校園網(wǎng)P2P安全問題及防范范文
本站小編為你精心準(zhǔn)備了校園網(wǎng)P2P安全問題及防范參考范文,愿這些范文能點(diǎn)燃您思維的火花,激發(fā)您的寫作靈感。歡迎深入閱讀并收藏。
《電腦開發(fā)與應(yīng)用雜志》2014年第六期
目前在校園網(wǎng)中,P2P應(yīng)用存在較多的安全問題,主要包括以下幾個(gè)方面:
1.1網(wǎng)絡(luò)攻擊
1.1.1防火墻漏洞攻擊受到P2P分布式結(jié)構(gòu)的影響,其節(jié)點(diǎn)的建立要求較低,用戶可以通過搜索將自己加入到P2P網(wǎng)絡(luò)中。同時(shí),這個(gè)節(jié)點(diǎn)可以同時(shí)處于校園網(wǎng)及互聯(lián)網(wǎng)中,此時(shí),攻擊者便可以利用兩個(gè)網(wǎng)絡(luò)之間的同時(shí)存在性繞過校園網(wǎng)防火墻實(shí)現(xiàn)內(nèi)外部網(wǎng)絡(luò)的直接連接,這就可能使外網(wǎng)中的不安全因素可能進(jìn)入到校園網(wǎng)內(nèi)部,而非法攻擊者則可以利用P2P技術(shù)的這一特點(diǎn)進(jìn)入到校園網(wǎng)內(nèi)部對(duì)校園網(wǎng)進(jìn)行攻擊。
1.1.2路由攻擊基于P2P網(wǎng)絡(luò)的結(jié)構(gòu)特點(diǎn),可以通過各個(gè)節(jié)點(diǎn)實(shí)現(xiàn)路由查詢功能,在對(duì)目的節(jié)點(diǎn)進(jìn)行查找的過程中首先會(huì)向相鄰的其他節(jié)點(diǎn)發(fā)送請(qǐng)求,以這種方式不斷跳轉(zhuǎn)進(jìn)行查找,知道找到目的節(jié)點(diǎn)位置。在查找的過程中,網(wǎng)絡(luò)中可能存在的惡意節(jié)點(diǎn),就能夠通過網(wǎng)絡(luò)請(qǐng)求向其他節(jié)點(diǎn)發(fā)送錯(cuò)誤的路由信息,并在整個(gè)網(wǎng)絡(luò)中傳輸,攻擊整個(gè)P2P網(wǎng)絡(luò)。另外,新節(jié)點(diǎn)在加入P2P網(wǎng)絡(luò)時(shí),需要獲取初始化留有信息,此時(shí)惡意節(jié)點(diǎn)可以傳送錯(cuò)誤信息使新節(jié)點(diǎn)將其作為初始化節(jié)點(diǎn),而接收惡意節(jié)點(diǎn)所發(fā)送的錯(cuò)誤路由信息,被獨(dú)立在網(wǎng)絡(luò)之外。
1.1.3存取攻擊存取攻擊主要是指攻擊者利用路由執(zhí)行正確的數(shù)據(jù)轉(zhuǎn)發(fā)及查找協(xié)議,但是不向其他節(jié)點(diǎn)提供自身保存的數(shù)據(jù),導(dǎo)致數(shù)據(jù)傳輸發(fā)生中斷,從而破壞網(wǎng)絡(luò)的信任機(jī)制。P2P網(wǎng)絡(luò)中所存在的存取攻擊問題,網(wǎng)絡(luò)系統(tǒng)可以通過在多個(gè)節(jié)點(diǎn)上復(fù)制數(shù)據(jù)來避免數(shù)據(jù)的失效。
1.1.4拒絕服務(wù)攻擊拒絕服務(wù)攻擊是杜絕網(wǎng)路中指定的用戶使用其中某個(gè)節(jié)點(diǎn)的資源。該攻擊形式主要依靠向特點(diǎn)節(jié)點(diǎn)發(fā)送大量垃圾數(shù)據(jù)包,從而導(dǎo)致該節(jié)點(diǎn)的數(shù)據(jù)溢出,最終崩潰。傳統(tǒng)的拒絕服務(wù)器攻擊需要通過大型計(jì)算機(jī)進(jìn)行發(fā)動(dòng),而在P2P網(wǎng)絡(luò)結(jié)構(gòu)中,攻擊者可以利用網(wǎng)絡(luò)中的各個(gè)節(jié)點(diǎn)發(fā)動(dòng)集中攻擊。
