作為校園網(wǎng)的重要組成部分——高校宿舍網(wǎng)絡(luò)往往是在校學(xué)生第一時(shí)間享受豐富校園網(wǎng)應(yīng)用的網(wǎng)絡(luò)環(huán)境。對(duì)于這樣一個(gè)環(huán)境來說，為學(xué)生提供便捷的校園網(wǎng)服務(wù)同時(shí)也要考慮宿舍網(wǎng)絡(luò)安全隱患的防御。如何構(gòu)建一個(gè)安全穩(wěn)定的高校宿舍網(wǎng)絡(luò)是各個(gè)高校信息網(wǎng)絡(luò)部門的重要課題。

宿舍網(wǎng)絡(luò)一般是屬于校園網(wǎng)內(nèi)網(wǎng)的一部分，統(tǒng)一由高校信息網(wǎng)絡(luò)部門管理。其特點(diǎn)如下：

1.網(wǎng)絡(luò)結(jié)構(gòu)復(fù)雜，用戶眾多

宿舍網(wǎng)絡(luò)用戶眾多，網(wǎng)絡(luò)使用比較集中，整個(gè)網(wǎng)絡(luò)由多個(gè)區(qū)域的對(duì)等子網(wǎng)組成，由于要為每一名學(xué)生提供網(wǎng)絡(luò)應(yīng)用，而且有線無線兼有，所以宿舍內(nèi)部的網(wǎng)絡(luò)信息點(diǎn)眾多，網(wǎng)絡(luò)規(guī)模比較復(fù)雜。

2.學(xué)生網(wǎng)絡(luò)安全意識(shí)淡薄

學(xué)生用戶的信息網(wǎng)絡(luò)水平參差不齊，對(duì)于網(wǎng)絡(luò)安全防范的意識(shí)也比較淡薄，而且在宿舍內(nèi)部的網(wǎng)絡(luò)需求也千姿百態(tài)，一旦某些學(xué)生網(wǎng)絡(luò)終端操作不當(dāng)或者被因特網(wǎng)病毒攻擊就會(huì)直接威脅到校園內(nèi)網(wǎng)的每臺(tái)設(shè)備。

3.上網(wǎng)時(shí)間集中，網(wǎng)絡(luò)流量較大

學(xué)生一般都是課后回到宿舍上網(wǎng)，造成宿舍網(wǎng)絡(luò)的使用時(shí)間比較集中，另外學(xué)生一般都會(huì)利用網(wǎng)絡(luò)觀看視頻，下載文件，開展網(wǎng)絡(luò)學(xué)習(xí)娛樂活動(dòng)。這些活動(dòng)本身產(chǎn)生的網(wǎng)絡(luò)流量較大，很容易造成網(wǎng)絡(luò)的擁塞，所以高校宿舍網(wǎng)絡(luò)環(huán)境，必須有合理的網(wǎng)絡(luò)流量策略和穩(wěn)定的網(wǎng)絡(luò)負(fù)載，才能避免宿舍網(wǎng)絡(luò)安全故障發(fā)生。

宿舍網(wǎng)絡(luò)的特點(diǎn)給高校信息網(wǎng)絡(luò)部門管理帶來不小的困難，稍有疏忽就可能產(chǎn)生嚴(yán)重的安全漏洞，給整個(gè)校園網(wǎng)帶來嚴(yán)重的損失。

高校宿舍網(wǎng)絡(luò)安全威脅分析

由于以上高校宿舍的特點(diǎn)，在宿舍網(wǎng)絡(luò)環(huán)境下會(huì)存在一些網(wǎng)絡(luò)安全的隱患，具體有以下幾方面：

1.網(wǎng)絡(luò)環(huán)路故障

學(xué)生通常在宿舍內(nèi)部增設(shè)交換機(jī)或路由器等網(wǎng)絡(luò)擴(kuò)展設(shè)備，當(dāng)網(wǎng)線較多時(shí)經(jīng)常由于網(wǎng)線兩頭同時(shí)插入擴(kuò)展設(shè)備造成網(wǎng)絡(luò)環(huán)路，嚴(yán)重影響網(wǎng)絡(luò)性能。

