学校宿舍网络安全探究.docx

1、学校宿舍网络安全探究0.前言如今，校园宿舍网呈现用户多且密度大、网络节点多、难以管理的特点。宿舍网的用户相对其他网络的用户分布要密集很多，而众多用户与不同宿舍楼之间的网络连接结构相似，但节点甚至比办公大楼、实验室等其他区域的网络节点还要多，管理起来工作量大。同时，不容忽视的是，学校拥有一大批活跃、求知欲强的学生用户，因此IP地址盗用等现象频频发生。在传统的IP和MAC地址绑定、流量计费的运营管理模式下，为了防止IP地址盗用现象，将大量IP和MAC地址绑定，不仅加大了服务中心工作人员的工作量，甚至造成了超负荷工作，工作人员对此有很大意见；同时，用户对不能正常使用网络的抱怨也时有发生。各种原因交织

2、在一起最终导致了管理难的问题。因此，我们一直在寻找由难到易的宿舍网运营计费认证管理办法，需要它营造出一种方便、实用、快捷、易于管理的网络环境。同时，由于宿舍区网络使用者知识能力等所限，被病毒、木马等威胁的实例也层出不穷，例如：局域网爆发ARP病毒，具体表现为局域网内一些正在上网的电脑主机频繁掉线或是断线。这是因为局域网内有电脑运行ARP欺骗程序（比如：传奇、QQ盗号的软件等）发送ARP数据包，致使被攻击的电脑不能上网。为了有效防范宿舍区内病毒等的发生与蔓延，有必要认真研究解决对策。1.宿舍网络安全简介随着网络的快速发展和上网用户的急剧增多，网络中的不安全因素日益暴露无遗，主要表现在：1）由于I

3、P和MAC地址的可变性而导致的冒用合法用户入网问题。非法用户只要连接网线，对电脑进简单的网络配置就可以上网。由于IP和MAC盗用会导致合法用户不能上网，甚至非法入网者会以合法用户的名义从事非法勾当，对网络的安全管理造成很大的威胁；2）操作系统和应用软件存在大量漏洞，这是造成网络安全问题的严峻的一个主要原因。国际权威应急组织CERT/CC统计，截至2004年以来漏洞公布总数16726个，并且利用漏洞发动攻击的速度也越来越快；3）校园网用户安全意识不强及计算机水平有限。大部分学校普遍都存在重技术、轻安全、轻管理的倾向，常常只是在内部网与互联网之间放一个防火墙就万事大吉，甚至有些学校直接连接互联网，

4、严重缺乏防范黑客攻击的意识。学生宿舍网作为服务于教育、科研和行政管理的计算机网络，实现了校园内连网、信息共享，并与 Internet 互联。宿舍网连接的校内学生机，存在许多安全隐患，主要表现有：1)宿舍网与 Internet 相连，面临着外网攻击的风险。2)来自内部的安全威胁。3)接入宿舍网的节点数日益增多，这些节点会面临病毒泛滥、信息丢失、数据损坏等安全问题。通过对宿舍网的安全设计，在不改变原有网络结构的基础上实现多种信息安全，保障宿舍网络安全 ，一个整体一致的内网安全体系，应该包括身份认证、授权管理、数据保密和监控审计四个方面，并且，这四个方面应该是紧密结合、相互联动的统一平台，才能达到构

5、建可信、可控和可管理的安全内网的效果。身份认证是内网安全管理的基础，不确认实体的身份，进一步制定各种安全管理策略也就无从谈起。内网的身份认证，必须全面考虑所有参与实体的身份确认，包括服务器、客户端、用户和主要设备等。其中，客户端和用户的身份认证尤其要重点关注，因为他们具有数量大、环境不安全和变化频繁的特点。授权管理是以身份认证为基础的，其主要对内部信息网络各种信息资源的使用进行授权，确定谁能够在那些计算机终端或者服务器使用什么样的资源和权限。授权管理的信息资源应该尽可能全面，应该包括终端使用权、外设资源、网络资源、文件资源、服务器资源和存储设备资源等。数据保密是内网信息安全的核心，其实质是要对

