课题负责人：叶凯

一、前言

二十一世纪以来，随着互联网和计算机网络技术在我国的发展和普及，全国各地的中小学都逐步建立起自己的校园网。中小学通过校园网实现基本的上网功能之外，还能管理和维护学校网站并发布学校的通知和新闻，另外可以对学生的选课、学籍以及考试成绩等方面进行管理，同时还有诸如数字图书馆等多方面的内容，可以说校园网在中小学的日常管理中有着不可替代的作用，校园网的出现使得学校的各方面的管理都变得更加地数字化。除此之外，校园网的运用，不但可以提高课堂教学效率，又能丰富学生的文化知识视野，网络与信息系统的应用已经成为中小学学校管理和学生学习必不可少的帮手。因此，校园网作为学校信息化建设的基础设施，它是学校实现信息化的一个重要平台，并在教学支持服务、教学教务管理、行政管理和校内外信息沟通等方面起着举足轻重的作用。

华中师大一附中作为全国知名学校，聚集了优秀的教师资力量，具备了完善的管理体制。校园网自建设以来就为学校的管理和学生的学习提供着非常关键的支持。但是随着网络应用的不断加深，校园网在给中小学带来便利的同时，网络的安全问题也不断暴露出来，校园网中存在的问题也频频发生，网络入侵、垃圾邮件、数据泄漏等问题也时有发生，这给已经习惯利用校园网的中小学带来了许多的麻烦。这些问题的发生也不但给校园的日常管理活动带来了影响，同时数据泄漏等问题更是让广大师生感到自己的安全受到了威胁。

因此，为了让校园网更好的发挥其作用，就必须要解决校园网的安全问题。如何保障网络的正常运行、资源的合法访问，使网络免受黑客、病毒、恶意软件和其他不良意图的攻击就显得尤为重要。本文通过对华中师大一附中校园网中出现的各种问题进行分析，从中发现网络中存在的各种潜在威胁，针对校园网中影响校园网络安全和性能的ARP Snooping 、DHCP Snooping 、广播风暴等网络病毒进行观察、分析和模拟实验，掌握每种病毒的发生状况、带来的威胁以及如何通过技术手段有针对性的解决这些网络病毒，对日后的校园网的网络问题的解决具有一定的借鉴意义。

二、校园网安全问题的现象及危害

就目前而言，无论是在局域网还是在广域网中，都存在着自然或者人为等诸多因素造成的潜在威胁，校园网也因此而面临着各种安全问题。我校目前的网络情况虽说基本稳定，但在局部区域仍然存在着不同的网络攻击。因此，及时发现和解决这些潜在的威胁，保证网络的安全和通畅就显得尤为重要。针对华中师大一附中网络安全和性能分析，影响校园网安全问题主要表现在以下三个方面：

（一）ARP攻击现象及危害

1、故障现象

实例：在2号教学楼发现有部分老师无法正常的使用网络上网，网络断断续续。笔者在PING网关的时候发现网络掉包，延时不大，时断时续。而且在上网的高峰时会出现，当用户较少的时候没有此现象。与此同时，在校园网的其他网段中，没有用户出现掉网的现象，说明此种现象只是针对同一网段的用户（即在同一VLAN中产生影响）。

经过相关故障检查和资料查找，该故障可能是由于ARP攻击造成的。ARP欺骗木马的中毒现象表现为：使用局域网时会突然掉线，过一段时间后又会恢复正常。例如客户端状态频频变红，用户频繁断网，IE浏览器频繁出错，以及一些常用软件出现故障等。如果局域网中是通过身份认证上网的，会突然出现可认证，但不能上网的现象（无法ping通网关），重启机器或在MS-DOS窗口下运行命令arp-d后，又可恢复上网。

ARP欺骗木马只需成功感染一台电脑，就可能导致整个局域网都无法上网，严重的甚至可能带来整个网络的瘫痪。该木马发作时除了会导致同一局域网内的其他用户上网出现时断时续的现象外，还会窃取用户密码。如盗取QQ密码、盗取各种网络游戏密码和账号去做金钱交易，盗窃网上银行账号来做非法交易活动等，这是木马的惯用伎俩，给用户造成了很大的不便和巨大的经济损失。

