校園網(wǎng)出口安全威脅

路由器是組網(wǎng)中的關(guān)鍵，在教科網(wǎng)路由器上，一般都會(huì)用靜態(tài)路由把這些地址段指向各個(gè)接入學(xué)校的路由器鏈路地址，不會(huì)啟用動(dòng)態(tài)路由協(xié)議（例如ip route 202.120.0.0/18 10.0.0.2，這里202.120.0.0/18是64個(gè)C的地址段，10.0.0.2是接入學(xué)校端的鏈路地址）。對(duì)于很多學(xué)校來(lái)說(shuō)，在邊界路由器上默認(rèn)的路由可能也就是指向教科網(wǎng)路由器的鏈路地址（例如ip route 0.0.0.0/0 10.0.0.1，這里10.0.0.1是接入教科網(wǎng)端的鏈路地址）。

安全的做法是在校園網(wǎng)內(nèi)的某臺(tái)路由器上對(duì)所擁有的全部地址塊都指向null0丟棄（例如ip route 202.120.0.0/18 null0），并把這個(gè)指向null0的靜態(tài)路由重分布進(jìn)校園網(wǎng)路由(常見的是使用ospf協(xié)議，也許也有用bgp的)。根據(jù)最長(zhǎng)掩碼匹配原則，路由器會(huì)選擇路由表中到達(dá)同一目的地的子網(wǎng)掩碼最長(zhǎng)的路由。

如果在校園內(nèi)某處里有202.120.0.0/24的子網(wǎng)，那么可以不受影響地進(jìn)行正常校內(nèi)外路由。實(shí)際情況中，學(xué)校不可能把擁有的全部地址都分配使用完畢，終歸會(huì)有一些地址段預(yù)留備用。假設(shè)學(xué)校有一段202.120.1.0/24的子網(wǎng)沒有分配，并且之前的指向null0丟棄也沒進(jìn)行，那么校園網(wǎng)路由表內(nèi)就沒有202.120.1.0/24相關(guān)的路由信息，這時(shí)安全威脅就浮現(xiàn)出來(lái)了。

假設(shè)校外向202.120.1.0/24這個(gè)子網(wǎng)內(nèi)的任意IP地址發(fā)大量報(bào)文，那么這些報(bào)文會(huì)順理成章地進(jìn)入到校園網(wǎng)邊界路由器，但是校園網(wǎng)路由表里又沒有這段地址信息，就會(huì)按默認(rèn)路由重新送回校外教科網(wǎng)路由器。這些報(bào)文在校園網(wǎng)出口鏈路上反復(fù)震蕩，直到TTL=0被丟棄。

如果是一定強(qiáng)度的持續(xù)惡意攻擊，攻擊流量就會(huì)被放大了若干倍，甚至引起校園網(wǎng)出口鏈路帶寬耗盡，影響正常網(wǎng)絡(luò)使用。從校內(nèi)向202.120.1.0/24這個(gè)子網(wǎng)內(nèi)的任意IP地址發(fā)報(bào)文也會(huì)引起同樣的后果。這實(shí)際上就是形成了一個(gè)三層的環(huán)路。

網(wǎng)絡(luò)安全問(wèn)題往往出在平時(shí)被忽視的細(xì)節(jié)問(wèn)題上。網(wǎng)管人員要嚴(yán)格遵守安全規(guī)范，提高業(yè)務(wù)技能，以降低各類安全事件發(fā)生的可能性。
如果有需要服務(wù)器的租用與托管的敬請(qǐng)聯(lián)系QQ：１５０１２８１７５８（億恩星辰）　　　聯(lián)系電話：０３７１—６３３２２２２０

服務(wù)器租用/服務(wù)器托管中國(guó)五強(qiáng)！虛擬主機(jī)域名注冊(cè)頂級(jí)提供商！15年品質(zhì)保障！--億恩科技[ENKJ.COM]