简介:随着局域网络系统的大量使用,针对网络的病毒种类日益增多,ARP攻击现象十分突出,对网络安全构成极大的威胁。如何有效的防范和清除计算机病毒,是保证计算机网络系统正常运行所面临的最大问题。关键词局域网;病毒;ARP攻击;防范策略中图分类号TP393.1文献标识码A文章编号1007-9599(2010)04-0000-02LANSecurityStrategyTangMin,LiaoShidong(ChongqingIndustryTechnologyCollege,Chongqing400042,China)AbstractWiththewideuseoflocalareanetwork,networkvirusincreasinglyprominent,thephenomenonofARPattackonnetworksecurityposeagreatthreat.Howtoeffectivelypreventandeliminatethevirusisthebiggestproblemfacingtoguaranteethenormaloperationofthecomputernetworksystem.KeywordsLAN;Viruses;ARPattack;Preventionstrategies近年来,随着信息技术的不断发展,由于局域网具有网络资源共享等诸多优点,在人们日常的工作和生活中扮演着越来越重要的角色,学校和办公场所组建局域网的情况越来越多。但是,应该看到,网络在为人们提供便利的同时,针对局域网的病毒种类日益增多,其安全性面临很大考验,严重影响了人们正常的工作和生活,甚至可能造成无法挽回的后果,因此,如何预防计算机病毒,保护网络系统的安全性,是我们所面临的一个非常重要课题。本文结合作者多年从事计算机网络管理的经验,对经常危害局域网安全情况作一些分析,并提出了相应的防范策略。一、局域网病毒特点在局域网络环境下,网络病毒除了具有可传播性、可执行性、破坏性、隐蔽性等计算机病毒的共性外,还具有一些新的特点(一)病毒传染速度快。在单机系统环境下,病毒主要通过移动存储设备从一台计算机传到另一台计算机。而在局域网络环境中,由于通过服务器把每一台计算机连接,这不仅给病毒传播提供了有效的通道,而且病毒传播速度很快。在正常使用情况下,只要网络中有一台计算机存在病毒,通过网络通讯设备迅速扩散,可以在很短的时间内,导致局域网内计算机相互感染繁殖。(二)对网络破坏程度大。如果局域网感染病毒,将直接影响到整个网络系统的工作,轻则降低速度,影响工作效率,重则破坏服务器重要数据信息,大量破坏计算机中的数据,导致整个网络系统崩溃,毁坏人们长期以来积累的工作成果,造成难以挽回的损失。对网络中的计算机破坏程度相当大。(三)网络病毒不易清除。清除局域网中的计算机病毒,要比清除单机病毒复杂得多。如果单台微机带病毒,可以通过删除带病毒文件、低级格式化硬盘等措施,将病毒彻底清除。而在网络环境中,只要有一台计算机未能完全消除消毒,就可能使整个网络重新被病毒感染,即使刚刚完成清除工作的计算机,也很有可能立即被局域网中的另一台带病毒计算机所感染;二、ARP攻击对网络的影响ARP攻击主要存在于局域网网络中,对网络安全危害极大。本人对ARP攻击有深刻的印象,曾经有一段时间,我们学校计算机实验室的微机经常出现IP地址冲突,网络经常掉线,不能正常上网,开始我们认为是网络中心出现了问题,可是后来发现是系统中了ARP病毒,当安装了360安全卫士等防护软件以后,一切都正常了。(一)ARP攻击特点ARP(AddressResolutionProtocol)是地址解析协议,是一种将IP地址转化成物理地址的协议。具体来说,ARP就是将网络层地址解析为数据连接层的MAC地址。如果你的计算机受到ARP攻击,常常会出现这样一些现象屏幕上不断弹出“本机的0-255段硬件地址与网络中的0-255段地址冲突”的对话框,局域网速度明显变慢,有时会突然掉线,但过一段时间后,网络可能又恢复正常。(二)ARP攻击原理ARP攻击就是通过伪造的IP地址和MAC地址,实现ARP欺骗,它能够在网络中产生大量的ARP通信数据,使网络系统传输发生阻塞。