毕业设计论文校园网网络安全设计方案管理资料.docx

1、毕业设计论文校园网网络安全设计方案管理资料2010 2011 学年第 二 学期毕业设计（论文）课题 校园网网络安全设计方案 姓名 系部 电子与计算机系 专业 计算机网络技术 班级 计算机网络（1）班 学号 指导教师 武汉交通职业学院教务处制摘要随着信息化进程的深入和互联网的快速发展，网络化已经成为校园信息化的发展大趋势，信息资源也得到最大程度的共享。但是，紧随信息化发展而来的网络安全问题日渐凸出，网络安全问题已成为信息时代人类共同面临的挑战，网络信息安全问题成为当务之急，如果不很好地解决这个问题，必将阻碍信息化发展的进程。校园网网络的安全十分重要，它承载着学校的教务、行政、后勤、图书资料、对外

2、联络等方面的事务处理。安全性是指可靠性、保密性和数据一致性。网络安全是任何计算机网络建设必须解决的重要问题，校园网建设应把网络管理与安全放在突出地位。关键词：校园网，网络安全，入侵检测，病毒检测，防火墙 邮箱攻击.6 电子邮件的攻击.6 .7 .7 第一章 绪论 前言校园网是为学校开展教学、科研、管理和服务等工作而建立的计算机信息网络，是学校信息化建设的基础性平台。其目的是利用先进的计算机技术和网络通信技术，实现校内计算机互连、计算机局域网互连，并通过中国教育和科研计算机网（CERNET）与因特网（INTERNET）互连，实现信息的快捷沟通和资源共享，直接服务于全校各单位和广大师生。 校园网校

3、园网是为学校师生提供教学、科研和综合信息服务的宽带多媒体网络首先，校园网应为学校教学、科研提供先进的信息化教学环境。这就要求：校园网是一个宽带 、具有交互功能和专业性很强的局域网络。多媒体教学软件开发平台、多媒体演示教室、教师备课系统、电子阅览室以及教学、考试资料库等，都可以在该网络上运行。如果一所学校包括多个专业学科(或多个系)，也可以形成多个局域网络，并通过有线或无线方式连接起来。其次，校园网应具有教务、行政和总务管理功能。 网络安全网络安全是指网络系统的硬件、软件及其系统中的数据受到保护，不因偶然的或者恶意的原因而遭受到破坏、更改、泄露，系统连续可靠正常地运行，网络服务不中断。 网络安全

4、从其本质上来讲就是网络上的信息安全。从广义来说，凡是涉及到网络上信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论都是网络安全的研究领域。网络安全是一门涉及计算机科学、网络技术、通信技术、密码技术、信息安全技术、应用数学、数论、信息论等多种学科的综合性学科。第二章 校园网不安全因素1、校园网面临的威胁大体可分为对网络设备的危害和对网络中数据信息的破坏，具体包括：包括各类计算机、网络通信设备、存放数据的媒体、传输线路等。这些设备无论哪一个出现问题，都会给整个网络带来灾难性的后果。2、人为的因素，包括人为的无意失误和恶意攻击。人为无意的失误主要是操作员安全配置不当或用户安全意识淡薄口令过

5、于简单网络操作失误等。人为的恶意攻击是网络安全所面临的最大威胁此类攻击又分两类一类是主动攻击它以各种方式有选择地破坏信息的有效性和完整性另一类是被动攻击它是在不影响网络正常工作的前提下进行截获窃取破译以获得重要机密信息。 3、计算机病毒的泛滥与黑客的攻击。计算机病毒将导致计算机系统瘫痪，程序和数据严重破坏，使网络的效率和作用大大降低，使许多功能无法使用或不敢使用。现在的蠕虫病毒和黑客技术结合在一起，常常导致拒绝服务攻击（DOS），可以导致整个校园瘫痪。 4、非法使用网络资源。非法用户登录进入系统使用网络资源，造成网络资源的消耗，损害合法用户的利益。 5、操作系统及软件本身的问题。网络软件不可能

