如何解决校园网IP被攻击到不能上网?
估计是种了ARP了,把机器的MAC和网管绑定就行了,举个例子
@echo
off
arp
-d
arp
-s
192.168.0.118
00-e0-4c-14-cb-a8
保存为BAT文件就行了
西北工业大学遭受境外网络攻击,如果被攻击成功意味着什么?
意味着西北工业大学的学生和老师可能就会有人被骗,也说明西北工业大学的网络不堪一击。
网络攻击无所不用其极,为何美国对“西工大”虎视眈眈?
根据媒体报道西北工业大学所受到的网络攻击源头来自于美国国安局,事实上这已经不是美国第一次对我们进行网络攻击了,相信西北工业大学也远不止受到这一次的攻击。也许在很多人的印象当中攻击西北工业大学的价值远远不如清华北大,但事实绝非如此,西工大的科技实力太过恐怖,以至于美国不得不对其虎视眈眈。
或许西北工业大学的学术能力算不上是国内顶尖,但西工大在军事科技方面的实力几乎可以说是笑傲全国,作为曾经的国防七子之一,西工大非常重视对于军事科技的研究,航海、航空、航天等方面都是西工大的强势学科。在如今的33位国家级设计总师中,一共有11位来自西北工业大学,我们耳熟能详的歼20总设计师杨伟,运20总设计师唐长红等人都是来自于这所高校,如此强大的培养科技人才的能力即便是美国也艳羡不己,同样这也使得美国有一些惊慌失措,所以他们不得不通过此等卑劣的手段来针对这所高校。
西工大成功阻止了美国的网络攻击,并且通过自身的技术查到了攻击的来源,通过此事可以看出我们的网络技术已经越来越强大,我们的网络安全也已经有了很好的保障,这一切都离不开这些科技人才们的努力奋斗,对于西北工业大学的这些老师和学生以及所有的科技工作者们我们必须给一个大大的点赞,正是因为有了他们我们的国家才能够更加的安全稳定,正是因为有了他们我们的民族才能够繁荣昌盛。
越来越强大的华为遭到了美国的制裁,越来越强大的西工大也遭到了美国的网络攻击,作为我们国家最牛的一所军事科技大学,我相信西北工业大学在将来还会为我们国家培养出更多优秀的科技人才,同样我也相信在这些高科技人才的帮助之下我们和美国的差距会越来越小,直至抹平,接下来就让我们静静的期待吧!这一天的到来已经不再遥远。
什么是网络攻击
装个防火墙吧
一、用高级设置法预防Ping
默认情况下,所有Internet控制消息协议(ICMP)选项均被禁用。如果启用ICMP选项,您的网络将在 Internet 中是可视的,因而易于受到攻击。
如果要启用ICMP,必须以管理员或Administrators 组成员身份登录计算机,右击“网上邻居”,在弹出的快捷菜单中选择“属性”即打开了“网络连接”,选定已启用Internet连接防火墙的连接,打开其属性窗口,并切换到“高级”选项页,点击下方的“设置”,这样就出现了“高级设置”对话窗口,在“ICMP”选项卡上,勾选希望您的计算机响应的请求信息类型,旁边的复选框即表启用此类型请求,如要禁用请清除相应请求信息类型即可。
二、用网络防火墙阻隔Ping
使用防火墙来阻隔Ping是最简单有效的方法,现在基本上所有的防火墙在默认情况下都启用了ICMP过滤的功能。在此,以金山网镖2003和天网防火墙2.50版为蓝本来说明。
对于使用金山网镖2003的网友,请用鼠标右击系统托盘中的金山网镖2003图标,在弹出的快捷菜单中选择“实用工具”中的“自定义IP规则编辑器”,在出现的窗口中选中“防御ICMP类型攻击”规则,消除“允许别人用ping命令探测本机”规则,保存应用后就发挥效应。
如果您用的是天网防火墙,在其主界面点击“自定义IP规则”,然后不勾选“防止别人用ping命令探测”规则,勾选“防御ICMP攻击”规则,然后点击“保存/应用”使IP规则生效。
三、启用IP安全策略防Ping
