高校宿舍網絡安全問題

作為校園網的重要組成部分——高校宿舍網絡往往是在校學生第一時間享受豐富校園網應用的網絡環境。對于這樣一個環境來說，為學生提供便捷的校園網服務同時也要考慮宿舍網絡安全隱患的防御。如何構建一個安全穩定的高校宿舍網絡是各個高校信息網絡部門的重要課題。

宿舍網絡一般是屬于校園網內網的一部分，統一由高校信息網絡部門管理。其特點如下：

1.網絡結構復雜，用戶眾多

宿舍網絡用戶眾多，網絡使用比較集中，整個網絡由多個區域的對等子網組成，由于要為每一名學生提供網絡應用，而且有線無線兼有，所以宿舍內部的網絡信息點眾多，網絡規模比較復雜。

2.學生網絡安全意識淡薄

學生用戶的信息網絡水平參差不齊，對于網絡安全防范的意識也比較淡薄，而且在宿舍內部的網絡需求也千姿百態，一旦某些學生網絡終端操作不當或者被因特網病毒攻擊就會直接威脅到校園內網的每臺設備。

3.上網時間集中，網絡流量較大

學生一般都是課后回到宿舍上網，造成宿舍網絡的使用時間比較集中，另外學生一般都會利用網絡觀看視頻，下載文件，開展網絡學習娛樂活動。這些活動本身產生的網絡流量較大，很容易造成網絡的擁塞，所以高校宿舍網絡環境，必須有合理的網絡流量策略和穩定的網絡負載，才能避免宿舍網絡安全故障發生。

宿舍網絡的特點給高校信息網絡部門管理帶來不小的困難，稍有疏忽就可能產生嚴重的安全漏洞，給整個校園網帶來嚴重的損失。

高校宿舍網絡安全威脅分析

由于以上高校宿舍的特點，在宿舍網絡環境下會存在一些網絡安全的隱患，具體有以下幾方面：

1.網絡環路故障

學生通常在宿舍內部增設交換機或路由器等網絡擴展設備，當網線較多時經常由于網線兩頭同時插入擴展設備造成網絡環路，嚴重影響網絡性能。

2.DHCP攻擊

宿舍網絡一般都是通過匯聚層設備的DHCP服務器自動獲取IP地址，但是有的學生在宿舍內通過帶DHCP功能的小路由器擴展網絡時經常插錯路由器的端口，造成宿舍區域內出現多個DHCP服務器引起網絡沖突，造成DHCP攻擊，影響其他用戶正常獲取地址上網。

3.網絡蠕蟲病毒及惡意代碼攻擊

學生網絡安全防患意識差，不注意個人電腦的安全維護，如不安裝防病毒軟件，不適時更新操作系統漏洞補丁，開放不必要的應用端口，造成個人電腦很容易受到蠕蟲病毒及惡意代碼的攻擊，給網絡的安全性以及性能帶來嚴重的威脅。

4.ARP欺騙攻擊

ARP欺騙攻擊是近些年來高校宿舍網絡常見的網絡攻擊行為。學生電腦在進行網游或下載文件時很容易感染ARP病毒，成為ARP宿主機。而整個ARP欺騙的過程是宿主機收到ARP Request廣播包，能偷聽到其他電腦IP、MAC地址,宿主機就偽裝為A，告訴B(受害者)一個假地址，使得B在發送給A的數據包都被宿主機截取，而A、B渾然不知。ARP欺騙攻擊對于宿舍網絡危害是極大的，可造成網絡中斷及個人信息被盜取等嚴重后果。

5.MAC地址泛洪攻擊

另外一種通過ARP協議攻擊的行為叫做MAC地址泛洪攻擊，也是宿舍網絡常見的網絡攻擊行為。其原理也是通過構造非法的ARP報文，修改報文中的源IP地址與源MAC地址，不同于ARP欺騙攻擊在于后者用自己的MAC地址進行欺騙，而MAC地址泛洪攻擊則大量發送虛假的ARP報文，形成網絡擁塞。在宿舍網絡中多種原因可以造成MAC地址泛洪攻擊，最常見的是學生電腦感染盜號木馬、蠕蟲病毒以及啟用“P2P終結者”、“網路崗”等網絡上用于帶寬控制的小軟件試圖控制帶寬的行為。

