【文章內(nèi)容簡介】 表現(xiàn)為攻擊者向被攻擊網(wǎng)絡大陸發(fā)送數(shù)據(jù)從而消耗其資源、使得用戶無法訪問所需信息。 拒絕服務攻擊的方法多樣。攻擊者在發(fā)起攻擊時，可能采取單一手段的攻擊模式，也可能采取多種攻擊手段聯(lián)合使用的模式。就其攻擊手段來說．主要有以下幾種： 1） 死亡之 Ping。早期的網(wǎng)絡不支持大包，攻擊者通過網(wǎng)絡發(fā)送大母的大數(shù)據(jù)包到被攻擊者網(wǎng)絡，造成網(wǎng)絡堵塞以致癱瘓。目前的網(wǎng)絡已經(jīng)能夠支持大包，這種方式已經(jīng)不再出現(xiàn)。 2） 淚滴攻擊。攻擊者采用修改包片段字頭的方式，使得包無法正確組裝．導致網(wǎng)絡訪問 失敗的方式。 3 ） UDP 洪水攻擊。攻擊利用如 chargen 和 echo 等簡單的 TCP／ IP 服務．相互發(fā)送大量數(shù)據(jù)以沾滿帶寬，從而癱瘓網(wǎng)絡的方式。 4 ) SYN 洪水攻擊。攻擊者通過想服務器發(fā)送連續(xù)的 SYN 握手信息來癱瘓服務器的攻擊方式。 5 ) LAND 攻擊 該攻擊是讓服務器自己向自己發(fā)送 SYN 握手信息．已達到癱瘓主機的目的。 6 ) Smurf 攻擊。攻擊者將報文地址設為 Echo 地址，這樣 Echo78 地址就必須不問斷的響應該報文，使得網(wǎng)絡帶寬被侵占，從而達到癱瘓網(wǎng)絡的目的 。 7 ) Fraggle 攻擊。 Fraggle 攻擊對 Smurf 攻擊做了修改 。 8 )電子郵件炸彈。通過向一臺服務器大量的不間斷的發(fā)送電子郵件，起到癱瘓服務器的作用。 9 )急性消息攻擊。借助機器對某些消息為進行錯誤校驗來攻擊服務器。 10)分布式拒絕服務攻擊。它是威力最強大的拒絕服務攻擊方式，其主要采用多臺服務器對同一網(wǎng)絡同時發(fā)起攻擊 ， 導致該網(wǎng)絡瞬間癱瘓。 常見的拒絕服務攻擊主要有以上幾種 ， 攻擊者攻擊目的和攻擊水平不同，選用的方式不同。無論哪種方式，都對網(wǎng)絡安全造成很大的危害。 [5] 3 存在的安全隱患 ,以我校為例，校園網(wǎng)絡存在的安全隱患 和漏洞有 : 1 ) 計算機與 Inter 相連，卻沒有安裝相應的殺毒軟件及防火墻 。 2) 使用的操作系統(tǒng)存在安全漏洞，網(wǎng)絡木馬、病毒和黑客攻擊影響到系統(tǒng)的安全 。 校內(nèi)大部分計算機系統(tǒng)或多或少都存在著各種的漏洞，校園網(wǎng)絡又對社會開放，這樣一來只要接入 INTERNET 的用戶就可以對校園的網(wǎng)絡服務器進行攻擊，而流行于網(wǎng)絡上的很多病毒如 “ 震蕩波、沖擊波、尼姆達”病毒都是利用系統(tǒng)的漏宿州學院畢業(yè)論文（設計） 7 洞來進行病毒傳播的，加上帶毒的木馬程序，一感染便駐留在你的計算機當中，在以后的計算機啟動后，木馬就在機器中打開一個服務，通過這個服務將 你計算機的信息、資料向外傳遞。 3) 目錄共享導致信息的外泄 , 在校園網(wǎng)絡中，利用在對等網(wǎng)中對計算機中的某個目錄設置共享進行資料的傳輸與共享是人們常采用的一個方法。但可以說幾乎所有的人都沒有充分認識到當一個目錄共享后，就不光是校園網(wǎng)內(nèi)的用戶可以訪問到，而是連在網(wǎng)絡上的各臺計算機都能對它進行訪問。這也成了數(shù)據(jù)資料安全的一個隱患。我曾經(jīng)搜索過外地機器的一個 C 類 IP 網(wǎng)段，發(fā)現(xiàn)共享的機器就有十幾臺，而且許多機器是將整個 C 盤、 D 盤進行共享，并且在共享時將屬性設置為完全共享，且不進行密碼保護，這樣只要將其映射成一個網(wǎng)絡 硬盤，就能對上面的資料、文檔進行查看、修改、刪除 。因而 對目錄共享安全意識的單薄， 會 導致了信息的外泄 。 