【正文】 口令攻擊 黑客攻擊目標(biāo)時 ,常常把破譯普通用戶的口令作為攻擊的開始 . 先用 Finger 遠(yuǎn)端主機名找出主機上的用戶帳號 ,然后采用字典窮舉法進行攻擊。它的原理是：網(wǎng)絡(luò)上的用戶常采用一個英語單詞或自己的姓氏作為口令。通過一些程序 ,自動地從電腦字典中取出一個單詞 ,作為用戶的口令輸入給遠(yuǎn)端的主機 ,申請進入系統(tǒng)。 若口令錯誤 ,就按序取出下一個單詞 ,進行下一個嘗試。并一直循環(huán)下去 ,直到找到正確的口令哈爾濱鐵道職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計 19 或字典的單詞試完為止。由于這個破譯過程由計算機程序來自動完成 ,幾 個小時就可以把字典的所有單詞都試一遍。 防范口令攻擊的一個簡單有效的辦法是 ,不要用英語單詞 ,且不可能被別人猜測出的口令就可以了。一個好的口令應(yīng)當(dāng)至少有 7 個字符長 ,不要用個人信息 (如生日、名字等 ) ,口令中要有一些非字母 (如數(shù)字 ,標(biāo)點符號 ,控制字符等 ) ,還要好記一些 ,不能寫在紙上或計算機中的文件中 ,選擇口令的一個好方法是將兩個不相關(guān)的詞用一個數(shù)字或控制字符相連 ,并截斷為 8 個字符。防范口令攻擊的方法雖然簡單 ,但很多用戶卻不能做到 ,一些用戶的口令與用戶名相同 ,或使用電話號碼、生日 ,甚至口令為空。 蠕蟲 病毒 蠕蟲病毒是一種常見的計算機病毒。它是利用網(wǎng)絡(luò)進行復(fù)制和傳播，傳染途徑是通過網(wǎng)絡(luò)和電子郵件。最初的蠕蟲病毒定義是因為在 DOS 環(huán)境下，病毒發(fā)作時會在屏幕上出現(xiàn)一條類似蟲子的東西，胡亂吞吃屏幕上的字母并將其改形。蠕蟲病毒是自包含的程序或是一套程序，它能傳播自身功能的拷貝或自身的某些部分到其它的計算機系統(tǒng)中。比如危害很大的“ 尼姆亞 ”病毒就是蠕蟲病毒的一種， 2021 年年春天流行“ 熊貓燒香”以及其變種也是蠕蟲病毒。這一病毒利用了微軟視窗操作系統(tǒng)的漏洞，計算機感染這一病毒后，會不斷自動撥號上網(wǎng)，并利用文件中的地址信息或者網(wǎng)絡(luò)共享進行傳播，最終破壞用戶的大部分重要數(shù)據(jù)。防范此類病毒需要注意以下幾點： ? 選購合適的殺毒軟件 ： 網(wǎng)絡(luò)蠕蟲病毒的發(fā)展已經(jīng)使傳統(tǒng)的殺毒軟件的 “文件級實時監(jiān)控系統(tǒng) ”落伍，殺毒軟件必須向內(nèi)存實時監(jiān)控和郵件實時監(jiān)控發(fā)展 。 ? 經(jīng)常升級病毒庫 ： 殺毒軟件對病毒的查殺是以病毒的特征碼為依據(jù)的，而病毒每天都層出不窮，尤其是在網(wǎng)絡(luò)時代，蠕蟲病毒的傳播速度快、變種多，所以必須隨時更新病毒庫， 以便能夠查殺最新的病毒。 ? 提高防殺毒意識 ： 不要輕易去點擊陌生的站點，有可能里面就含有惡意代碼 。 不隨意查看陌生郵件 ， 尤其是帶有附件的郵件 ： 由于有的病毒郵件能夠利用 IE 和Outlook 的漏洞自動執(zhí)行，所以計算機用戶需要升級 IE 和 Outlook 程序，及常用的其他應(yīng)用程序。 VLAN 攻擊 VLAN技術(shù)的應(yīng)用為網(wǎng)絡(luò)的安全防范提供了一種基于管理方式上的策略方法，我們可以根據(jù)企業(yè)網(wǎng)絡(luò)管理的特點有針對性地選擇不同的 VLAN 劃分手段。雖然網(wǎng)絡(luò)安全在某種程度上得到了一定的保障，但安全往往與危險并存，目前常見的 VLAN 的攻擊有以下幾種 ： 攻擊者惡意發(fā)送 DTP幀：用于接收偽造 DTP 分組，那么，它將成為干道端口，并有可能接收通往任何 VLAN 的流量。