IP安全机制(IP Security)即IPSec 策略,用来配置 IPSec 安全服务。这些策略可为多数现有网络中的多数通信类型提供各种级别的保护。您可配置 IPSec 策略以满足计算机、应用程序、组织单位、域、站点或全局企业的安全需要。可使用 Windows XP 中提供的“IP 安全策略”管理单元来为 Active Directory 中的计算机(对于域成员)或本地计算机(对于不属于域的计算机)定义 IPSec 策略。
在此以WINDOWS XP为例,通过“控制面板”—“管理工具”来打开“本地安全策略”,选择IP安全策略,在这里,我们可以定义自己的IP安全策略。一个IP安全过滤器由两个部分组成:过滤策略和过滤操作。要新建IP安全过滤器,必须新建自己的过滤策略和过滤操作,右击窗口左侧的“IP安全策略,在本地机器”,在弹出的快捷菜单中选择“创建IP安全策略”,单击“下一步”,然后输入策略名称和策略描述。单击“下一步”,选中“激活默认响应规则”复选项,单击“下一步”。开始设置响应规则身份验证方式,选中“此字符串用来保护密钥交换(预共享密钥)”选项,然后随便输入一些字符(后面还会用到这些字符的),单击“下一步”,就会提示已完成IP安全策略,确认选中了“编辑属性”复选框,单击“完成”按钮,会打开其属性对话框。
接下来就要进行此新建安全策略的配置。在“Goodbye Ping 属性”对话窗口的“规则”选项页中单击“添加”按钮,并在打开安全规则向导中单击“下一步”进行隧道终结设置,在这里选择“此规则不指定隧道”。单击“下一步”,并选择“所有网络连接”以保证所有的计算机都Ping不通。单击“下一步”,设置身份验证方式,与上面一样选择第三个选项“此字符串用来保护密钥交换(预共享密钥)”并填入与刚才上面相同的内容。单击“下一步”即打开“IP筛选器列表”窗口,在“IP筛选器列表”中选择“新IP筛选器列表”,单击右侧的“编辑”,在出现的窗口中点击“添加”,单击“下一步”,设置“源地址”为“我的IP地址”,单击“下一步”,设置“目标地址”为“任何IP地址”,单击“下一步”,选择协议类型为ICMP,单击“完成”后再点“确定”返回如图9的窗口,单击“下一步”,选择筛选器操作为“要求安全”选项,然后依次点击“下一步”、“完成”、“确定”、“关闭”按钮保存相关的设置返回管理控制台。
最后在“本地安全设置”中右击配置好的“Goodbye Ping”策略,在弹出的快捷菜单中选择“指派”命令使配置生效。
经过上面的设置,当其他计算机再Ping该计算机时,就不再Ping通了。但如果自己Ping本地计算机,仍可Ping通。在Windows 2000中操作基本相同。
四、修改TTL值防Ping
许多入侵者喜欢用TTL值来判断操作系统,他们首先会Ping一下你的机子,如看到TTL值为128就认为你的系统为Windows NT/2000,如果TTL值为32则认为目标主机操作系统为Windows 95/98,如果为TTL值为255/64就认为是UNIX/Linux操作系统。既然入侵者相信TTL值所反应出来的结果,那么我们不妨修改TTL值来欺骗入侵者,达到保护系统的目的。方法如下:
打开Windows自带的“记事本”程序,编写如下所示的批处理命令:
@echo REGEDIT4ChangeTTL.reg
@echo.ChangeTTL.reg
@echo [HKEY_LOCAL_MACHINESystemCurrentControlSetServicesTcpipParameters]ChangeTTL.reg
@echo DefaultTTL=dword:000000ffChangeTTL.reg
@REGEDIT /S /C ChangeTTL.reg
另存为以.bat为扩展名的批处理文件,点击这个文件,你的操作系统的缺省TTL值就会被修改为ff,即十进制的255,即把你的操作系统人为地改为UNIX系统了!
