[讨论]关于校园网速度慢的问题讨论 校园网, 速度, 讨论

richy

[讨论]关于校园网速度慢的问题讨论
议题作者：control
信息来源：邪恶八进制信息安全团队（www.eviloctal.com）

议题环境：校园网，４０Ｍ宽带，１０００多台机器．
议题内容：我在一所大学里，我们学校的宽带是４０Ｍ的，大概有一千多台电脑上网．学校几台电脑做服务器的，学校自己有几个网站
这段时间学校网络老是很差，有时候ping会发现掉包现象，晚上高峰期很多电脑都连接不上，就算连接上了也会掉来掉去．．．．很是郁闷｀｀
对于这个问题我也想过几方面的问题．．．
第一个是：内网机器感染木马．可能会给不法者利用进行ＤＯＳＳ
第二个是：学校宽带确实小了
第三个是：Ｐ２Ｐ之类软件搞的鬼，但是我听说好象做了这方面的限制了．．不知道具体做的行不行．
我想大家遇到的肯定比我知道的多，所以希望有经验的大哥大婶，嫂嫂奶妈能给个解释．．越多的资料越好．．．集百家之长帮这个问题给解决了．．．．可怜可怜吧｀｀给个馒头吧．．
　呵呵．．．希望大家别怕麻烦｀一起探讨，这方面的问题确实很头疼，也确实很复杂．．．
　好了，废话说了这么多了！Blog:Www.DayRoad.cn
帖子22 精华2 积分89 阅读权限40 在线时间106 小时 注册时间2007-1-10 最后登录2008-4-21 查看详细资料TOP 良辰择日，预测咨询，公司改名，权威易经


sudami
大米米

运维管理组

解生

校园网最严重的就是arp病毒.
引用:
ARP病毒是一种很“勤奋”的病毒，它总是害怕网关累着了，于是想方设法的冒充网关。中了arp病毒症状是：不规律的频繁掉线，你在网上聊天时，突然变哑巴了，你在游戏时突然变成“一个人的战斗”……这就是arp病毒造成的掉线现象。由于arp病毒总是不定期的冒充网关，所以掉线间隔时间有长有短，所以它又有一个名字“attack ren pin(攻击人品)”。可怜我总是掉线时间最长……

当局域网里有电脑中了ARP病毒，恭喜你，你的电脑成了“李鬼网关”，病毒机器总是冒充网关向你发送数据包。说到这里，你可能会说：“我电脑不笨啊，难道它分不清楚网关和假冒网关？”的确，你的电脑不笨，但是它很单纯，它会把收到数据和自己脑子里的各个ip的身份证（物理地址）相对照，只有对上号才给予回答（在命令提示符里输入arp –a就可以看到你电脑“心”里的名单了）。局域网里的电脑有一个特点，容易相信别人。Arp病毒正是用这一个特点，在局域网中不断的叫喊着“我是网关！我是网关！我的ip是222.31.183.110（网关ip）我的物理地址是BB-BB-BB-BB-BB-BB”.于是局域网中别的电脑也就相信了，于是就把这个ip和对应的物理地址记在“心”中，殊不知真正的网关（AA-AA-AA-AA-AA-AA）正在被遗忘的角落哭泣。也许你会说，难道这么简单就欺骗成功了？很不幸，的确是这个样子，这是因为在设计arp方式通信时没有考虑到这方面的问题。（我想可能是arp发明者把人们想象的太诚实了）
这就叫做arp欺骗。

可能有人会说，这arp欺骗真是损人不利己，好端端的为什么要去当网关？看看那些网关，整一个超级仆人，你要的东西叫一声，它给你送来，你发的东西扔给它，它给你送出去……

真的是损人不利己？大家想一想，你发出去的东西可能是邮件，也可能是QQ密码，网游密码等等，当别的机器对你进行arp欺骗时，你的信息就发给了那个“李鬼网关”，于是你的太阳级QQ，数以亿计的虚拟财产都可能给你挥泪道别。很可怕啊。

　　　看到这里，大家都明白了arp的可恶之处了吧，俺妈说了：“对于黑暗的事物，我们要坚决的打倒它”在这里提供一些打击罪犯的方法：

　　　１，首先是“以其人之道还治其人之身”，既然你“李鬼网关”以一秒一次的频率在局域网里叫嚣“我是网关，我是网关，我真的是网关！”（arp广播）那我“李逵网关”也舍命陪君子，我以一秒三次的频率在局域网里宣传“我才是网关，我是正宗网关，我绝对是网关！”由于李逵压到了李鬼，于是局域网里的“弱智电脑”就得到了正确的信息。