由此，惡意用戶可以通過受控制的端口與其它 VLAN 通信。對于這種攻擊，只需將所有不可信端口上的 DTP設(shè)置為“關(guān)”，即可預(yù)防這種攻擊的侵襲。 嵌套式 VLAN 攻擊 : 雙封裝 分組恰巧從 VLAN 與干道的本征 VLAN 相同的設(shè)備進入網(wǎng)絡(luò)時，交換機將剝離掉其外部本征 VLAN 標(biāo)記。刪除外部標(biāo)記之后，內(nèi)部標(biāo)記將成為分組的惟一 VLAN 標(biāo)識符。因此，攻擊者用兩 個不同的標(biāo)記對分組進行雙封裝，流量就可以在不同 VLAN 之間跳轉(zhuǎn)。針對這種攻擊，只需要攻擊者連接的交換機本征 VLAN 與所攻擊的本征 VLAN 不是同一個 VLAN 即可。 哈爾濱鐵道職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計 20 TCP SYN 攻擊 TCP SYN攻擊是一種拒絕服務(wù)攻擊。它是利用 TCP客戶機與服務(wù)器之間三次握手過程的缺陷來進行的。攻擊者通過偽造源 IP地址向被攻擊者發(fā)送大量的 SYN數(shù)據(jù)包，當(dāng)被攻擊主機接收到大量的 SYN數(shù) 據(jù)包時，需要使用大量的緩存來處理這些連接，并將SYN ACK數(shù)據(jù)包發(fā)送回錯誤的 IP地址，并一直等待 ACK數(shù)據(jù)包的回應(yīng)，最終導(dǎo)致緩存用完，不能再處理其它合法的 SYN連接，即不能對外提供正常服務(wù)。 針對這種攻擊，我們可以充分發(fā)揮我們 SecPaht系列防火墻過濾攔截的功能，檢查單位時間內(nèi)收到的 SYN連接否收超過系統(tǒng)設(shè)定的值。當(dāng)接收到大量的 SYN數(shù)據(jù)包時，通知防火墻阻斷連接請求或丟棄這些數(shù)據(jù)包，并進行系統(tǒng)審計。 哈爾濱鐵道職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計 21 7 校園網(wǎng)安全措施 校園網(wǎng)安全介紹 校園網(wǎng)的安全威脅既有來自校內(nèi)的，也有來自校外的，只有將技術(shù) 和管理都重視起來，才能切實構(gòu)筑一個安全的校園網(wǎng)。 國內(nèi)高校校園網(wǎng)的安全問題有其歷史原因：在以前的網(wǎng)絡(luò)時期，一方面因為意識與資金方面的原因，以及對技術(shù)的偏好和運營意識的不足，普遍都存在“重技術(shù)、輕安全、輕管理“的傾向，常常只是在內(nèi)部網(wǎng)與互聯(lián)網(wǎng)之間放一個防火墻就萬事大吉，有些學(xué)校甚至直接連接互聯(lián)網(wǎng)，這就給病毒、黑客提供了充分施展身手的空間。而病毒泛濫、黑客攻擊、信息丟失、服務(wù)被拒絕等等，這些安全隱患只要發(fā)生一次，對整個網(wǎng)絡(luò)都將是致命性的。 作為高等院校，如何構(gòu)筑相對可靠的校園網(wǎng)絡(luò)安全體系問題，變得越來越突出了。 一般來說，構(gòu)筑校園網(wǎng)絡(luò)安全體系，要從兩個方面著手：一是采用先進的技術(shù)；二是不斷改進管理方法。 校園網(wǎng)安全管理 針對目前高校校園網(wǎng)安全現(xiàn)狀的認(rèn)識與理解，在防病毒軟件、防火墻或智能網(wǎng)關(guān)等構(gòu)成的防御體系下，對于防止來自校園網(wǎng)外的攻擊已經(jīng)足夠。以下五點是高校的安全策略： 規(guī)范出口管理，實施校園網(wǎng)的整體安全架構(gòu)，必須解決多出口的問題。對于出口進行規(guī)范統(tǒng)一的管理，使校園網(wǎng)絡(luò)安全體系能夠得以實施。為校園網(wǎng)的安全提供最基礎(chǔ)的保障。 