1.2通信安全校園網(wǎng)屬于局域網(wǎng)形式,通常對(duì)網(wǎng)內(nèi)與網(wǎng)外的數(shù)據(jù)連接進(jìn)行了一定的限制。在傳統(tǒng)的萬絡(luò)結(jié)構(gòu)中,攻擊者需要通過植入病毒或者木馬的形式獲取校園網(wǎng)的內(nèi)部信息。但是在P2P網(wǎng)絡(luò)結(jié)構(gòu)中,可以利用軟件穿透防火墻,內(nèi)部網(wǎng)絡(luò)的節(jié)點(diǎn)信息就會(huì)傳播給攻擊者,攻擊者就可以通過該信息對(duì)校園網(wǎng)進(jìn)行攻擊。
1.3病毒問題文件資源通過P2P網(wǎng)絡(luò)進(jìn)行共享時(shí),容易被植入惡意病毒代碼,對(duì)網(wǎng)絡(luò)的安全性造成了嚴(yán)重的威脅。由于通過P2P網(wǎng)絡(luò)進(jìn)行共享的文件資源總類繁多,網(wǎng)絡(luò)系統(tǒng)很難對(duì)文件的類別進(jìn)行自動(dòng)識(shí)別,加之病毒具有較高的隱蔽性以及P2P網(wǎng)絡(luò)龐大的節(jié)點(diǎn)數(shù)量,導(dǎo)致病毒能夠通過P2P網(wǎng)絡(luò)進(jìn)行大范圍傳播。另外,部分P2P應(yīng)用本身捆綁的木馬程序,對(duì)校園網(wǎng)的安全也構(gòu)成了極大的威脅。在P2P網(wǎng)絡(luò)中,由于各個(gè)節(jié)點(diǎn)之間屬于開放性質(zhì),一旦某個(gè)節(jié)點(diǎn)感染病毒,就可能傳染給相鄰的節(jié)點(diǎn),這樣不斷循環(huán),導(dǎo)致網(wǎng)絡(luò)中的大部分節(jié)點(diǎn)感染病毒。校園網(wǎng)的開放性特點(diǎn)以及其內(nèi)部大量的P2P應(yīng)用,為病毒在校園網(wǎng)內(nèi)部的傳播創(chuàng)造了條件,對(duì)教育資源及應(yīng)用的安全性造成了嚴(yán)重威脅。
2P2P應(yīng)用旁路校園網(wǎng)安全體系分析
相比傳統(tǒng)的網(wǎng)絡(luò)結(jié)構(gòu),P2P網(wǎng)絡(luò)對(duì)服務(wù)器的中心作用進(jìn)行了極大程度的弱化,這對(duì)文件資源的共享機(jī)制的變化產(chǎn)生了較大影響,但是,其安全性也大大降低。P2P應(yīng)用能夠通過特定的端口繞過校園網(wǎng)防火墻以及周邊網(wǎng)絡(luò)安全設(shè)備的檢測(cè),從而建立內(nèi)外網(wǎng)絡(luò)的直接通信。這一特點(diǎn),也是P2P網(wǎng)絡(luò)的主要漏洞,極易被攻擊者利用。另外,文件資源的大量共享,為病毒及其他惡意信息的傳播提供了條件。
2.1旁路安全體系的4種可能(1)校園網(wǎng)用戶如果安裝了后門軟件或其他不安全軟件,就容易導(dǎo)致防火墻被突破。(2)幾乎所有網(wǎng)絡(luò)都會(huì)提供WWW、DNS等服務(wù),如果這些服務(wù)本身存在安全漏洞,造成防火墻產(chǎn)生可利用漏洞,從而被攻擊者突破。(3)操作系統(tǒng)通常提供遠(yuǎn)程認(rèn)證登錄模式進(jìn)行電腦的管理,許多用戶人為該模式十分安全,實(shí)際上,只要獲得認(rèn)真信息后,任何人都可以對(duì)主機(jī)進(jìn)行滲透訪問。而攻擊者利用該特點(diǎn)對(duì)主機(jī)的安全協(xié)議進(jìn)行修改,這也成為了突破網(wǎng)絡(luò)的可能。(4)部分P2P應(yīng)用程序所捆綁的木馬程序可能具有將整個(gè)硬盤設(shè)置成為共享磁盤的功能,這對(duì)用戶的數(shù)據(jù)安全造成了嚴(yán)重的威脅。
2.2旁路安全體系技術(shù)
2.2.1隧道技術(shù)DNS、ICMP及HTTP協(xié)議是產(chǎn)生隧道使用最多的協(xié)議,隧道技術(shù)都遵循RFC標(biāo)準(zhǔn)。許多攻擊者通過隧道技術(shù)可以旁路防火墻,建立一個(gè)向虛擬局域網(wǎng),從而實(shí)現(xiàn)對(duì)校園網(wǎng)內(nèi)部節(jié)點(diǎn)的攻擊。