4) 網(wǎng)絡安全意識淡薄 ， 校園網(wǎng)絡上的攻擊、侵入他人機器，盜用他人帳號非法使用網(wǎng)絡、非法獲取未授權的文件、通過郵件等方式進行騷擾和人身攻擊等事件經(jīng)常發(fā)生、屢見不鮮，我校應用服務器和普通計算機平均一個星期會經(jīng)受到數(shù)千次甚至上萬次的非常訪問嘗試，而其中一大部分的非法訪問源自校內(nèi)，說明校園網(wǎng)絡上的用戶安全意識淡??；另外，沒有制定完善而嚴格的網(wǎng)絡安全制度，各校園網(wǎng)在安全管理上也沒有任何標準，這也是網(wǎng)絡安全問題泛濫的一 個重要原因 .由此可見，構筑具有必要的信息安全防護體系，建立一套有效的網(wǎng)絡安全機制顯得尤其重要 . 宿州學院畢業(yè)論文（設計） 8 2. 校園網(wǎng)絡安全 策略 校園網(wǎng)的安全威脅既有來自校內(nèi)的，也有來自校外的，只有將技術和管理都重視起來，才能切實構筑一個安全的校園網(wǎng)。 國內(nèi)高校校園網(wǎng)的安全問題有其歷史原因：在以前的網(wǎng)絡時期，一方面因為意識與資金方面的原因，以及對技術的偏好和運營意識的不足，普遍都存在 “ 重技術、輕安全、輕管理 “ 的傾向，常常只是在內(nèi)部網(wǎng)與互聯(lián)網(wǎng)之間放一個防火墻就萬事大吉，有些學校甚至直接連接互聯(lián)網(wǎng)，這就給病 毒、黑客提供了充分施展身手的空間。而病毒泛濫、黑客攻擊、信息丟失、服務被拒絕等等，這些安全隱患只要發(fā)生一次，對整個網(wǎng)絡都將是致命性的。 作為高等院校，如何構筑相對可靠的校園網(wǎng)絡安全體系問題，變得越來越突出了。一般來說，構筑校園網(wǎng)絡安全體系，要從兩個方面著手：一是采用先進的技術；二是不斷改進管理方法。 校園網(wǎng)安全管理 針對目前高校校園網(wǎng)安全現(xiàn)狀的認識與理解，在防病毒軟件、防火墻或智能網(wǎng)關等構成的防御體系下，對于防止來自校園網(wǎng)外的攻擊已經(jīng)足夠。以下五點 是 高校的安全策略： 規(guī)范出口管理，實施校園 網(wǎng)的整體安全架構，必須解決多出口的問題。對于出口進行規(guī)范統(tǒng)一的管理，使校園網(wǎng)絡安全體系能夠得以實施。為校園網(wǎng)的安全提供最基礎的保障。 配備完整系統(tǒng)的網(wǎng)絡安全設備，在網(wǎng)內(nèi)和網(wǎng)外接口處配置一定的統(tǒng)一網(wǎng)絡安全控制和監(jiān)管設備就可杜絕大部分的攻擊和破壞，一般包括：防火墻、入侵檢測系統(tǒng)、漏洞掃描系統(tǒng)、網(wǎng)絡版的防病毒系統(tǒng)等。另外，通過配置安全產(chǎn)品可以實現(xiàn)對校園網(wǎng)絡進行系統(tǒng)的防護、預警和監(jiān)控，對大量的非法訪問和不健康信息起到有效的阻斷作用，對網(wǎng)絡的故障可以迅速定位并解決。 解決用戶上網(wǎng)身份問題，建立全校統(tǒng)一的身份認 證系統(tǒng) 。校園網(wǎng)絡必須要解決用戶上網(wǎng)身份問題，而身份認證系統(tǒng)是整個校園網(wǎng)絡安全體系的基礎的基礎，否則即便發(fā)現(xiàn)了安全問題也大多只能不了了之，只有建立了基于校園網(wǎng)絡的全校統(tǒng)一身份認證系統(tǒng)，才能徹底的解決用戶上網(wǎng)身份問題，同時也為校園信息化的各項應用系統(tǒng)提供了安全可靠的保證。 宿州學院畢業(yè)論文（設計） 9 嚴格規(guī)范上網(wǎng)場所的管理，集中進行監(jiān)控和管理 。上網(wǎng)用戶不但要通過統(tǒng)一的校級身份認證系統(tǒng)確認，而且，合法用戶上網(wǎng)的行為也要受到統(tǒng)一的監(jiān)控，上網(wǎng)行為的日志要集中保存在中心服務器上，保證了這個記錄的法律性和準確性。 