配備完整系統(tǒng)的網(wǎng)絡(luò)安全設(shè)備，在網(wǎng)內(nèi)和網(wǎng)外接口處配置一定的統(tǒng)一網(wǎng)絡(luò)安全控制和 監(jiān)管設(shè)備就可杜絕大部分的攻擊和破壞，一般包括：防火墻、入侵檢測系統(tǒng)、漏洞掃描系統(tǒng)、網(wǎng)絡(luò)版的防病毒系統(tǒng)等。另外，通過配置安全產(chǎn)品可以實現(xiàn)對校園網(wǎng)絡(luò)進行系統(tǒng)的防護、預(yù)警和監(jiān)控，對大量的非法訪問和不健康信息起到有效的阻斷作用，對網(wǎng)絡(luò)的故障可以迅速定位并解決。 解決用戶上網(wǎng)身份問題，建立全校統(tǒng)一的身份認(rèn)證系統(tǒng) 。校園網(wǎng)絡(luò)必須要解決用戶上網(wǎng)身份問題，而身份認(rèn)證系統(tǒng)是整個校園網(wǎng)絡(luò)安全體系的基礎(chǔ)的基礎(chǔ)，否則即便發(fā)現(xiàn)了安全問題也大多只能不了了之，只有建立了基于校園網(wǎng)絡(luò)的全校統(tǒng)一身份認(rèn)證系統(tǒng)，才能徹底的解決用戶上網(wǎng)身份問 題，同時也為校園信息化的各項應(yīng)用系統(tǒng)提供了安全可靠的保證。 嚴(yán)格規(guī)范上網(wǎng)場所的管理，集中進行監(jiān)控和管理 。上網(wǎng)用戶不但要通過統(tǒng)一的校級身份認(rèn)證系統(tǒng)確認(rèn)，而且，合法用戶上網(wǎng)的行為也要受到統(tǒng)一的監(jiān)控，上網(wǎng)行為的日志要集中保存在中心服務(wù)器上，保證了這個記錄的法律性和準(zhǔn)確性。 根據(jù)相關(guān)部門的要求，配備專門的安全管理人員，出臺網(wǎng)絡(luò)安全管理制度 。 網(wǎng)絡(luò)安全的技術(shù)是多樣化的，現(xiàn)狀還是“道高一尺，魔高一丈”，因此管理的工作就愈發(fā)重要和艱巨，必須要做到及時進行漏洞修補和定期詢檢，保證對網(wǎng)絡(luò)的監(jiān)控和管理 。 校園網(wǎng)絡(luò)安全措施 殺毒軟件。 殺毒產(chǎn)品的部署 . 在該網(wǎng)絡(luò)防病毒方案中，要達(dá)到一個目的就是：要在整個局域網(wǎng)內(nèi)杜絕病毒的感染、傳播和發(fā)作。為了實現(xiàn)這一點，應(yīng)在整個網(wǎng)絡(luò)內(nèi)可能感染和傳播病毒的地方采取相應(yīng)的防病毒手段；同時為了有效、快捷地實施和管理整個網(wǎng)絡(luò)的防病毒體系，應(yīng)能實現(xiàn)遠(yuǎn)程安裝、智能升級、遠(yuǎn)程報警、集中管理、分布查殺等多種功能 .。 哈爾濱鐵道職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計 22 （ 1）在學(xué)校網(wǎng)絡(luò)中心配置一臺高效的 Windows2021 服務(wù)器安裝一個殺毒軟件的系統(tǒng)中心，負(fù)責(zé)管理校內(nèi)網(wǎng)點的計算機。 （ 2）在各辦公室分別安裝殺毒軟件的客戶端。 （ 3）安裝完 殺毒軟件，在管理員控制臺對網(wǎng)絡(luò)中所有客戶端進行定時查殺毒的設(shè)置，保證所有客戶端即使在沒有聯(lián)網(wǎng)的時候也能夠定時進行對本機的查殺毒。 （ 4）網(wǎng)絡(luò)中心負(fù)責(zé)整個校園網(wǎng)的升級工作。 采用 VLAN 技術(shù)。 VLAN 技術(shù)是在局域網(wǎng)內(nèi)將工作站邏輯的劃分成多個網(wǎng)段，從而實現(xiàn)虛擬工作組的技術(shù)。 