2.2.2旁路追蹤路由過濾大多數(shù)路由的追蹤過濾功能,僅僅能對(duì)UDP/ICMP協(xié)議的數(shù)據(jù)包進(jìn)行追蹤過濾,如果使用TTL替代這兩種協(xié)議的數(shù)據(jù)包,就能屏蔽路由器的追蹤過濾功能,從而能夠旁路服務(wù)器實(shí)現(xiàn)路由追蹤。
2.2.3威脅由于部分型防火墻主機(jī)的安全性不夠,攻擊者能夠利用HTTP-connect,就可以穿透防火墻的防御,建立內(nèi)外部網(wǎng)絡(luò)端口的直接通信。
2.2.4碎片技術(shù)P2P網(wǎng)絡(luò)中的數(shù)據(jù)流中的第一個(gè)數(shù)據(jù)包會(huì)包含TCP頭數(shù)據(jù),防火墻在對(duì)數(shù)據(jù)流進(jìn)行識(shí)別時(shí),會(huì)根據(jù)TCP特征值進(jìn)行判斷;而利用碎片技術(shù)能夠腹瀉目的地址,將數(shù)據(jù)包裝成具有相同特征值的數(shù)據(jù)通過防火墻的IP分組,從而穿越防火墻的防御。
3校園網(wǎng)P2P引用安全策略
受到校園網(wǎng)特定工作環(huán)境的影響,很難通過封殺軟件、封堵接口等方式來限制P2P應(yīng)用的使用。同時(shí),雖然P2P網(wǎng)絡(luò)存在較大的安全問題,但是從其開放性、工作效率、方便性等各方面的特點(diǎn)來看,P2P應(yīng)用的發(fā)展是未來網(wǎng)絡(luò)發(fā)展的主體方向,要想對(duì)其進(jìn)行完全封堵是不科學(xué)、不合理的。因此,需要通過一定的策略提高P2P應(yīng)用的安全性,提升校園網(wǎng)的運(yùn)行安全性和可靠性。
3.1提升校園網(wǎng)用戶的安全意識(shí)校園網(wǎng)用戶的安全意識(shí)不足是導(dǎo)致校園網(wǎng)P2P應(yīng)用存在的安全問題的原因之一。校園網(wǎng)用戶的安全意識(shí)差,不懂網(wǎng)絡(luò)安全方面的知識(shí),對(duì)校園網(wǎng)P2P應(yīng)用的安全產(chǎn)生了較大的影響。提升校園網(wǎng)用戶的安全意識(shí)是保證校園網(wǎng)P2P應(yīng)用安全的基礎(chǔ),學(xué)校可以通過定期開展網(wǎng)絡(luò)安全方面的培訓(xùn)、講座等,安排所有的教職員工及學(xué)生進(jìn)行學(xué)習(xí),全面提高校園網(wǎng)用戶的網(wǎng)絡(luò)安全意識(shí)。
3.2提升技術(shù)人員的專業(yè)水平網(wǎng)絡(luò)管理技術(shù)人員的專業(yè)水平對(duì)校園網(wǎng)P2P應(yīng)用的安全存在較大影響,技術(shù)人員應(yīng)該對(duì)網(wǎng)絡(luò)中的所有用戶設(shè)置相應(yīng)的權(quán)限及密碼,并對(duì)這些用戶名和密碼進(jìn)行管理;另外,還需要定期對(duì)校園網(wǎng)羅的安全狀況進(jìn)行測(cè)試,密切關(guān)注網(wǎng)絡(luò)安全動(dòng)態(tài),還需要根據(jù)用戶的需求對(duì)網(wǎng)絡(luò)進(jìn)行相關(guān)的安全設(shè)置,做好網(wǎng)絡(luò)安全防護(hù)措施。在校園網(wǎng)管理人員的專業(yè)水平提升后,能夠即使快速的解決網(wǎng)絡(luò)安全問題,為P2P應(yīng)用的安全運(yùn)行提供有效保證。
3.3網(wǎng)絡(luò)應(yīng)用優(yōu)先級(jí)的調(diào)整在基于校園網(wǎng)的P2P網(wǎng)絡(luò)中,可以通過對(duì)P2P應(yīng)用的優(yōu)先級(jí)進(jìn)行調(diào)整,保證關(guān)鍵教育應(yīng)用的安全性,同時(shí)對(duì)重要應(yīng)用提供優(yōu)先服務(wù)。具體可以通過對(duì)P2P應(yīng)用進(jìn)行分級(jí)流量控制的方式來進(jìn)行,保證關(guān)鍵教育應(yīng)用的安全性。
