畢業(yè)設(shè)計(jì)（論文） 校園網(wǎng)網(wǎng)絡(luò)安全設(shè)計(jì)方案

2010 2011 學(xué)年第 二 學(xué)期 畢業(yè)設(shè)計(jì)（論文） 課題 校園網(wǎng)網(wǎng)絡(luò)安全設(shè)計(jì)方案 姓名 系部 電子與計(jì)算機(jī)系 專(zhuān)業(yè) 計(jì)算機(jī)網(wǎng)絡(luò)技術(shù) 班級(jí) 計(jì)算機(jī)網(wǎng)絡(luò)（1）班 學(xué)號(hào) 指導(dǎo)教師 武漢交通職業(yè)學(xué)院教務(wù)處制 1 摘要 隨著信息化進(jìn)程的深入和互聯(lián)網(wǎng)的快速發(fā)展，網(wǎng)絡(luò)化已經(jīng)成為校園信息化 的發(fā)展大趨勢(shì)，信息資源也得到最大程度的共享。但是，緊隨信息化發(fā)展而來(lái) 的網(wǎng)絡(luò)安全問(wèn)題日漸凸出，網(wǎng)絡(luò)安全問(wèn)題已成為信息時(shí)代人類(lèi)共同面臨的挑戰(zhàn)， 網(wǎng)絡(luò)信息安全問(wèn)題成為當(dāng)務(wù)之急，如果不很好地解決這個(gè)問(wèn)題，必將阻礙信息 化發(fā)展的進(jìn)程。 校園網(wǎng)網(wǎng)絡(luò)的安全十分重要，它承載著學(xué)校的教務(wù)、行政、后勤、圖書(shū)資 料、對(duì)外聯(lián)絡(luò)等方面的事務(wù)處理。 安全性是指可靠性、保密性和數(shù)據(jù)一致性。網(wǎng)絡(luò)安全是任何計(jì)算機(jī)網(wǎng)絡(luò)建 設(shè)必須解決的重要問(wèn)題，校園網(wǎng)建設(shè)應(yīng)把網(wǎng)絡(luò)管理與安全放在突出地位。 關(guān)鍵詞：校園網(wǎng)，網(wǎng)絡(luò)安全，入侵檢測(cè)，病毒檢測(cè)，防火墻 2 目錄 摘要 .1 第 1 章 緒論 .3 1.1 前言 .3 1.2 校園網(wǎng) .3 1.3 網(wǎng)絡(luò)安全 .3 第 2 章 校園網(wǎng)不安全因素 .4 第 3 章 校園網(wǎng)不安全的主要問(wèn)題 .5 3.1 IP 盜用問(wèn)題 .6 3.2 防火墻攻擊 .6 3.3 EMAIL 及非法 URL 的訪問(wèn)問(wèn)題 .6 3.4 郵箱攻擊.6 3.4.1 電子郵件的攻擊.6 3.4.2 挑戰(zhàn)郵件容量的攻擊 .7 3.4.2 利用軟件攻擊.7 3.5 服務(wù)器和網(wǎng)絡(luò)設(shè)備的掃描和攻擊 .7 3.6 病毒防護(hù) .10 3.7 什么是 ARP 協(xié)議 .8 3.7.1 ARP 欺騙 .8 3.7.2 遭受 ARP 攻擊后現(xiàn)象 .9 3.7.3 快速查找 ARP 攻擊（MAC 地址攻擊）的方法 .10 第 4 章 校園網(wǎng)安全主要問(wèn)題的解決方案 .12 4.1 IP 盜用問(wèn)題防范 .12 4.2 垃圾郵件防范 .12 4.2.1 拒絕垃圾郵件 .13 4.2.2 拒絕巨型郵件 .13 4.3 ARP 防范措施 .14 4.4 蠕蟲(chóng)病毒防范 .18 結(jié)束語(yǔ) .19 致謝 .20 參考文獻(xiàn) .21 3 第一章 緒論 1.1 前言 校 園 網(wǎng) 是 為 學(xué) 校 開(kāi) 展 教 學(xué) 、 科 研 、 管 理 和 服 務(wù) 等 工 作 而 建 立 的 計(jì) 算 機(jī) 信 息 網(wǎng) 絡(luò) ， 是 學(xué) 校 信 息 化 建 設(shè) 的 基 礎(chǔ) 性 平 臺(tái) 。 其 目 的 是 利 用 先 進(jìn) 的 計(jì) 算 機(jī) 技 術(shù) 和 網(wǎng) 絡(luò) 通 信 技 術(shù) ， 實(shí) 現(xiàn) 校 內(nèi) 計(jì) 算 機(jī) 互 連 、 計(jì) 算 機(jī) 局 域 網(wǎng) 互 連 ， 并 通 過(guò) 中 國(guó) 教 育 和 科 研 計(jì) 算 機(jī) 網(wǎng) （ CERNET） 與 因 特 網(wǎng) （ INTERNET） 互 連 ， 實(shí) 現(xiàn) 信 息 的 快 捷 溝 通 和 資 源 共 享 ， 直 接 服 務(wù) 于 全 校 各 單 位 和 廣 大 師 生 。 1.2 校園網(wǎng) 校 園 網(wǎng) 是 為 學(xué) 校 師 生 提 供 教 學(xué) 、 科 研 和 綜 合 信 息 服 務(wù) 的 寬 帶 多 媒 體 網(wǎng) 絡(luò) 首 先 ， 校 園 網(wǎng) 應(yīng) 為 學(xué) 校 教 學(xué) 、 科 研 提 供 先 進(jìn) 的 信 息 化 教 學(xué) 環(huán) 境 。 這 就 要 求 ： 校 園 網(wǎng) 是 一 個(gè) 寬 帶 、 具 有 交 互 功 能 和 專(zhuān) 業(yè) 性 很 強(qiáng) 的 局 域 網(wǎng) 絡(luò) 。 多 媒 體 教 學(xué) 軟 件 開(kāi) 發(fā) 平 臺(tái) 、 多 媒 體 演 示 教 室 、 教 師 備 課 系 統(tǒng) 、 電 子 閱 覽 室 以 及 教 學(xué) 、 考 試 資 料 庫(kù) 等 ， 都 可 以 在 該 網(wǎng) 絡(luò) 上 運(yùn) 行 。 如 果 一 所 學(xué) 校 包 括 多 個(gè) 專(zhuān) 業(yè) 學(xué) 科 (或 多 個(gè) 系 )， 也 可 以 形 成 多 個(gè) 局 域 網(wǎng) 絡(luò) ， 并 通 過(guò) 有 線 或 無(wú) 線 方 式 連 接 起 來(lái) 。 