摘要：该文从某高职院校校园网络拓扑的说明出发，分析了常见校园网络中容易出現的网络攻击及其相应对策，对万人校园网络的管理和安全维护有一定的参考价值。

关键词：网络拓扑；ARP攻击；DOS攻击

中图分类号：TP393 文献标识码：A 文章编号：1009-3044（2014）05-1144-03

Analysis of Typical College Campus Network Current Situation

JIANG Fan

（Jianghan Art Colledge， Qianjiang 433100，China）

Abstract： This article begins with taling about a college campus network toplogy.It analyses the comman problems which are happened in campus network and gives the corresponding methods to resolve them.This will be helpful for the management and maintaince of 10 thousand people level campus network.

Key words： MVC；Codeigniter framework； e-commercial website

1 概述

计算机网络作为现代信息交流的工具已经广泛深入到了人们的生活与工作中。学校作为信息交流特别频繁的单位，计算机网络更是起着不可或缺的作用。信息及时、准确和迅速地传达，可以大大提高学生和教师的教学效率。同时，由于设备故障或者人为因素，使得校园计算机网络（简称校园网）有时候变得很脆弱，从而影响人们的工作和学习效率。如何提高校园网的鲁棒性，更好的为师生员工提供服务，这是本文要探讨的主要问题。

2 校园网拓扑结构

某高职学院校园网采用经典的三层拓扑结构，具体入图1所示：

图1 某高职院校园总体网拓扑图

在这个拓扑图中，我们可以看到，整个校园网络是以百兆以太网的标准进行构建的，采用的传输介质主要是超五类双绞线，在距离超过一百米的地方考虑使用集线器或者使用光纤来代替，比如学生宿舍到网络中心，就是采用光纤作为传输介质。校园网对称的分成两半，一半是学生的，另外一半是教师的，每一半网络采用的都是三层结构：接入层、汇聚层和核心层。这里的接入层采用的交换机型号是锐捷1900系列的，比如学生宿舍，也有的地方比如实验楼和家属区采用的是集线器。锐捷1900系列的交换机比集线器要多划分VLAN和进行802.1X认证的功能，这两项功能便于对学生进行管理。

图2 接入层网络拓扑图

汇聚层采用的交换机大部分是锐捷3760系列的交换机，除了综合楼采用锐捷2150以外。学生区和实验楼机房的核心层使用的是锐捷6806交换机，而教师宿舍和综合楼这一半则采用3760交换机作为网络的核心层。

有两个互联网出口IP，一个是学生端的，另外一个是教师端的。

3 校园网络比较容易出现的网络攻击情况

3.1 ARP攻击

ARP[1]是Address Resolve Protocol（地址解析协议）的缩写。在TCP/IP协议族中，ARP协议从层次上看是最低的，可以说它是介于数据链路层和网络层之间的一个协议。所有其他TCP/IP协议族协议都是封装在IP数据包中，只有ARP像IP协议一样直接封装在数据链路层的数据帧中。数据链路层的数据帧在局域网中主要是以太网数据帧。以太网帧地数据帧格式如下图：

图3 以太网帧地数据帧格式

对于以太网帧来说，当它的协议类型字段值是0x0800时，表示它里面封装的是IP数据包；当它的协议类型字段值是0x0806，表示以太网数据帧中封装的是ARP数据包。ARP协议用于将IP地址转换为MAC地址。MAC地址是数据链路层的地址，在局域网里，计算机之间通信要将数据包封装在数据帧中传输，数据包使用的是IP地址，数据帧使用的是MAC地址。只有将包含IP地址的数据包封装在包含MAC地址的数据帧中，数据包才会被计算机网卡发送出去。

图4 用wireshark捕获的包含ARP数据包的以太网数据帧

在图4中，10.1.19.12这台主机知道目的主机的IP地址（10.1.19.254），不知道目的主机的MAC地址，源主机（MAC地址为00-16-ec-a5-e1-90）就要向局域网发送ARP广播数据包，内容就是谁有10.1.19.254这个IP地址对应的MAC地址，请告诉00-16-ec-a5-e1-90？目的主机收到这个广播包后，给源主机一个单播包，内容是10.1.19.254这个IP地址在00-d0-f8-05-c9-53（假设它就是目标主机的MAC地址）上。这样，源主机和目的主机的通信就可以在网络层以上展开，而不用管数据链路层关于MAC地址的细节了。在图4中，我们还可以看到在一台主机上可以捕获到其他主机上发送的ARP数据包，这也说明了ARP数据包是广播的。

由于ARP协议是一个不经过认证的协议，如果局域网中有主机向外發送伪造的ARP报文，报告虚假的网关MAC地址信息，就会出现大部分受骗主机上不了网的情况。因为该高职院校校园网是局域网，局域网多人共用一个IP，最容易遭到ARP攻击。出现这种情况应该用网管工具及时锁定向外发送虚假ARP报文的机器，对该机器进行网络隔离，直至修复后才可以重新接入网络。