　　　这种方法看上去很美，但是这是最没有效果的方法。因为，既然你李逵可以一秒叫三次，我李鬼一秒就叫五次。实际上提高欺骗频率是很容易实现的。于是你发了恨！我就不信了，我要超越极限！我一秒钟叫１００次２００次！这又造成了另一个问题“广播风暴”，当网络里充满了噪杂，单调的arp广播，网络的性能肯定会下降，聊天变结巴，游戏中变成瘸子在所难免。

   2，难道没有别的方法了？在这里提供一个绝好的方法——arp静态绑定，针对局域网内的电脑都有“偏听偏信”的毛病，把正确的网关ip和物理地址绑到每台电脑的缓存中（网内每个电脑都有一个arp高速缓存，就是为了存储不断接到的arp广播）于是就会对别的冒充网关的李鬼们的叫嚣充耳不闻。

具体方法如下：比如网关ip222.31.183.110物理地址AA-AA-AA-AA-AA-AA

可在命令提示符中输入：arp –s 222.31.183.110 AA-AA-AA-AA-AA-AA

就可以了。可以查看一下是否绑定成功，在命令提示符中输入arp –a可以看到网关ip222.31.183.110后面是static(静态)就说明绑定成功，如果显示dynamic(动态)就说明没有成功，可能是上面命令写错了，比如在arp后面少输入了一个空格等等。

   难道说这样绑定后就万事大吉了？还不一定，当arp病毒电脑良心发现，不去冒充网关，让整个局域网掉线，而是冒充你的电脑时，你就惨了，即使你绑定以后还是会掉线的。因为网关突然发现内网中有N（N>=2）个你（路由器欺骗），于是旧病复发。所以最好方法是双向绑定，也就是在路由器上也帮定内网上的所有电脑的物理地址，做到了点对点的传输，这样就从根本上解决了arp欺骗。这是一种理想的状态，因为内网有成百上千台电脑，只要稍微动一动路由器比如重启，就得重新绑定一次，麻烦的很。
关于P2P这样的限制其他电脑的软件,运用网络执法官就可以了.
一个宿舍有路由器的话可以抵挡部分攻击.WINDOWS内核疯狂爱好者
帖子242 精华6 积分5536 阅读权限150 性别男 在线时间1113 小时 注册时间2007-1-10 最后登录2008-7-23 查看个人网站
查看详细资料TOP 爱要怎么说出口

pixy
荣誉会员

大梦东莞

要想自己的网速快就够了，P2P,网络执法官就是最好的工具，貌似国外的还有些...

管他得呢，又不是自己的企业..

我们学校也慢啊，你想呀，200 300台机器还得分几个路由,而且大了还可能面临ddos..
而且学生们也很厉害，ping不通很正常了..

当然病毒，木马就不用说了，最近流行的arp...自己下专杀!
只能说只管自己，别管人家了，要速度快就快干吧,让人恨也是一件好事 与狼共舞！

帖子395 精华10 积分4278 阅读权限100 性别男 来自China 在线时间284 小时 注册时间2007-1-3 最后登录2008-7-18 查看详细资料TOP 软件项目外包

control
晶莹剔透§烈日灼然

赤脚天使

谢谢楼上的两位兄弟的关心
回sudami兄:
我们学校的所有内网机器采取帐号密码拨号登陆的,每个用户会分配个帐号密码,学校把用户的帐号密码跟那台电脑的IP进行绑定的,不知道这种的能否防止ARP?希望赐教......根据我个人理解因该可以的.
回PIXY兄:
你的想法确实很狠!管他啥呢,自己速度快就好了....其实我用的并不是校园网...我用的是从外面偷接的ADSL,花了三千啊!......学校不给从外面接,所以就找了几个兄弟偷接的.....但我们老师每次上网都是上不去...很是郁闷!我看着也着急,再说就算抢流量的话毕竟是少部分人,而另外那部分人不就成了无辜受害者了吗?学校管理这个的人确实有点菜了.....也可能是根本没尽力,但是我想跟大家好好学习一下这方面的东西,也许以后走上工作岗位就会用到,所以希望大家都能参与进来,讨论一下,也算为邪八收集点这方面资料吧........
  顺便问一下:假如1000台电脑同时上网,40M的宽带是不是小了?
Blog:Www.DayRoad.cn
帖子22 精华2 积分89 阅读权限40 在线时间106 小时 注册时间2007-1-10 最后登录2008-4-21 查看详细资料TOP