其 次 ， 校 園 網(wǎng) 應(yīng) 具 有 教 務(wù) 、 行 政 和 總 務(wù) 管 理 功 能 。 1.3 網(wǎng)絡(luò)安全 網(wǎng)絡(luò)安全是指網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護(hù)，不因偶 然的或者惡意的原因而遭受到破壞、更改、泄露，系統(tǒng)連續(xù)可靠正常地運(yùn)行， 網(wǎng)絡(luò)服務(wù)不中斷。 網(wǎng)絡(luò)安全從其本質(zhì)上來(lái)講就是網(wǎng)絡(luò)上的信息安全。從廣義來(lái) 說(shuō)，凡是涉及到網(wǎng)絡(luò)上信息的保密性、完整性、可用性、真實(shí)性和可控性的相 關(guān)技術(shù)和理論都是網(wǎng)絡(luò)安全的研究領(lǐng)域。網(wǎng)絡(luò)安全是一門(mén)涉及計(jì)算機(jī)科學(xué)、網(wǎng) 絡(luò)技術(shù)、通信技術(shù)、密碼技術(shù)、信息安全技術(shù)、應(yīng)用數(shù)學(xué)、數(shù)論、信息論等多 種學(xué)科的綜合性學(xué)科。 4 第二章 校園網(wǎng)不安全因素 1、 校 園 網(wǎng) 面 臨 的 威 脅 大 體 可 分 為 對(duì) 網(wǎng) 絡(luò) 設(shè) 備 的 危 害 和 對(duì) 網(wǎng) 絡(luò) 中 數(shù) 據(jù) 信 息 的 破 壞 ， 具 體 包 括 ： 包 括 各 類(lèi) 計(jì) 算 機(jī) 、 網(wǎng) 絡(luò) 通 信 設(shè) 備 、 存 放 數(shù) 據(jù) 的 媒 體 、 傳 輸 線 路 等 。 這 些 設(shè) 備 無(wú) 論 哪 一 個(gè) 出 現(xiàn) 問(wèn) 題 ， 都 會(huì) 給 整 個(gè) 網(wǎng) 絡(luò) 帶 來(lái) 災(zāi) 難 性 的 后 果 。 2、人為的因素，包括人為的無(wú)意失誤和惡意攻擊。人為無(wú)意的失誤主要是 操作員安全配置不當(dāng)或用戶(hù)安全意識(shí)淡薄口令過(guò)于簡(jiǎn)單網(wǎng)絡(luò)操作失誤等。人為 的惡意攻擊是網(wǎng)絡(luò)安全所面臨的最大威脅此類(lèi)攻擊又分兩類(lèi)一類(lèi)是主動(dòng)攻擊它 以各種方式有選擇地破壞信息的有效性和完整性另一類(lèi)是被動(dòng)攻擊它是在不影 響網(wǎng)絡(luò)正常工作的前提下進(jìn)行截獲竊取破譯以獲得重要機(jī)密信息。 3、計(jì)算機(jī)病毒的泛濫與黑客的攻擊。計(jì)算機(jī)病毒將導(dǎo)致計(jì)算機(jī)系統(tǒng)癱瘓， 程序和數(shù)據(jù)嚴(yán)重破壞，使網(wǎng)絡(luò)的效率和作用大大降低，使許多功能無(wú)法使用或 不敢使用?，F(xiàn)在的蠕蟲(chóng)病毒和黑客技術(shù)結(jié)合在一起，常常導(dǎo)致拒絕服務(wù)攻擊 （DOS） ，可以導(dǎo)致整個(gè)校園癱瘓。 4、非法使用網(wǎng)絡(luò)資源。非法用戶(hù)登錄進(jìn)入系統(tǒng)使用網(wǎng)絡(luò)資源，造成網(wǎng)絡(luò)資 源的消耗，損害合法用戶(hù)的利益。 5、操作系統(tǒng)及軟件本身的問(wèn)題。網(wǎng)絡(luò)軟件不可能是百分之百的無(wú)缺陷和無(wú) 漏洞的，這些漏洞和缺陷恰恰是黑客進(jìn)行攻擊的首選目標(biāo)。 6、大量的非法內(nèi)容。因特網(wǎng)上這些良莠不齊的網(wǎng)絡(luò)資源不但會(huì)占有流量資 源，導(dǎo)致網(wǎng)絡(luò)堵塞、上網(wǎng)速度慢等問(wèn)題，而且不良內(nèi)容將危害學(xué)生的身心健康， 造成嚴(yán)重后果。 5 第 3 章 校園網(wǎng)安全的主要問(wèn)題 3.1 IP 盜用問(wèn)題 校園網(wǎng)內(nèi)部連接有幾千臺(tái)電腦，一部分電腦通過(guò)正常的申請(qǐng)途徑申請(qǐng)得到 合法的 IP 地址，另一部分則不然。當(dāng)某些沒(méi)有 IP 地址的用戶(hù)，冒用他人的合 法 IP 地址時(shí)，就會(huì)造成網(wǎng)絡(luò)內(nèi)部地址的沖突，嚴(yán)重阻礙了合法用戶(hù)的正常使用。 3.2 防火墻攻擊 防火墻系統(tǒng)相關(guān)技術(shù)的發(fā)展已經(jīng)比較成熟，防火墻系統(tǒng)很堅(jiān)固，但這只是 對(duì)于對(duì)外的防護(hù)而已，它對(duì)于內(nèi)部的防護(hù)則幾乎不起什么作用。然而不幸的是， 一般情況下有 70%的攻擊是來(lái)自局域網(wǎng)的內(nèi)部人員。所以怎樣防止來(lái)自?xún)?nèi)部的 攻擊是當(dāng)前校園網(wǎng)建設(shè)中的一個(gè)非常重要的方面。 防火墻技術(shù)包含動(dòng)態(tài)的包過(guò)濾、應(yīng)用代理服務(wù)器、用戶(hù)認(rèn)證、網(wǎng)絡(luò)地址轉(zhuǎn) 換、預(yù)警模塊、日志及計(jì)費(fèi)分析等功能?？梢杂行У貙?nèi)部網(wǎng)與外部網(wǎng)隔離開(kāi)， 保護(hù)校園網(wǎng)絡(luò)不被未授權(quán)的第三方入侵。 