【正文】 授權(quán)的信息獲取；服務(wù)器資源潛在的威脅有 非授權(quán)侵入、截取服務(wù)、木馬及惡意的或以金錢為目的的訪問，服務(wù)器資源通常是黑客攻擊的首要目標(biāo)；數(shù)據(jù)庫資源潛在的威脅有未經(jīng)授權(quán)對于交易機(jī)密、客戶數(shù)據(jù)及其他信息的獲取。 一直以來人們在校園網(wǎng)安全問題上一方面因為意識與設(shè)備方面的原因，以及對技術(shù)的偏好和運營意識的不足，普遍存在 “ 重技術(shù)、輕安全、輕管理 ” 的特點，常常只是在內(nèi) 部網(wǎng)與互聯(lián)網(wǎng)之間放一個防火墻就認(rèn)為萬事大吉，有些學(xué)校甚至直接連接互聯(lián)網(wǎng)，這就給病毒、黑客提供了充分施展身手的空間。校園網(wǎng)發(fā)展到今天，已成為互聯(lián)網(wǎng)不可缺少的一部分。最后是感謝詞（包括在論文期間和整個大學(xué)期間對你有過幫助的人）和參考文獻(xiàn)。 要求對校園網(wǎng)有深入徹底得了解，分析校園網(wǎng)安全問題的發(fā)展趨勢，并結(jié)合實際能提出自己的觀點。校園網(wǎng)作為一種豐富學(xué)習(xí)資源、拓展教學(xué)空間、 提高教育效率的有效途徑，為教育的創(chuàng)新與普及提供了新的突破口。而病毒泛濫、黑客攻擊、信息丟失、服務(wù)被拒絕等等，這些安全隱患只要發(fā)生一次，對整個網(wǎng)絡(luò)都將是致命性的。 關(guān)鍵詞 ： 校園網(wǎng)；安全的重要性；安全隱患；安全策略 0 0 目 錄 第一章：校園網(wǎng)的總體結(jié)構(gòu) ..................................................................1 校園網(wǎng)的組成 ....................................................................................... 1 校園網(wǎng)各部分之間的協(xié)調(diào) ................................................................. 2 第二章 校園網(wǎng)中存在的安全問題 .......................................................3 容易被攻擊的網(wǎng)絡(luò)環(huán)節(jié) ....................................................................... 3 網(wǎng)絡(luò)攻擊的解決方案 ........................................................................... 4 目標(biāo)探測 ...................................................................................... 4 目標(biāo)探測的方法 .......................................................................... 6 掃描概念和原理 .......................................................................... 7 網(wǎng)絡(luò)監(jiān)聽 ...................................................................................... 9 緩沖區(qū)溢出 ................................................................................ 12 欺騙攻擊與防范 ........................................................................ 17 IP 地址盜用與防范 .................................................................. 17 網(wǎng)絡(luò)安全服務(wù)協(xié)議 .................................................................. 20 無線網(wǎng)安全 .............................................................................. 23 第三章 介紹校園網(wǎng)的發(fā)展趨勢 ......................................................... 25 當(dāng)下園網(wǎng)的發(fā)展趨勢 ....................................................................... 25 我對校園網(wǎng)發(fā)展的看法 ................................................................... 