貴州師范大學(xué)校園網(wǎng)安全基礎(chǔ)知識(shí)培訓(xùn)

1、貴州師范大學(xué)校園網(wǎng)安全基礎(chǔ)知識(shí)培訓(xùn),學(xué)校辦公室、宣傳部組織網(wǎng)絡(luò)與信息中心承辦,貴州師范大學(xué)網(wǎng)絡(luò)與信息中心,2,2007年12月28日,主要內(nèi)容,校園網(wǎng)近期安全問(wèn)題常用解決辦法個(gè)人電腦安全防護(hù),貴州師范大學(xué)網(wǎng)絡(luò)與信息中心,3,2007年12月28日,校園網(wǎng)近期安全問(wèn)題,ARP攻擊流氓軟件木馬軟件,貴州師范大學(xué)網(wǎng)絡(luò)與信息中心,4,2007年12月28日,ARP攻擊,什么是ARP攻擊？利用ARP協(xié)議本身的缺陷進(jìn)行的一種非法攻擊，目

2、的是為了在全交換環(huán)境下實(shí)現(xiàn)數(shù)據(jù)監(jiān)聽(tīng)。通常這種攻擊方式可能被病毒、木馬或者有特殊目的攻擊者使用。,貴州師范大學(xué)網(wǎng)絡(luò)與信息中心,5,2007年12月28日,ARP攻擊---后果,如果局域網(wǎng)中的某臺(tái)或某些電腦中毒后會(huì)向同網(wǎng)段內(nèi)所有計(jì)算機(jī)發(fā)ARP欺騙包，導(dǎo)致網(wǎng)絡(luò)內(nèi)其它電腦因網(wǎng)關(guān)物理地址被更改而無(wú)法上網(wǎng)，受到ARP攻擊的電腦典型癥狀是剛開機(jī)能上網(wǎng)，幾分鐘之后斷網(wǎng)，過(guò)一會(huì)又能上網(wǎng)，或者重啟一遍電腦就可以上網(wǎng)，一會(huì)又不好了，如此不斷重復(fù)，造成校園網(wǎng)的

3、不穩(wěn)定，影響正常工作。,貴州師范大學(xué)網(wǎng)絡(luò)與信息中心,6,2007年12月28日,ARP攻擊---已知攻擊類型,ARP – 欺騙ARP – MAC 洪泛 ARP – 木馬 ARP – 網(wǎng)頁(yè)劫持病毒,貴州師范大學(xué)網(wǎng)絡(luò)與信息中心,7,2007年12月28日,ARP – 欺騙,偽造IP地址和MAC地址實(shí)現(xiàn)ARP欺騙，在C類網(wǎng)絡(luò)中產(chǎn)生大量的ARP通信量，使網(wǎng)絡(luò)阻塞 ，用戶機(jī)找不到網(wǎng)關(guān)IP。,貴州師范大學(xué)網(wǎng)絡(luò)與信息中心,8,2007年12月2

4、8日,ARP – MAC 洪泛,不斷發(fā)送大量假IP-MAC地址的數(shù)據(jù)包，破壞正常的MAC和Port對(duì)應(yīng)的關(guān)系，造成交換機(jī) MAC-PORT緩存的崩潰,使整個(gè)網(wǎng)絡(luò)不能正常通信。,貴州師范大學(xué)網(wǎng)絡(luò)與信息中心,9,2007年12月28日,ARP – 木馬,當(dāng)局域網(wǎng)內(nèi)某臺(tái)主機(jī)運(yùn)行ARP欺騙的木馬程序時(shí)，會(huì)欺騙局域網(wǎng)內(nèi)所有主機(jī)和路由，讓所有上網(wǎng)的流量必須經(jīng)過(guò)病毒主機(jī)。其他用戶原來(lái)直接通過(guò)路由網(wǎng)關(guān)上網(wǎng)現(xiàn)在轉(zhuǎn)由通過(guò)病毒主機(jī)上網(wǎng)，切換的時(shí)候用戶會(huì)斷一次

