本站小編為你精心準備了淺論基于校園網絡服務分析參考范文，愿這些范文能點燃您思維的火花，激發您的寫作靈感。歡迎深入閱讀并收藏。

校園網絡的建設和普及，給學校的教學和管理、學生的學習生活等多方面帶來了極大的方便，并擔負著支持全校教學和科研工作的重要職責，然而校園網在網絡安全方面并非一方“凈土”，從黑客的發展歷史看，黑客(入侵者)和校園網絡有很深的淵源。

1、拒絕服務(DoS)攻擊在校園網內頻繁發生的原因

拒絕服務DoS(DenialofService)攻擊顧名思義就是使Internet中的受攻擊對象(主機、服務器、路由器等網絡設備)無法提供或者接受正常服務的一種攻擊，典型的DoS攻擊中，攻擊者向受害者發送大量的數據從而消耗其資源(網絡帶寬，路由器上的包緩沖區，目標機器的CPU和內存)，從而使用戶無法訪問所需信息。因此可以說DoS是一種損人不利已的攻擊行為。

從拒絕服務攻擊的原理可以看出，不管是拒絕服務攻擊階段還是分布式拒絕服務攻擊的攻擊階段，都需要很高的網絡帶寬。而校園網絡的寬帶和大量主機資源，以及學生的好奇，想在教育網絡中進行入侵實驗的諸多特點，正好滿足拒絕服務攻擊的要求，這就是校園網成為拒絕服務攻擊的“一方樂土”的重要原因。在比較嚴重的網絡攻擊事件中，以校園網為“基地”發起的拒絕服務攻擊事件令人印象深刻。最著名的是2002年黑客對Yaho和Ebay等網站發起的拒絕服務攻擊，使這些網站的服務一度關閉，據調查，這些攻擊就是從校園網絡中發起的。

拒絕服務攻擊不僅可以利用校園網絡為“基地”發起，攻擊校園網以外的目標，更多的是攻擊校園網內部的目標，特別是在攻擊者“練手”的實驗階段。通過調查發現，校園網的入侵方式中拒絕服務攻擊最多，危害也最大。由于校園網具有開放、高帶寬、多主機等特點，校園網內部網絡入侵一般具有以下特征：

·大規模。所謂大規模，一方面是指發動入侵所涉及的網絡范圍大或者主機數量多，引起的網絡流量大，另一方面指入侵形式不是一對一，而是多對一或多對多。

·分布式。所謂分布式入侵是指從多個地點、多臺主機發起甚至是聯合發起的。

通過上述對校園網絡安全特點的分析，我們可以看出校園網具有拒絕服務攻擊存在的種種“優勢”。古語云“知己知彼，百戰不殆”，因此研究拒絕服務攻擊對于校園網的安全，具有非常現實l的意義。

2、常見的幾種拒絕服務拒絕攻擊(DoS)

服務拒絕攻擊是最容易實施的攻擊行為之一，攻擊操作方法多種多樣，可能是單一的手段，也可能是多種方式的組合利用，DoS：~c擊主要包括：

(1)死亡之ping

由于在早期的階段，路由器對包的最大尺寸都有限制，許多操作系統對TCP／IP棧的實現在ICMP包上都是規定64KB，并且在對包的標題頭進行讀取之后，要根據該標題頭里包含的信息來為有效載荷生成緩沖區。當產生畸形的，聲稱自己的尺寸超過ICMP上限的包也就是加載的尺寸超過64KB上限時，就會出現內存分配錯誤，導致TCP／IP堆棧崩潰，致使接收方死機。

防御方法：現在所有的標準TCP／IP．都已實現對付超大尺寸的包，并且大多數防火墻能夠自動過濾這些攻擊，包括：從wind0ws98之后的windowsNT(servicepack3之后)、Linux、Solaris和MacOS都具有抵抗一般死亡之ping攻擊的能力。此外，對防火墻進行配置，阻斷ICMP以及任何未知協議，都能防止此類攻擊。

(2)淚滴攻擊

淚滴攻擊是利用在TCP／IP堆棧中實現信任lP碎片中的包的標題頭所包含的信息來實現自己的攻擊。對于一些大的lP包，需要對其進行分片傳送，這是為了迎合鏈路層的MTU(最大傳輸單元)的要求。比如，一個4500字節的lP包，在MTU為1500的鏈路上傳輸的時候，就需要分成三個lP包。在lP報頭中有一個偏移字段和一個分片標志(MF)，如果MF標志設置為1，則表明這個lP包是一個大lP包的片斷，其中偏移字段指出了這個片斷在整個lP包中的位置。例如，對一個4500字節的IP包進行分片(MTL為1500)，則三個片斷中偏移字段的值依次為：0，1500，3000。這樣接收端就可以根據這些信息成功地組裝該lP包。

如果一個攻擊者打破這種正常情況，把偏移字段設置成不正確的值，即可能出現重合或斷開的情況，就可能導致目標操作系統崩潰。這就是所謂的淚滴攻擊。防御方法：服務器應用最新的服務包，或者在設置防火墻時對分段進行重組，而不是轉發它們。