基于ARP协议的这一工作特性，黑客向对方计算机不断发送有欺诈性质的ARP数据包，数据包内包含有与当前设备重复的Mac地址，使对方在回应报文时，由于简单的地址重复错误而导致不能进行正常的网络通信。一般情况下，受到ARP攻击的计算机会出现两种现象：（1）不断弹出“本机的0-255段硬件地址与网络中的0-255段地址冲突”的对话框。（2）计算机不能正常上网，出现网络中断的症状。因为这种攻击是利用ARP请求报文进行“欺骗”的，所以防火墙会误以为是正常的请求数据包，不予拦截。因此普通的防火墙很难抵挡这种攻击。

2、故障危害

ARP攻击的危害主要有两个方面：从ARP攻击的原理来看，这种攻击使得受害主机的所有网络数据都将通过攻击者进行转发，这样一来，要窃取信息或控制流量就变得轻而易举；另一方面，由于ARP缓存会不断刷新，有的时候真正的网关会偶尔“清醒”，当真正的网关参与到数据包转发中来时，由于做了一个切换动作，可能会有频繁的短暂掉线现象。所以，如果Web服务器所在网络中发生了ARP攻击，将导致Web服务器不可访问。

（二）DHCP现象及危害

1、故障现象

实例：在2号教学楼有老师反映自己的电脑接上网线之后无法上网，在经过提示修复本地网络连接之后可以正常使用，但下午又出现无法上网的情况。笔者到故障点检查本地网络连接，发现所获取的IP地址为192.168.1.X ，不是我校合法的IP地址（我校合法IP为10.2.X.X）。而且除了本网段的电脑之外，其他网段的电脑没有出现这个问题。

我们对周边办公室进行查看，找到一台TP-LINK无线路由器。从学校接入层交换机接出的网线正好接在无线路由器的WAN口上，而且无线路由器本身就自带DHCP功能，可以自己下发IP地址。故障电脑所获取的IP地址也和无线路由器自身下发的IP地址段重合。因此判断无法上网的老师的电脑获取的地址是从最近的TP-LINK无线路由器上获取的，而不是从我校的DHCP服务器获取。

2、故障危害

DHCP攻击会产生大量的DHCP报文，在将这些报文传送给服务器。这样一方面会恶意的耗尽IP资源，使得合法的用户无法获得IP；另一方面，如果交换机开启了DHCP SNOOPING功能，会将大量的DHCP报文传给服务器，使得DHCP服务器始终处于高运转，最终导致服务器瘫痪。

（三）广播风暴现象及危害

1、故障现象

实例：学校行政楼二层的老师反映网络有问题，网络时断时续。笔者在第一时间赶到事发地点，在二层某一办公室的电脑上利用“ping 10.2.0.1 –t”命令测试网络通断，命令中的 IP 地址是核心交换机地址，网络果然时通时断，并且延时很大。一段时间后停止测试，命令返回的结果显示数据“lost=45%”，随机到二楼其它办公室用同样命令测试网络，结果一样。45% 的大面积数据丢包率说明该网络已经不能正常使用。

经过相关故障检查和资料查找，该故障可能是由于广播风暴引起的。当广播数据充斥网络无法处理，并占用大量网络带宽，导致正常业务不能运行，甚至彻底瘫痪，这就发生了“广播风暴”。一个数据帧或包被传输到本地网段（由广播域定义）上的每个节点就是广播；由于网络拓扑的设计和连接问题，或其他原因导致广播在网段内大量复制，传播数据帧，导致网络性能下降，甚至网络瘫痪，这就是广播风暴。一般情况下，受到广播风暴影响的计算机会出现以下现象：网络堵塞，网速慢，严重时会导致网络中断。

2、故障危害

广播风暴现象是最常见的数据洪泛(flood）之一，是一种典型的雪球效应。当广播风暴产生时，以太介质几乎充满广播数据包，网络设备接口上统计的报文速率达到106数量级，设备处理器高负荷运转。不仅网络设备会受到影响，而且所有的主机都要接收链路层的广播数据包，因而受到危害。每秒数万级的数据包通常都会使网卡工作异常繁忙，操作系统反映迟缓，网络通讯严重受阻，严重地危害了网络的正常运行。

三、校园网病毒攻击原理

针对我校的校园网安全问题中出现地ARP Snooping 、DHCP Snooping 、广播风暴等故障问题，在如何解决这些问题之前，我们应该分析它们的攻击原理，才能为更好的提出解决措施做好准备。