5、線。切換到病毒主機(jī)上網(wǎng)后，如果用戶已經(jīng)登陸了QQ，那么病毒主機(jī)就會(huì)經(jīng)常偽造斷線的假像，那么用戶就得重新登錄QQ，這樣病毒主機(jī)就可以盜號(hào)了。由于ARP欺騙的木馬程序發(fā)作的時(shí)候會(huì)發(fā)出大量的數(shù)據(jù)包導(dǎo)致局域網(wǎng)通訊擁塞以及其自身處理能力的限制，用戶會(huì)感覺(jué)上網(wǎng)速度越來(lái)越慢。當(dāng)ARP欺騙的木馬程序停止運(yùn)行時(shí)，用戶會(huì)恢復(fù)從路由網(wǎng)關(guān)上網(wǎng)，切換過(guò)程中用戶會(huì)再斷一次線。,貴州師范大學(xué)網(wǎng)絡(luò)與信息中心,10,2007年12月28日,ARP – 網(wǎng)頁(yè)劫持病毒,A

6、RP網(wǎng)頁(yè)劫持病毒會(huì)向網(wǎng)絡(luò)內(nèi)發(fā)送ARP欺騙數(shù)據(jù)包，挾持網(wǎng)關(guān)（或內(nèi)部網(wǎng)站）MAC地址，導(dǎo)致同一網(wǎng)段內(nèi)的主機(jī)訪問(wèn)指定的web地址（內(nèi)部或外部）時(shí)，會(huì)話會(huì)首先通過(guò)受病毒感染的主機(jī)，該主機(jī)會(huì)尋找HTTP響應(yīng)包，在包中加入代碼，使得訪問(wèn)正常網(wǎng)站時(shí)被指向到病毒網(wǎng)站。,貴州師范大學(xué)網(wǎng)絡(luò)與信息中心,11,2007年12月28日,貴州師范大學(xué)網(wǎng)絡(luò)與信息中心,12,2007年12月28日,ARP攻擊---傳播途徑,目前已知的ARP病毒的傳播途徑通過(guò)外掛程序

7、傳播通過(guò)網(wǎng)頁(yè)傳播通過(guò)其他木馬程序傳播通過(guò)即時(shí)通訊軟件傳播（QQ、MSN）通過(guò)共享傳播（網(wǎng)絡(luò)共享、P2P軟件共享）,貴州師范大學(xué)網(wǎng)絡(luò)與信息中心,13,2007年12月28日,校園網(wǎng)近期安全問(wèn)題,ARP攻擊流氓軟件木馬軟件,貴州師范大學(xué)網(wǎng)絡(luò)與信息中心,14,2007年12月28日,流氓軟件,廣告軟件：未經(jīng)用戶允許，下載并安裝在用戶電腦上；或與其他軟件捆綁，通過(guò)彈出式廣告等形式牟取商業(yè)利益；間諜軟件：一種能夠在用戶不知情的情況下

8、，在其電腦上安裝后門、收集用戶信息的軟件；瀏覽器劫持：一種惡意程序，通過(guò)瀏覽器插件、BHO(瀏覽器輔助對(duì)象)、WinsockLSP等形式對(duì)用戶的瀏覽器進(jìn)行篡改，使用戶的瀏覽器配置不正常，被強(qiáng)行引導(dǎo)到商業(yè)網(wǎng)站；行為記錄軟件：未經(jīng)用戶許可，竊取并分析用戶隱私數(shù)據(jù)，記錄用戶電腦使用習(xí)慣、網(wǎng)絡(luò)瀏覽習(xí)慣等個(gè)人行為的軟件；惡意共享軟件：某些共享軟件為了獲取利益，采用誘騙手段，試用陷阱等方式強(qiáng)迫用戶注冊(cè)，或在軟件體內(nèi)捆綁各類惡意插件，未經(jīng)允許即

