口令等非常秘密的或专用的信息，甚至还可以用来攻击相邻的网络，因此，网络中sniffer的存在，会带来很大的威胁。这里不包括安全管理员安装用来监视入侵者的sniffer。检测sniffer的存在是个非常困难的任务，因为sniffer本身完全只是被动地接收数据，而不发送什么。

一般来讲，真正需要保密的只是一些关键数据，例如用户名和口令等。使用ip包一级的加密技术，可以使sniffer即使得到数据包，也很难得到真正的数据本身。

另外，采用网络分段技术，减少信任关系等手段可以将sniffer的危害控制在较小范围以内，也为发现sniffer的主人提供了方便。网络分段通常被认为是控制网络广播风暴的一种基本手段，但其实也是保证网络安全的一项重要措施。其目的就是将非法用户与敏感的网络资源相互隔离，从而防止可能的非法侦听，网络分段可分为物理分段和逻辑分段两种方式。

(2)Denial of Service

原理就是促使服务器或网络过载，致使服务中断或瘫痪。

对于大型网络而言，此类攻击只是有限的影响，但是却可能导致较小网络退出服务，遭到重创。

这是最不容易捕获的一种攻击，因为不留任何痕迹。安全管理人员不易确定攻击来源。由于这种攻击可以使整个系统瘫痪，并且容易实施，所以非常危险。但是从防守的角度来讲，这种攻击的防守也比较容易。攻击者通过此类攻击不会破坏系统数据或获得未授权的权限，只是捣乱和令人心烦而已。如：Distributed Denial of Service分布式拒绝服务(DDoS)攻击，黑客经常采用而难以防范的攻击手段。

DDoS：单一的DoS攻击一般是采用一对一方式的。当攻击目标CPU速度低、内存小或者网络带宽小等等各项性能指标不高它的效果是明显的。随着计算机与网络技术的发展，计算机的处理能力迅速增长，内存大大增加，同时也出现了千兆级别的网络，这使得DoS攻击的困难程度加大了――目标对恶意攻击包的“消化能力”加强了不少，例如你的攻击软件每秒钟可以发送3，000个攻击包，但我的主机与网络带宽每秒钟可以处理10，000个攻击包，这样一来攻击就不会产生什么效果。这时候分布式的拒绝服务攻击手段(DDoS)就应运而生了。如果说计算机与网络的处理能力加大了10倍，用一台攻击机来攻击不再能起作用的话，攻击者使用10台攻击机同时攻击呢?用100台呢?DDoS就是利用更多的傀儡机来发起进攻，以比从前更大的规模来进攻受害者。

这种攻击的特点是它利用了TCP／IP协议(三次握手)的漏漏，除非你不用TCP／IP，才有可能完全抵御住DDoS攻击。一个形象的比喻：DDoS就好象有1，000个人同时给你家里打电话，这时候你的朋友还打得进来吗?

(3)其他攻击

IP欺骗：伪造他人的源ip地址。其实质上就是让一台机器来扮演另一台机器，借以达到蒙混过关的目的。各种远程服务极易受到ip欺骗的攻击。解决的途径是慎重设置处理网络中的主机信任关系，尤其是不同网络之间主机的信任关系。如只存在局域网内的信任关系，可以设置路由器使之过滤掉外部网络中自称源地址为内部网络地址的ip包，来抵御ip欺骗。

ARP欺骗：在局域网中，通过伪造IP地址和MAC地址实现ARP欺骗，能够在网络中产生大量的ARP通信量使网络阻塞。存在两种情况：一种是欺骗主机作为“中间人”，被欺骗主机的数据都经过它中转一次，这样欺骗主机可以窃取到被它欺骗的主机之间的通讯数据；另一种让被欺骗主机直接断网。解决思路：1.不要把你的网络安全信任关系建立在IP基础上或MAC基础上(rarp同样存在欺骗的问题)，理想的关系应该建立在IP+MAC基础上；2.设置静态的MAC－IP对应表，不要让主机刷新你设定好的转换表；3.除非很有必要，否则停止使用ARP，将ARP做为永久条目保存在对应表中；4.使用硬件屏蔽主