VLAN 技術(shù)根據(jù)不同的應(yīng)用業(yè)務(wù)以及不同的安全級別，將網(wǎng)絡(luò)分段并進行隔離，實現(xiàn)相互間的訪問控制，可以達(dá)到限制用戶非法訪問的目的。 內(nèi)容過濾器。 內(nèi)容過濾器是有效保護網(wǎng)絡(luò)系免于誤用和無意識服務(wù)拒絕的工具。同時，可以限制外來的垃圾郵件。 防火墻。 在與 Inter 相連的每一臺電腦上都裝上防火墻，成為內(nèi)外網(wǎng)之間一道牢固的安全屏障。在防火墻設(shè)置上按照以下原則配置來提高網(wǎng)絡(luò)安全性 : (1)根據(jù)校園網(wǎng)安全策略和安全目標(biāo)，規(guī)劃設(shè)置正確的安全過濾規(guī)則，規(guī)則審核 IP數(shù)據(jù)包的內(nèi)容包括：協(xié)議、端口、源地址、目的地址、流向等項目，嚴(yán)格禁止來自公網(wǎng)對校園內(nèi)部網(wǎng)不必要的、非法的訪問。總體上遵從“不被允許的服務(wù)就是被禁止”的原則 . (2）禁止訪問系統(tǒng)級別的服務(wù) ( 如 HTTP , FTP 等 )。局域網(wǎng)內(nèi)部的機器只允許訪問文件、打印機共享服務(wù)。使用動態(tài)規(guī)則管理，允 許授權(quán)運行的程序開放的端口服務(wù)，比如網(wǎng)絡(luò)游戲或者視頻語音電話軟件提供的服務(wù)。 (3）如果你在局域網(wǎng)中使用你的機器，那么你就必須正確設(shè)置你在局域網(wǎng)中的 IP，防火墻系統(tǒng)才能認(rèn)識哪些數(shù)據(jù)包是從局域網(wǎng)來，哪些是從互聯(lián)網(wǎng)來，從而保證你在局域網(wǎng)中正常使用網(wǎng)絡(luò)服務(wù)（如文件、打印機共享）功能。 (4）定期查看防火墻訪問日志，及時發(fā)現(xiàn)攻擊行為和不良上網(wǎng)記錄。 (5）允許通過配置網(wǎng)卡對防火墻設(shè)置，提高防火墻管理安全性 . 入侵檢測。 入侵檢測系統(tǒng)是防火墻的合理補充，幫助系統(tǒng)對付網(wǎng)絡(luò)攻擊。擴展系統(tǒng)管理員的安全管理能力．提高信息 安全基礎(chǔ)結(jié)構(gòu)的完整性。入侵檢測系統(tǒng)能實時捕獲內(nèi)外網(wǎng)之間傳輸?shù)臄?shù)據(jù)，利用內(nèi)置的攻擊特征庫，使用模式匹配和智能分析的方法，檢測網(wǎng)絡(luò)上發(fā)生的入侵行為和異?，F(xiàn)象，并記錄有關(guān)事件。入侵檢測系統(tǒng)還可以發(fā)出實時報警，使網(wǎng)絡(luò)管理員能夠及時采取應(yīng)對措施。 漏洞掃描。 隨著軟件規(guī)模的不斷增大．系統(tǒng)中的安全漏洞或“后門”也不可避免地存在．因此，應(yīng)采用先進的漏洞掃描系統(tǒng)定期對工作站、服務(wù)器等進行安全檢查，并寫出詳細(xì)的安全性分析報告，及時地將發(fā)現(xiàn)的安全漏洞打上“補丁”； 對付破壞系統(tǒng)企圖的理想方法當(dāng)然是建立一個完全安全的沒 有漏洞的系統(tǒng)，但從實際而言，這根本不可能。美國威斯康星大學(xué)的 Miller 給出一份有關(guān)現(xiàn)今流行操作系統(tǒng)和應(yīng)用程序的研究報告，指出軟件中不可能沒有漏洞和缺陷。 因此，一個實用的方法是，建立比較容易實現(xiàn)的安全系統(tǒng)，同時按照一定的安全策略建立相應(yīng)的安全輔助系統(tǒng)，漏洞掃描器就是這樣一類系統(tǒng)。就目前系統(tǒng)的安全狀況而言，系統(tǒng)中存在著一定的漏洞，因此也就存在著潛在的安全威脅，但是，如果我們能夠根據(jù)具體的應(yīng)用環(huán)境，盡可能早地通過網(wǎng)絡(luò)掃描來發(fā)現(xiàn)這些漏洞，并及時采取適當(dāng)?shù)奶幚泶胧┻M行修補，就可以有效地阻止入侵事件的發(fā)生。