9、將其安裝到用戶機(jī)器里。,貴州師范大學(xué)網(wǎng)絡(luò)與信息中心,15,2007年12月28日,十大流氓軟件,貴州師范大學(xué)網(wǎng)絡(luò)與信息中心,16,2007年12月28日,瀏覽器劫持,瀏覽器自動(dòng)關(guān)閉默認(rèn)主頁(yè)被篡改(默認(rèn)主頁(yè)被禁止修改)自動(dòng)彈出多個(gè)頁(yè)面,貴州師范大學(xué)網(wǎng)絡(luò)與信息中心,17,2007年12月28日,校園網(wǎng)近期安全問(wèn)題,ARP攻擊流氓軟件木馬軟件,貴州師范大學(xué)網(wǎng)絡(luò)與信息中心,18,2007年12月28日,木馬軟件,木馬軟件是一個(gè)服務(wù)器/客

10、戶端程序。黑客在電腦上運(yùn)行著木馬的服務(wù)器端程序，搜集木馬的客戶端程序發(fā)來(lái)的信息。采用欺騙、偽裝的手段使用戶運(yùn)行木馬的客戶端程序，例如放在郵件里，用誘人的標(biāo)題騙用戶去打開運(yùn)行；或者捆綁在一些常用軟件里讓用戶運(yùn)行，或者混在網(wǎng)頁(yè)上的插件里自動(dòng)安裝等等。一旦用戶運(yùn)行之后，就藏在用戶的機(jī)器里，在用戶開機(jī)上網(wǎng)以后，伺機(jī)搜集用戶的個(gè)人信息，偷偷地利用網(wǎng)絡(luò)把這些信息打包發(fā)送給服務(wù)器端。也就是說(shuō)，一旦中了木馬，那么用戶的秘密就很有可能泄露出去。例如，用戶

11、的QQ密碼，網(wǎng)上銀行的密碼，郵箱密碼，等等。,貴州師范大學(xué)網(wǎng)絡(luò)與信息中心,19,2007年12月28日,常用解決辦法,ARP攻擊的解決方案清除流氓軟件清除木馬的一般方法,貴州師范大學(xué)網(wǎng)絡(luò)與信息中心,20,2007年12月28日,ARP攻擊的解決方案,第一：判定局域網(wǎng)內(nèi)是否有ARP攻擊系統(tǒng)頻繁掉線網(wǎng)速突然變慢使用ARP –a命令發(fā)現(xiàn)網(wǎng)關(guān)的MAC地址不停的變換打開的常用學(xué)校網(wǎng)站上有不正常的廣告信息,貴州師范大學(xué)網(wǎng)絡(luò)與信息中心,2

12、1,2007年12月28日,ARP攻擊的解決方案,第二：查找正在進(jìn)行ARP攻擊的主機(jī)1、在知道正確的網(wǎng)關(guān)MAC的情況下，通過(guò)ARP –a命令看到的另一個(gè)網(wǎng)關(guān)MAC就是攻擊主機(jī)的MAC2、安裝ARP防火墻ArpFix安全衛(wèi)士360的ARP防火墻 arp -s xxx.xxx.xxx.xxx xx-xx-xx-xx-xx-xx（手動(dòng)綁定網(wǎng)關(guān)）注意：同一時(shí)間只能使用一種ARP防火墻，另不能啟用瑞星2008版本的ARP防火墻，否

13、則將影響整個(gè)局域網(wǎng)性能3、使用ARP保護(hù)程序發(fā)現(xiàn)攻擊主機(jī)ArpFix安全衛(wèi)士360的ARP防火墻IP-MacScanIpconfig/all,貴州師范大學(xué)網(wǎng)絡(luò)與信息中心,22,2007年12月28日,ARP攻擊的解決方案,如何處理感染主機(jī)發(fā)現(xiàn)感染主機(jī)，第一時(shí)間拔掉網(wǎng)線按照安全手冊(cè)重新安裝操作系統(tǒng),貴州師范大學(xué)網(wǎng)絡(luò)與信息中心,23,2007年12月28日,ARP攻擊的解決方案,如何預(yù)防感染ARP病毒？關(guān)閉不必要的共享及時(shí)