DefaultTTL=dword:000000ff是用来设置系统缺省TTL值的,如果你想将自己的操作系统的TTL值改为其它操作系统的ICMP回显应答值,请改变DefaultTTL的键值,要注意它的键值为16进制。
如何禁止别人ping自己的主机(2000自带)
我的电脑-控制面板-管理工具-本地安全策略-ip安全策略
这是2000给我们的配置ip管理的工具,我这里只说一下如何禁止别人ping我的主机。
共有四个步骤:
1。建立禁ping 规则
2。建立禁止/允许规则
3。把这两个规则联系在一起
4。指派
详细:
1。右击ip安全策略-管理ip筛选器表和筛选器操作-ip筛选器列表-添加:名称:ping;描述:ping;(勾选“使用添加向导”),---添加-下一步:指定源/目的ip ,协议类型(icmp),下一步直至完成,关闭此对话框。
2。管理ip筛选器表和筛选器操作-管理筛选器操作-添加(勾选“使用添加向导”)-下一步:名称:refuse;描述:refuse--下一步:阻止-下一步直至完成。
3。右击ip安全策略-创建ip安全策略-下一步:名称:禁止ping;--下一步:取消激活默认响应规则-下一步:选中选中“编辑属性“-完成。然后再“禁止ping属性“上-添加(勾选“使用添加向导”)-下一步直至“身份验证方法”;选第三项,输入共享字串-下一步:在ip筛选器列表里选“ping--下一步:选“refuse-下一步到完成。
这是你在“本地安全设置“右侧会看到“禁止ping“这条规则,但是现在他还没有起作用。
4。右击“禁止ping“--指派。
这回一条禁止别人ping自己的机器的ip策略完成了。
赶快找个机器试试,自己的机器不行。会提示:请求超时(timeout).
以上只是一条小得的ip过滤。你可以自己制作其他的ip策略。
湖南大学校园网络信息中心的校网状况
湖南大学校园网络于1996年开始投资建设,历经多次扩容、升级和改造,目前已形成核心交换层、区域汇聚交换层、楼栋汇聚层、终端用户接入层四个层次,环形与星型相结合的网络拓扑结构。全网采用1000M网络技术,四台核心交换机网状互联,区域汇聚交换机与核心层采用双链路连接,1000M到楼栋汇聚,10/100M到终端用户桌面,1000M主干节点数量达到87个。网络设备采用的有国外著名厂商CISCO的网络产品,国内著名厂商华为3com和锐捷网络的网络产品,服务器主要采用的是IBM、HP和SUN公司的产品。校园网络具有很好的网络交换性能,很高的网络容错能力和很好的网络扩充能力。
至2005年年底,我校校园网络拥有CERNET和CHINANET两个出口,总出口带宽达到了2300M,其中CERNET出口1000M,CHINANET出口1300M。我校申请到的CERNET网IP地址有20480个,CHINANET网的IP地址80个。连接到校园网络的服务器有50余台,终端用户计算机11800多台,邮箱用户2000多个,学校的WWW门户网站每天有接近30万人次的访问量。校园网络为我校教学、科研等工作提供了良好的支撑服务,为学校老师、科研人员、管理人员提供了良好的交流平台。 湖南大学校园网总体采用环型和星型相结合的网络拓扑结构,主干采用1000M网络技术组网。全校所有上网计算机均通过各个院系大楼的楼栋汇聚交换机与该区域的汇聚层交换机相连,区域汇聚交换机分别连接到两台不同的核心交换机上,再通过两台路由器分别与CERNET和中国电信网连通。(详见:图2 湖南大学校园网络拓扑示意图)
1、核心交换层
现有核心交换机四台,其中网络中心一台思科6509和一台锐捷6810E,南校区一台华为8505,北校区一台思科6509,四台核心交换机采用环状连接构成校园网络核心交换层,采用开放最短路经优先(OSPF)动态路由协议,保证了网络的健壮性。核心交换层见拓扑图的中心校园网络核心交换层虚线框内部分。
2.区域汇聚交换层
如图1,在核心交换层的外围由9台区域汇聚交换机组成校园网络的区域汇聚交换层,其中教学、科研、办公区域汇聚网络设备为华为的6506R四台,学生宿舍区域汇聚网络设备为华为的5516五台。4台教学、科研、办公区汇聚层设备分布在南校区东南片区、西南片区、西北片区和原计专片区,3台校内学生宿舍区域汇聚网络设备分布在南校区男生宿舍区、南校区女生宿舍区和北校区学生宿舍区,2台校外学生宿舍区域汇聚网络设备分布在天马公寓学生宿舍区和德智园公寓学生宿舍区。区域汇聚层网络设备除北校区学生宿舍区和德智园公寓学生宿舍区是一条1000M光纤链路连接外,其他都是两条1000M光纤链路分别连接到两台不同的核心交换机上,提高了汇聚层到核心层的交换性能和链路的健壮性。