我們可以通過(guò)很多網(wǎng)絡(luò)工具，設(shè)備和策略來(lái)保護(hù)不可信任的網(wǎng)絡(luò)。其中防 火墻是運(yùn)用非常廣泛和效果最好的選擇。它可以防御網(wǎng)絡(luò)中的各種威脅，并且 做出及時(shí)的響應(yīng)，將那些危險(xiǎn)的連接和攻擊行為隔絕在外。從而降低網(wǎng)絡(luò)的整 體風(fēng)險(xiǎn)。 防火墻的基本功能是對(duì)網(wǎng)絡(luò)通信進(jìn)行篩選屏蔽以防止未授權(quán)的訪問(wèn)進(jìn)出計(jì) 算機(jī)網(wǎng)絡(luò)，簡(jiǎn)單的概括就是，對(duì)網(wǎng)絡(luò)進(jìn)行訪問(wèn)控制。絕大部分的防火墻都是放 置在可信任網(wǎng)絡(luò)（Internal）和不可信任網(wǎng)絡(luò)（Internet）之間。 防火墻一般有三個(gè)特性： A所有的通信都經(jīng)過(guò)防火墻 B防火墻只放行經(jīng)過(guò)授權(quán)的網(wǎng)絡(luò)流量 C防火墻能經(jīng)受的住對(duì)其本身的攻擊 我們可以看成防火墻是在可信任網(wǎng)絡(luò)和不可信任網(wǎng)絡(luò)之間的一個(gè)緩沖，防 火墻可以是一臺(tái)有訪問(wèn)控制策略的路由器（Route+ACL），一臺(tái)多個(gè)網(wǎng)絡(luò)接口的 6 計(jì)算機(jī)，服務(wù)器等，被配置成保護(hù)指定網(wǎng)絡(luò)，使其免受來(lái)自于非信任網(wǎng)絡(luò)區(qū)域 的某些協(xié)議與服務(wù)的影響。所以一般情況下防火墻都位于網(wǎng)絡(luò)的邊界，例如保 護(hù)企業(yè)網(wǎng)絡(luò)的防火墻，將部署在內(nèi)部網(wǎng)絡(luò)到外部網(wǎng)絡(luò)的核心區(qū)域上。 防火墻成為了與不可信任網(wǎng)絡(luò)進(jìn)行聯(lián)絡(luò)的唯一紐帶，我們通過(guò)部署防火墻， 就可以通過(guò)關(guān)注防火墻的安全來(lái)保護(hù)其內(nèi)部的網(wǎng)絡(luò)安全。并且所有的通信流量 都通過(guò)防火墻進(jìn)行審記和保存，對(duì)于網(wǎng)絡(luò)安全犯罪的調(diào)查取證提供了依據(jù)?？?之，防火墻減輕了網(wǎng)絡(luò)和系統(tǒng)被用于非法和惡意目的的風(fēng)險(xiǎn)。 3.3 Email 及非法 URL 的訪問(wèn)問(wèn)題 由于用戶(hù)安全觀念的淡薄以及網(wǎng)上某些人的別有用心，會(huì)給校園網(wǎng)的 Email 用戶(hù)發(fā)一些不良內(nèi)容的信件，有時(shí)還會(huì)攜帶各種各樣的病毒。因此，怎 樣防止有問(wèn)題的信件進(jìn)入校園網(wǎng)的 Email 系統(tǒng)也是一個(gè)待解決的問(wèn)題。 解決方法：在校園網(wǎng)的 WWW 服務(wù)器、Email 服務(wù)器等各種服務(wù)器中使用 網(wǎng)絡(luò)安全監(jiān)測(cè)系統(tǒng)，實(shí)時(shí)跟蹤、監(jiān)視網(wǎng)絡(luò)，截獲 Internet 網(wǎng)上傳輸?shù)膬?nèi)容，并 將其還原成完整的 WWW、Email 、FTP 、Telnet 應(yīng)用的內(nèi)容，建立保存相應(yīng)記 錄的數(shù)據(jù)庫(kù)。及時(shí)發(fā)現(xiàn)在網(wǎng)絡(luò)上傳輸?shù)姆欠▋?nèi)容，及時(shí)向上級(jí)安全網(wǎng)絡(luò)中心報(bào) 告，采取措施。并利用專(zhuān)門(mén)的日志分析工具對(duì)保存在數(shù)據(jù)庫(kù)中的訪問(wèn)日志進(jìn)行 統(tǒng)計(jì)并繪制統(tǒng)計(jì)圖，可以對(duì)訪問(wèn)地址和流量進(jìn)行分析，對(duì)于明顯的攻擊便可一 目了然了。 3.4 郵箱攻擊 3.4.1 電子郵件的攻擊 電子郵箱攻擊有很多種，如、使用工具竊取密碼、電子郵件欺騙、電子郵 箱轟炸等，其中一電子郵箱轟炸最為流行。 通過(guò)發(fā)送郵件可以實(shí)現(xiàn)病毒和有害程序的傳播。由于電子郵件是二進(jìn)制文 件，它可以是許多有害攻擊的載體。郵件炸彈是一個(gè)簡(jiǎn)單有效的侵?jǐn)_工具，炸 彈的攻擊只是由反復(fù)傳給目標(biāo)接收者相同信息組成。它并不是很神秘的侵?jǐn)_， 而只是用信息垃圾充滿(mǎn)個(gè)人的郵箱。從技術(shù)上講，如果被攻擊者缺少存儲(chǔ)空間， 郵箱會(huì)被充滿(mǎn)，因此阻止了其它消息進(jìn)入郵箱，所以所電子郵件炸彈也具有很 大的危害性。 某一天，當(dāng)你打開(kāi)自己的電子郵箱，發(fā)現(xiàn)里面有一封陌生人發(fā)來(lái)的郵件， 7 發(fā)信人 ID 看起來(lái)也沒(méi)有任何規(guī)律可言。好奇心驅(qū)使你打開(kāi)了郵件，但是你并沒(méi) 有發(fā)現(xiàn)任何有價(jià)值的內(nèi)容。接下來(lái)的情況讓你有些措手不及，因?yàn)槟愕泥]箱很 快被塞滿(mǎn)了陌生人的郵件。于是你想收到的郵件卻不知道被塞到了哪個(gè)地方。 必驚慌。這其實(shí)就是信息時(shí)代的商戰(zhàn)中經(jīng)常見(jiàn)到的電子郵件攻擊。電子郵 件攻擊是目前商業(yè)應(yīng)用最多的一種商業(yè)攻擊，它還有一個(gè)比較形象的名字叫做 “郵件炸彈” 。 