校園網出口安全威脅

路由器是組網中的關鍵，在教科網路由器上，一般都會用靜態路由把這些地址段指向各個接入學校的路由器鏈路地址，不會啟用動態路由協議（例如ip route 202.120.0.0/18 10.0.0.2，這里202.120.0.0/18是64個C的地址段，10.0.0.2是接入學校端的鏈路地址）。對于很多學校來說，在邊界路由器上默認的路由可能也就是指向教科網路由器的鏈路地址（例如ip route 0.0.0.0/0 10.0.0.1，這里10.0.0.1是接入教科網端的鏈路地址）。

安全的做法是在校園網內的某臺路由器上對所擁有的全部地址塊都指向null0丟棄（例如ip route 202.120.0.0/18 null0），并把這個指向null0的靜態路由重分布進校園網路由(常見的是使用ospf協議，也許也有用bgp的)。根據最長掩碼匹配原則，路由器會選擇路由表中到達同一目的地的子網掩碼最長的路由。

如果在校園內某處里有202.120.0.0/24的子網，那么可以不受影響地進行正常校內外路由。實際情況中，學校不可能把擁有的全部地址都分配使用完畢，終歸會有一些地址段預留備用。假設學校有一段202.120.1.0/24的子網沒有分配，并且之前的指向null0丟棄也沒進行，那么校園網路由表內就沒有202.120.1.0/24相關的路由信息，這時安全威脅就浮現出來了。

假設校外向202.120.1.0/24這個子網內的任意IP地址發大量報文，那么這些報文會順理成章地進入到校園網邊界路由器，但是校園網路由表里又沒有這段地址信息，就會按默認路由重新送回校外教科網路由器。這些報文在校園網出口鏈路上反復震蕩，直到TTL=0被丟棄。

如果是一定強度的持續惡意攻擊，攻擊流量就會被放大了若干倍，甚至引起校園網出口鏈路帶寬耗盡，影響正常網絡使用。從校內向202.120.1.0/24這個子網內的任意IP地址發報文也會引起同樣的后果。這實際上就是形成了一個三層的環路。

網絡安全問題往往出在平時被忽視的細節問題上。網管人員要嚴格遵守安全規范，提高業務技能，以降低各類安全事件發生的可能性。
如果有需要服務器的租用與托管的敬請聯系QQ：１５０１２８１７５８（億恩星辰）　　　聯系電話：０３７１—６３３２２２２０

服務器租用/服務器托管中國五強！虛擬主機域名注冊頂級提供商！15年品質保障！--億恩科技[ENKJ.COM]