6、是百分之百的无缺陷和无漏洞的，这些漏洞和缺陷恰恰是黑客进行攻击的首选目标。 6、大量的非法内容。因特网上这些良莠不齐的网络资源不但会占有流量资源，导致网络堵塞、上网速度慢等问题，而且不良内容将危害学生的身心健康，造成严重后果。第3章 校园网安全的主要问题 IP盗用问题校园网内部连接有几千台电脑，一部分电脑通过正常的申请途径申请得到合法的IP地址，另一部分则不然。当某些没有IP地址的用户，冒用他人的合法IP地址时，就会造成网络内部地址的冲突，严重阻碍了合法用户的正常使用。 防火墙攻击防火墙系统相关技术的发展已经比较成熟，防火墙系统很坚固，但这只是对于对外的防护而已，它对于内部的防护则几乎不起什么

7、作用。然而不幸的是，一般情况下有70%的攻击是来自局域网的内部人员。所以怎样防止来自内部的攻击是当前校园网建设中的一个非常重要的方面。防火墙技术包含动态的包过滤、应用代理服务器、用户认证、网络地址转换、预警模块、日志及计费分析等功能。可以有效地将内部网与外部网隔离开，保护校园网络不被未授权的第三方入侵。我们可以通过很多网络工具，设备和策略来保护不可信任的网络。其中防火墙是运用非常广泛和效果最好的选择。它可以防御网络中的各种威胁，并且做出及时的响应，将那些危险的连接和攻击行为隔绝在外。从而降低网络的整体风险。防火墙的基本功能是对网络通信进行筛选屏蔽以防止未授权的访问进出计算机网络，简单的概括就是

8、，对网络进行访问控制。绝大部分的防火墙都是放置在可信任网络（Internal）和不可信任网络（Internet）之间。防火墙一般有三个特性：A所有的通信都经过防火墙B防火墙只放行经过授权的网络流量C防火墙能经受的住对其本身的攻击我们可以看成防火墙是在可信任网络和不可信任网络之间的一个缓冲，防火墙可以是一台有访问控制策略的路由器（Route+ACL），一台多个网络接口的计算机，服务器等，被配置成保护指定网络，使其免受来自于非信任网络区域的某些协议与服务的影响。所以一般情况下防火墙都位于网络的边界，例如保护企业网络的防火墙，将部署在内部网络到外部网络的核心区域上。防火墙成为了与不可信任网络进行联络

9、的唯一纽带，我们通过部署防火墙，就可以通过关注防火墙的安全来保护其内部的网络安全。并且所有的通信流量都通过防火墙进行审记和保存，对于网络安全犯罪的调查取证提供了依据。总之，防火墙减轻了网络和系统被用于非法和恶意目的的风险。 Email及非法URL的访问问题由于用户安全观念的淡薄以及网上某些人的别有用心，会给校园网的Email用户发一些不良内容的信件，有时还会携带各种各样的病毒。因此，怎样防止有问题的信件进入校园网的Email系统也是一个待解决的问题。解决方法：在校园网的WWW服务器、Email服务器等各种服务器中使用网络安全监测系统，实时跟踪、监视网络，截获Internet网上传输的内容，并将

10、其还原成完整的WWW、Email、FTP、Telnet应用的内容，建立保存相应记录的数据库。及时发现在网络上传输的非法内容，及时向上级安全网络中心报告，采取措施。并利用专门的日志分析工具对保存在数据库中的访问日志进行统计并绘制统计图，可以对访问地址和流量进行分析，对于明显的攻击便可一目了然了。电子邮箱攻击有很多种，如、使用工具窃取密码、电子邮件欺骗、电子邮箱轰炸等，其中一电子邮箱轰炸最为流行。通过发送邮件可以实现病毒和有害程序的传播。由于电子邮件是二进制文件，它可以是许多有害攻击的载体。邮件炸弹是一个简单有效的侵扰工具，炸弹的攻击只是由反复传给目标接收者相同信息组成。它并不是很神秘的侵扰，而只

