校園網P2P安全問題及防范范文

本站小編為你精心準備了校園網P2P安全問題及防范參考范文，愿這些范文能點燃您思維的火花，激發您的寫作靈感。歡迎深入閱讀并收藏。

《電腦開發與應用雜志》2014年第六期

1校園網p2p應用存在的安全問題

目前在校園網中，P2P應用存在較多的安全問題，主要包括以下幾個方面：

1.1網絡攻擊

1.1.1防火墻漏洞攻擊受到P2P分布式結構的影響，其節點的建立要求較低，用戶可以通過搜索將自己加入到P2P網絡中。同時，這個節點可以同時處于校園網及互聯網中，此時，攻擊者便可以利用兩個網絡之間的同時存在性繞過校園網防火墻實現內外部網絡的直接連接，這就可能使外網中的不安全因素可能進入到校園網內部，而非法攻擊者則可以利用P2P技術的這一特點進入到校園網內部對校園網進行攻擊。

1.1.2路由攻擊基于P2P網絡的結構特點，可以通過各個節點實現路由查詢功能，在對目的節點進行查找的過程中首先會向相鄰的其他節點發送請求，以這種方式不斷跳轉進行查找，知道找到目的節點位置。在查找的過程中，網絡中可能存在的惡意節點，就能夠通過網絡請求向其他節點發送錯誤的路由信息，并在整個網絡中傳輸，攻擊整個P2P網絡。另外，新節點在加入P2P網絡時，需要獲取初始化留有信息，此時惡意節點可以傳送錯誤信息使新節點將其作為初始化節點，而接收惡意節點所發送的錯誤路由信息，被獨立在網絡之外。

1.1.3存取攻擊存取攻擊主要是指攻擊者利用路由執行正確的數據轉發及查找協議，但是不向其他節點提供自身保存的數據，導致數據傳輸發生中斷，從而破壞網絡的信任機制。P2P網絡中所存在的存取攻擊問題，網絡系統可以通過在多個節點上復制數據來避免數據的失效。

1.1.4拒絕服務攻擊拒絕服務攻擊是杜絕網路中指定的用戶使用其中某個節點的資源。該攻擊形式主要依靠向特點節點發送大量垃圾數據包，從而導致該節點的數據溢出，最終崩潰。傳統的拒絕服務器攻擊需要通過大型計算機進行發動，而在P2P網絡結構中，攻擊者可以利用網絡中的各個節點發動集中攻擊。

1.2通信安全校園網屬于局域網形式，通常對網內與網外的數據連接進行了一定的限制。在傳統的萬絡結構中，攻擊者需要通過植入病毒或者木馬的形式獲取校園網的內部信息。但是在P2P網絡結構中，可以利用軟件穿透防火墻，內部網絡的節點信息就會傳播給攻擊者，攻擊者就可以通過該信息對校園網進行攻擊。

1.3病毒問題文件資源通過P2P網絡進行共享時，容易被植入惡意病毒代碼，對網絡的安全性造成了嚴重的威脅。由于通過P2P網絡進行共享的文件資源總類繁多，網絡系統很難對文件的類別進行自動識別，加之病毒具有較高的隱蔽性以及P2P網絡龐大的節點數量，導致病毒能夠通過P2P網絡進行大范圍傳播。另外,部分P2P應用本身捆綁的木馬程序，對校園網的安全也構成了極大的威脅。在P2P網絡中，由于各個節點之間屬于開放性質，一旦某個節點感染病毒，就可能傳染給相鄰的節點，這樣不斷循環，導致網絡中的大部分節點感染病毒。校園網的開放性特點以及其內部大量的P2P應用，為病毒在校園網內部的傳播創造了條件，對教育資源及應用的安全性造成了嚴重威脅。

2P2P應用旁路校園網安全體系分析

相比傳統的網絡結構，P2P網絡對服務器的中心作用進行了極大程度的弱化，這對文件資源的共享機制的變化產生了較大影響，但是，其安全性也大大降低。P2P應用能夠通過特定的端口繞過校園網防火墻以及周邊網絡安全設備的檢測，從而建立內外網絡的直接通信。這一特點，也是P2P網絡的主要漏洞，極易被攻擊者利用。另外，文件資源的大量共享，為病毒及其他惡意信息的傳播提供了條件。

2.1旁路安全體系的4種可能（1）校園網用戶如果安裝了后門軟件或其他不安全軟件，就容易導致防火墻被突破。（2）幾乎所有網絡都會提供WWW、DNS等服務，如果這些服務本身存在安全漏洞，造成防火墻產生可利用漏洞，從而被攻擊者突破。（3）操作系統通常提供遠程認證登錄模式進行電腦的管理，許多用戶人為該模式十分安全，實際上，只要獲得認真信息后，任何人都可以對主機進行滲透訪問。而攻擊者利用該特點對主機的安全協議進行修改，這也成為了突破網絡的可能。（4）部分P2P應用程序所捆綁的木馬程序可能具有將整個硬盤設置成為共享磁盤的功能，這對用戶的數據安全造成了嚴重的威脅。

2.2旁路安全體系技術

2.2.1隧道技術DNS、ICMP及HTTP協議是產生隧道使用最多的協議，隧道技術都遵循RFC標準。許多攻擊者通過隧道技術可以旁路防火墻，建立一個向虛擬局域網，從而實現對校園網內部節點的攻擊。