3.楼栋汇聚层
从汇聚层交换机向下以1000M光纤连接到校园每栋楼的楼栋汇聚交换机,这部分楼栋汇聚交换机构成了校园网络的楼栋汇聚层,即校园网络的主干节点。主干节点千兆光纤交换机主要有思科4006/4003系列、思科3500/2950系列、华为5516/E026系列、锐捷2126G系列等。目前,1000M主干节点基本覆盖了我校各教学、科研、办公大楼,院系主楼及实验室等,全校1000M主干节点总数为84个。分布情况如下:
(1)南校区教学办公区1000M主干节点33个,分别为:■复临舍教学楼 ■前进教学楼 ■教学中楼(原建筑系) ■教学北楼 ■教学东楼(物理重点实验室) ■图书馆 ■岳麓书院(含望江楼) ■材料学院和数学院楼 ■化工院(旧) ■电气楼 ■商学院 ■物理楼 ■美雅学院 ■生物工程学院 ■环工系 ■外国语学院(原校办公大楼) ■化学化工学院(新) ■土木院 ■机汽院大楼 ■建筑系(新)、■法学院 ■造型系 ■土木工程实验大楼 ■机汽实验大楼 ■物理实验楼 ■暖通空调实验室 ■培训楼(原) ■培训楼(新,原继续教育学院教学楼) ■研究生院 ■校办公大楼(原科学馆) ■基建后勤楼(原学生一舍) ■招生与就业中心 ■集贤宾馆。
(2)北校区教学办公区1000M主干节点10个,分别为:■经济信息数据中心(电子楼) ■网络学院 ■网络学院网络教室 ■新教学楼 ■水上教学楼 ■成教楼(北校区宾馆) ■行政综合大楼 ■第二办公楼(红楼) ■图书馆 ■体育馆。
(3)南校区学生宿舍区1000M主干节点11个,分别为:■八舍 ■十舍 ■十二舍 ■十四舍 ■十六舍 ■十七舍 ■五舍 ■九舍 ■十三舍 ■十五舍 ■十八舍。
(4)北校区学生宿舍区1000M主干节点9个,分别为:■一舍 ■二舍 ■三舍 ■四舍 ■五舍 ■六舍 ■女生公寓 ■研究生宿舍 ■财会楼。
(5)网络中心所在区1000M主干节点7个,分别为:■计算机学院(2个) ■软件学院 ■网络技术工程研究中心 ■计算机学院计算中心 ■高性能中心 ■出版社。
(6)天马学生公寓二期学生宿舍区1000M主干节点7个,分别为:■一栋 ■二栋■ 三栋■ 四栋 ■五栋 ■六栋 ■七栋。
(7)德智园学生公寓学生宿舍区1000M主干节点7个,分别为:■一栋 ■二栋■ 三栋■ 四栋 ■五栋 ■六栋 ■七栋。
4.终端用户接入层
从楼栋汇聚层交换机向下以100M双绞线连接到终端用户接入交换机,再以10/100M的带宽使用双绞线连接到终端用户,交换机主要有华为2403H/2026B/2016B系列、锐捷1926F+系列等。全校的网络信息点总数为14038个。其中:
南校区教学办公区 5103个,分别为:材料学院(含计算中心600)、原化工院(50)、图书馆(600)、电气楼(300)、工商管理学院(50)、物理楼(20)、物理实验楼(70)、物理重点实验室(20)、集贤宾馆(150)、岳麓书院(含望江楼100)、美雅学院(38)、生物技术研究中心(38)、环工系(192)、研究生院(174)、校办公大楼(原科学馆326)、原校办公大楼(180)、化工院(新350)、复临舍教学楼(80)、数学院(20)、前进教学楼(80)、土木院(130)、机汽院大楼(450)、汽车实验楼(40)、原建筑系(20)、新建筑系(70)、造型系(20)、教学中楼(16)、教学北楼(340)、招生与就业中心(40)、原培训楼(150)、新培训楼(80)、基建后勤(100)、期刊社(20)、暖通空调实验室(80)、土木工程实验大楼(109)。
北校区教学办公区网络信息点1006个,分别为:综合楼(160)、第二办公楼(红楼80)、图书馆(200)、体育馆(4)、电子楼(400)、网络学院(100)、网络学院网络教室(10)、新教学楼(32)、成教楼(北校区宾馆20)。
南校区学生宿舍区网络信息点1701个。
北校区学生宿舍区网络信息点1023个。