11、是用信息垃圾充满个人的邮箱。从技术上讲，如果被攻击者缺少存储空间，邮箱会被充满，因此阻止了其它消息进入邮箱，所以所电子邮件炸弹也具有很大的危害性。某一天，当你打开自己的电子邮箱，发现里面有一封陌生人发来的邮件，发信人ID看起来也没有任何规律可言。好奇心驱使你打开了邮件，但是你并没有发现任何有价值的内容。接下来的情况让你有些措手不及，因为你的邮箱很快被塞满了陌生人的邮件。于是你想收到的邮件却不知道被塞到了哪个地方。必惊慌。这其实就是信息时代的商战中经常见到的电子邮件攻击。电子邮件攻击是目前商业应用最多的一种商业攻击，它还有一个比较形象的名字叫做“邮件炸弹”。 挑战邮件容量的攻击 这其实是最原始也

12、是比较简易的电子邮件攻击。攻击者申请一个邮箱，并且开启匿名功能。使用一些邮箱工具（像FOXMAIL、OUTLOOK等）发送一个大容量的附件，启动邮箱工具中的切分发送，再进行发送。针对此类攻击的防范也比较简单。用户登录到邮箱，邮箱系统设置中设置可以接受的邮件的最大容量。只需简单的设置用户就可以将大于此设置的邮件拒之门外。目前网上有很多邮件炸弹软件，虽然操作不尽相同，成功率也不能保证，但是它们可以将攻击者很好地隐藏而不被发现，是比较安全的一种攻击方式。其实邮件炸弹的原理很简单，与DDos攻击有所相似，就是针对某一个或者多个电子邮箱发送大量的邮件，突然加大网络的负担，增加网络流量以占用更多的处理器资

13、源，消耗系统资源，使得正常的电子邮件无法到达邮箱，进而造成系统瘫痪。 利用软件攻击利用软件进行的攻击邮箱终结者是邮件炸弹软件中的佼佼者。在要进行“轰炸的邮箱”里输入目标地址，并且设置邮箱的服务器（多为SMTP服务器），填写邮件相关内容，在邮箱下面设置发送量和发送邮箱的线程数。单击“攻击”，一场新的攻击就会立刻开始。 现在一般的邮箱都会有一个“可信任人”的项目，将正常的用户添加进去，这样只有被添加用户发来的邮件才能被正常接收，其他人的邮箱则会被拒绝。 服务器和设备的扫描和攻击问题有时会有一些用户对校园网的服务器和网络设备进行扫描和攻击，造成网络负载过重，致使服务器拒绝提供服务，或造成校园网不能提

14、供正常的服务。 病毒防护互联网迅猛发展使得网络运营成为社会时尚，但同时也为病毒感染和快速传播提供了途径。病毒从网络之间传递，并在计算机没有任何防护措施的情况下运行，从而导致系统崩溃，网络瘫痪，对网络服务构成严重威胁，造成巨大损失。因此，如何让校园网更安全，防止网络遭受病毒的侵袭，已成为校园网迫切需要解决的问题具体事例ARP协议是“Address Resolution Protocol”（地址解析协议）的缩写。在局域网中，网络中实际传输的是“帧”，帧里面是有目标主机的MAC地址的。在以太网中，一个主机机和另一个主机进行直接通信，必须要知道目标主机的MAC地址。但这个目标MAC地址是如何获得的呢？

15、它就是通过地址解析协议获得的。所谓“地址解析”就是主机在发送帧前将目标IP地址转换成目标MAC地址的过程。ARP协议的基本功能就是通过目标设备的IP地址，查询目标设备的MAC地址，以保证通信的顺利进行。 ARP欺骗其实，此起彼伏的瞬间掉线或大面积的断网大都是ARP欺骗在作怪。ARP欺骗攻击已经成了破坏网吧经营的罪魁祸首，是网吧老板和网管员的心腹大患。从影响网络连接通畅的方式来看，ARP欺骗分为二种，一种是对路由器ARP表的欺骗；另一种是对内网PC的网关欺骗。第一种ARP欺骗的原理是截获网关数据。它通知路由器一系列错误的内网MAC地址，并按照一定的频率不断进行，使真实的地址信息无法通过更新保存在

