校园网P2P安全问题及防范范文

《电脑开发与应用杂志》2014年第六期

1校园网P2P应用存在的安全问题

目前在校园网中，P2P应用存在较多的安全问题，主要包括以下几个方面：

1.1网络攻击

1.1.1防火墙漏洞攻击受到P2P分布式结构的影响，其节点的建立要求较低，用户可以通过搜索将自己加入到P2P网络中。同时，这个节点可以同时处于校园网及互联网中，此时，攻击者便可以利用两个网络之间的同时存在性绕过校园网防火墙实现内外部网络的直接连接，这就可能使外网中的不安全因素可能进入到校园网内部，而非法攻击者则可以利用P2P技术的这一特点进入到校园网内部对校园网进行攻击。

1.1.2路由攻击基于P2P网络的结构特点，可以通过各个节点实现路由查询功能，在对目的节点进行查找的过程中首先会向相邻的其他节点发送请求，以这种方式不断跳转进行查找，知道找到目的节点位置。在查找的过程中，网络中可能存在的恶意节点，就能够通过网络请求向其他节点发送错误的路由信息，并在整个网络中传输，攻击整个P2P网络。另外，新节点在加入P2P网络时，需要获取初始化留有信息，此时恶意节点可以传送错误信息使新节点将其作为初始化节点，而接收恶意节点所发送的错误路由信息，被独立在网络之外。

1.1.3存取攻击存取攻击主要是指攻击者利用路由执行正确的数据转发及查找协议，但是不向其他节点提供自身保存的数据，导致数据传输发生中断，从而破坏网络的信任机制。P2P网络中所存在的存取攻击问题，网络系统可以通过在多个节点上复制数据来避免数据的失效。

1.1.4拒绝服务攻击拒绝服务攻击是杜绝网路中指定的用户使用其中某个节点的资源。该攻击形式主要依靠向特点节点发送大量垃圾数据包，从而导致该节点的数据溢出，最终崩溃。传统的拒绝服务器攻击需要通过大型计算机进行发动，而在P2P网络结构中，攻击者可以利用网络中的各个节点发动集中攻击。

1.2通信安全校园网属于局域网形式，通常对网内与网外的数据连接进行了一定的限制。在传统的万络结构中，攻击者需要通过植入病毒或者木马的形式获取校园网的内部信息。但是在P2P网络结构中，可以利用软件穿透防火墙，内部网络的节点信息就会传播给攻击者，攻击者就可以通过该信息对校园网进行攻击。

1.3病毒问题文件资源通过P2P网络进行共享时，容易被植入恶意病毒代码，对网络的安全性造成了严重的威胁。由于通过P2P网络进行共享的文件资源总类繁多，网络系统很难对文件的类别进行自动识别，加之病毒具有较高的隐蔽性以及P2P网络庞大的节点数量，导致病毒能够通过P2P网络进行大范围传播。另外,部分P2P应用本身捆绑的木马程序，对校园网的安全也构成了极大的威胁。在P2P网络中，由于各个节点之间属于开放性质，一旦某个节点感染病毒，就可能传染给相邻的节点，这样不断循环，导致网络中的大部分节点感染病毒。校园网的开放性特点以及其内部大量的P2P应用，为病毒在校园网内部的传播创造了条件，对教育资源及应用的安全性造成了严重威胁。

2P2P应用旁路校园网安全体系分析

相比传统的网络结构，P2P网络对服务器的中心作用进行了极大程度的弱化，这对文件资源的共享机制的变化产生了较大影响，但是，其安全性也大大降低。P2P应用能够通过特定的端口绕过校园网防火墙以及周边网络安全设备的检测，从而建立内外网络的直接通信。这一特点，也是P2P网络的主要漏洞，极易被攻击者利用。另外，文件资源的大量共享，为病毒及其他恶意信息的传播提供了条件。

2.1旁路安全体系的4种可能（1）校园网用户如果安装了后门软件或其他不安全软件，就容易导致防火墙被突破。（2）几乎所有网络都会提供WWW、DNS等服务，如果这些服务本身存在安全漏洞，造成防火墙产生可利用漏洞，从而被攻击者突破。（3）操作系统通常提供远程认证登录模式进行电脑的管理，许多用户人为该模式十分安全，实际上，只要获得认真信息后，任何人都可以对主机进行渗透访问。而攻击者利用该特点对主机的安全协议进行修改，这也成为了突破网络的可能。（4）部分P2P应用程序所捆绑的木马程序可能具有将整个硬盘设置成为共享磁盘的功能，这对用户的数据安全造成了严重的威胁。

2.2旁路安全体系技术

2.2.1隧道技术DNS、ICMP及HTTP协议是产生隧道使用最多的协议，隧道技术都遵循RFC标准。许多攻击者通过隧道技术可以旁路防火墙，建立一个向虚拟局域网，从而实现对校园网内部节点的攻击。