网络中心所在区网络信息点1340个,分别为:计算机学院(500)、软件学院(300)、工程中心(40)、计算机学院计算中心(400)、高性能中心(40)、出版社(60)。
天马公寓二期学生宿舍区网络信息点2470个。
德智园公寓学生宿舍区网络信息点1395个。
5.网络出口
我校现有到互联网出口两个,分别为到教育网(CERNET)和中国电信(163)出口,其中CERNET出口带宽为1000M,中国电信163出口为1300M,中国电信出口路由器为华为NE40-8,教育网出口路由器为华为NE40-4,两路由器对内与核心交换机以1000M光纤连接。
校园网络信息中心为确保我校校园信息网络的安全运行,在学校网络的出口安装了透明硬件防火墙,配置外部访问内部规则,做到即能开放正常服务,又能有效隔离与外部网络的其他连接。 网络中心目前对校内外提供的主要服务与应用有:E-MAIL服务、WEB服务和虚拟主机服务、FTP服务、DNS及代理服务。
1、E-MAIL服务
邮件系统基于一台高性能且内核稳定的LINUX服务器,软件购买于北京亿邮公司,并采用美讯智安全信息网关(MessageSoft SMG)作为邮件网关。美讯智专业邮件系统防火墙针对泛滥于互联网之间的电子邮件病毒在邮件服务器端进行过滤以及查杀,能有效的阻挡垃圾邮件与邮件炸弹对邮件服务器的攻击。实现了对校内师生长期提供稳定安全的电子邮件服务。系统为10000用户级别,目前我校共拥有1600个校内电子邮件用户。
2、WEB及虚拟主机服务
湖南大学门户网站以及各部门机关、院系以及实验室等二级网站都以虚拟主机的形式托管。WEB服务器操作系统包括Windows2000 server、Linux、IBM Aix等几种,采用IIS5.0、Apache等WEB server为各个部门、院系提供虚拟主机服务。目前我校共有虚拟主机81个,其中院系30个,学校机关31个,直属单位11个,科研机构7个,门户网站3个。虚拟主机服务器采取了合理安全设置系统、及时更新系统补丁、安装杀毒软件、安装防火墙等一系列措施,确保虚拟主机服务器的安全运行。
3、FTP服务
目前通过三台power6800 SCSI存储器和一台IBM fast600外接存储器提供约3T的FTP存储空间。校园网内FTP服务仅面向校内师生,提供了各类免费或共享资源。FTP服务自运行以来给在校师生的学习工作以及休闲娱乐提供了较大的便利。
4、DNS及代理服务
目前校内DNS服务器共有四台,采用SUN OS和solaris9操作系统。其中两台为校内DNS服务器,仅提供对校内的域名查询服务;一台提供对教育网的域名查询,一台提供对INTERNET的域名查询。
为解决IP地址资源紧张的问题。我们采用了代理服务这一解决方案。代理服务器起到了沟通校园内部网和因特网,解决内部网访问因特网问题的作用。并且这种代理是不可逆的,又可以保障校园内部资料的安全性。代理服务器包括squid代理socks代理两类。采用HP ML 150服务器,安装了基于稳定内核的linux操作系统,并运行合理编译过的squid和socks代理软件。采用该代理服务,校网络中心能建立“IP-用户”之间的一一对应关系,能限制网络用户开放端口,可以清晰的明确IP的使用者和使用情况,站在因特网的角度来看,也确保了从湖南大学向公网出口,信息流的安全和健康。由实际运作情况看来,取得了良好收效。
5、反向代理服务
反向代理是代理服务的另外一种形式,通过反向代理,使用电信或其他ISP运营商的教职工在家里或者出差在外也能方便地访问丰富的教学图书资源。目前注册登记用户已经超过600人,在实际使用过程中用户反响较好。 为保障设备的24小时在线服务,在网络设备供电保障方面,网络中心联合校后勤水电科进行了电源设备间供电改造。在中心机房,提供双交流市电电源,另外,还配置了3台30KVA并机(2+1冗余)的在线式不间断UPS电源。
区域汇聚网络设备间和楼栋汇聚网络设备间的电源改造成直接由大楼的总配电箱供电模式,不受其他开关控制,保障了只要大楼有电,设备间就有电,保证了大楼网络用户24小时内可随时上网。
通知