16、路由器中，结果路由器的所有数据只能发送给错误的MAC地址，造成正常PC无法收到信息。第二种ARP欺骗的原理是伪造网关。它的原理是建立假网关，让被它欺骗的PC向假网关发数据，而不是通过正常的路由器途径上网。在PC看来，就是上不了网了，“网络掉线了”。一般来说，ARP欺骗攻击的后果非常严重，大多数情况下会造成大面积掉线。有些网管员对此不甚了解，出现故障时，认为PC没有问题，交换机没掉线的“本事”，电信也不承认宽带故障。而且如果第一种ARP欺骗发生时，只要重启路由器，网络就能全面恢复，那问题一定是在路由器了。为此，宽带路由器背了不少“黑锅”。作为网吧路由器的厂家，对防范ARP欺骗不得已做了不少份内、

17、份外的工作。一、在宽带路由器中把所有PC的IP-MAC输入到一个静态表中，这叫路由器IP-MAC绑定。二、力劝网管员在内网所有PC上设置网关的静态ARP信息，这叫PC机IP-MAC绑定。一般厂家要求两个工作都要做，称其为IP-MAC双向绑定。显示和修改“地址解析协议”(ARP) 所使用的到以太网的 IP 或令牌环物理地址翻译表。该命令只有在安装了 TCP/IP 协议之后才可用。arp -a inet_addr -N if_addr arp -d inet_addr if_addr arp -s inet_addr ether_addr if_addr 参数 -a通过询问 TCP/IP 显示当前

18、 ARP 项。如果指定了 inet_addr，则只显示指定计算机的 IP 和物理地址。-g与 -a 相同。 inet_addr 以加点的十进制标记指定 IP 地址。-N 显示由 if_addr 指定的网络界面 ARP 项。 if_addr 指定需要修改其地址转换表接口的 IP 地址（如果有的话）。如果不存在，将使用第一个可适用的接口。 -d 删除由 inet_addr 指定的项。 -s在 ARP 缓存中添加项，将 IP 地址 inet_addr 和物理地址 ether_addr 关联。物理地址由以连字符分隔的6 个十六进制字节给定。使用带点的十进制标记指定 IP 地址。项是永久性的，即在超时到

19、期后项自动从缓存删除。ether_addr指定物理地址。ARP欺骗木马的中毒现象表现为：使用局域网时会突然掉线，过一段时间后又会恢复正常。比如客户端状态频频变红，用户频繁断网，IE浏览器频繁出错，以及一些常用软件出现故障等。如果局域网中是通过身份认证上网的，会突然出现可认证，但不能上网的现象（无法ping通网关），重启机器或在MS-DOS窗口下运行命令arp -d后，又可恢复上网。ARP欺骗木马只需成功感染一台电脑，就可能导致整个局域网都无法上网，严重的甚至可能带来整个网络的瘫痪。该木马发作时除了会导致同一局域网内的其他用户上网出现时断时续的现象外，还会窃取用户密码。如盗取QQ密码、盗取各种网

20、络游戏密码和账号去做金钱交易，盗窃网上银行账号来做非法交易活动等，这是木马的惯用伎俩，给用户造成了很大的不便和巨大的经济损失。 ARP 攻击（MAC地址攻击）的方法用环境：ROS路由症状： 无法PING到网关地址 在 ROS 里的 ARP 显示00:E0:4C:90:1A:7000:E0:4C:90:1A:7000:E0:4C:90:1A:7000:E0:4C:90:1A:7000:E0:4C:90:1A:7000:E0:4C:90:1A:7000:E0:4C:90:1A:7000:E0:4C:90:1A:70先决条件：ROS 有两块网卡 一块连接 。病发后，通过ROS的另一块网卡，使用WIN