6、内网信息流和数据流进行全生命周期的有效管理，构建信息和数据安全可控的使用、存储和交换环境，从而实现对内网核心数据的保密和数字知识产权的保护。由于信息和数据的应用系统和表现方式多种多样，所以要求数据保密技术必须具有通用性和应用无关性。监控审计是宿舍网络安全不可缺少的辅助部分，可以实现对宿舍网络安全状态的实时监控，提供宿舍网络安全状态的评估报告，并在发生宿舍网络安全事件后实现有效的取证。宿舍网络安全已经成为信息安全的新热点，其技术和标准也在成熟和演进过程中，我们有理由相信，随着同学们对宿舍网络安全认识的加深，用户宿舍网络安全管理制度的完善，整体一致的宿舍网安全解决方案和体系建设将成为宿舍网安全的主

7、要发展趋势。宿舍内部网络安全经常会发生IP盗用现象，恶意修改MAC地址，严重危害了正常的上网秩序，下面我们先从网卡开始探讨网络的安全问题。2.网卡2.1网卡的基本构造网卡包括硬件和固件程式（只读存储器中的软件例程），该固件程式实现逻辑链路控制和媒体访问控制的功能，还记录唯一的硬件地址即MAC地址。网卡上一般有缓存。网卡须分配中断IRQ及基本I/O端口地址，同时还须配置基本内存地址（base memory address）和收发器（transceiver），主要由网卡的控制芯片、晶体震荡器、BOOT插槽、EPROM、内接式转换器、RJ-45和BNC接头、信号指示灯等部分。网卡的控制芯片是网卡中最

8、重要元件，是网卡的控制中央，有如电脑的CPU控制着整个网卡的工作，负责数据的的传送和连接时的信号侦测。早期的10/100m的双速网卡会采用两个控制芯片（单元）分别用来控制两个不同速率环境下的运算，而现在较先进的产品通常只有一个芯片控制两种速度。内接式转换器只要有BNC接头的网卡都会有这个芯片，并紧邻在BNC接头旁，它的功能是在网卡和BNC接头之间进行数据转换，让网卡能通过它从BNC接头送出或接收资料。信号指示灯在网卡后方会有二到三个不等的信号灯，其作用是显示现在网络的连线状态，通常具备TX和RX两个信息。TX代表正在送出资料，RX代表正在接收资料，若看到两个灯同时亮则代表现在是处于全双工的运作

9、状态，也可由此来辨别全双工的网卡是否处于全双工的网络环境中部分。2.2网卡的工作原理网卡的主要工作原理是整理计算机上发往网线上的数据，并将数据分解为适当大小的数据包之后向网络上发送出去。对于网卡而言，每块网卡都有一个唯一的网络节点地址，它是网卡生产厂家在生产时烧入ROM（只读存储芯片）中的，我们把它叫做MAC地址（物理地址），且保证绝对不会重复。发送数据时，网卡首先侦听介质上是否有载波（载波由电压指示），如果有，则认为其他站点正在传送信息，继续侦听介质。一旦通信介质在一定时间段内（称为帧间缝隙IFG=9.6微秒）是安静的，即没有被其他站点占用，则开始进行帧数据发送，同时继续侦听通信介质，以检测

10、冲突。在发送数据期间,如果检测到冲突，则立即停止该次发送，并向介质发送一个阻塞信号，告知其他站点已经发生冲突，从而丢弃那些可能一直在接收的受到损坏的帧数据，并等待一段随机时间（CSMA/CD确定等待时间的算法是二进制指数退避算法）。在等待一段随机时间后，再进行新的发送。接收时，网卡浏览介质上传输的每个帧，如果其长度小于64字节，则认为是冲突碎片。如果接收到的帧不是冲突碎片且目的地址是本地地址，则对帧进行完整性校验，如果帧长度大于1518字节（称为超长帧，可能由错误的LAN驱动程序或干扰造成）或未能通过CRC校验，则认为该帧发生了畸变。通过校验的帧被认为是有效的，网卡将它接收下来进行本地处理。2

11、.3网卡的工作模式及功能1.工作模式分为以下四种：1) 广播模式（Broad Cast Model）:它的物理地址（MAC）地址是 0Xffffff 的帧为广播帧，工作在广播模式的网卡接收广播帧。2）多播传送（MultiCast Model）：多播传送地址作为目的物理地址的帧可以被组内的其它主机同时接收，而组外主机却接收不到。但是，如果将网卡设置为多播传送模式，它可以接收所有的多播传送帧，而不论它是不是组内成员。3）直接模式（Direct Model）:工作在直接模式下的网卡只接收目地址是自己 MAC地址的帧。4）混杂模式（Promiscuous Model）:工作在混杂模式下的网卡接收所有的