(3)UDP洪水

各種各樣的假冒攻擊利用簡單的TCP／lP服務，如Chargen和Echo來傳送毫無用處的占滿帶寬的數據。通過偽造與某一主機的Chargen}]~L務之間的一次的UDP連接，回復地址指向開著Echo。服務的一臺主機，這樣就生成在兩臺主機之間的足夠多的無用數據流，如果足夠多的數據流就會導致帶寬的服務攻擊。

防御方法：關掉不必要的TCP／IP}]~L務，或者對防火墻進行配置阻斷來自Internet的這些服務的UDP請求。

(4)SYN洪水

在TCP／IP的連接建立過程中，正常情況下連接雙方需要完成從客戶向服務器發送的一個SYN請求消息(第一次握手)，服務器同意響應的SYN—ACK(第二次握手)，當客戶收到SYN—ACK后，再向服務器發送一個ACK消息(第三次握手)的3次握手過程，一個TCP連接才被建立，在3次握手過程中，服務器需要保持所有未完成的握手信息在有限的內存緩沖區中，如果攻擊者不停地向該服務器發送SYN連接請求，而又不向服務器回復ACK信息，內存緩沖區充滿了虛假連接的初始信息，該服務器就會對接下來的連接停止響應。防御方法：在防火墻上過濾來自同一主機的后續連接。但是，未來的SYN洪水令人擔憂，由于釋放洪水并不尋求響應，所以無法從一個簡單高容量的傳輸中鑒別出來。

(5)LAND攻擊

LAND攻擊利用了TCP連接建立的三次握手過程，通過向一個目標計算機發送一個TCPsYN報文(連接建立請求報文)而完成對目標計算機的攻擊。與正常的TCPsYN報文不同的是，LAND攻擊報文的源lP地址和目的lP地址是相同的，都是目標計算機的lP地址。這樣目標計算機接收到這個sYN報文后，就會向該報文的源地址發送一個AcK報文，并建立一個TcP連接控制結構(TCB)，而該報文的源地址就是自己，因此，這個AcK報文就發給了自己。這樣如果攻擊者發送了足夠多的SYN報文，則目標計算機的TCB可能會耗盡，最終不能正常服務。防御方法：打最新的補丁，或者在防火墻進行配置，將那些在外部接口上入站的含有內部源地址濾掉。

(6)smurf攻擊

ICMPECHO請求包用來對網絡進行診斷，當一臺計算機接收到這樣一個報文后，會向報文的源地址回應一個ICMPECHOREPLY。一般情況下，計算機是不檢查該ECHO請求的源地址的，因此，如果一個惡意的攻擊者把ECHO的源地址設置為一個廣播地址，這樣計算機在回復REPLY的時候．，就會以廣播地址為目的地址，這樣本地網絡上所有的計算機都必須處理這些廣播報文。如果攻擊者發送的ECHO請求報文足夠多，產生的REPLY廣播報文就可能把整個網絡淹沒。這就是所謂的smurf攻擊。除了把EcHO報文的源地址設置為廣播地址外，攻擊者還可能把源地址設置為一個子網廣播地址，這樣，該子網所在的計算機就可能受到影響。防御方法：為了防止黑客利用你的網絡攻擊他人，關閉外部路由器或防火墻的廣播地址特性。為防止被攻擊，在防火墻上設置規則，丟棄掉ICMP包。

(7)Fraggle攻擊

Fraggle攻擊是對Smurf攻擊作了簡單的修改，使用的是UDP應答消息而~-ICMP．防御方法：在防火墻上過濾掉UDP應答消息。

(8)電子郵件炸彈

電子郵件炸彈是最古老的匿名攻擊之一，通過設置一臺機器不斷的大量的向同一地址發送電子郵件，攻擊者能夠耗盡接受者網絡的帶寬。防御方法：對郵件地址進行配置，自動刪除來自同一主機的過量或重復的消息。

(9)畸形消息攻擊

各類操作系統上的許多服務都存在此類問題，由于這些服務在處理信息之前沒有進行適當正確的錯誤校驗，在收到畸形的信息時可能會崩潰。防御方法：打上最新的服務補丁。

(10)分布式拒絕服務攻擊(distributeddenialofservice，DDoS)

DDoS攻擊是網絡攻擊中最有害的攻擊之一，它是在傳統的DoS攻擊基礎之上產生的一類攻擊方式，單一的DoS攻擊一般采用一對一的方式，如果用一臺攻擊機不能起到作用的話，攻擊者就使用10臺、1OO臺……攻擊機同時產生攻擊，最終導致被攻擊的機器無法及時處理請求。

一個比較完善的DDoS攻擊體系可分成四部分：黑客、控制機、攻擊機、被攻擊目標。在攻擊時先由黑客入侵并控制大量的主機從而取得控制權，使他們成為控制機和攻擊機，然后在這些被入侵的主機中安裝DDos攻擊程序，并利用這些被控制的攻擊機對攻擊目標發起DDoS攻擊，從而成倍地增加了攻擊的威力。

3．結語

雖然拒絕服務攻擊是一種技術含量低、容易實施的攻擊行為，但是它的攻擊效果明顯而且相當難以防范，因此防范工作至關重要，總的來說應從合理配置路由器的控制流量、科學部署防火墻保護內部網絡、及時升級系統軟件和應用軟件、安裝NIDS、建立與防火墻聯動體系等多方面入手，將拒絕服務攻擊的危害降到最低。