21、BOX登录。最好是单机连接解决方法：现在快速查找中毒的电脑 ，请使用本站提供的IP扫描工具，在扫描工具的 Options 的 Select column 中将 Mac address 列移至右边，保存 （看图4）。图3-1接着可以找到 只有 使用的MAC地址中 00:E0:4C:90:1A:70图3-2由此可以判断 这台是中病毒的发起主机。这样的情况比较少，万一出现也是比较刺手的问题第四章 校园网安全问题的解决方案 ip盗用防范IP盗用问题的解决方法：在路由器上捆绑IP和MAC地址。当某个IP通过路由器访问Internet时，路由器要检查发出这个IP广播包的工作站的MAC是否与路由器上的MAC

22、地址表相符，如果相符就放行。否则不允许通过路由器，同时给发出这个IP广播包的工作站返回一个警告信息。 垃圾邮件防范邮箱炸弹一般都表现为发送垃圾邮件和巨型邮件这两种形式。下面就以这两种表现方法为例来进行一些介绍。在垃圾邮件发送者们摆出一副“将垃圾发送到底”架势的今天，互联网上垃圾邮件满天飞。网友们收到的如果是广告，删掉也就罢了；如果是病毒或者“炸弹”，一个不慎重那就有损失惨重的可能。垃圾邮件屡清不绝，让人不堪其烦。 (1) 如果不是必需，在网上不要在留言簿等公共场所留下自己的电子邮件地址。不要在那些名不见经传更没有隐私保障的小网站注册自己的任何个人信息。(2) 如果经常收到某一特定的主题词邮件或

23、某一特定的邮件地址寄来的垃圾邮件时，可以使用软件的过滤功能，如大家熟悉的等都能够设置对有某些特征的邮件进行过滤的功能；方式的邮箱现在也基本都有这项功能。(3) 有很多的垃圾邮件都是通过邮件列表寄来，在邮件列表申请地址的主页上一般都会有退订的窗口，填上自己的地址即可实现退订，有的还会有拒收的回复地址，这时按要求向回复地址发送回复邮件就可以了。(4) 慎用自动回复的功能。虽然自动回复的功能可以给我们带来很大的方便，但如果对方刚好也使用了自动回复的功能，那就将造成一个互发回复邮件的循环直到两个邮箱被塞满为止。(5) 学会使用远程邮箱管理功能，直接从邮箱里删除那些垃圾，而不用每次把一大堆邮件下载到自己

24、的本地邮箱后再来删除。例如（：）这款远程邮箱监视软件，能够定时检查远程邮箱。当检查结束，它会显示出寄信人、主题、日期、文件大小等信息，可以根据这些信息准确地判断出哪些是您需要的邮件、哪些是垃圾。只要使用它的快速删除功能就能非常快捷地删除远程邮箱中的垃圾邮件。(6) 安装一些软件专门帮助你对付垃圾邮件，例如用（：）来给垃圾邮件发送者回一封信，告诉他所发送的信箱并不存在，以免受垃圾邮件发送者的重复骚扰。另外，上了网的电脑就需要作好防护措施，装上病毒防火墙，并经常对防病毒软件进行升级，这样就算是收到骚扰性的垃圾邮件基本上也没有什么大的危险了。 拒绝巨型邮件拒绝巨型邮件的方法有许多，这里主要讲以下在O

25、E中如何拒绝巨型邮件。为了防止邮箱被炸，应该像设置垃圾邮件的过滤一样，提前在Outlk Express中设置好防范项目。打开“工具”菜单，选择“邮件规则”，再选“邮件”命令，打开“新建邮件规则”对话框。点击“添加”，在“选择规则留言”列表中，选择“若邮件长度大于指定大小”，在“选择规则操作”列表中选择“从服务器上删除”，然后在“规则说明”列表中点击带下划线的词句，在新打开的对话框中选择2000，表示信息容量为2M，单击“确定” 如下图：图4-2最后输入此邮件的规则名称“delbig”单击“确定”完成设置。如下：图4-3这样只要你的邮件服务器体积超过2M的大邮件时，都会自动进行删除，从而保证了邮