如果攻击者持续不断的发出伪造的ARP响应包,就能更改目标主机ARP缓存中的IP-MAC条目,造成网络遭受攻击或中断。基于ARP协议的工作特性,黑客向对方计算机不断发送有欺诈性质的ARP数据包,数据包内包含有与当前设备重复的Mac地址,使对方在回应报文时,由于简单的地址重复错误,导致不能进行正常的网络通信。常见ARP攻击对象有两种,一是攻击网络网关,或伪造网关,然后广播出去,让大家都误认为它是网关,使得局域网中的用户都不能上网,ping网关时断时续,ping外网时更是糟糕,这就好像发送错误的地址信息给邮递员,使所有信件无法正常送达;二是攻击局域网中的计算机,也就是一般用户。通过伪造IP地址和MAC地址,让一般用户把需要的信息传送给发动攻击的计算机。三、局域网病毒的防范我认为预防和清除计算机病毒,主要从以下几方面入手(一)要防止网络系统出现病毒,首先要切断病毒传播的途径。在局域网中,病毒主要通过移动存储器、电子邮件、浏览网页、下载软件等形式传播。因此,我们在计算机上从事每一项操作时,都要考虑到是否会危及到系统的安全,保证传输数据的存储设备没有感染病毒。(二)安装最新的防病毒软件由于操作系统本身未提供检测或清除计算机病毒的软件,所以,局域网应安装正版杀毒软件,并且及时对版本进行升级。同时,为了防止ARP攻击,还应安装360安全卫士等防护软件,并且开启360安全卫士“实时保护”中的“局域网ARP攻击拦截”,通过在系统内核拦截ARP攻击数据包,确保网关正确的,MC地址不被篡改。保障数据流向正确,通讯数据不受第三者控制,从而保证网络畅通。如果怀疑或确认计算机已经感染了病毒,应立即使用最新的防病毒软件及时杀毒。(三)绑定MAC地址和IP地址为了防止局域网中的计算机机乱发伪造的ARP数据包,将IP地止和计算机绑定在一起,是解决ARP攻击的最好办法。具体办法如下进入“MS-DOS”方式,在命令提示符下输入命令ARP-s<空格>IP地址<空格>MAC地址例如,假设有一台计算机,其IP地址为172.18.15.10,MAC地址为00-14-5E-F8-E2-E1,将其MAC和IP绑定的命令如下ARP-s172.18.15.1000-14-5E-F8-E2-E1使用ARP–a命令查看ARP缓存列表,可以看出IP地址的类型为static.,表明它是静态项。通过以上操作,我们将IP地址172.18.15.10和网卡地址为00-14-5E-F8-E2-E1的计算机绑定在一起,从而防止局域网ARP欺骗,有效保护局域网的安全。(四)使用防火墙防火墙(firewall)是一种协助确保信息安全的设备,依照特定的规则,允许或限制传输的数据通过,帮助计算机系统抵御用户、计算机病毒和蠕虫的恶意侵入攻击。防火墙可以是一台专属的硬件,也可以是一套软件,现在针对防火墙的软件相当多,一般的杀毒软件都具有防火墙的功能。(五)及时安装系统补丁任何一个操作系统发布以后,如果发现程序中有些漏洞,会及时发布一些应用程序来修复这些漏洞,我们把这些应用程序也称为“补丁程序”。当系统安装补丁程序后,黑客就不会利用这些漏洞来攻击用户。(六)做好系统备份为了保证局域网的安全,随时做好网络资料的备份是十分重要的。所谓网络备份,是指在网络系统发生黑客攻击、病毒感染、操作失误、软件系统错误等意外情况下,应急恢复系统的一种处理方案。目前备份系统的方法有很多种,最简单实用的如GHOST软件等。(七)一旦发现病毒,立即停止使用受病毒感染的计算机,并断开受感染机器的网络连接,关闭文件服务器,用最新版本的杀毒软件扫描服务器上所有的文件,清除病毒;如不能清除,则删除受到感染的文件;并用干净的备份文件恢复系统,当确信网络中病毒已彻底清除后,重新启动网络及各项工作。参考文献1杨丽锦.浅析局域网病毒的特点及防范策略,科技信息,20082张仁斌,李钢,侯整风.计算机病毒与反病毒技术.北京清华大学出版社,2006
