瑞星企业安全中心 > 行业安全

校园网络安全规划方案(教育行业专题2)

  1. 校园网络内部存在的安全风险与隐患分析
  2. 网络内部攻击

例如:网络ARP地址欺骗攻击
攻击现象:

  1. 校园网中访问互联网资源数据时会出现时断时续现象;
  2. 打开任何网页出现报错无法打开、网页跳转现象;
  3. 访问任何正常的互联网资源实时监控提示发现病毒;
  4. 校园网中单个网段会出现大面积计算机无法访问互联网资源,出现断网现象;

攻击结果:

  1. 信息泄露;
  2. 破坏数据完整性;
  3. 非授权访;
  4. 网络攻击传播病毒;
  5. 财政损失;
  6. 知识产权损失;
  7. 时间消耗;

攻击分析:
由于很多办公计算机在同一个网段,容易受到内网ARP地址欺骗攻击,ARP地址解析协议是二层网络通信协议,所有正常的计算机在收到某台异常计算机发出的ARP协议关于网关IP地址对应的mac地址广播欺骗包时,接收ARP欺骗包后,办公计算机本地的ARP列表将会被篡改,从而办公计算机发出到网关的以往所有数据包,将会通过欺骗的网关mac地址,数据包被转发到异常计算机,然后再由异常计算机把处理的数据包统一发送给本网段出口网关。这样以来,正常计算机的所有通信都会被异常计算机窃取,监听,篡改,植入黑客或病毒程序,进一步将黑客后门病毒程序感染其他本网段的其他计算机,从而达到控制所有计算机的目的,因此对于此类安全问题处理不仅仅包含计算机病毒查杀,更需求提供整体网络安全防护方法。 (网络攻击ARP地址欺骗模拟示意图如下所示)

图 - 2

注: 图 -2蓝色线条代表:正常计算机网络通信数据流 ,办公局域网中普通办公计算机与应用服务器需要访问互联网信息资源时,所有的数据通信都是首先到达网络出口网关(这里为网关路由器)然后通过出口网关转发连接到互连网获取信息资源。


图 - 3
:异常计算机发出ARP地址协议欺骗广播包,由于所有办公计算机在同一物理网段,所有办公计算机会收到ARP网关mac地址欺骗包,篡改计算机本地ARP列表,更改网关mac地址记录。

图 - 4

:计算机发出到网关的所有数据包,将会通过欺骗的网关mac地址,数据包被转发到异常计算机,然后再由异常计算机把处理的数据包统一发送给本网段出口网关。这样以来,正常计算机的所有通信都会被异常计算机窃取,监听,篡改,植入黑客或病毒程序。