26、箱的安全。 ARP防范措施清空ARP缓存: 大家可能都曾经有过使用ARP的指令法解决过ARP欺骗问题，该方法是针对ARP欺骗原理进行解决的。一般来说ARP欺骗都是通过发送虚假的MAC地址与IP地址的对应ARP数据包来迷惑网络设备，用虚假的或错误的MAC地址与IP地址对应关系取代正确的对应关系。若是一些初级的ARP欺骗，可以通过ARP的指令来清空本机的ARP缓存对应关系，让网络设备从网络中重新获得正确的对应关系，具体解决过程如下：通过点击桌面上任务栏的“开始”-“运行”，然后输入cmd后回车，进入cmd(黑色背景)命令行模式；在命令行模式下输入arp -a命令来查看当前本机储存在本地系统ARP缓

27、存中IP和MAC对应关系的信息；使用arp -d命令，将储存在本机系统中的ARP缓存信息清空，这样错误的ARP缓存信息就被删除了，本机将重新从网络中获得正确的ARP信息，达到局域网机器间互访和正常上网的目的。如果是遇到使用ARP欺骗工具来进行攻击的情况，使用上述的方法完全可以解决。但如果是感染ARP欺骗病毒，病毒每隔一段时间自动发送ARP欺骗数据包，这时使用清空ARP缓存的方法将无能为力了。下面将接收另外一种，可以解决感染ARP欺骗病毒的方法。指定ARP对应关系：其实该方法就是强制指定ARP对应关系。由于绝大部分ARP欺骗病毒都是针对网关MAC地址进行攻击的，使本机上ARP缓存中存储的网关设备

28、的信息出现紊乱，这样当机器要上网发送数据包给网关时就会因为地址错误而失败，造成计算机无法上网。(1) 我们假设网关地址的MAC信息为00-14-78-a7-77-5c，。指定ARP对应关系就是指这些地址。在感染了病毒的机器上，点击桌面-任务栏的“开始”-“运行”，输入cmd后回车，进入cmd命令行模式；(2) 使用arp -s命令来添加一条ARP地址对应关系， 例如arp -s 00-14-78-a7-77-5c命令。这样就将网关地址的IP与正确的MAC地址绑定好了，本机网络连接将恢复正常了；(3) 因为每次重新启动计算机的时候，ARP缓存信息都会被全部清除。所以我们应该把这个ARP静态地址添

29、加指令写到一个批处理文件（例如：bat）中，然后将这个文件放到系统的启动项中。当程序随系统的启动而加载的话，就可以免除因为ARP静态映射信息丢失的困扰了。 添加路由信息应对ARP欺骗： 一般的ARP欺骗都是针对网关的，那么我们是否可以通过给本机添加路由来解决此问题呢。只要添加了路由，那么上网时都通过此路由出去即可，自然也不会被ARP欺骗数据包干扰了。第一步：先通过点击桌面上任务栏的“开始”-“运行”，然后输入cmd后回车，进入cmd(黑色背景)命令行模式；手动添加路由，详细的命令如下：删除默认的路由: route delete ;添加路由:route add -p mask metric 1;

30、确认修改:route change此方法对网关固定的情况比较适合，如果将来更改了网关，那么就需要更改所有的客户端的路由配置了。1、立即升级操作系统中的防病毒软件和防火墙，同时打开“实时监控”功能，实时地拦截来自局域网络上的各种ARP病毒变种。 2、立即根据自己的操作系统版本下载微软MS06-014（）和MS07-017（）两个系统漏洞补丁程序，将补丁程序安装到局域网络中存在这两个漏洞的计算机系统中，防止病毒变种的感染和传播。 3、检查是否已经中毒： a. 在设备管理器中, 单击“查看显示隐藏的设备” b. 在设备树结构中,打开“非即插即用设备” c. 查找是否存在：“NetGroup Packet Filter Driver” 或 “NetGroup Packet Filter”，如果存在，就表明已经中毒。 4、对没有中毒机器，可以下载软件Anti ARP Sniffer，填入网关，启用自动防护，保护自己的ip地址以及网关地址，保证正常上网。 5、对已经中毒电脑可以用以下方法手动清除病毒： (1)删除:%windows%System32 (有些电脑可能没有) (2)a. 在设备管理器中, 单击“查看显示隐藏的设备”