简介:信息社会的基础是计算机网络,计算机网络是现代计算机技术和通信技术密切结合的产物,是随社会对信息共享和信息传递的要求而发展起来的。如何实现资源共享,提高工作效率,成为重要的问题。本文详细介绍了局域网的规划设计。关键词计算机网络;局域网;规划设计中图分类号TP393.1文献标识码A文章编号1007-9599(2010)04-0000-02LANplanninginInternetEraFengJie(XiqingDistrictRealEstateStateAdministration,Tianjin300380,China)AbstractInformationsocietyisbasedonthecomputernetwork,thecomputernetworkistheproductofthecloselyintegrationofmoderncomputertechnologyandcommunicationtechnology.Howtorealizeresourcessharingandimproveworkefficiencybecomesanimportantproblem.ThispaperintroducestheplanninganddesignofLAN.KeywordsComputernetwork;LAN;Planning&design一、Internet时代的局域网的规划的要求各公司出于现代化办公、科研、信息沟通以及迎接即将到来的“电子商务时代”的需要,有必要建成一个现代化计算机网络系统,通过运用先进的技术手段,现代化的办公软件提高工作效率,为科研、信息沟通服务。需求决定了该网络系统的特殊性,网络系统实现以下功能。1.信息共享。有关公司企业的各种资料,各种信息,如一些最新的公告等可通过网络进行查询。2.信息交流。可通过连接Internet实现与外部资讯的交流和沟通,从而获取当今世界的最新信息。3.办公自动化。通过运用先进的计算机技术实现办公自动化,使公司企业的各种行政、财务、日常办公等计算机化,提高办事效率。二、Internet时代的局域网的设计原则及设计目标(一)Internet时代的局域网的设计原则根据Internet时代的局域网的具体要求,结合笔者多年设计、建设和运行维护园区网的经验,总结出以下原则设计局域网1.实用性遵循面向应用,注重实效,急用先上,逐步完善的原则;2.先进性采用先进成熟的网络概念、技术、方法与设备,反映当今先进水平,又给未来的发展留有余地;3.可靠性系统必须可靠运行,主要的、关键的设备应有冗余,一旦系统某些部分出现故障,应能很快恢复工作,并且不能造成任何损失;4.开放性选择的产品应具有好的互操作性和可移植性,并符合相关的国际标准和工业标准;5.可扩充性系统是一个逐步发展的应用环境,在系统结构、产品系统、系统容量与处理能力等方面必须具有升级换代的可能,这种扩充不仅能充分保护原有资源,而且具有较高的性能价格比;6.可维护性系统具有良好的网络管理、网络监控、故障分析和处理能力,使系统具有极高的可维护性;7.安全性必须具有高度的保密机制,灵活方便的权限设定和控制机制,以使系统具有多种手段来防备各种形式的非法侵入和机密信息的泄露。(二)Internet时代的局域网的设计目标一个系统的建设在实用的前提下,应当在投资保护及长远性方面做适当考虑,在技术上、系统能力上要保持五年左右的先进性。并且从用户的利益出发,一个好的系统应当给用户一定的自由度,而不是束缚住他们的手脚,从技术上讲应该采用标准、开放、可扩充的、能与其它厂商产品配套使用的设计。根据用户的总体需求,结合对应用系统的考虑,我们提出网络系统的设计目标技术选型、体系结构、带宽容量、流量设计、互操作性、运行性能以及可扩展性。三、网络技术分析及选型(一)网络带宽分析要通过计算机网络这种先进的技术手段,实施交互式、高效率的办公。根据这一实际应用需求,我们分析在网络上传输的信息是音频、视频、数据相结合的信号,这样对网络的带宽需求就较高,因此,必须对网络带宽和网络的使用性能进行分析,以保证网络满足用户应用的需求。1.音频信号所需的带宽。模拟的音频信号必须转换成二进制数据后才能被计算机存储和处理。对音频信号用等于信号最高频率两倍的速率进行采样,然后对采样值按一定的量化等级进行量化和编码,就可以将音频信号转化成数字数据,并且基本保留原来的信息。采样频率和编码位数的选取视使用场合而定。在电话系统中,一路电话所需的带宽只有56Kbps或64Kbps,而传送立体声唱片则需要1.411Mpbs。2.视频信号所需的带宽。