校园网络设备安全及其侦查取证思路

郭永帅

摘要：随着网络的普及和迅速发展，校园网络的安全逐渐成为了国家建设中一个不可忽视的问题。尽管一些高校对校园网络的安全建设提高到了一个新的等级，但在网络设备方面却存在一些漏洞。本文通过从物理设备配置方面进行全面的网络安全措施防范，以及针对一些常见的黑客攻击，在公安实战中提供相关的侦查和取证思路。

关键词：校园网络；网络设备安全；侦查；取证

中图分类号：G47文献标识码：A文章编号：2095-4379-（2016）26-0222-02

一、引言

随着信息技术的不断发展，校园网络的建设也逐渐从单核心小型网络上升到了双核心大型网络，网络的扩大和网络设备的增加使得校园网络设备的安全问题变得岌岌可危。许多校园网络缺乏统一身份认证与管理系统，网络攻击防范也只是通过外网的入侵检测系统和防火墙来实现，对于网络设备方面防范相对薄弱。现今社会，校园网络的安全关乎高等院校的竞争软实力、学术水平的发展，更有甚者，会涉及国家机密的安全以及影响教育事业的稳定。二、校园网络设备安全威胁状况分析

校园网络设备在这个密切关注网络安全的时代，并没有受到过多的关注，很多学校都建立了相应的网络中心和网络应急机制，但都是从网络的角度来讲。在网络设备这个方面并没有太多考虑，学校可能会因此而受到损失。（一）校园网络简介

目前，校园网络分为单核心网络和双核心网络这两种。单核心网络则是指核心层有一台交换机，双核心网络核心层交换机则是两台，以此类推。校园网络往往采用三层网络架构，即核心层、汇聚层和接入层。接入层是指网络中直接面向用户连接或访问网络的部分，汇聚层是指位于接入层和核心层之间的部分，而核心层是指网络主干部分，核心层的主要目的在于通过高速转发通信，核心层交换机应拥有更高的可靠性、性能和吞吐量①。（二）校园网络设备的安全问题

校园网络设备中最重要的就是核心层设备，核心层的设备一般是三层或者三层以上的交换机。核心层设备拥有极高的转发速率、链路聚合以及流量限制等功能。核心层交换机因为很少接触，最容易出现弱口令现象，甚至没有密码等现象，从而给黑客提供了入口；其次，交换机的远程登录没有设置密码和IP地址限制，这会让黑客很容易远程控制交换机，产生隐患；再者，校园网络内部的IP地址设置以及访问限制问题设置不恰当，会使黑客跨网段攻击其他交换机，从而造成更大的瘫痪。（三）黑客攻击安全问题

对于校园网络设备，常见的黑客攻击有三种。第一种是欺骗攻击，欺骗攻击主要类型是ARP欺骗，黑客通过网络内终端使用一些ARP程序，例如ARP-SPOOF等，使得网段内所有流量通过某一台主机，然后黑客使用某些抓包软件等分析网段内流量来获取受害人的信息。ARP欺骗不仅会造成局域网拥塞，还会让受害人信息、财产等收到损失。第二种是黑客通过暴力破解等方式获得某个路由器密码，进而控制这个路由器，接着获取整个网络的权限。第三种是DDOS攻击，DDOS的攻击类型有很多，如SYN（TCP/IP握手包）攻击、PING攻击等。DDOS的攻击会使得整个网络瘫痪，造成大量的损失。三、校园网络设备安全防范

校园网络设备一般由交换机和路由器组成，然而三层交换机也具有路由功能，所以在每个三层交换机和路由器都需要严格的配置管理来校园网络及其设备。校园网络设备可通过以下几个方面来设置来防止安全隐患：（一）访问控制列表

访问控制列表（ACL）是应用于路由器和交换机上的包过滤访问控制技术，应用ACL可以有效的限制IP地址，限制局域网内流量或者阻止其他局域网的通信。交换机支持下面两种访问列表的应用过滤传输：（1）端口访问列表。也称MAC访问列表，对路由器接口和交换机接口进行基于mac地址的访问控制。（2）路由访问列表。限制不同vlan之间的双向通信或者限制网络接口之间的双向通信。借助访问控制列表不仅可以控制ip地址来控制上网，并且可以通过控制端口来限制蠕虫病毒在网络中蔓延。（二）终端访问限制安全

默认状态下，用户可以通过网络中的任何一台计算机登录到交换机或路由器。因此，必须将访问列表应用于接入层终端接口上，使得拥有特定IP地址的用户才有权限通过网络访问设备，这样也可以防止从内部进行的攻击。（三）网络设备设置密码

网络设备的密码与Windows的开机密码的作用和重要性相同，只有获得了网络设备的密码才能对网络设备进行配置和管理。通过配置交换机和路由器登录enable密码可以防止黑客没有认证就直接登录；配置Telnet（远程登录）使用户可与远程登录管理路由器和交换机，默认情况下，Telnet没有设置密码，这样就会导致非网管人员也轻松方便的登录路由器和交换机，给网络的稳定带来严重的后果。（四）启动路由器、交换机日志

网络设备的日志可以将重要时间信息（如系统错误、系统配置、状态变化、状态定期报告、系统退出等）等记录下来，当网络遭到入侵时，网管人员可以查看日志来进行相应的防护。（五）IEEE802.1x认证

IEEE802.1x认证是指连入局域网的设备需要进行认证才能连入互联网，最常用的就是高校中学生使用学号认证上网。IEEE802.1x完美的解决了终端设备上网安全，而且目前的交换机和路由器均支持IEEE80.21x认证。配置IEEE802.1x认证可以让终端接入收到审核，从底层限制非法人员的登录，有效防止黑客从内部攻击。（六）SNMP安全协议

SNMP安全协议是一种管理员与用户通信之间的协议。SNMP可以使网络组成一个系统，管理者可以远程管理用户，用户更改路由器配置信息需要向管理员发送信息。通过SNMP安全协议可以及时了解路由器的信息，从而避免被黑客攻击。四、校园网络设备的侦查取证思路

当校园网络设备遭受到攻击时，网络并没有瘫痪时，这时候第一时间我们要保存网络的状态，取得SNMP协议报告，然后定位到黑客入侵的那一台交换机或路由器，通过查看路由器日志以得到用户远程登录的IP，之后便可以进行定位，确定嫌疑人。

当校园网络设备因为遭到攻击而瘫痪时，很可能是黑客使用DDos攻击来消耗服务器内存和堵塞带宽。DDos攻击的方式多种多样，如SYN攻击、PING攻击等。这时最好的方法是使用PPM算法（数据包标记算法），抽丝剥茧，反向追踪黑客的IP，然后再进行定位，找到嫌疑人。五、结语

本文列举了校园网络的安全配置，如访问控制列表、设置密码等，以及针对一些常见黑客攻击进行安全防范，并针对这些攻击给公安机关提供相关的侦查和取证思路。目前在公安在校园网络设备方面的研究相对较少，我们不仅要在网络方面深入研究，在设备方面更需要深入研究，这样才能在工作中防范于未然，保护校园网络的安全。[注释]

①唐灯平.利用Packet Tracer模拟组建校园单核心网络的研究[J].实验室研究与探索，2011.

[参考文献]

[1]刘晓辉.网络安全管理实践[M].北京：电子工业出版社，2007.

[2]沈鑫剡，叶寒锋，刘鹏，景丽.计算机网络安全学习辅导与实验指南[M].北京：清华大学出版社，2012.

[3]杨德华，郑迪颖.关于动态模型的网络安全体系及在校园企业的应用研究[M].上海