2.DHCP攻擊

宿舍網(wǎng)絡(luò)一般都是通過匯聚層設(shè)備的DHCP服務(wù)器自動(dòng)獲取IP地址，但是有的學(xué)生在宿舍內(nèi)通過帶DHCP功能的小路由器擴(kuò)展網(wǎng)絡(luò)時(shí)經(jīng)常插錯(cuò)路由器的端口，造成宿舍區(qū)域內(nèi)出現(xiàn)多個(gè)DHCP服務(wù)器引起網(wǎng)絡(luò)沖突，造成DHCP攻擊，影響其他用戶正常獲取地址上網(wǎng)。

3.網(wǎng)絡(luò)蠕蟲病毒及惡意代碼攻擊

學(xué)生網(wǎng)絡(luò)安全防患意識(shí)差，不注意個(gè)人電腦的安全維護(hù)，如不安裝防病毒軟件，不適時(shí)更新操作系統(tǒng)漏洞補(bǔ)丁，開放不必要的應(yīng)用端口，造成個(gè)人電腦很容易受到蠕蟲病毒及惡意代碼的攻擊，給網(wǎng)絡(luò)的安全性以及性能帶來嚴(yán)重的威脅。

4.ARP欺騙攻擊

ARP欺騙攻擊是近些年來高校宿舍網(wǎng)絡(luò)常見的網(wǎng)絡(luò)攻擊行為。學(xué)生電腦在進(jìn)行網(wǎng)游或下載文件時(shí)很容易感染ARP病毒，成為ARP宿主機(jī)。而整個(gè)ARP欺騙的過程是宿主機(jī)收到ARP Request廣播包，能偷聽到其他電腦IP、MAC地址,宿主機(jī)就偽裝為A，告訴B(受害者)一個(gè)假地址，使得B在發(fā)送給A的數(shù)據(jù)包都被宿主機(jī)截取，而A、B渾然不知。ARP欺騙攻擊對(duì)于宿舍網(wǎng)絡(luò)危害是極大的，可造成網(wǎng)絡(luò)中斷及個(gè)人信息被盜取等嚴(yán)重后果。

5.MAC地址泛洪攻擊

另外一種通過ARP協(xié)議攻擊的行為叫做MAC地址泛洪攻擊，也是宿舍網(wǎng)絡(luò)常見的網(wǎng)絡(luò)攻擊行為。其原理也是通過構(gòu)造非法的ARP報(bào)文，修改報(bào)文中的源IP地址與源MAC地址，不同于ARP欺騙攻擊在于后者用自己的MAC地址進(jìn)行欺騙，而MAC地址泛洪攻擊則大量發(fā)送虛假的ARP報(bào)文，形成網(wǎng)絡(luò)擁塞。在宿舍網(wǎng)絡(luò)中多種原因可以造成MAC地址泛洪攻擊，最常見的是學(xué)生電腦感染盜號(hào)木馬、蠕蟲病毒以及啟用“P2P終結(jié)者”、“網(wǎng)路崗”等網(wǎng)絡(luò)上用于帶寬控制的小軟件試圖控制帶寬的行為。

解決高校宿舍網(wǎng)絡(luò)安全管理策略

根據(jù)高校宿舍網(wǎng)絡(luò)環(huán)境的特點(diǎn)，針對(duì)以上常見的宿舍網(wǎng)絡(luò)安全威脅，應(yīng)采取相應(yīng)的技術(shù)手段和管理策略來部署整個(gè)宿舍網(wǎng)絡(luò)的安全體系，以保證宿舍網(wǎng)絡(luò)的安全穩(wěn)定運(yùn)行。常用的技術(shù)策略有以下幾方面：

1.啟用生成樹協(xié)議控制網(wǎng)絡(luò)環(huán)路形成

在宿舍網(wǎng)絡(luò)的接入交換機(jī)上要開啟生成樹協(xié)議，防止由于網(wǎng)線連接錯(cuò)誤所產(chǎn)生的網(wǎng)絡(luò)環(huán)路故障，具體配置如下：

全局模式下：spanningtree //開啟生成樹；

普通接入端口下：spanning-tree portfast//配置生成樹portfast模式，目的是讓此端口的up、down狀態(tài)變化不參與生成樹計(jì)算，節(jié)省生成樹收斂時(shí)間；

