关于校园网安全的几点建议

正如上一次推送所说的,在制作自动化登录校园网的Python小工具中,由于涉及到抓包的操作,发现校园网登录界面的传输方式为明文账号密码传输,且请求间隔没有限制,这样的登录方式很容易导致一些漏洞被别有用心的人利用,从而损害学生的利益,今天想在这里提出来并说一点自己的理解和建议,知识尚浅,且学习且讨论吧。

▲▲▲▲▲

第一点是很容易想到的,由于校园网登录服务器没有设置轮询的最小间隔,而且网页明文接收用户发出的账户和密码,最严重的漏洞,就是常见的弱口令攻击。什么是弱口令攻击呢,简单来说,就是用户设置简单密码,如123456,000000等等,这些密码很容易被猜解,而在一般的数据包分析软件都有发送更改数据包的功能,那我们直接生成全年级的学号在配以弱口令依次尝试,很容易有许多用户中招。这个是我觉得当今的最大的漏洞

▲▲▲▲▲

解决方法:解决方法我认为有很多种,比如加密发送账号密码至服务器,服务器设置登录界面请求的最小间隔,用户设置密码时强制设定八位以上以及数字加字母的方式。都是很好的解决方式。

▲▲▲▲▲

第二点我不确定会不会发生,只是个人的一点看法,推测学校的登录服务器应该是专门的一台进行登录服务,而在登录界面没有设置最小请求时间,如果有人有成千上万台肉鸡(即被控制的电脑),在一个时间同时对服务器进行登录请求,并且单台电脑以抓包方式多线程同时请求,会不会导致DDOS,登录服务器拒绝服务,学生无法访问登录界面呢。

▲▲▲▲▲

解决方法:关于DDOS攻击,市面上也没有特别好的防护措施,其实都是成本与收益的博弈。打个比方,如果攻击所带来的收益大于攻击所需要的成本,那么很容易发起攻击;而防御方的各种措施也往往是增加攻击者的攻击成本,但永远不能避免这种攻击。所以可能设置请求间隔,设置单IP最大请求次数能够缓解吧。

▲▲▲▲▲

第三点,针对个人的攻击,之前也讲过,既然能通过Python编出自动登录校园网软件,那自然很多恶意的软件也是能编写出来的,比如,编写一个自动向服务器发送错误账号和密码的Python程序,由于服务器的设定是,即使你通过正确的账号密码已经登录,但如果又发送了错误的账号密码,会强制让你掉线。所以设定一个每五秒发送错误账号密码的程序,可以使单个计算机永远无法在校园网上网。

另一种恶意软件相信大家也能想到了,既然我能让你发送错误的数据包,自然也能劫持你发送的数据包,使用Python编写监听校园网关的程序,一旦你登录,自动截获数据包并讲账号密码通过邮件方式发送到指定邮箱,达到窃取账号密码的目的。

这两种恶意软件都是比较容易制作的,如果需要,笔者可以写demo,不过我们的目标永远是学习和进步,而不是窃取别人的数据沾沾自喜。

▲▲▲▲▲

解决方法:一方面加密发送账号密码,另一方面,加入验证码机制什么的都能够提高安全性。

▲▲▲▲▲

最后:

写出这篇文章的目的不是为了让大家发现校园网的漏洞,然后去做一些不对的事情,而是希望母校能够越来越好,能够抵御别人对我们的攻击,能够有更高的安全意识,同时也是对自己的最近的学习感想的一些记录吧,如果自己发现了问题,没有提出来而是偷偷的利用,就实在是太没有做人的原则了。

另一方面关于最近的校园网爆炸的一点小看法,对于之前提出的DDOS攻击是存疑的,可能是事实,也有可能是转移视听。校园网带宽不够是有目共睹的事实,昨天rng打kz的比赛,用户观看一定会导致大量带宽占用,因而昨天校园网丢包率30%,当然这只是个人的一点小猜测,最后祝母校越来越好,能够真正地以学生利益为重。

▲▲▲▲▲

  • 发表于:
  • 原文链接http://kuaibao.qq.com/s/20180512G1CCYC00?refer=cp_1026
  • 腾讯「云+社区」是腾讯内容开放平台帐号(企鹅号)传播渠道之一,根据《腾讯内容开放平台服务协议》转载发布内容。

扫码关注云+社区

领取腾讯云代金券

玩转腾讯云 有奖征文活动