3.4.2 挑戰(zhàn)郵件容量的攻擊 這其實(shí)是最原始也是比較簡(jiǎn)易的電子郵件攻擊。攻擊者申請(qǐng)一個(gè)郵箱，并 且開(kāi)啟匿名功能。使用一些郵箱工具（像 FOXMAIL、OUTLOOK 等）發(fā)送一個(gè)大容 量的附件，啟動(dòng)郵箱工具中的切分發(fā)送，再進(jìn)行發(fā)送。 針對(duì)此類(lèi)攻擊的防范也比較簡(jiǎn)單。用戶(hù)登錄到郵箱，郵箱系統(tǒng)設(shè)置中設(shè)置 可以接受的郵件的最大容量。只需簡(jiǎn)單的設(shè)置用戶(hù)就可以將大于此設(shè)置的郵件 拒之門(mén)外。 目前網(wǎng)上有很多郵件炸彈軟件，雖然操作不盡相同，成功率也不能保證， 但是它們可以將攻擊者很好地隱藏而不被發(fā)現(xiàn)，是比較安全的一種攻擊方式。 其實(shí)郵件炸彈的原理很簡(jiǎn)單，與 DDos 攻擊有所相似，就是針對(duì)某一個(gè)或者 多個(gè)電子郵箱發(fā)送大量的郵件，突然加大網(wǎng)絡(luò)的負(fù)擔(dān)，增加網(wǎng)絡(luò)流量以占用更 多的處理器資源，消耗系統(tǒng)資源，使得正常的電子郵件無(wú)法到達(dá)郵箱，進(jìn)而造 成系統(tǒng)癱瘓。 3.4.3 利用軟件攻擊 利用軟件進(jìn)行的攻擊 郵箱終結(jié)者是郵件炸彈軟件中的佼佼者。在要進(jìn)行“轟炸的郵箱”里輸入 目標(biāo)地址，并且設(shè)置郵箱的服務(wù)器（多為 SMTP 服務(wù)器） ，填寫(xiě)郵件相關(guān)內(nèi)容， 在郵箱下面設(shè)置發(fā)送量和發(fā)送郵箱的線程數(shù)。單擊“攻擊” ，一場(chǎng)新的攻擊就會(huì) 立刻開(kāi)始。 現(xiàn)在一般的郵箱都會(huì)有一個(gè)“可信任人”的項(xiàng)目，將正常的用戶(hù)添加進(jìn)去， 這樣只有被添加用戶(hù)發(fā)來(lái)的郵件才能被正常接收，其他人的郵箱則會(huì)被拒絕。 8 3.5 服務(wù)器和設(shè)備的掃描和攻擊問(wèn)題 有時(shí)會(huì)有一些用戶(hù)對(duì)校園網(wǎng)的服務(wù)器和網(wǎng)絡(luò)設(shè)備進(jìn)行掃描和攻擊，造成網(wǎng) 絡(luò)負(fù)載過(guò)重，致使服務(wù)器拒絕提供服務(wù)，或造成校園網(wǎng)不能提供正常的服務(wù)。 3.6 病毒防護(hù) 互聯(lián)網(wǎng)迅猛發(fā)展使得網(wǎng)絡(luò)運(yùn)營(yíng)成為社會(huì)時(shí)尚，但同時(shí)也為病毒感染和快速 傳播提供了途徑。病毒從網(wǎng)絡(luò)之間傳遞，并在計(jì)算機(jī)沒(méi)有任何防護(hù)措施的情況 下運(yùn)行，從而導(dǎo)致系統(tǒng)崩潰，網(wǎng)絡(luò)癱瘓，對(duì)網(wǎng)絡(luò)服務(wù)構(gòu)成嚴(yán)重威脅，造成巨大 損失。因此，如何讓校園網(wǎng)更安全，防止網(wǎng)絡(luò)遭受病毒的侵襲，已成為校園網(wǎng) 迫切需要解決的問(wèn)題 具體事例 3.7 什么是 ARP 協(xié)議 ARP 協(xié)議是“Address Resolution Protocol”（地址解析協(xié)議）的縮寫(xiě)。 在局域網(wǎng)中，網(wǎng)絡(luò)中實(shí)際傳輸?shù)氖恰皫?，幀里面是有目標(biāo)主機(jī)的 MAC 地址的。 在以太網(wǎng)中，一個(gè)主機(jī)機(jī)和另一個(gè)主機(jī)進(jìn)行直接通信，必須要知道目標(biāo)主機(jī)的 MAC 地址。但這個(gè)目標(biāo) MAC 地址是如何獲得的呢？它就是通過(guò)地址解析協(xié)議獲 得的。所謂“地址解析”就是主機(jī)在發(fā)送幀前將目標(biāo) IP 地址轉(zhuǎn)換成目標(biāo) MAC 地 址的過(guò)程。ARP 協(xié)議的基本功能就是通過(guò)目標(biāo)設(shè)備的 IP 地址，查詢(xún)目標(biāo)設(shè)備的 MAC 地址，以保證通信的順利進(jìn)行。 3.7.1 ARP 欺騙 其實(shí)，此起彼伏的瞬間掉線或大面積的斷網(wǎng)大都是 ARP 欺騙在作怪。ARP 欺騙攻擊已經(jīng)成了破壞網(wǎng)吧經(jīng)營(yíng)的罪魁禍?zhǔn)?，是網(wǎng)吧老板和網(wǎng)管員的心腹大患。 從影響網(wǎng)絡(luò)連接通暢的方式來(lái)看，ARP 欺騙分為二種，一種是對(duì)路由器 ARP 表的欺騙；另一種是對(duì)內(nèi)網(wǎng) PC 的網(wǎng)關(guān)欺騙。 第一種 ARP 欺騙的原理是截獲網(wǎng)關(guān)數(shù)據(jù)。它通知路由器一系列錯(cuò)誤的 內(nèi)網(wǎng) MAC 地址，并按照一定的頻率不斷進(jìn)行，使真實(shí)的地址信息無(wú)法通過(guò)更新 保存在路由器中，結(jié)果路由器的所有數(shù)據(jù)只能發(fā)送給錯(cuò)誤的 MAC 地址，造成正 常 PC 無(wú)法收到信息。第二種 ARP 欺騙的原理是偽造網(wǎng)關(guān)。它的原理是建立 假網(wǎng)關(guān)，讓被它欺騙的 PC 向假網(wǎng)關(guān)發(fā)數(shù)據(jù)，而不是通過(guò)正常的路由器途徑上網(wǎng)。 9 在 PC 看來(lái)，就是上不了網(wǎng)了， “網(wǎng)絡(luò)掉線了” 。 