关于校园网安全的几点建议

正如上一次推送所说的，在制作自动化登录校园网的Python小工具中，由于涉及到抓包的操作，发现校园网登录界面的传输方式为明文账号密码传输，且请求间隔没有限制，这样的登录方式很容易导致一些漏洞被别有用心的人利用，从而损害学生的利益，今天想在这里提出来并说一点自己的理解和建议，知识尚浅，且学习且讨论吧。

▲▲▲▲▲

第一点是很容易想到的，由于校园网登录服务器没有设置轮询的最小间隔，而且网页明文接收用户发出的账户和密码，最严重的漏洞，就是常见的弱口令攻击。什么是弱口令攻击呢，简单来说，就是用户设置简单密码，如123456，000000等等，这些密码很容易被猜解，而在一般的数据包分析软件都有发送更改数据包的功能，那我们直接生成全年级的学号在配以弱口令依次尝试，很容易有许多用户中招。这个是我觉得当今的最大的漏洞

▲▲▲▲▲

解决方法：解决方法我认为有很多种，比如加密发送账号密码至服务器，服务器设置登录界面请求的最小间隔，用户设置密码时强制设定八位以上以及数字加字母的方式。都是很好的解决方式。

▲▲▲▲▲

第二点我不确定会不会发生，只是个人的一点看法，推测学校的登录服务器应该是专门的一台进行登录服务，而在登录界面没有设置最小请求时间，如果有人有成千上万台肉鸡（即被控制的电脑），在一个时间同时对服务器进行登录请求，并且单台电脑以抓包方式多线程同时请求，会不会导致DDOS，登录服务器拒绝服务，学生无法访问登录界面呢。

▲▲▲▲▲

解决方法：关于DDOS攻击，市面上也没有特别好的防护措施，其实都是成本与收益的博弈。打个比方，如果攻击所带来的收益大于攻击所需要的成本，那么很容易发起攻击；而防御方的各种措施也往往是增加攻击者的攻击成本，但永远不能避免这种攻击。所以可能设置请求间隔，设置单IP最大请求次数能够缓解吧。

▲▲▲▲▲

第三点，针对个人的攻击，之前也讲过，既然能通过Python编出自动登录校园网软件，那自然很多恶意的软件也是能编写出来的，比如，编写一个自动向服务器发送错误账号和密码的Python程序，由于服务器的设定是，即使你通过正确的账号密码已经登录，但如果又发送了错误的账号密码，会强制让你掉线。所以设定一个每五秒发送错误账号密码的程序，可以使单个计算机永远无法在校园网上网。

另一种恶意软件相信大家也能想到了，既然我能让你发送错误的数据包，自然也能劫持你发送的数据包，使用Python编写监听校园网关的程序，一旦你登录，自动截获数据包并讲账号密码通过邮件方式发送到指定邮箱，达到窃取账号密码的目的。

这两种恶意软件都是比较容易制作的，如果需要，笔者可以写demo，不过我们的目标永远是学习和进步，而不是窃取别人的数据沾沾自喜。

▲▲▲▲▲

解决方法：一方面加密发送账号密码，另一方面，加入验证码机制什么的都能够提高安全性。

▲▲▲▲▲

最后：

写出这篇文章的目的不是为了让大家发现校园网的漏洞，然后去做一些不对的事情，而是希望母校能够越来越好，能够抵御别人对我们的攻击，能够有更高的安全意识，同时也是对自己的最近的学习感想的一些记录吧，如果自己发现了问题，没有提出来而是偷偷的利用，就实在是太没有做人的原则了。

另一方面关于最近的校园网爆炸的一点小看法，对于之前提出的DDOS攻击是存疑的，可能是事实，也有可能是转移视听。校园网带宽不够是有目共睹的事实，昨天rng打kz的比赛，用户观看一定会导致大量带宽占用，因而昨天校园网丢包率30%，当然这只是个人的一点小猜测，最后祝母校越来越好，能够真正地以学生利益为重。

▲▲▲▲▲