在计算机中,一幅图像是由一个个的像素组成的,对每个比特进行编码。灰度图像中,每个像素编码成一个8比特的数,在彩色图像中,每个像素记录了它的颜色,因此每个像素用24比特来表示,而为了获得平稳的运动画面,每秒钟又必须显示25帧的图像,这样一幅分辨率为800×600的图像所需的带宽为24×800×600×25=288Mbps,通过压缩,带宽可达8-10Mbps。以上两种信号是网络中对带宽要求最严的数据信号,而且音频信号和视频信号突发性很大,在网络中要求实时的和高质量的传输。当网络规模比较大,网络用户比较多,网络中的多个用户同时发起音频、视频信号和其它各种数据信号的传输时,往往会对网络带宽带来压力,令网络带宽不堪负荷,造成网络拥塞,严重时会导致阻塞,使网络通信停顿。(二)千兆位以太网技术千兆位以太网是对现今迅速发展的各种多媒体应用而需求高带宽网络的最好的解决方案。千兆位以太网是一种渐进式的技术,它可以让你在充分利用已有的以太网基础设施和技能的同时拥有处理不断涌现的数据库、图像、群件、的补充技术,并且它还是一种可靠的、高性价比的技术,可以用来增强交换式快速以太网,也可用于交换机与交换机之间以及交换机与服务器之间的连接,同时千兆位以太网可以解决主干网拥塞和和服务器瓶颈问题。(三)交换式快速以太网技术随着配备了高性能32位PCI总线处理器的服务器的处理能力迅速增强,应用系统和应用程序功能的不断增强,网络用户日益增加,所产生的数据量也越来越大,原来的10Mbps网络在很多环境中已不能满足需求,网络带宽就成为一个瓶颈问题,快速以太网的出现给这一问题带来了一个较好的解答。快速以太网提供了100Mbps的带宽,给工作站和服务器带来的最大好处,就是增大了吞吐量,从而可以安全地增大网络上的负载,同时其结构简单、灵活、便于扩充,易于实现,工作可靠便于维护和故障恢复,并且能和以前的10Mbps以太网进行无缝连接,保护过去的投资。交换式以太网和共享式以太网相比,具有比共享式以太网更高的使用带宽,更好的传输性能,共享式以太网是网络上所有的设备共享网络带宽,对网络带宽进行争用,这样,当网络上的多个设备同时传输数据时,网络的效率就会明显下降,网络的传输速度会受到明显的制约,据测试,共享式以太网的利用率大约只有36%左右,当网络的利用率达到50%的时候,网络就会出现拥塞,严重时会造成网络运行的停顿,影响数据在网络中的传输。虽然交换式以太网投入成本相对较高,但网络上的所有设备是独享网络带宽,那么一个100Mbps的交换式以太网就不会因为网络设备对资源的争用而影响整个网络的使用效率和传输速度,由于比共享式以太网增加了数倍的网络带宽,从而大大提高整个网络的性能,降低了网络拥塞的发生概率。四、服务器技术及网络操作系统分析及选型(一)计算机群集技术群集就是为了提高系统的利用率和性能而将几个服务器连接或集成在一起的技术,不同的服务器完成不同的工作,但系统最终的可靠性和性能要比单个服务器重要提多。服务器群集有多种实现方式,它们之间可以通过电缆系统直接连接,也可以通过开放共享磁盘子系统进行连接,有被动备份服务器和主动辅助服务器。群集技术是围绕网络服务器的峡谷个基础技术展开的,一个是惠普的MC/ServiceGuard,它为惠普网络服务器产品提供了有效的解决方案。另一个是微软的Wolfpack技术解决方案,它为多重WindowsNT平台提供了很多优点。(二)服务器实现根据网络实际应用,选择服务器,要求具有较强的数据处理能力和较好的安全性、优良的I/O性能,适合于处理数据量较大、又有一定安全要求的应用环境。服务器应具有远程管理功能,当服务器硬盘出现故障时,不用打开机箱,就可以快速更换故障硬盘。五、结束语局域网的规划设计是一项系统工程,不同的规划设计方案,可使网络存在较大的性能差异,它不仅体现了网络本身具备的技术特性和应用特点,也体现了不同用户的各种需求,从根本上而言更是体现了信息化的基础。参考文献1吕玉涛,汝成友.消防局域网规划设计的若干问题J.鸡西大学学报,2005,042朱根宜.计算机网络与Internet应用基础教程M.北京清华大学出版社,20053杨威.局域网组建、管理与维护M.北京电子工业出版社,2004作者简介冯杰(1976)女,天津,职称助理工程师,学历本科,主要研究方向计算机