一般來(lái)說(shuō)，ARP 欺騙攻擊的后果非常嚴(yán)重，大多數(shù)情況下會(huì)造成大面積掉 線。有些網(wǎng)管員對(duì)此不甚了解，出現(xiàn)故障時(shí)，認(rèn)為 PC 沒(méi)有問(wèn)題，交換機(jī)沒(méi)掉線 的“本事” ，電信也不承認(rèn)寬帶故障。而且如果第一種 ARP 欺騙發(fā)生時(shí)，只要重 啟路由器，網(wǎng)絡(luò)就能全面恢復(fù)，那問(wèn)題一定是在路由器了。為此，寬帶路由器 背了不少“黑鍋” 。 作為網(wǎng)吧路由器的廠家，對(duì)防范 ARP 欺騙不得已做了不少份內(nèi)、份外的工 作。一、在寬帶路由器中把所有 PC 的 IP-MAC 輸入到一個(gè)靜態(tài)表中，這叫路由 器 IP-MAC 綁定。二、力勸網(wǎng)管員在內(nèi)網(wǎng)所有 PC 上設(shè)置網(wǎng)關(guān)的靜態(tài) ARP 信息， 這叫 PC 機(jī) IP-MAC 綁定。一般廠家要求兩個(gè)工作都要做，稱(chēng)其為 IP-MAC 雙向綁 定。 顯示和修改“地址解析協(xié)議”(ARP) 所使用的到以太網(wǎng)的 IP 或令牌環(huán)物 理地址翻譯表。該命令只有在安裝了 TCP/IP 協(xié)議之后才可用。 arp -a inet_addr -N if_addr arp -d inet_addr if_addr arp -s inet_addr ether_addr if_addr 參數(shù) -a 通過(guò)詢(xún)問(wèn) TCP/IP 顯示當(dāng)前 ARP 項(xiàng)。如果指定了 inet_addr，則只顯示指 定計(jì)算機(jī)的 IP 和物理地址。 -g 與 -a 相同。 inet_addr 以加點(diǎn)的十進(jìn)制標(biāo)記指定 IP 地址。 -N 顯示由 if_addr 指定的網(wǎng)絡(luò)界面 ARP 項(xiàng)。 if_addr 指定需要修改其地址轉(zhuǎn)換表接口的 IP 地址（如果有的話(huà)） 。如果不存在， 將使用第一個(gè)可適用的接口。 -d 刪除由 inet_addr 指定的項(xiàng)。 -s 在 ARP 緩存中添加項(xiàng)，將 IP 地址 inet_addr 和物理地址 ether_addr 關(guān)聯(lián)。物理地址由以連字符分隔的 6 個(gè)十六進(jìn)制字節(jié)給定。使用帶點(diǎn)的十進(jìn)制 10 標(biāo)記指定 IP 地址。項(xiàng)是永久性的，即在超時(shí)到期后項(xiàng)自動(dòng)從緩存刪除。 ether_addr 指定物理地址。 3.7.2 遭受 ARP 攻擊后現(xiàn)象 ARP 欺騙木馬的中毒現(xiàn)象表現(xiàn)為：使用局域網(wǎng)時(shí)會(huì)突然掉線，過(guò)一段時(shí)間 后又會(huì)恢復(fù)正常。比如客戶(hù)端狀態(tài)頻頻變紅，用戶(hù)頻繁斷網(wǎng)，IE 瀏覽器頻繁出 錯(cuò)，以及一些常用軟件出現(xiàn)故障等。如果局域網(wǎng)中是通過(guò)身份認(rèn)證上網(wǎng)的，會(huì) 突然出現(xiàn)可認(rèn)證，但不能上網(wǎng)的現(xiàn)象（無(wú)法 ping 通網(wǎng)關(guān)） ，重啟機(jī)器或在 MS- DOS 窗口下運(yùn)行命令 arp -d 后，又可恢復(fù)上網(wǎng)。 ARP 欺騙木馬只需成功感染一臺(tái)電腦，就可能導(dǎo)致整個(gè)局域網(wǎng)都無(wú)法上網(wǎng)，嚴(yán) 重的甚至可能帶來(lái)整個(gè)網(wǎng)絡(luò)的癱瘓。該木馬發(fā)作時(shí)除了會(huì)導(dǎo)致同一局域網(wǎng)內(nèi)的 其他用戶(hù)上網(wǎng)出現(xiàn)時(shí)斷時(shí)續(xù)的現(xiàn)象外，還會(huì)竊取用戶(hù)密碼。如盜取 QQ 密碼、盜 取各種網(wǎng)絡(luò)游戲密碼和賬號(hào)去做金錢(qián)交易，盜竊網(wǎng)上銀行賬號(hào)來(lái)做非法交易活 動(dòng)等，這是木馬的慣用伎倆，給用戶(hù)造成了很大的不便和巨大的經(jīng)濟(jì)損失。 3.7.3 快速查找 ARP 攻擊（MAC 地址攻擊）的方法 用環(huán)境： ROS 路由 癥狀： 無(wú)法 PING 到網(wǎng)關(guān)地址 192.168.127.1 在 ROS 里的 ARP 顯示 192.168.127.34 00:E0:4C:90:1A:70 192.168.127.35 00:E0:4C:90:1A:70 192.168.127.36 00:E0:4C:90:1A:70 192.168.127.37 00:E0:4C:90:1A:70 192.168.127.41 00:E0:4C:90:1A:70 192.168.127.45 00:E0:4C:90:1A:70 192.168.127.47 00:E0:4C:90:1A:70 192.168.127.39 00:E0:4C:90:1A:70 先決條件： ROS 有兩塊網(wǎng)卡 一塊連接 192.168.127.X 段的 IP。 病發(fā)后，通過(guò) ROS 的另一塊網(wǎng)卡，使用 WINBOX 登錄。 最好是單機(jī)連接 解決方法： 現(xiàn)在快速查找中毒的電腦 ，請(qǐng)使用本站提供的 IP 掃描工具，在掃描工具 的 Options 的 Select column 中將 Mac address 列移至右邊，保存 （看圖 4） 。 