27 第四章 結(jié)論 .......................................................................................... 29 致謝 參考文獻(xiàn) 1 1 第一章：校園網(wǎng)的總體結(jié)構(gòu) 組建校園網(wǎng)，就是組建一個基本能覆蓋整個校園范圍的計算機(jī)網(wǎng)絡(luò)，將學(xué)校內(nèi)各種計算機(jī)、服務(wù)器、終端設(shè)備連接起來，并通過一定接口連接到廣域網(wǎng)。 校園網(wǎng)的組成 校園網(wǎng)的硬件通常有服務(wù)器、工作站、網(wǎng)間互聯(lián)設(shè)備、傳輸媒質(zhì)等部分組成。 ? 工作站 在校園網(wǎng)中，工作站（ Workstation）是一臺客戶機(jī)，即網(wǎng)絡(luò)服務(wù)的一個用戶。 HUB 主要提供信號放大和中轉(zhuǎn)的功能，把一個端口接收的信號向所有端口分發(fā)出去，有些集線器 還可以通過軟件對端口進(jìn)行配置和管理。 （ 4） 網(wǎng)關(guān)（ Gateway）：網(wǎng)關(guān)是網(wǎng)絡(luò)連接設(shè)備的重要組成部分，它不僅具有路由的功能，而 且能對兩個網(wǎng)絡(luò)段中使用不同傳輸協(xié)議的數(shù)據(jù)進(jìn)行互相的翻譯轉(zhuǎn)換，從而使不同的網(wǎng)絡(luò)之間能進(jìn)行互聯(lián)。常用的無屏蔽層雙絞線由 4 對雙絞線和一個塑料護(hù)套構(gòu)成。光纖按其傳輸方式可分為單模光纖（直線傳播）和多模光纖（折射傳播）。 3 3 第二章 校園網(wǎng)中存在的安全問題 容易被攻擊的網(wǎng)絡(luò)環(huán)節(jié) 第一，校園網(wǎng)與 Inter 相連，且速度快和規(guī)模大，在享受 Inter 方便快捷的同時，也面臨著遭遇攻擊的風(fēng)險。正是由于高帶寬和大用戶量的特點，網(wǎng)絡(luò)安全問題一般蔓延快、對網(wǎng)絡(luò)的影響比較嚴(yán)重。 第三，校園網(wǎng)內(nèi)部也存在很大的安全隱患。網(wǎng)絡(luò)服務(wù)器安裝的操作系統(tǒng)有 WindowsNT/202 UNIX、 Linux 等，這些系統(tǒng)安全風(fēng)險級別不同，例如 WindowsNT/2021的普遍性和可操作性使它成為最不安全的系統(tǒng)：自身安全漏洞、瀏覽器的漏洞、 IIS 的漏洞、病毒木馬等。比較典型的現(xiàn)象是，用戶的 計算機(jī) 接入校園網(wǎng)后感染病毒，反過來這臺感染病毒的 計算機(jī) 又影響了校園網(wǎng)的運行。 第七，有限的投入造成維護(hù)力量不足。 網(wǎng)絡(luò)攻擊的解決方案 從技術(shù)上說，網(wǎng)絡(luò)容易受到攻擊的原因主要是由于網(wǎng)絡(luò)軟件不完善和網(wǎng)絡(luò)協(xié)議本身存在安全缺陷造成的。 1 目標(biāo)探測的內(nèi)容 目標(biāo)探測所包括的內(nèi)容基本上有以下兩類： 1．外網(wǎng)信息。 目標(biāo)探測主要利用了以下 4 種檢測技術(shù)。它采用被動的、非破壞性的辦法對系統(tǒng)進(jìn)行檢測。 它采用 積極的、非破壞性的辦法來檢驗系統(tǒng)是否有可能被攻擊。國際域名由設(shè)在美國的 Inter信息管理中心（ InterNIC）和它設(shè)在世界各地的認(rèn)證注冊商管理，國內(nèi)域名由中國互聯(lián)網(wǎng)絡(luò)信息中心（ CNNIC）管理。 目標(biāo)探測主要利用了以下 4 種檢測技術(shù)。它采用被動的、非破壞性的辦法對系統(tǒng)進(jìn)行檢測。它采用積極的、非破壞性的辦法來檢驗系統(tǒng)是否有可能被攻擊。 Whois 查詢就是查詢域名和 IP 地址的注冊信息。 了解信息從一臺計算機(jī)到達(dá)互聯(lián)網(wǎng)另一端的另一臺計算機(jī)傳播路徑是非常重要的，目前最常見的檢測工具為 Traceroute，它是集成在 CyberKit 軟件包中。用戶可利用它來建立數(shù)據(jù)庫的安全規(guī)則，通過運行審核程序來提供有關(guān)安全風(fēng)險和位置的簡明報告。 3．網(wǎng)絡(luò)安全掃描器 網(wǎng)絡(luò)安全掃描器是針對于網(wǎng)絡(luò)服務(wù)、應(yīng)用程序、網(wǎng)絡(luò)設(shè)備和網(wǎng)絡(luò)協(xié)議等安全評估工具。如果端口處于偵聽狀態(tài)，那么 connect（ ）就能成 8 8 功。如果收到一個SYN|ACK，掃描程序立即發(fā)送一個 RST 信號，就可以關(guān)閉這個連接過程。 4． IP 段掃描 這種方法不是直接發(fā)送 TCP 探測數(shù)據(jù)包，而是將數(shù)據(jù)包分成兩個較小的 IP 段。 6． FTP 代理掃描 FTP 代理掃描是用一個代理的 FTP 服務(wù)器來掃描 TCP 端口。 這種方法的優(yōu)點是難以跟蹤，能穿過防火墻。 1 網(wǎng)絡(luò)監(jiān)聽原理 以太網(wǎng)（ Ether）協(xié)議的工作方式是將要發(fā)送的數(shù)據(jù)包發(fā)往連 接在一起的所有主機(jī)，在包頭中包含有接收數(shù)據(jù)包的主機(jī)的正確地址，因為只有與數(shù)據(jù)包中目的地址一致的那臺主機(jī)才能接收到信息包。 