3.4技術(shù)優(yōu)化P2P應(yīng)用的端口特性是由最初的固定端口發(fā)展到隨機(jī)端口再發(fā)展到目前的偽隨機(jī)端口。因此,可以利用端口的特性,通過多種方法組合的策略對(duì)P2P流量進(jìn)行識(shí)別和監(jiān)控。對(duì)于P2P應(yīng)用帶來的安全漏洞需要對(duì)開放性的端口所產(chǎn)生的數(shù)據(jù)流進(jìn)行審核校驗(yàn),通過技術(shù)手段與非技術(shù)手段的配合,才能在一定程度上保證P2P應(yīng)用下校園網(wǎng)的運(yùn)行安全,具體可以從以下幾個(gè)方面入手:(1)優(yōu)化IP地址過濾機(jī)制,通過對(duì)P2P應(yīng)用的服務(wù)器地址進(jìn)行分類審核,對(duì)某些不良地址進(jìn)行過濾,可以對(duì)惡意P2P應(yīng)用形成有效的限制。(2)做好TCP/UDP端口的過濾工作,通過對(duì)采用固定端口的P2P應(yīng)用進(jìn)行分類,然后根據(jù)P2P應(yīng)用的各項(xiàng)功能所對(duì)應(yīng)的端口號(hào)進(jìn)行具體的控制,比如在MSN應(yīng)用中,可以通過6891端口阻斷進(jìn)出的TCP會(huì)話數(shù)據(jù)包,通過13324端口可以對(duì)聲音及視頻數(shù)據(jù)進(jìn)行過濾等。(3)做好P2P流量分析識(shí)別,可以根據(jù)P2P流量的特征對(duì)P2P應(yīng)用的具體流量進(jìn)行識(shí)別,然后根據(jù)實(shí)際需要對(duì)P2P應(yīng)用流量進(jìn)行控制,保證網(wǎng)絡(luò)能夠長時(shí)間穩(wěn)定運(yùn)行。(4)做好會(huì)話識(shí)別工作,會(huì)話連接中的的前面部分?jǐn)?shù)據(jù)包中含有網(wǎng)絡(luò)協(xié)議特征值。一旦,在第一個(gè)數(shù)據(jù)包中發(fā)現(xiàn)P2P特征值,就可以判斷后續(xù)數(shù)據(jù)包是否為P2P數(shù)據(jù)包。如果P2P應(yīng)用利用多個(gè)會(huì)話進(jìn)行連接,則需要對(duì)所有會(huì)話進(jìn)行關(guān)聯(lián)性匹配識(shí)別。(5)對(duì)數(shù)據(jù)包進(jìn)行深度掃描,通過對(duì)采用動(dòng)態(tài)端口的P2P應(yīng)用的應(yīng)用層協(xié)議分析掃描來識(shí)別P2P數(shù)據(jù)包,但對(duì)于加密的P2P仍無法識(shí)別。
4結(jié)論
隨著現(xiàn)代信息技術(shù)的不斷發(fā)展,P2P技術(shù)以其分布性、高擴(kuò)展性、高性能等特點(diǎn)在各個(gè)領(lǐng)域得到了廣泛的應(yīng)用,其中校園網(wǎng)中的P2P應(yīng)用數(shù)量大、范圍廣,對(duì)校園網(wǎng)的安全造成了較大的影響。基于P2P應(yīng)用的入侵與防護(hù)是一個(gè)不斷變化發(fā)展的過程。最初的P2P應(yīng)用可從固定服務(wù)器IP地址和端口號(hào)識(shí)別,對(duì)于采用可變端口、偽裝端口的P2P應(yīng)用主要通過深度檢測(cè),掃描應(yīng)用層數(shù)據(jù)包的特征值來識(shí)別,同時(shí)配置入侵檢測(cè)系統(tǒng)進(jìn)行實(shí)時(shí)監(jiān)控。目前,P2P應(yīng)用的發(fā)展趨勢(shì)是加密化,因而安全體系必須先解密并在應(yīng)用層分析特征,如果合法再進(jìn)行還原、傳遞。總之,校園網(wǎng)P2P應(yīng)用的安全問題所涉及的因素非常多,需要在日常工作中,不斷完善和提高安全措施,才能有效降低因P2P應(yīng)用所導(dǎo)致的校園網(wǎng)安全問題,提高校園網(wǎng)整體的可靠性及安全性。
作者:秦曉慧單位:四川工程職業(yè)技術(shù)學(xué)院