11 圖 3-1 接著可以找到 只有 192.168.127.34 使用的 MAC 地址中 00:E0:4C:90:1A:70 圖 3-2 由此可以判斷 192.168.127.34 這臺(tái)是中病毒的發(fā)起主機(jī)。 這樣的情況比較少，萬(wàn)一出現(xiàn)也是比較刺手的問(wèn)題 12 第四章 校園網(wǎng)安全問(wèn)題的解決方案 4.1 ip 盜用防范 IP 盜用問(wèn)題的解決方法：在路由器上捆綁 IP 和 MAC 地址。當(dāng)某個(gè) IP 通過(guò) 路由器訪問(wèn) Internet 時(shí)，路由器要檢查發(fā)出這個(gè) IP 廣播包的工作站的 MAC 是 否與路由器上的 MAC 地址表相符，如果相符就放行。否則不允許通過(guò)路由器， 同時(shí)給發(fā)出這個(gè) IP 廣播包的工作站返回一個(gè)警告信息。 4.2 垃圾郵件防范 郵箱炸彈一般都表現(xiàn)為發(fā)送垃圾郵件和巨型郵件這兩種形式。下面就以這 兩種表現(xiàn)方法為例來(lái)進(jìn)行一些介紹。 4.2.1 拒絕垃圾郵件 在垃圾郵件發(fā)送者們擺出一副“將垃圾發(fā)送到底” 架勢(shì)的今天，互聯(lián)網(wǎng)上垃 圾郵件滿(mǎn)天飛。網(wǎng)友們收到的如果是廣告，刪掉也就罷了；如果是病毒或者“炸 彈”，一個(gè)不慎重那就有損失慘重的可能。垃圾郵件屢清不絕，讓人不堪其煩。 (1) 如果不是必需，在網(wǎng)上不要在留言簿等公共場(chǎng)所留下自己的電子郵件 地址。不要在那些名不見(jiàn)經(jīng)傳更沒(méi)有隱私保障的小網(wǎng)站注冊(cè)自己的任何個(gè)人信 息。 (2) 如果經(jīng)常收到某一特定的主題詞郵件或某一特定的郵件地址寄來(lái)的垃 圾郵件時(shí)，可以使用軟件的過(guò)濾功能，如大家熟悉的等都能夠 設(shè)置對(duì)有某些特征的郵件進(jìn)行過(guò)濾的功能；方式的郵箱現(xiàn)在也基本都有 這項(xiàng)功能。 (3) 有很多的垃圾郵件都是通過(guò)郵件列表寄來(lái)，在郵件列表申請(qǐng)地址的主 頁(yè)上一般都會(huì)有退訂的窗口，填上自己的地址即可實(shí)現(xiàn)退訂，有的還會(huì)有拒收 的回復(fù)地址，這時(shí)按要求向回復(fù)地址發(fā)送回復(fù)郵件就可以了。 (4) 慎用自動(dòng)回復(fù)的功能。雖然自動(dòng)回復(fù)的功能可以給我們帶來(lái)很大的方 便，但如果對(duì)方剛好也使用了自動(dòng)回復(fù)的功能，那就將造成一個(gè)互發(fā)回復(fù)郵件 的循環(huán)直到兩個(gè)郵箱被塞滿(mǎn)為止。 (5) 學(xué)會(huì)使用遠(yuǎn)程郵箱管理功能，直接從郵箱里刪除那些垃圾，而不用每 次把一大堆郵件下載到自己的本地郵箱后再來(lái)刪除。例如 （： 13 ）這款遠(yuǎn)程郵箱監(jiān)視軟件，能夠定時(shí)檢查遠(yuǎn)程郵箱。當(dāng)檢 查結(jié)束，它會(huì)顯示出寄信人、主題、日期、文件大小等信息，可以根據(jù)這些信 息準(zhǔn)確地判斷出哪些是您需要的郵件、哪些是垃圾。只要使用它的快速刪除功 能就能非常快捷地刪除遠(yuǎn)程郵箱中的垃圾郵件。 (6) 安裝一些軟件專(zhuān)門(mén)幫助你對(duì)付垃圾郵件，例如用 （： ）來(lái)給垃圾郵件發(fā)送者回一封信，告訴他所發(fā)送的信箱并不存在，以免受 垃圾郵件發(fā)送者的重復(fù)騷擾。 另外，上了網(wǎng)的電腦就需要作好防護(hù)措施，裝上病毒防火墻，并經(jīng)常對(duì)防 病毒軟件進(jìn)行升級(jí)，這樣就算是收到騷擾性的垃圾郵件基本上也沒(méi)有什么大的 危險(xiǎn)了。 4.2.2 拒絕巨型郵件 拒絕巨型郵件的方法有許多，這里主要講以下在 OE 中如何拒絕巨型郵件。 為了防止郵箱被炸，應(yīng)該像設(shè)置垃圾郵件的過(guò)濾一樣，提前在 Outlk Express 中設(shè)置好防范項(xiàng)目。打開(kāi)“工具”菜單，選擇“郵件規(guī)則” ，再選“郵 件”命令，打開(kāi)“新建郵件規(guī)則”對(duì)話(huà)框。點(diǎn)擊“添加” ，在“選擇規(guī)則留言” 列表中，選擇“若郵件長(zhǎng)度大于指定大小” ，在“選擇規(guī)則操作”列表中選擇 “從服務(wù)器上刪除” ，然后在“規(guī)則說(shuō)明”列表中點(diǎn)擊帶下劃線的詞句，在新打 開(kāi)的對(duì)話(huà)框中選擇 2000，表示信息容量為 2M，單擊 “確定” 如下圖： 圖 4-2 最后輸入此郵件的規(guī)則名稱(chēng)“delbig”單擊“確定 ”完成設(shè)置。 14 如下： 圖 4-3 這樣只要你的郵件服務(wù)器體積超過(guò) 2M 的大郵件時(shí)，都會(huì)自動(dòng)進(jìn)行刪除， 從而保證了郵箱的安全。 4.3 ARP 防范措施 清空 ARP 緩存: 大家可能都曾經(jīng)有過(guò)使用 ARP 的指令法解決過(guò) ARP 欺騙問(wèn) 題，該方法是針對(duì) ARP 欺騙原理進(jìn)行解決的。一般來(lái)說(shuō) ARP 欺騙都是通過(guò)發(fā)送 虛假的 MAC 地址與 IP 地址的對(duì)應(yīng) ARP 數(shù)據(jù)包來(lái)迷惑網(wǎng)絡(luò)設(shè)備，用虛假的或錯(cuò)誤 的 MAC 地址與 IP 地址對(duì)應(yīng)關(guān)系取代正確的對(duì)應(yīng)關(guān)系。