- 相關(guān)推薦
研究高校網(wǎng)絡(luò)攻擊問(wèn)題與防范策略
摘 要: 隨著高校教育信息化的不斷深入開(kāi)展,高校的網(wǎng)絡(luò)安全問(wèn)題也日益呈現(xiàn)突出,本文分析了高校主要的網(wǎng)絡(luò)攻擊安全問(wèn)題,提出了相應(yīng)的安全防范措施。關(guān)鍵詞: 病毒攻擊 ARP欺騙
0 概述
近幾年來(lái),隨著全國(guó)高校教育信息化的深入開(kāi)展,穩(wěn)定的網(wǎng)絡(luò)和計(jì)算機(jī)系統(tǒng)成為教育信息化的重要保障,網(wǎng)絡(luò)及信息安全也成為高校關(guān)注焦點(diǎn)之一。
本文通過(guò)研究分析高校網(wǎng)絡(luò)典型的安全問(wèn)題,將從病毒攻擊、ARP欺騙攻擊、ADSL攻擊等方面入手,給出了防范策略和保護(hù)措施。
1 高校典型病毒攻擊分析
病毒攻擊仍然是高校最重要的、最廣泛的網(wǎng)絡(luò)攻擊現(xiàn)象,隨著病毒攻擊原理以及方法不斷變化,病毒攻擊仍然為最嚴(yán)峻的網(wǎng)絡(luò)安全問(wèn)題。
1.1 典型病毒攻擊以及防范措施
1.1.1 ARP木馬病毒
當(dāng)局域網(wǎng)內(nèi)某臺(tái)主機(jī)運(yùn)行ARP欺騙的木馬程序時(shí),會(huì)欺騙局域網(wǎng)內(nèi)所有主機(jī)和路由器,迫使局域網(wǎng)所有主機(jī)的arp地址表的網(wǎng)關(guān)MAC地址更新為該主機(jī)的MAC地址,導(dǎo)致所有局域網(wǎng)內(nèi)上網(wǎng)的計(jì)算機(jī)的數(shù)據(jù)首先通過(guò)該計(jì)算機(jī)再轉(zhuǎn)發(fā)出去,用戶原來(lái)直接通過(guò)路由器上網(wǎng)現(xiàn)在轉(zhuǎn)由通過(guò)該主機(jī)上網(wǎng),切換的時(shí)候用戶會(huì)斷線一次。由于ARP欺騙的木馬程序發(fā)作的時(shí)候會(huì)發(fā)出大量的數(shù)據(jù)包導(dǎo)致局域網(wǎng)通訊擁塞以及其自身處理能力的限制,用戶會(huì)感覺(jué)上網(wǎng)速度越來(lái)越慢。當(dāng)ARP欺騙的木馬程序停止運(yùn)行時(shí),用戶會(huì)恢復(fù)從路由器上網(wǎng),切換過(guò)程中用戶會(huì)再斷一次線。ARP木馬病毒會(huì)導(dǎo)致整個(gè)局域網(wǎng)網(wǎng)絡(luò)運(yùn)行不穩(wěn)定,時(shí)斷時(shí)通。
防范措施:可以借助NBTSCAN工具來(lái)檢測(cè)局域網(wǎng)內(nèi)所有主機(jī)真實(shí)的IP與MAC地址對(duì)應(yīng)表,在網(wǎng)絡(luò)不穩(wěn)定狀況下,以arp –a命令查看主機(jī)的Arp緩存表,此時(shí)網(wǎng)關(guān)IP對(duì)應(yīng)的MAC地址為感染病毒主機(jī)的MAC地址,通過(guò)“Nbtscan –r 192.168.1.1/24”掃描192.168.1.1/24網(wǎng)段查看所有主機(jī)真實(shí)IP和MAC地址表,從而根據(jù)IP確定感染病毒主機(jī)。也可以通過(guò)SNIFFER或者IRIS偵聽(tīng)工具進(jìn)行抓取異常數(shù)據(jù)包,發(fā)現(xiàn)感染病毒主機(jī)。
另外,未雨綢繆,建議用戶采用雙向綁定的方法解決并且防止ARP欺騙,在計(jì)算機(jī)上綁定正確的網(wǎng)關(guān)的IP和網(wǎng)關(guān)接口MAC地址,在正常情況下,通過(guò)arp –a命令獲取網(wǎng)關(guān)IP和網(wǎng)關(guān)接口的MAC地址,編寫(xiě)一個(gè)批處理文件farp.bat內(nèi)容如下:
@echo off
arp –d(清零ARP緩存地址表)
arp -s 192.168.1.254 00-22-aa-00-22-aa(綁定正確網(wǎng)關(guān)IP和MAC地址)
把批處理放置開(kāi)始--程序--啟動(dòng)項(xiàng)中,使之隨計(jì)算機(jī)重起自動(dòng)運(yùn)行,以避免ARP病毒的欺騙。
1.1.2 W32.Blaster 蠕蟲(chóng)
W32.Blaster是一種利用DCOM RPC漏洞進(jìn)行傳播的蠕蟲(chóng),傳播能力很強(qiáng)。蠕蟲(chóng)通過(guò)TCP/135進(jìn)行探索發(fā)現(xiàn)存在漏洞的系統(tǒng),一旦攻擊成功,通過(guò)TCP/4444端口進(jìn)行遠(yuǎn)程命令控制,最后通過(guò)在受感染的計(jì)算機(jī)的UDP/69端口建立tftp服務(wù)器進(jìn)行上傳蠕蟲(chóng)自己的二進(jìn)制代碼程序Msblast.exe加以控制與破壞,該蠕蟲(chóng)傳播時(shí)破壞了系統(tǒng)的核心進(jìn)程svchost.exe,會(huì)導(dǎo)致系統(tǒng)RPC 服務(wù)停止,因此可能引起其他服務(wù)(如IIS)不能正常工作,出現(xiàn)比如拷貝、粘貼功能不工作,無(wú)法進(jìn)入網(wǎng)站頁(yè)面鏈接等等現(xiàn)象,嚴(yán)重時(shí)并可能造成系統(tǒng)崩潰和反復(fù)重新啟動(dòng)。