根據(jù)相關部門的要求，配 備專門的安全管理人員，出臺網(wǎng)絡安全管理制度 。 網(wǎng)絡安全的技術是多樣化的，現(xiàn)狀還是 “道高一尺，魔高一丈 ”，因此管理的工作就愈發(fā)重要和艱巨，必須 要 做到及時進行漏洞修補和定期詢檢，保證對網(wǎng)絡的監(jiān)控和管理 。 [2] 校園網(wǎng)絡安全措施 前述各種網(wǎng)絡安全威脅，都是通過網(wǎng)絡安全缺陷和系統(tǒng)軟硬件漏洞來對網(wǎng)絡發(fā)起攻擊的。為杜絕網(wǎng)絡威脅，主要手段就是完善網(wǎng)絡病毒監(jiān)管能力，堵塞網(wǎng)絡漏洞，從而達到網(wǎng)絡安全。 殺毒軟件。 殺毒產(chǎn)品 的 部署 . 在該網(wǎng)絡防病毒方案中，要達到一個目的就是：要在整個局域網(wǎng)內(nèi)杜絕病毒的感染、 傳播和發(fā)作。為了實現(xiàn)這一點，應在整個網(wǎng)絡內(nèi)可能感染和傳播病毒的地方采取相應的防病毒手段；同時為了有效、快捷地實施和管理整個網(wǎng)絡的防病毒體系，應能實現(xiàn)遠程安裝、智能升級、遠程報警、集中管理、分布查殺等多種功能 .。 （ 1）在學校網(wǎng)絡中心配置一臺高效的 Windows2020 服務器安裝一個殺毒軟件的系統(tǒng)中心，負責管理校內(nèi)網(wǎng)點的計算機。 （ 2）在各辦公室分別安裝 殺毒軟件的 客戶端。 （ 3）安裝完 殺毒軟件 ，在管理員控制臺對網(wǎng)絡中所有客戶端進行定時查殺毒的設置，保證所有客戶端即使在沒有聯(lián)網(wǎng)的時候也能夠定時進行對本機的查殺毒 。 （ 4）網(wǎng)絡中心負責整個校園網(wǎng)的升級工作。 采用 VLAN 技術。 VLAN 技術是在局域網(wǎng)內(nèi)將工作站邏輯的劃分成多個網(wǎng)段，從而實現(xiàn)虛擬工作組的技術。 VLAN 技術根據(jù)不同的應用業(yè)務以及不同的安全級別，將網(wǎng)絡分段并進行隔離，實現(xiàn)相互間的訪問控制，可以達到限制用戶非法訪問的目的。 內(nèi)容過濾器。 宿州學院畢業(yè)論文（設計） 10 內(nèi)容過濾器是有效保護網(wǎng)絡系免于誤用和無意識服務拒絕的工具。同時，可以限制外來的垃圾郵件。 防火墻。 在與 Inter 相連的每一臺電腦上都裝上防火墻，成為內(nèi)外網(wǎng)之間一道牢固的安全屏障。在防火墻設置上按照以 下原則配置來提高網(wǎng)絡安全性 : (1)根據(jù)校園網(wǎng)安全策略和安全目標，規(guī)劃設置正確的安全過濾規(guī)則，規(guī)則審核IP 數(shù)據(jù)包的內(nèi)容包括：協(xié)議、端口、源地址、目的地址、流向等項目，嚴格禁止來自公網(wǎng)對校園內(nèi)部網(wǎng)不必要的、非法的訪問?？傮w上遵從“不被允許的服務就是被禁止”的原則 . (2）禁止訪問系統(tǒng)級別的服務 ( 如 HTTP , FTP 等 )。局域網(wǎng)內(nèi)部的機器只允許訪問文件、打印機共享服務。使用動態(tài)規(guī)則管理，允許授權運行的程序開放的端口服務，比如網(wǎng)絡游戲或者視頻語音電話軟件提供的服務。 (3）如果你在局域網(wǎng)中使用你的機器，那么你 就必須正確設置你在局域網(wǎng)中的IP，防火墻系統(tǒng)才能認識哪些數(shù)據(jù)包是從局域網(wǎng)來，哪些是從互聯(lián)網(wǎng)來，從而保證你在局域網(wǎng)中正常使用網(wǎng)絡服務（如文件、打印機共享）功能。 (4）定期查看防火墻訪問日志，及時發(fā)現(xiàn)攻擊行為和不良上網(wǎng)記錄。 (5）允許通過