若是一些初級(jí)的 ARP 欺騙， 可以通過(guò) ARP 的指令來(lái)清空本機(jī)的 ARP 緩存對(duì)應(yīng)關(guān)系，讓網(wǎng)絡(luò)設(shè)備從網(wǎng)絡(luò)中重 新獲得正確的對(duì)應(yīng)關(guān)系，具體解決過(guò)程如下： 通過(guò)點(diǎn)擊桌面上任務(wù)欄的“開(kāi)始”-“運(yùn)行” ，然后輸入 cmd 后回車(chē)，進(jìn)入 cmd(黑色背景)命令行模式； 在命令行模式下輸入 arp -a 命令來(lái)查看當(dāng)前本機(jī)儲(chǔ)存在本地系統(tǒng) ARP 緩存 中 IP 和 MAC 對(duì)應(yīng)關(guān)系的信息； 15 使用 arp -d 命令，將儲(chǔ)存在本機(jī)系統(tǒng)中的 ARP 緩存信息清空，這樣錯(cuò)誤的 ARP 緩存信息就被刪除了，本機(jī)將重新從網(wǎng)絡(luò)中獲得正確的 ARP 信息，達(dá)到局 域網(wǎng)機(jī)器間互訪和正常上網(wǎng)的目的。如果是遇到使用 ARP 欺騙工具來(lái)進(jìn)行攻擊 的情況，使用上述的方法完全可以解決。但如果是感染 ARP 欺騙病毒，病毒每 隔一段時(shí)間自動(dòng)發(fā)送 ARP 欺騙數(shù)據(jù)包，這時(shí)使用清空 ARP 緩存的方法將無(wú)能為 力了。下面將接收另外一種，可以解決感染 ARP 欺騙病毒的方法。 指定 ARP 對(duì)應(yīng)關(guān)系：其實(shí)該方法就是強(qiáng)制指定 ARP 對(duì)應(yīng)關(guān)系。由于絕大部 分 ARP 欺騙病毒都是針對(duì)網(wǎng)關(guān) MAC 地址進(jìn)行攻擊的，使本機(jī)上 ARP 緩存中存儲(chǔ) 的網(wǎng)關(guān)設(shè)備的信息出現(xiàn)紊亂，這樣當(dāng)機(jī)器要上網(wǎng)發(fā)送數(shù)據(jù)包給網(wǎng)關(guān)時(shí)就會(huì)因?yàn)?地址錯(cuò)誤而失敗，造成計(jì)算機(jī)無(wú)法上網(wǎng)。 (1) 我們假設(shè)網(wǎng)關(guān)地址的 MAC 信息為 00-14-78-a7-77-5c，對(duì)應(yīng)的 IP 地址 為 192.168.2.1。指定 ARP 對(duì)應(yīng)關(guān)系就是指這些地址。在感染了病毒的機(jī)器上， 點(diǎn)擊桌面-任務(wù)欄的“開(kāi)始”-“運(yùn)行” ，輸入 cmd 后回車(chē)，進(jìn)入 cmd 命令行模 式； (2) 使用 arp -s 命令來(lái)添加一條 ARP 地址對(duì)應(yīng)關(guān)系， 例如 arp -s 192.168.2.1 00-14-78-a7-77-5c 命令。這樣就將網(wǎng)關(guān)地址的 IP 與正確的 MAC 地址綁定好了，本機(jī)網(wǎng)絡(luò)連接將恢復(fù)正常了； 16 (3) 因?yàn)槊看沃匦聠?dòng)計(jì)算機(jī)的時(shí)候，ARP 緩存信息都會(huì)被全部清除。所 以我們應(yīng)該把這個(gè) ARP 靜態(tài)地址添加指令寫(xiě)到一個(gè)批處理文件（例如：bat）中， 然后將這個(gè)文件放到系統(tǒng)的啟動(dòng)項(xiàng)中。當(dāng)程序隨系統(tǒng)的啟動(dòng)而加載的話(huà)，就可 以免除因?yàn)?ARP 靜態(tài)映射信息丟失的困擾了。 添加路由信息應(yīng)對(duì) ARP 欺騙： 一般的 ARP 欺騙都是針對(duì)網(wǎng)關(guān)的，那么我們是否可以通過(guò)給本機(jī)添加 路由來(lái)解決此問(wèn)題呢。只要添加了路由，那么上網(wǎng)時(shí)都通過(guò)此路由出去即可， 自 然也不會(huì)被 ARP 欺騙數(shù)據(jù)包干擾了。第一步：先通過(guò)點(diǎn)擊桌面上任務(wù)欄的 “開(kāi)始”-“運(yùn)行” ，然后輸入 cmd 后回車(chē)，進(jìn)入 cmd(黑色背景)命令行模式； 手動(dòng)添加路由，詳細(xì)的命令如下：刪除默認(rèn)的路由: route delete 0.0.0.0;添加路由: route add -p 0.0.0.0 mask 0.0.0.0 192.168.1.254 metric 1;確認(rèn)修改: route change 此方法對(duì)網(wǎng)關(guān)固定的情況比較適合，如果將來(lái)更改了網(wǎng)關(guān)， 那么就需要更改所有的客戶(hù)端的路由配置了。 1、立即升級(jí)操作系統(tǒng)中的防病毒軟件和防火墻，同時(shí)打開(kāi)“實(shí)時(shí)監(jiān)控”功 能，實(shí)時(shí)地?cái)r截來(lái)自局域網(wǎng)絡(luò)上的各種 ARP 病毒變種。 2、立即根據(jù)自己的操作系統(tǒng)版本下載微軟 MS06- 014（http:/ 014.mspx）和 MS07- 17 017（http:/ 017.mspx）兩個(gè)系統(tǒng)漏洞補(bǔ)丁程序，將補(bǔ)丁程序安裝到局域網(wǎng)絡(luò)中存在這兩個(gè) 漏洞的計(jì)算機(jī)系統(tǒng)中，防止病毒變種的感染和傳播。 3、檢查是否已經(jīng)中毒： a. 在設(shè)備管理器中, 單擊“查看顯示隱藏的設(shè)備” b. 在設(shè)備樹(shù)結(jié)構(gòu)中,打開(kāi)“非即插即用設(shè)備” c. 