hack520
运维管理组

dglemon

1000台电脑同时上网40M 带宽够个毛线~
1000台机器的网吧都接了3~4条光钎才行~其实学校的垃圾网还没网吧好~~Www.China-Mu.Co.Kr 猪毛奇迹 1.02Q 将带给你无比的震撼。
帖子1082 精华6 积分5597 阅读权限150 性别男 在线时间576 小时 注册时间2005-3-18 最后登录2008-7-2 查看个人网站
查看详细资料TOP 软件项目外包

nixilin
晶莹剔透§烈日灼然

叶王子

我学校的LAN是内网IP地址与网卡的MAC地址绑定。这样就可以防止ARP吗？

p.s.搞笑的是，教务处的服务器居然与学生用的网络在同一LAN不同网段。前一阵子MSSQL数据库还有SA弱密码，哈哈````

帖子87 精华0 积分298 阅读权限40 性别男 在线时间26 小时 注册时间2006-4-22 最后登录2008-7-14 查看详细资料TOP 让女孩一夜变的更有女人味

sudami
大米米

运维管理组

dick

引用:

回sudami兄:
我们学校的所有内网机器采取帐号密码拨号登陆的,每个用户会分配个帐号密码,学校把用户的帐号密码跟那台电脑的IP进行绑定的,不知道这种的能否防止ARP?希望赐教......根据我个人理解因该可以的
我们学校也是这样的:
⒈学号是个人上网账号(比如050143101),采用登陆到学校的计费系统才可以连接到Intel.


⒉IP租用是按月收费的,IP和MAC绑定.
(学校虽然IP资源紧张,但却不能采用动态分配IP的方法来节省资源,因为这样就因为学生个人的IP不固定导致无法收费! 故依然采用静态固定IP的方法,学生到信息中心申请IP,然后把此IP和你的MAC绑定!)


但这样是不能完全防止IP盗用和arp攻击的,除非每个局域网的路由器采用静态arp表,不刷新arp对应的MAC地址,但这样做实在是很不方便,因为学生电脑的变迁很多,维护起来工作量是巨大的!所以基本上靠学校的几个破服务器来抵御arp也是没什么指望的!
也就是在自己电脑上安装个防arp攻击的防火墙,开启自动防御,双向绑定arp和MAC即可!
-------------------------------------------------------------------------------------------------------------------
当然一个宿舍的也可以公用一个IP上网,不过流量是算在一个人的账号上的.有2种方法可行:
引用:
⑴宿舍用一个路由器连入到局域网中,在路由器中设置IP和MAC,(只需要一个人IP和MAC就可以了).
这样宿舍一个人连入的INTEL,其他人不用登陆到计费系统就可以上网了,但这样造成网速很慢,基本是玩不了游戏的!
我们宿舍就这样试验过,后来又换成了交换机,自己用自己的,不干扰别人...

⑵2个人公用一个IP,比如A可以上网,B就修改他自己电脑的物理地址为A的MAC,同时修改IP为A的IP,这样基本能满足上网需求,当如玩游戏恐怕有一个人会频繁掉线,..
WINDOWS内核疯狂爱好者
帖子242 精华6 积分5536 阅读权限150 性别男 在线时间1113 小时 注册时间2007-1-10 最后登录2008-7-23 查看个人网站
查看详细资料TOP 让女孩一夜变的更有女人味

hackest
运维管理组

帅仔

网吧的光纤挺牛的，扫外国的VNC肉鸡一小时至少也有200多！  My Blog：http://www.hackest.cn/ [H.S.T]：http://www.hackm.com/

帖子882 精华20 积分5849 阅读权限150 性别男 来自广东 在线时间941 小时 注册时间2006-10-12 最后登录2008-3-3 查看个人网站
查看详细资料TOP

无水之冰
晶莹剔透§烈日灼然

没没

学校的的确够垃圾，我们学校垃圾到连校园网不对自己学校开放，除了办公用的。除了限制别人也就没办法使自己快了追逐网流
帖子6 精华0 积分28 阅读权限40 性别男 来自梦中 在线时间7 小时 注册时间2007-3-9 最后登录2008-7-14 查看详细资料TOP

hh19860709
晶莹剔透§烈日灼然

捷达仔

我们学校用的是城市热点DRCOM 刚开始的时候 速度那就是在飞 现在就是在爬 真的一个天一个地
帖子8 精华0 积分30 阅读权限40 在线时间14 小时 注册时间2006-1-22 最后登录2008-4-30 查看详细资料TOP