2 網(wǎng)絡(luò)監(jiān)聽檢測與防范 1．網(wǎng)絡(luò)監(jiān)聽檢測 （ l）用正確的 IP 地址和錯誤的物理地址的 ICMP 數(shù)據(jù)包去 Ping 它，這樣運行監(jiān)聽程序的機(jī)器就會有響應(yīng)。 （ 4）向局域網(wǎng)內(nèi)的主機(jī)發(fā)送非廣播方式的 ARP 包，如果局域網(wǎng)內(nèi)的 某個主機(jī)響應(yīng)了這個 ARP 請求，那么我們就可以判斷它很可能就是處于網(wǎng)絡(luò)監(jiān)聽模式了，這是目前相對而言比較好的監(jiān)測模式。 （ 2）以交換式集線器代替共享式集線器。運用 VLAN（虛擬局域網(wǎng)）技術(shù)，將以太 網(wǎng)通信變?yōu)辄c到點通信，可以防止大部分基于網(wǎng)絡(luò)監(jiān)聽的入侵。 嗅探器可分為軟件、硬件兩種。 在一個實際的系統(tǒng)中，數(shù)據(jù)的收發(fā)是由網(wǎng)卡來完成的。 （ 4）混雜模式，該模式下的網(wǎng)卡能夠接 收一切通過它的數(shù)據(jù)，不管該數(shù)據(jù)是否傳給它的。除非人為地對網(wǎng)絡(luò)中的每一段網(wǎng)線進(jìn)行檢測。 （ 5） 嗅探器可以攔截數(shù)據(jù)包。 （ 4）使用 SSH（ Secure Shell）、 IPV6 等協(xié)議 。 如果網(wǎng)絡(luò)通訊丟包率非常高、某臺機(jī)器長時間的占用了較大的帶寬時就可能有人在監(jiān)聽。 緩沖區(qū)溢出攻擊可以通過下面兩個方法實現(xiàn)。 } 執(zhí)行該程序，輸入字符串長度小于 10 時，程序正常運行，否則系統(tǒng)崩潰。 13 13 char *ret。 x =10。 } 程序的運行結(jié)果是？ 程序的實際運行結(jié)果是 10，而不是 1。 RET 的值恰好是函數(shù) function(7)的返回地址，即 “x=1”的首地址，但執(zhí)行 *ret + =8 語句后就將 RET 的值加上了 8 個字節(jié)，而 x=1 這條語句恰好占有 8個字節(jié)。 2．控制程序轉(zhuǎn)移到攻擊代碼 14 14 （ 1）激活記錄。 3 防范緩沖區(qū)溢出 下面介紹四種基本方法來保護(hù)緩沖區(qū)免受緩沖區(qū)溢出的攻擊和影響。 } 由于沒有嚴(yán)格規(guī)定輸入到 str 中的字符長度，很容易產(chǎn)生緩沖區(qū)溢出漏洞。 15 15 } 同樣，數(shù)組邊界問題也是造成緩沖區(qū)溢出的一個根本原因，在編寫程序時就要對數(shù)組邊界進(jìn)行嚴(yán)格限定。 拒絕服務(wù) DoS（ Denial of Service）通過堵塞網(wǎng)絡(luò)、占用系統(tǒng)資源等方法，拒絕用戶的服務(wù)訪問，破壞系統(tǒng)的正常運行。 分布式拒絕服務(wù) DDoS（ Distributed Denial of Service）是借助于客戶機(jī) /服務(wù)器技術(shù)，將多個計算機(jī)聯(lián)合起來作為攻擊平臺，對一個或多個目標(biāo)發(fā)動 DoS 攻擊，從而成倍地提高拒絕服務(wù)攻擊的威力。攻擊成功后，就可以占領(lǐng)和控制被攻擊的主機(jī)，即傀儡機(jī)。準(zhǔn)備好一定數(shù)量的傀儡機(jī)是一個必要的條件。 3．充分利用防火墻等網(wǎng)絡(luò)安全設(shè)備，配置好它們的安全規(guī)則，過濾掉所有可能偽造的數(shù)據(jù)包。 7．如果出現(xiàn)網(wǎng)絡(luò)的通訊量突然急劇增長，或網(wǎng)站的某一特定服務(wù)總是失敗等，應(yīng)及時分析這些情況，防患于未然。 2. IP 欺騙攻擊過程 （ 1）假設(shè)黑客 C 已找到要攻擊的主機(jī) A （ 2） C 發(fā)現(xiàn)與 A 有關(guān)的信任主機(jī) B （ 3）利用某種方法攻擊 B，使其癱瘓 （ 4）對 A 的 ISN 號進(jìn)行取樣和分析 （ 5）用 ISN 號進(jìn)行嘗試鏈接 （ 6）鏈接成功，則執(zhí)行命令，留下后門 3．防止 IP 地址欺騙 （ 1）拋棄基于地址的信任策略 （ 2）進(jìn)行包過濾 （ 3）使用加密方法 （ 4）使用隨機(jī)的初始序列號 IP 地址盜用與防范 由于 IP 地址位數(shù)有限， IP 地址也是一種緊缺資源， IP 地址的盜用也就成為很常見的問題。 （ 2）成對修改 IPMAC 地址 如果將一臺計算機(jī)的 IP 地址和 MAC 地址都改為另外一臺合法主機(jī)的 IP 地址和 MAC 地址，即成對修改 IPMAC 地址，那么用靜態(tài)路由技術(shù)防止 IP 地址盜用也就無能為力了。 （ 3）防火墻與代理服務(wù)器 使用這樣的辦法是將 IP 防盜放到應(yīng)用層來解決，變 IP 管理為用戶身份和口令的管理。 2. DNS 欺騙原理 19 19 如果可以冒充域名服務(wù)器，然后把查詢的 IP 地址設(shè)為攻擊者的 IP 地址，這樣的話，用戶上網(wǎng)時只能看到攻擊者的 主頁，而不是用戶想要去的網(wǎng)站的主頁了，這就是 DNS 欺騙的基本原理。 4 We