查找是否存在：“NetGroup Packet Filter Driver” 或 “NetGroup Packet Filter”，如果存在，就表明已經(jīng)中毒。 4、對(duì)沒(méi)有中毒機(jī)器，可以下載軟件 Anti ARP Sniffer，填入網(wǎng)關(guān)，啟用 自動(dòng)防護(hù)，保護(hù)自己的 ip 地址以及網(wǎng)關(guān)地址，保證正常上網(wǎng)。 5、對(duì)已經(jīng)中毒電腦可以用以下方法手動(dòng)清除病毒： (1)刪除:%windows%System32LOADHW.EXE (有些電腦可能沒(méi)有) (2)a. 在設(shè)備管理器中, 單擊“查看顯示隱藏的設(shè)備” b. 在設(shè)備樹(shù)結(jié)構(gòu)中,打開(kāi)“非即插即用設(shè)備” c. 找到 “NetGroup Packet Filter Driver” 或 “NetGroup Packet Filter” d. 右點(diǎn)擊， ”卸載” e. 重啟系統(tǒng) (3)刪除:%windows%System32driversnpf.sys (4)刪除%windows%System32msitinit.dll(有些電腦可能沒(méi)有) (5)刪除注冊(cè)表服務(wù)項(xiàng):開(kāi)始運(yùn)行regedit打開(kāi)，進(jìn)入注冊(cè)表，全注冊(cè) 表搜索 npf.sys，把文件所在文件夾 Npf 整個(gè)刪除.(應(yīng)該有 2 個(gè)).至此 arp 病 毒清除. (6)根據(jù)經(jīng)驗(yàn),該病毒會(huì)下載大量病毒,木馬及惡意軟件,并修改 winsocks, 導(dǎo)致不能打開(kāi)網(wǎng)頁(yè),不能打開(kāi) netmeeting 等,為此還需要做下面幾步工作: a.用清理助手,360 等軟件清理惡意軟件,木馬. b.檢查并刪除下列文件并相關(guān)啟動(dòng)項(xiàng): 1)%windows%System32nwizwmgjs.exe(一般*? 2)%windows%System32nwizwmgjs.dll(一般*? 3)%windows%System32ravzt.exe(一般*? 4)%windows%System32ravzt.dat 3)%windows%System32googleon.exe c.重置 winsocks(可以用兔子等軟件修復(fù),下面介紹一個(gè)比較簡(jiǎn)單的辦法): 開(kāi)始運(yùn)行CMD,進(jìn)入命令提示符,輸入 cd.回車(chē),一直退出至 c 盤(pán)根目錄, 18 在 C:下輸入 netsh winsock reset 回車(chē),然后按提示重啟計(jì)算機(jī) 4.4、蠕蟲(chóng)病毒 檢查是否被感染的方法： 如果系統(tǒng)中存在以下特征就表明您已被 W32.Sasser 蠕蟲(chóng)感染了： * 系統(tǒng)進(jìn)程中存在名為 avserve.exe 的進(jìn)程 * 系統(tǒng)目錄中存在 avserve.exe 文件 * 注冊(cè)表中 HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun 項(xiàng) 中存在avserve.exe=%Windir%avserve.exe 值 蠕蟲(chóng)在傳播過(guò)程中如果失敗，會(huì)導(dǎo)致系統(tǒng)產(chǎn)生異常錯(cuò)誤重起，如果您的系 統(tǒng)發(fā)現(xiàn)這種情況，請(qǐng)盡快安裝相應(yīng)的補(bǔ)丁程序。 19 結(jié)束語(yǔ) 感謝我的導(dǎo)師老師們，他們嚴(yán)謹(jǐn)細(xì)致、一絲不茍的作風(fēng)一直是我工作、學(xué) 習(xí)中的榜樣；他們循循善誘的教導(dǎo)和不拘一格的思路給予我無(wú)盡的啟迪。 感謝我的指導(dǎo)老師沈衛(wèi)文老師，這篇論文的每個(gè)實(shí)驗(yàn)細(xì)節(jié)和每個(gè)數(shù)據(jù)，都 離不開(kāi)你的細(xì)心指導(dǎo)。而你開(kāi)開(kāi)朗的個(gè)性和寬容的態(tài)度，幫助我能夠很快的融 入我們這個(gè)新的實(shí)驗(yàn)室。在這份畢業(yè)論文即將完成之際，我的心情無(wú)法平靜， 從開(kāi)始進(jìn)入課題到論文的順利完成，有多少可敬的師長(zhǎng)、同學(xué)、朋友給了我無(wú) 言的幫助，在這里請(qǐng)接受我誠(chéng)摯的謝意！ 20 致謝 不積跬步何以至千里，本設(shè)計(jì)能夠順利的完成，也歸功于各位任課老師的 認(rèn)真負(fù)責(zé)，使我能夠很好的掌握和運(yùn)用專(zhuān)業(yè)知識(shí)，并在設(shè)計(jì)中得以體現(xiàn)。正是 有了他們的悉心幫助和支持，才使我的畢業(yè)論文工作順利完成，在此向武漢交 通職業(yè)學(xué)院，電子信息工程系的全體老師表示由衷的謝意。感謝他們?nèi)陙?lái)的 辛勤栽培。 21 參考文獻(xiàn) 1 馬春光防火墻 入侵檢測(cè)與 VPN北京郵電大學(xué) 2 黎連業(yè) 張維防火墻及其應(yīng)用技術(shù)清華大學(xué)出版社2007 年 7 月 3 Steve Shah Linux 管理員指南機(jī)械工業(yè)出版社2009 年 7 月 4 Evi NemethLinux 系統(tǒng)管理技術(shù)手冊(cè)人民郵電出版社 5 劉殊，尤國(guó)君Linux 服務(wù)器配置與應(yīng)用人民郵電出版社2009 年 1 月