采用先進 的漏洞掃描系統(tǒng)定期對工作站、服哈爾濱鐵道職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計 23 務(wù)器、交換機等進行安全檢查，并根據(jù)檢查結(jié)果向系統(tǒng)管理員提供周密、可靠的安全性分析報告。 建立安全管理制度 根據(jù)前面介紹的校園網(wǎng)設(shè)計方案建設(shè)而成的一個校園網(wǎng)絡(luò)投入運行之后，它的穩(wěn)定性及可靠性是很高。網(wǎng)絡(luò)系統(tǒng)出現(xiàn)的問題，一般情況下出現(xiàn)的問題主要有人為操作失誤（包括計算機病毒引起的故障）和整個網(wǎng)絡(luò)系統(tǒng)本身不可避免的故障。因此要想使計算機網(wǎng)絡(luò)的各種故障減少到最低的話，網(wǎng)絡(luò)管理員就要在平時做好網(wǎng)絡(luò)的預(yù)防性維護以及重要數(shù)據(jù)的備份、計算機病毒的防護，記錄網(wǎng)絡(luò)事件等工作。同時人為操作 造成的故障在整個網(wǎng)絡(luò)故障的絕大部分，因此要注意加強網(wǎng)絡(luò)使用人員的應(yīng)用技能和道德品質(zhì)，可減少人員有意無意對網(wǎng)絡(luò)造成的傷害。 常言說：“三分技術(shù)，七分管理”。安全管理是保證網(wǎng)絡(luò)安全的基礎(chǔ)，安全技術(shù)是配合安全管理的輔助措施。我們建立了一套校園網(wǎng)絡(luò)安全管理模式，制定了詳細(xì)的安全管理制度，如機房管理制度、病毒防范制度等，并采取切實有效的措施，保證了制度的執(zhí)行。 校園網(wǎng)是學(xué)校教學(xué)、科研和管理不可缺少的重要基礎(chǔ)設(shè)施，校園網(wǎng)的安全特別重要。校園信息化也成為影響學(xué)校未來競爭力的重要因素。因此，校園網(wǎng)安全技術(shù)管理不僅任務(wù)重， 其技術(shù)要求也越來越高，網(wǎng)絡(luò)安全技術(shù)人才隊伍建設(shè)也將是校園網(wǎng)建設(shè)的重中之重。 哈爾濱鐵道職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計 24 8 結(jié)論 本文從校園網(wǎng)的建設(shè)思想、目標(biāo)、可以選用的網(wǎng)絡(luò)技術(shù)以及對網(wǎng)絡(luò)設(shè)備的介紹和選擇等多方面的論述，使我對校園網(wǎng)建設(shè)有了一個比較深入的了解。隨著信息技術(shù)與通信技術(shù)的飛速發(fā)展及人們對網(wǎng)絡(luò)性能要求的提高，各種網(wǎng)絡(luò)新技術(shù)、新思想等必將產(chǎn)生并不斷得到完善和發(fā)展。使得更多更好的建網(wǎng)思想和技術(shù)應(yīng)用到新的校園網(wǎng)的建設(shè)及改造之中，校園網(wǎng)的功能也將得到很大的提高與擴充。網(wǎng)絡(luò)技術(shù)的發(fā)展是永無止境的，在前進的過程中必將有更多的知識需要我們?nèi)W(xué)習(xí)與研究， 并能將其應(yīng)用到實際的網(wǎng)絡(luò)工程建設(shè)之中。 校園網(wǎng)絡(luò)建設(shè)作為一項重要的系統(tǒng)工程，它的所用到的各種技術(shù)是多方面的，即有網(wǎng)絡(luò)技術(shù)、工程施工技術(shù)，也有管理制度等各個方面的知識。然而網(wǎng)絡(luò)安全問題隨著時代的發(fā)展也越來越多，攻