解決高校宿舍網絡安全管理策略

根據高校宿舍網絡環境的特點，針對以上常見的宿舍網絡安全威脅，應采取相應的技術手段和管理策略來部署整個宿舍網絡的安全體系，以保證宿舍網絡的安全穩定運行。常用的技術策略有以下幾方面：

1.啟用生成樹協議控制網絡環路形成

在宿舍網絡的接入交換機上要開啟生成樹協議，防止由于網線連接錯誤所產生的網絡環路故障，具體配置如下：

全局模式下：spanningtree //開啟生成樹；

普通接入端口下：spanning-tree portfast//配置生成樹portfast模式，目的是讓此端口的up、down狀態變化不參與生成樹計算，節省生成樹收斂時間；

普通接入端口下：spanning-tree bpduguard enable //開啟生成樹的BPDUguard功能，防止此端口下的擴展設備自己成環。

上聯端口下：spanningtree bpdufilter enable//過濾生成樹報文，此生成樹截止在此區域。

2.解決DHCP欺騙、ARP欺騙攻擊問題

在宿舍網絡的接入交換機上通過開啟DHCP嗅探，同時進行IP、MAC對應的校驗可以有效的控制DHCP欺騙和ARP欺騙的攻擊行為，具體配置步驟如下：

全局模式下：ip dhcp snooping //開啟DHCP嗅探；

普通接入端口下：ip verify source port-security //開啟端口安全功能；

普通接入端口下：arpcheck //進行IP-MAC的對應校驗，以dhcp snooping獲取的對應關系為參考，防止arp地址欺騙行為；

上聯端口下：ip dhcp snooping trust //開 啟snooping信任端口，

只有上聯端口才能通過DHCP Offer的報文，預防私設DHCP服務器的問題。

3.防止網絡蠕蟲病毒及惡意代碼攻擊

通過訪問控制列表在接入交換機過濾掉網絡蠕蟲及惡意代碼的常用端口，可以有效的防止其在網絡中的傳播，具體配置步驟是：

全局模式下：定義如下訪問控制列表。

//列表中包括了網絡蠕蟲及惡意代碼的常用端口號。

普通接入端口下：ip access-group anti_worm in//把ACL應用到所有接入端口下。

4.解決MAC地址泛洪攻擊

有兩種方式來防MAC地址泛洪：基于端口和基于IP的ARP掃描。

基于端口的掃描會計算一段時間內從某個端口接收到的ARP報文的數量，若超過了預先設定的閾值，則會“down”掉此端口。基于IP的掃描則計算一段時間內從網段內某IP收到的ARP報文的數量，若超過了預先設置的閾值，則禁止來自此IP的任何流量，而不是“down”與此IP相連的端口。此兩種防MAC地址泛洪功能可以同時啟用。端口或IP被禁掉后，可以通過自動恢復功能自動恢復其狀態。具體的配置步驟如下：

全局模式下：anti-arp scan enable //開啟arp掃描功能；

全局模式下：anti-arp scan port-based threshold 50 //基于端口的ARP掃描，掃描速率閥值設為每秒50個；

全局模式下：anti-arp scan ip-based threshold 17 //基 于IP地址的ARP掃描，掃描速率閥值設為每秒20個；

全局模式下：anti-arp scan recovery time 300//設置掃描恢復時間為300秒；

上聯端口下 ：antiarpscan trust super trust-port //設置交換機的上聯端口為ARP掃描的信任端口。

總結

一個安全穩定的宿舍網絡環境對于學生的學習生活非常重要，作為高校信息網絡管理人員，應當詳細分析高校宿舍網絡環境的特點，研究各種網絡安全問題，通過各種措施確保宿舍網絡安全穩定，為學生創造一個良好的學習與生活的網絡環境。