popfish
晶莹剔透§烈日灼然

快乐周末

网络执法官之类的限速软件也就是靠arp欺骗来实现的,
所以使用arp防火墙之类的软件以后, 可以把限速软件的影响减到最低.
帖子1 精华0 积分6 阅读权限40 性别男 在线时间10 小时 注册时间2007-4-21 最后登录2008-3-19 查看详细资料TOP

zanshiluopo
晶莹剔透§烈日灼然

line

对arp欺骗 又多了些了解 哈哈 不过 我们用ruijie 认证的 似乎arp不太好攻击
帖子5 精华0 积分20 阅读权限40 性别男 在线时间2 小时 注册时间2007-1-22 最后登录2007-12-30 查看详细资料TOP

icexiaoye
荣誉会员

一辆二手车

大学生安全意识就是不行
借朋友的电脑一小时
鸟局域网到手52台肉鸡~~
女生的居多 玩世不恭彼此 ⌒ ˇ互相鼓励信任 認眞體驗每⒈兲.!﹏演藝⒉.個亾啲莞鎂傳奇( [淇]儭滗.

帖子728 精华4 积分5182 阅读权限100 性别男 在线时间255 小时 注册时间2006-8-7 最后登录2008-7-14 查看个人网站
查看详细资料TOP

mcmelody
晶莹剔透§烈日灼然

Ougeng

学校都是用认证客户端方式等入的。。

也就是实制。

楼主说的有人利用DDOS进行了攻击

这点绝对不可能..除非是有人闲的哈。.

arp病毒也是非常的少见

还有最好像6楼所说那样安装防arp攻击的防火墙

个人认为只能说你们学校的带宽还是不够的...

那个东西登入人数一多就完.编程学习中..

帖子3 精华0 积分13 阅读权限40 来自大连 在线时间3 小时 注册时间2007-3-14 最后登录2007-11-14 查看个人网站
查看详细资料TOP

migc4s
晶莹剔透§烈日灼然

chc2203

慢是正常的，以前交大的线上Q还掉线，后来换了中国电信绿色光纤就好了，那都能去，但是最近不怎么好，某些管理网络的SB不知道出于什么原因老爱限速度。
帖子4 精华0 积分10 阅读权限40 在线时间7 小时 注册时间2006-10-25 最后登录2008-4-12 查看详细资料TOP

Helvin
团队决策人

google

有限制是好的，只要限制的不过分。没限制都在抢，也许你会更慢幸福，那就是……我饿了，看别人手里拿个肉包子，那他就比我幸福；我冷了，看别人穿了一件厚棉袄，他就比我幸福；我想上茅房，就一个坑，你蹲那了，你就比我幸福。
帖子646 精华22 积分5001 阅读权限255 在线时间1765 小时 注册时间2005-1-7 最后登录2008-7-23 查看详细资料TOP

812520
晶莹剔透§烈日灼然

山^鹰

学校应该采用pppoe就能解决问题...LAN的权限太大.而且没有实行vlan管理/特别纵容arp肆虐.防止DDOS.限制连接数.
帖子2 精华0 积分9 阅读权限40 在线时间21 小时 注册时间2005-6-19 最后登录2008-5-21 查看详细资料TOP

l-lover
晶莹剔透§烈日灼然

suiyuan_5

引用:
引用第4楼hack520于2007-04-19 05:49发表的 :
1000台电脑同时上网40M 带宽够个毛线~
1000台机器的网吧都接了3~4条光钎才行~其实学校的垃圾网还没网吧好~~
真是实话~~俺学校里发信息的速度还不如让我亲自跑过去口述来的迅速~~
帖子10 精华0 积分37 阅读权限40 性别男 在线时间29 小时 注册时间2007-5-3 最后登录2008-5-28 查看详细资料TOP

control
晶莹剔透§烈日灼然

老游子

感谢各位大大门的关心
学校宽带从40M增加到了100M速度明显好转了
有的时候确实是那个宽带小了 Blog:Www.DayRoad.cn
帖子22 精华2 积分89 阅读权限40 在线时间106 小时 注册时间2007-1-10 最后登录2008-4-21 查看详细资料TOP

无言沙漠
晶莹剔透§烈日灼然

liulangren

在大学的时候
还做过学生网络管理员

那时候听到有人抱怨网络慢就有点郁闷12314
帖子2 精华0 积分9 阅读权限40 性别男 在线时间1 小时 注册时间2007-5-23 最后登录2008-5-6 查看详细资料TOP

changyawu
晶莹剔透§烈日灼然