2.2.2旁路追蹤路由過濾大多數路由的追蹤過濾功能，僅僅能對UDP/ICMP協議的數據包進行追蹤過濾，如果使用TTL替代這兩種協議的數據包，就能屏蔽路由器的追蹤過濾功能，從而能夠旁路服務器實現路由追蹤。

2.2.3威脅由于部分型防火墻主機的安全性不夠，攻擊者能夠利用HTTP-connect，就可以穿透防火墻的防御，建立內外部網絡端口的直接通信。

2.2.4碎片技術P2P網絡中的數據流中的第一個數據包會包含TCP頭數據，防火墻在對數據流進行識別時，會根據TCP特征值進行判斷；而利用碎片技術能夠腹瀉目的地址，將數據包裝成具有相同特征值的數據通過防火墻的IP分組，從而穿越防火墻的防御。

3校園網P2P引用安全策略

受到校園網特定工作環境的影響，很難通過封殺軟件、封堵接口等方式來限制P2P應用的使用。同時，雖然P2P網絡存在較大的安全問題，但是從其開放性、工作效率、方便性等各方面的特點來看，P2P應用的發展是未來網絡發展的主體方向，要想對其進行完全封堵是不科學、不合理的。因此，需要通過一定的策略提高P2P應用的安全性，提升校園網的運行安全性和可靠性。

3.1提升校園網用戶的安全意識校園網用戶的安全意識不足是導致校園網P2P應用存在的安全問題的原因之一。校園網用戶的安全意識差，不懂網絡安全方面的知識，對校園網P2P應用的安全產生了較大的影響。提升校園網用戶的安全意識是保證校園網P2P應用安全的基礎，學校可以通過定期開展網絡安全方面的培訓、講座等，安排所有的教職員工及學生進行學習，全面提高校園網用戶的網絡安全意識。

3.2提升技術人員的專業水平網絡管理技術人員的專業水平對校園網P2P應用的安全存在較大影響，技術人員應該對網絡中的所有用戶設置相應的權限及密碼，并對這些用戶名和密碼進行管理；另外，還需要定期對校園網羅的安全狀況進行測試，密切關注網絡安全動態，還需要根據用戶的需求對網絡進行相關的安全設置，做好網絡安全防護措施。在校園網管理人員的專業水平提升后，能夠即使快速的解決網絡安全問題，為P2P應用的安全運行提供有效保證。

3.3網絡應用優先級的調整在基于校園網的P2P網絡中，可以通過對P2P應用的優先級進行調整，保證關鍵教育應用的安全性，同時對重要應用提供優先服務。具體可以通過對P2P應用進行分級流量控制的方式來進行，保證關鍵教育應用的安全性。

3.4技術優化P2P應用的端口特性是由最初的固定端口發展到隨機端口再發展到目前的偽隨機端口。因此，可以利用端口的特性，通過多種方法組合的策略對P2P流量進行識別和監控。對于P2P應用帶來的安全漏洞需要對開放性的端口所產生的數據流進行審核校驗，通過技術手段與非技術手段的配合，才能在一定程度上保證P2P應用下校園網的運行安全，具體可以從以下幾個方面入手：（1）優化IP地址過濾機制，通過對P2P應用的服務器地址進行分類審核，對某些不良地址進行過濾，可以對惡意P2P應用形成有效的限制。（2）做好TCP/UDP端口的過濾工作，通過對采用固定端口的P2P應用進行分類，然后根據P2P應用的各項功能所對應的端口號進行具體的控制，比如在MSN應用中，可以通過6891端口阻斷進出的TCP會話數據包，通過13324端口可以對聲音及視頻數據進行過濾等。（3）做好P2P流量分析識別，可以根據P2P流量的特征對P2P應用的具體流量進行識別，然后根據實際需要對P2P應用流量進行控制，保證網絡能夠長時間穩定運行。（4）做好會話識別工作，會話連接中的的前面部分數據包中含有網絡協議特征值。一旦，在第一個數據包中發現P2P特征值，就可以判斷后續數據包是否為P2P數據包。如果P2P應用利用多個會話進行連接，則需要對所有會話進行關聯性匹配識別。（5）對數據包進行深度掃描，通過對采用動態端口的P2P應用的應用層協議分析掃描來識別P2P數據包，但對于加密的P2P仍無法識別。

4結論

隨著現代信息技術的不斷發展，P2P技術以其分布性、高擴展性、高性能等特點在各個領域得到了廣泛的應用，其中校園網中的P2P應用數量大、范圍廣，對校園網的安全造成了較大的影響。基于P2P應用的入侵與防護是一個不斷變化發展的過程。最初的P2P應用可從固定服務器IP地址和端口號識別，對于采用可變端口、偽裝端口的P2P應用主要通過深度檢測，掃描應用層數據包的特征值來識別，同時配置入侵檢測系統進行實時監控。目前，P2P應用的發展趨勢是加密化，因而安全體系必須先解密并在應用層分析特征，如果合法再進行還原、傳遞?？傊?，校園網P2P應用的安全問題所涉及的因素非常多，需要在日常工作中，不斷完善和提高安全措施，才能有效降低因P2P應用所導致的校園網安全問題，提高校園網整體的可靠性及安全性。

作者：秦曉慧單位：四川工程職業技術學院