1.1.3 W32.Nachi.Worm 蠕蟲(chóng)
W32.Nachi.Worm蠕蟲(chóng)(以下簡(jiǎn)稱Nachi蠕蟲(chóng))利用了Microsoft Windows DCOM RPC接口遠(yuǎn)程緩沖區(qū)溢出漏洞和Microsoft Windows 2000 WebDAV遠(yuǎn)程緩沖區(qū)溢出漏洞進(jìn)行傳播。如果該蠕蟲(chóng)發(fā)現(xiàn)被感染的機(jī)器上有“沖擊波”蠕蟲(chóng),則殺掉“沖擊波”蠕蟲(chóng),并為系統(tǒng)打上補(bǔ)丁程序,但由于程序運(yùn)行上下文的限制,很多系統(tǒng)不能被打上補(bǔ)丁,并被導(dǎo)致反復(fù)重新啟動(dòng)。Nachi蠕蟲(chóng)感染機(jī)器后,會(huì)產(chǎn)生大量長(zhǎng)度為92字節(jié)的ICMP報(bào)文,從而嚴(yán)重影響網(wǎng)絡(luò)性能。
1.1.4 w32.sasser蠕蟲(chóng)病毒
w32.sasser蠕蟲(chóng)病毒利用了本地安全驗(yàn)證子系統(tǒng)(Local Security Authority Subsystem,LSASS)里的一個(gè)緩沖區(qū)溢出錯(cuò)誤,從而使得攻擊者能夠取得被感染系統(tǒng)的控制權(quán)。震蕩波病毒會(huì)利用 TCP 端口 5554 架設(shè)一個(gè) FTP 服務(wù)器。同時(shí),它使用 TCP 端口5554 隨機(jī)搜索 Internet 的網(wǎng)段,尋找其它沒(méi)有修補(bǔ) LSASS 錯(cuò)誤的 Windows 2000 和 Windows XP 系統(tǒng)。震蕩波病毒會(huì)發(fā)起 128 個(gè)線程來(lái)掃描隨機(jī)的IP地址,并連續(xù)偵聽(tīng)從 TCP 端口 1068 開(kāi)始的各個(gè)端口。該蠕蟲(chóng)會(huì)使計(jì)算機(jī)運(yùn)行緩慢、網(wǎng)絡(luò)堵塞、并讓系統(tǒng)不停的進(jìn)行倒計(jì)時(shí)重啟。
蠕蟲(chóng)病毒防范措施:用戶首先要保證計(jì)算機(jī)系統(tǒng)的不斷更新,高校可建立微軟的WSUS系統(tǒng)保證用戶計(jì)算機(jī)系統(tǒng)的及時(shí)快速升級(jí),另外用戶必須安裝可持續(xù)升級(jí)的殺毒軟件,沒(méi)有及時(shí)升級(jí)殺毒軟件也是同樣危險(xiǎn)的,高校網(wǎng)絡(luò)管理部門出臺(tái)相應(yīng)安全政策以及保證對(duì)用戶定時(shí)的安全培訓(xùn)也是相當(dāng)重要的。用戶本地計(jì)算機(jī)可采取些輔助措施保護(hù)計(jì)算機(jī)系統(tǒng)的安全,如本地硬盤克隆、局域網(wǎng)硬盤克隆技術(shù)等。
2 高校家屬區(qū)網(wǎng)絡(luò)攻擊分析
2.1 ADSL貓(MODEM)攻擊
ADSL攻擊主要發(fā)生在高校家屬區(qū),ADSL作為一種寬帶接入方式已經(jīng)被廣大用戶接受,家屬用戶通過(guò)一臺(tái)ADSL路由器撥號(hào),利用ADSL的NAT功能實(shí)現(xiàn)多臺(tái)計(jì)算機(jī)同時(shí)上網(wǎng),最常見(jiàn)的安全問(wèn)題就是用戶沒(méi)有修改路由器的初始配置密碼,一般的ADSL路由器有一個(gè)默認(rèn)的配置密碼,且默然開(kāi)放WEB(80)和TELNET(23)服務(wù)端口,內(nèi)網(wǎng)黑客很容易利用工具如ADSL終結(jié)者通過(guò)這些默然密碼以WEB和TELNET方式進(jìn)入ADSL管理平臺(tái),加以改變數(shù)據(jù)以及關(guān)閉ADSL路由器,再者多數(shù)ADSL路由器管理系統(tǒng)存在代碼漏洞,黑客可以利用這些漏洞使ADSL路由器重復(fù)死機(jī)或者不斷重起。
解決辦法:用戶及時(shí)修改ADSL默認(rèn)密碼,用戶可以通過(guò)如admin
【研究高校網(wǎng)絡(luò)攻擊問(wèn)題與防范策略】相關(guān)文章:
緩沖區(qū)溢出攻擊的分析及防范策略03-18
高校鋼琴教育的現(xiàn)狀與策略研究05-25
高校招生工作營(yíng)銷策略研究03-20
高校英語(yǔ)教育問(wèn)題及相應(yīng)策略12-11
施工管理問(wèn)題及應(yīng)對(duì)策略研究11-16
高校體育傳承茶文化策略研究論文11-08
網(wǎng)絡(luò)廣告發(fā)展策略研究03-22