3.2 拒绝服务攻击

拒绝服务DoS（Denial of Service）攻击顾名思义就是使Internet中的受攻击对象（主机、服务器、路由器等网络设备）无法提供或者接受正常服务的一种攻击，典型的DoS攻击中，攻击者向受害者发送大量的数据包消耗受害主机的资源（网络带宽，路由器上的包缓冲区，目标机器的CPU和内存），从而使合法用户无法访问所需信息。因此可以说DoS是一种损人不利已的攻击行为[2]。

拒绝服务攻击的方式主要有死亡之ping攻击和SYN泛洪攻击。

在上面某高职院校的网络拓扑图中，从学生宿舍到校园网络内的关键设备如出口路由器和Web服务器之间链路层的连接都是通的，这为学生进行拒绝服务攻击创造了基础条件。另外学生的好奇心是他们进行网络攻击的首要动机，他们不需要掌握很多专业网络知识，只需要下载一些简单的黑客工具或者使用windows自带的网络命令，就可以实现对目标主机的攻击。

对于死亡之ping攻击，攻击者通过使用多台主机向目标服务器发送超大的数据包，使目标服务器出现缓冲区溢出的现象，从而死机，这样目标服务器就不能对外提供服务。

对于这类事件我们可以在连接服务器的防火墙上设置相应的策略，禁止死亡之ping。

对于SYN泛洪攻击，它利用的原理是TCP协议三次握手。TCP（Transmission Control Protocol，传输控制协议）目前是Internet上承担任务最为繁重的一个协议。大多数应用层服务比如http、ftp、telnet等都需要通过它递交给网络层的IP 协议来实现。众所周知的是，IP层并不保证数据报一定被正确地递交到目的端，为了保证在不可靠地互联网络上提供一个可靠的端到端字节流，网络设计师们设计了TCP协议。同IP协议一样，默认的TCP数据头都是20个字节长。在20个字节中，最重要的字段是源端口号、目的端口号、序列号（SEQ）、确认应答号（ACK）、控制代码位或标志位（CTL或CODE）。TCP的连接是保证数据包可靠传递的基础。TCP的连接包括建立连接和释放连接。

TCP使用了三次握手法来建立和释放连接。在三次握手中，

图5 TCP连接的建立过程

在图5中，为了建立连接，首先由一方发起建立连接的请求，图中首先由TCP实体A向TCP实体B发送一个序列号（SEQ）为100的TCP段，这个段的控制信号为SYN（将TCP段格式中的SYN标志位置为1），表示请求建立一个连接，这个段是不带确认号的。接着由TCP实体B向TCP实体A回送一个TCP段，在这个段中，我们可以看到TCP实体B会带上自己的序列号（SEQ）300，并将TCP段格式中的SYN标志位置为1，除此之外，这个TCP段还会将TCP段格式中的ACK标志位置为1，并将TCP段中的确认号置为101，这样可以向TCP实体A表示：“你的序列号为100的TCP段已经收到，请发下一个序列号为101的TCP段。”在前两次握手中，两个TCP实体都会带上SYN标志，表示请求建立连接，在第二次握手中还会带上对第一次握手的确认，在接下来的第三次握手中，不再包含SYN这个标志位，只是向对方确认已经收到上一个TCP段，或者还带上数据（如上图所示）。至此，一个完整的TCP连接的过程已经建立。

在网络安全中，黑客可以利用TCP三次握手的完整性来使服务器陷入拒绝服务状态（Deny Of Service）。方法是这样的，黑客机器不断向服务器发送SYN标志位置为1的TCP数据段，请求连接到服务器，服务器响应黑客机器，不断地向黑客机器发送SYN和ACK标志位置为1的TCP数据段，表示已经收到黑客机器的连接请求，并请求和黑客机器也建立连接，但是黑客机器就是不回第三次握手中的ACK标志位置为1的TCP数据段，使得双方的TCP连接无法建立，服务器陷入等待黑客机器的状态。如果黑客机器上用恶意软件不断地向服务器只发送SYN标志位置为1的TCP数据段，而不回应服务器ACK标志位置为1的TCP数据段，服务器就会被忙于应付黑客机器，而对其他机器正常的资源请求拒绝服务。

对于这类事件我们可以在连接服务器的防火墙上设置相应的策略，禁止TCP半连接。

4 小结

本文以某高职院校的校园网现状分析为切入点，深入分析了当前校园网络中可能出现的各种网络安全事件的原理，并给出了相应的对策。对于网络攻击原理，该文分析比较详细，对策方面由于使用的网络安全设备不一样，该文没有祥述。另外由于篇幅的限制，该文在计算机病毒引起的网络安全事件并未提及。

参考文献：

[1] 刘佰明，姜帆.计算机网络技术与实训教程[M].大连：东软电子出版社，2011.

[2] http：//online.gxut.edu.cn/xssj/itxt/20100510/30680.html.