普通接入端口下：spanning-tree bpduguard enable //開啟生成樹的BPDUguard功能，防止此端口下的擴(kuò)展設(shè)備自己成環(huán)。

上聯(lián)端口下：spanningtree bpdufilter enable//過濾生成樹報(bào)文，此生成樹截止在此區(qū)域。

2.解決DHCP欺騙、ARP欺騙攻擊問題

在宿舍網(wǎng)絡(luò)的接入交換機(jī)上通過開啟DHCP嗅探，同時(shí)進(jìn)行IP、MAC對(duì)應(yīng)的校驗(yàn)可以有效的控制DHCP欺騙和ARP欺騙的攻擊行為，具體配置步驟如下：

全局模式下：ip dhcp snooping //開啟DHCP嗅探；

普通接入端口下：ip verify source port-security //開啟端口安全功能；

普通接入端口下：arpcheck //進(jìn)行IP-MAC的對(duì)應(yīng)校驗(yàn)，以dhcp snooping獲取的對(duì)應(yīng)關(guān)系為參考，防止arp地址欺騙行為；

上聯(lián)端口下：ip dhcp snooping trust //開 啟snooping信任端口，

只有上聯(lián)端口才能通過DHCP Offer的報(bào)文，預(yù)防私設(shè)DHCP服務(wù)器的問題。

3.防止網(wǎng)絡(luò)蠕蟲病毒及惡意代碼攻擊

通過訪問控制列表在接入交換機(jī)過濾掉網(wǎng)絡(luò)蠕蟲及惡意代碼的常用端口，可以有效的防止其在網(wǎng)絡(luò)中的傳播，具體配置步驟是：

全局模式下：定義如下訪問控制列表。

//列表中包括了網(wǎng)絡(luò)蠕蟲及惡意代碼的常用端口號(hào)。

普通接入端口下：ip access-group anti_worm in//把ACL應(yīng)用到所有接入端口下。

4.解決MAC地址泛洪攻擊

有兩種方式來防MAC地址泛洪：基于端口和基于IP的ARP掃描。

基于端口的掃描會(huì)計(jì)算一段時(shí)間內(nèi)從某個(gè)端口接收到的ARP報(bào)文的數(shù)量，若超過了預(yù)先設(shè)定的閾值，則會(huì)“down”掉此端口?；贗P的掃描則計(jì)算一段時(shí)間內(nèi)從網(wǎng)段內(nèi)某IP收到的ARP報(bào)文的數(shù)量，若超過了預(yù)先設(shè)置的閾值，則禁止來自此IP的任何流量，而不是“down”與此IP相連的端口。此兩種防MAC地址泛洪功能可以同時(shí)啟用。端口或IP被禁掉后，可以通過自動(dòng)恢復(fù)功能自動(dòng)恢復(fù)其狀態(tài)。具體的配置步驟如下：

全局模式下：anti-arp scan enable //開啟arp掃描功能；

全局模式下：anti-arp scan port-based threshold 50 //基于端口的ARP掃描，掃描速率閥值設(shè)為每秒50個(gè)；

全局模式下：anti-arp scan ip-based threshold 17 //基 于IP地址的ARP掃描，掃描速率閥值設(shè)為每秒20個(gè)；

全局模式下：anti-arp scan recovery time 300//設(shè)置掃描恢復(fù)時(shí)間為300秒；

上聯(lián)端口下 ：antiarpscan trust super trust-port //設(shè)置交換機(jī)的上聯(lián)端口為ARP掃描的信任端口。

總結(jié)

一個(gè)安全穩(wěn)定的宿舍網(wǎng)絡(luò)環(huán)境對(duì)于學(xué)生的學(xué)習(xí)生活非常重要，作為高校信息網(wǎng)絡(luò)管理人員，應(yīng)當(dāng)詳細(xì)分析高校宿舍網(wǎng)絡(luò)環(huán)境的特點(diǎn)，研究各種網(wǎng)絡(luò)安全問題，通過各種措施確保宿舍網(wǎng)絡(luò)安全穩(wěn)定，為學(xué)生創(chuàng)造一個(gè)良好的學(xué)習(xí)與生活的網(wǎng)絡(luò)環(huán)境。