（一）ARP攻击原理

ARP攻击就是通过伪造IP地址和MAC地址实现ARP欺骗，能够在网络中产生大量的ARP通信量使网络阻塞，攻击者只要持续不断的发出伪造的ARP响应包就能更改目标主机ARP缓存中的IP-MAC条目，造成网络中断或中间人攻击。

ARP攻击主要是存在于局域网网络中（局域网络的同一网段中，对跨网段用户没有影响），局域网中若有一个人感染ARP木马，则感染该ARP木马的系统将会试图通过“ARP欺骗”手段截获所在网络内其它计算机的通信信息，并因此造成网内其它计算机的通信故障。

要了解故障原理，我们先来了解一下ARP协议。　　

在局域网中，通过ARP协议来完成IP地址转换为第二层物理地址（即MAC地址）的。ARP协议对网络安全具有重要的意义。通过伪造IP地址和MAC地址实现ARP欺骗，能够在网络中产生大量的ARP通信量使网络阻塞。　　

ARP协议是“Address Resolution Protocol”（地址解析协议）的缩写。在局域网中，网络中实际传输的是“帧”，帧里面是有目标主机的MAC地址的。在以太网中，一个主机要和另一个主机进行直接通信，必须要知道目标主机的MAC地址，而目标MAC地址是通过地址解析协议获得的。所谓“地址解析”就是主机在发送帧前将目标IP地址转换成目标MAC地址的过程。ARP协议的基本功能就是通过目标设备的IP地址，查询目标设备的MAC地址，以保证通信的顺利进行。

每台安装有TCP/IP协议的电脑里都有一个ARP缓存表，表里的IP地址与MAC地址是一一对应的，例如下表所示。

主机 IP地址 MAC地址

A   192.168.2.1 aa-aa-aa-aa-aa-aa

B   192.168.2.2 bb-bb-bb-bb-bb-bb

C   192.168.2.3 cc-cc-cc-cc-cc-cc

D   192.168.2.4 dd-dd-dd-dd-dd-dd

我们以主机A（192.168.2.1）向主机B（192.168.2.2）发送数据为例。当发送数据时，主机A会在自己的ARP缓存表中寻找是否有目标IP地址。如果找到则知道目标MAC地址，直接把目标MAC地址写入帧里面即可发送；如果在ARP缓存表中没有找到相对应的IP地址，主机A就会在网络上发送一个广播，目标MAC地址是“ff-ff-ff-ff-ff-ff”，这表示向同一网段内的所有主机发出这样的询问：“192.168.2.2的MAC地址是什么？”网络上其他主机并不响应ARP询问，只有主机B接收到这个帧时，才向主机A做出这样的回应：“192.168.2.2的MAC地址是bb-bb-bb-bb-bb-bb”。这样主机A就知道主机B的MAC地址，它就可以向主机B发送信息。同时它还更新了自己的ARP缓存表，下次再向主机B发送信息时，直接从ARP缓存表里查找即可。ARP缓存表采用了老化机制，在一段时间内如果表中的某一行没有使用，就会被删除，这样可以大大减少ARP缓存表的长度，加快查询速度。

从上面可以看出，ARP协议的基础就是信任局域网内所有的人，那么就很容易实现在以太网上的ARP欺骗。对目标A进行欺骗，A去Ping主机C却发送到了dd-dd-dd-dd-dd-dd这个地址上。如果进行欺骗的时候，把C的MAC地址骗为dd-dd-dd-dd-dd-dd，于是A发送到C上的数据包都变成发送给D的了。正好是D能够接收到A发送的数据包，说明嗅探成功。但是A对这个变化一点都没有意识到，但是接下来的事情就让A产生了怀疑。因为A和C连接不上了。D对接收到A发送给C的数据包可没有转交给C。接下来做“man in the middle”，进行ARP重定向。打开D的IP转发功能，A发送过来的数据包，转发给C，好比一个路由器一样。不过，假如D发送ICMP重定向的话就中断了整个计划。D直接进行整个包的修改转发，捕获到A发送给C的数据包，全部进行修改后再转发给C，而C接收到的数据包完全认为是从A发送来的。不过，C发送的数据包又直接传递给A，倘若再次进行对C的ARP欺骗。现在D就完全成为A与C的中间桥梁了，对于A和C之间的通讯即可了如指掌。

……

更多内容请点击《华中师大一附中校园局域网环境下若干安全问题及对策》结题报告