14、安裝系統(tǒng)補(bǔ)丁程序安裝防病毒軟件并及時(shí)升級(jí)病毒庫(kù)不隨便運(yùn)行來(lái)歷不明的程序不訪問(wèn)一些來(lái)歷不明的鏈接,貴州師范大學(xué)網(wǎng)絡(luò)與信息中心,24,2007年12月28日,常用解決辦法,ARP攻擊的解決方案清除流氓軟件清除木馬的一般方法,貴州師范大學(xué)網(wǎng)絡(luò)與信息中心,25,2007年12月28日,清除流氓軟件,常用軟件趨勢(shì)殺毒軟件魔法兔子安全衛(wèi)士360,貴州師范大學(xué)網(wǎng)絡(luò)與信息中心,26,2007年12月28日,修復(fù)IE瀏覽器,超級(jí)兔子IE管

15、理專家安全衛(wèi)士360IERegFix瑞星卡卡上網(wǎng)助手金山IE修復(fù)工具,貴州師范大學(xué)網(wǎng)絡(luò)與信息中心,27,2007年12月28日,常用解決辦法,ARP攻擊的解決方案清除流氓軟件清除木馬的一般方法,貴州師范大學(xué)網(wǎng)絡(luò)與信息中心,28,2007年12月28日,清除木馬的一般方法,判斷本地是否有病毒木馬程序系統(tǒng)運(yùn)行突然變慢殺毒軟件查出病毒,但是無(wú)法清除也無(wú)法隔離啟動(dòng)系統(tǒng)后不做任何網(wǎng)絡(luò)操作運(yùn)行 netstat –an 命令啟動(dòng)

16、系統(tǒng)后不做任何網(wǎng)絡(luò)操作，幾分鐘后運(yùn)行 netstat –s命令查看系統(tǒng)進(jìn)程中是否有可疑進(jìn)程(例如Svohost.exe)將可疑進(jìn)程的名字到網(wǎng)上去查找看是否有相關(guān)資料查看系統(tǒng)啟動(dòng)項(xiàng)里是否有可疑進(jìn)程msconfig,貴州師范大學(xué)網(wǎng)絡(luò)與信息中心,29,2007年12月28日,清除木馬的一般方法,斷開網(wǎng)絡(luò)查殺如果清除不掉，切換到安全模式，查殺,貴州師范大學(xué)網(wǎng)絡(luò)與信息中心,30,2007年12月28日,個(gè)人電腦安全防護(hù),裝機(jī)安全密碼

17、設(shè)置配置安全,貴州師范大學(xué)網(wǎng)絡(luò)與信息中心,31,2007年12月28日,個(gè)人電腦安全防護(hù),1、裝機(jī)安全聯(lián)網(wǎng)前的工作安裝如下補(bǔ)丁所需的補(bǔ)丁程序請(qǐng)使用其它移動(dòng)介質(zhì)拷貝到相應(yīng)的機(jī)器上。win2000 W2ksp4_cn.exeWindows2000-KB828741-x86-CHS.EXEWindows2000-KB835732-x86-CHS.EXEwinxp Xpsp2_cn.exe在校園網(wǎng)上安裝趨勢(shì)企業(yè)版殺毒軟件

18、https://210.40.64.188:4343/officescan/console/html/ClientInstall/officescannt.htm,貴州師范大學(xué)網(wǎng)絡(luò)與信息中心,32,2007年12月28日,密碼設(shè)置,密碼選擇：易記不易猜床前明月光疑是地上霜舉頭望明月低頭思故鄉(xiāng)Cyjd！1密碼策略不少于6位定期更換連續(xù)登陸3次錯(cuò)誤，鎖定賬號(hào)3分鐘不用生日，姓名和英文單詞！,貴州師范大學(xué)網(wǎng)絡(luò)與信息中心,3