2.2.2旁路追踪路由过滤大多数路由的追踪过滤功能，仅仅能对UDP/ICMP协议的数据包进行追踪过滤，如果使用TTL替代这两种协议的数据包，就能屏蔽路由器的追踪过滤功能，从而能够旁路服务器实现路由追踪。

2.2.3威胁由于部分型防火墙主机的安全性不够，攻击者能够利用HTTP-connect，就可以穿透防火墙的防御，建立内外部网络端口的直接通信。

2.2.4碎片技术P2P网络中的数据流中的第一个数据包会包含TCP头数据，防火墙在对数据流进行识别时，会根据TCP特征值进行判断；而利用碎片技术能够腹泻目的地址，将数据包装成具有相同特征值的数据通过防火墙的IP分组，从而穿越防火墙的防御。

3校园网P2P引用安全策略

受到校园网特定工作环境的影响，很难通过封杀软件、封堵接口等方式来限制P2P应用的使用。同时，虽然P2P网络存在较大的安全问题，但是从其开放性、工作效率、方便性等各方面的特点来看，P2P应用的发展是未来网络发展的主体方向，要想对其进行完全封堵是不科学、不合理的。因此，需要通过一定的策略提高P2P应用的安全性，提升校园网的运行安全性和可靠性。

3.1提升校园网用户的安全意识校园网用户的安全意识不足是导致校园网P2P应用存在的安全问题的原因之一。校园网用户的安全意识差，不懂网络安全方面的知识，对校园网P2P应用的安全产生了较大的影响。提升校园网用户的安全意识是保证校园网P2P应用安全的基础，学校可以通过定期开展网络安全方面的培训、讲座等，安排所有的教职员工及学生进行学习，全面提高校园网用户的网络安全意识。

3.2提升技术人员的专业水平网络管理技术人员的专业水平对校园网P2P应用的安全存在较大影响，技术人员应该对网络中的所有用户设置相应的权限及密码，并对这些用户名和密码进行管理；另外，还需要定期对校园网罗的安全状况进行测试，密切关注网络安全动态，还需要根据用户的需求对网络进行相关的安全设置，做好网络安全防护措施。在校园网管理人员的专业水平提升后，能够即使快速的解决网络安全问题，为P2P应用的安全运行提供有效保证。

3.3网络应用优先级的调整在基于校园网的P2P网络中，可以通过对P2P应用的优先级进行调整，保证关键教育应用的安全性，同时对重要应用提供优先服务。具体可以通过对P2P应用进行分级流量控制的方式来进行，保证关键教育应用的安全性。

3.4技术优化P2P应用的端口特性是由最初的固定端口发展到随机端口再发展到目前的伪随机端口。因此，可以利用端口的特性，通过多种方法组合的策略对P2P流量进行识别和监控。对于P2P应用带来的安全漏洞需要对开放性的端口所产生的数据流进行审核校验，通过技术手段与非技术手段的配合，才能在一定程度上保证P2P应用下校园网的运行安全，具体可以从以下几个方面入手：（1）优化IP地址过滤机制，通过对P2P应用的服务器地址进行分类审核，对某些不良地址进行过滤，可以对恶意P2P应用形成有效的限制。（2）做好TCP/UDP端口的过滤工作，通过对采用固定端口的P2P应用进行分类，然后根据P2P应用的各项功能所对应的端口号进行具体的控制，比如在MSN应用中，可以通过6891端口阻断进出的TCP会话数据包，通过13324端口可以对声音及视频数据进行过滤等。（3）做好P2P流量分析识别，可以根据P2P流量的特征对P2P应用的具体流量进行识别，然后根据实际需要对P2P应用流量进行控制，保证网络能够长时间稳定运行。（4）做好会话识别工作，会话连接中的的前面部分数据包中含有网络协议特征值。一旦，在第一个数据包中发现P2P特征值，就可以判断后续数据包是否为P2P数据包。如果P2P应用利用多个会话进行连接，则需要对所有会话进行关联性匹配识别。（5）对数据包进行深度扫描，通过对采用动态端口的P2P应用的应用层协议分析扫描来识别P2P数据包，但对于加密的P2P仍无法识别。

4结论

随着现代信息技术的不断发展，P2P技术以其分布性、高扩展性、高性能等特点在各个领域得到了广泛的应用，其中校园网中的P2P应用数量大、范围广，对校园网的安全造成了较大的影响。基于P2P应用的入侵与防护是一个不断变化发展的过程。最初的P2P应用可从固定服务器IP地址和端口号识别，对于采用可变端口、伪装端口的P2P应用主要通过深度检测，扫描应用层数据包的特征值来识别，同时配置入侵检测系统进行实时监控。目前，P2P应用的发展趋势是加密化，因而安全体系必须先解密并在应用层分析特征，如果合法再进行还原、传递。总之，校园网P2P应用的安全问题所涉及的因素非常多，需要在日常工作中，不断完善和提高安全措施，才能有效降低因P2P应用所导致的校园网安全问题，提高校园网整体的可靠性及安全性。

作者：秦晓慧单位：四川工程职业技术学院