各学院,校机关各部、处,各直附属单位:校园网是为学校教学、科研和管理等提供资源共享、信息交流和协同工作的基础条件。在一段时间内,我校校园网对全体师生用户实行无限制的免费服务,导致出现一些人无节制地下载,长时间在线看电影、视频等行为,根据对校园用户流量使用情况的统计分析,个别用户单月的下载量甚至超过1000GB,这些行为极大地浪费了校园网络资源,也影响到师生正常的学习和工作。为了更合理地分配校园网带宽资源,为师生提供更好的网络质量,对校园网用户流量进行控制和管理,并调整相关标准。一、具体办法:月使用总量(GB) 执行办法0至20 免费使用超过20GB时个人账号将被关停,用户可登陆校内个人信息门户自行解锁开通,超出免费额度流量按1.5元/GB结算总量超过40GB时个人账号将被关停,如需开通须提交书面申请,经由用户所在管理部门及信息化办审批通过后才予开通二、相关事项说明:(一)此办法对校内所有学生及教职工同标准执行;(二)上述流量均指下行流量,上行流量将不会被计算在内;(三)访问校内网络资源(如校内信息系统、IPTV、校内网站等)所产生的流量不计算在内;访问IPv6资源所产生的流量不计算在内;(四)按账号统计流量,即同一账号无论是使用有线网或是无线网,所产生的流量都将被统计;(五)按天统计流量,即假设截至某天用户当月流量使用总量超过关停值,该用户账号将于第二天被关停;(六)流量费采用月结方式,即当月如果产生了超额流量费用,在下个月的1号统一进行结算,并留有三天的缴费缓冲期,逾期未及时缴清欠费的用户账号将被关停;(七)采用舍尾法计算费用,即不足1GB的部分将舍去而不计算费用,例如超额1.88GB按1GB计算费用;(八)当月流量使用不足20GB的部分不会被累积到下个月;(九)用户可登录“湖南大学校内个人信息门户”查看个人网络流量使用情况;(十)如有特殊要求的可酌情特殊处理。三、此通知自2016年4月1日起执行,与原文件(湖大行字[2011]40号)不同之处,以此文为准。
校园网经常掉线
这是典型的arp攻击问题
因为局域网里面有人的机子中了病毒,所以你做个arp绑定,会较好的解决这个问题
下载地址:
或者你用360安全卫士的arp防火墙也不错.
或者你做个批处理:
批处理命令如下,把下面的文字写入记事本,然后保存为.bat文件。然后运行就可以了!
@echo off
:::::::::读取本机Mac地址
if exist ipconfig.txt del ipconfig.txt
ipconfig /all ipconfig.txt
if exist phyaddr.txt del phyaddr.txt
find "Physical Address" ipconfig.txt phyaddr.txt
for /f "skip=2 tokens=12" %%M in (phyaddr.txt) do set Mac=%%M
:::::::::读取本机ip地址
if exist IPAddr.txt del IPaddr.txt
find "IP Address" ipconfig.txt IPAddr.txt
for /f "skip=2 tokens=15" %%I in (IPAddr.txt) do set IP=%%I
:::::::::绑定本机IP地址和MAC地址
arp -s %IP% %Mac%
:::::::::读取网关地址
if exist GateIP.txt del GateIP.txt
find "Default Gateway" ipconfig.txt GateIP.txt
for /f "skip=2 tokens=13" %%G in (GateIP.txt) do set GateIP=%%G
ping %GateIP% -n 1
:::::::::读取网关Mac地址
if exist GateMac.txt del GateMac.txt
arp -a %GateIP% GateMac.txt
for /f "skip=3 tokens=2" %%H in (GateMac.txt) do set GateMac=%%H
:::::::::绑定网关Mac和IP
arp -s %GateIP% %GateMac%
:::::::::删除临时文件
del GateIP.txt
del GateMac.txt
del IPAddr.txt
del ipconfig.txt
del phyaddr.txt
exit
0条大神的评论