12、流过网卡的帧，信包捕获程序就是在这种模式下运行的。网卡的缺省工作模式包含广播模式和直接模式，即它只接收广播帧和发给自己的帧。如果采用混杂模式，一个站点的网卡将接受同一网络内所有站点所发送的数据包这样就可以到达对于网络信息监视捕获的目的。比如，可以实施远程扫描来确定一块网卡是否工作在混杂模式。象AntiSniff这样的程序使用三种主要的方法来检测网卡是否工作于混杂模式：1.检测网卡电子方面的变化来确定网卡的工作模式。2.发送各种包（ARP请求，ICMP包，DNS请求，TCP SYN floods，等等）。如果从某台主机返回的包等待了一段不正常的时间，而且没有被主机处理过的迹象，则程序便推断出该主

13、机的网卡可能出于混杂模式。3.将错误的ICMP请求包含在无效的以太网地址头中。所有没有工作在混杂模式的系统将忽略这些请求，而那些回复错误的ICMP请求的主机将有可能出于混杂模式。像AntiSniff这样的程序通过推论来判断网卡是否工作在混杂模式。由于这些程序只是根据有限的数据来下结论，所以容易出现误报。通常明智的做法是定时进行混杂模式检测的扫描。例如，L0pht包含其自身的调度。使用WindwosNT Scheduler或UNIX的cron程序，你可以自动实施所有扫描。L0pht还提供的UNIX版本的AntiSniff。然而你需要编译它，并且只能运行在FreeBSD和Solaris操作系统下。

14、2.4 MAC地址的简介1.什么是MAC地址网卡的身份证号MAC地址,也叫物理地址、硬件地址或链路地址,由网络设备制造商生产时写在硬件内部。他是识别网卡身份的标志！MAC地址的长度为48位（6个字节）,通常表示为12个16进制数,每2个16进制数之间用冒号隔开,如:08:00:20:0A:8C:6D就是一个MAC地址,其中前6位16进制数08:00:20代表网络硬件制造商的编号,它由IEEE（电气与电子工程师协会）分配,而后3位16进制数0A:8C:6D代表该制造商所制造的某个网络产品（如网卡）的系列号。只要你不去更改自己的MAC地址,那么你的MAC地址在世界是惟一的。2.MAC地址的应用MA

15、C地址主要用于与网络服务商提供的IP地址、端口以及用户提供的信息等绑定，防止其他人盗用.学校里面的校园网就是这样的！但是MAC是可以改变的！3.查看MAC地址在输入cmd（引号里面部分）进入命令提示符状态然后输入IPconfig /all 其中Physical Address就是计算机的MAC地址。4.更改MAC地址一般MAC地址在网卡中是固定的，当然也有网络高手会想办法去修改自己的MAC地址。修改自己的MAC地址有两种方法，一种是硬件修改，另外一种是软件修改。硬件的方法就是直接对网卡进行操作，修改保存在网卡的EPROM里面的MAC地址，通过网卡生产厂家提供的修改程序可以更改存储器里的地址。当

16、然软件修改的方法就相对来说要简单得多了，在Windows中，网卡的MAC保存在注册表中，实际使用也是从注册表中提取的，所以只要修改注册表就可以改变MAC。2.5 IP与MAC的绑定例如局域网某一用户的IP地址为：，MAC地址为：00-11-2F-3F-96-88在命令提示符下输入IPconfig /all显示如下信息:在命令行下输入：arp -s 00-11-2F-3F-96-88回车就绑定了。查看是否绑定：在命令行下输入arp -a ，会得到如下提示：Internet Address Physical Address 00-11-2f-3f-96-88 static就是成功完成了。ARP命令仅对局域网的上网代理服务器有用，而且是针对静态IP地址，如果采用Modem拨号上网或是动态IP地址就不起作用。不过，只是简单地绑定IP和MAC地址是不能完全的解决IP盗用问题的。设计一个好的网络，我们有责任