贵州师范大学校园网安全基础知识培训.ppt

贵州师范大学校园网 安全基础知识培训 学校办公室、宣传部组织 网络与信息中心承办 2007年12月28日1贵州师范大学网络与信息中心 主要内容 n校园网近期安全问题 n常用解决办法 n个人电脑安全防护 2007年12月28日2 贵州师范大学网络与信息中心 校园网近期安全问题 nARP攻击 n流氓软件 n木马软件 2007年12月28日3 贵州师范大学网络与信息中心 ARP攻击 n什么是ARP攻击？ 利用ARP协议本身的缺陷进行的一种非法攻击 ，目的是为了在全交换环境下实现数据监听。 通常这种攻击方式可能被病毒、木马或者有特 殊目的攻击者使用。 2007年12月28日4 贵州师范大学网络与信息中心 ARP攻击-后果 n如果局域网中的某台或某些电脑中毒后会 向同网段内所有计算机发ARP欺骗包，导 致网络内其它电脑因网关物理地址被更改 而无法上网，受到ARP攻击的电脑典型症 状是刚开机能上网，几分钟之后断网，过 一会又能上网，或者重启一遍电脑就可以 上网，一会又不好了，如此不断重复，造 成校园网的不稳定，影响正常工作。 2007年12月28日5 贵州师范大学网络与信息中心 ARP攻击-已知攻击类型 nARP 欺骗骗 nARP MAC 洪泛 nARP 木马马 nARP 网页页劫持病毒 2007年12月28日6 贵州师范大学网络与信息中心 ARP 欺骗骗 n伪造IP地址和MAC地址实现ARP欺骗，在C 类网络中产生大量的ARP通信量，使网络 阻塞 ，用户机找不到网关IP。 2007年12月28日7 贵州师范大学网络与信息中心 ARP MAC 洪泛 n不断发送大量假IP-MAC地址的数据包，破 坏正常的MAC和Port对应的关系，造成交 换机 MAC-PORT缓存的崩溃,使整个网络不 能正常通信。 2007年12月28日8 贵州师范大学网络与信息中心 ARP 木马马 n当局域网内某台主机运行ARP欺骗的木马程序时，会欺骗 局域网内所有主机和路由，让所有上网的流量必须经过病 毒主机。其他用户原来直接通过路由网关上网现在转由通 过病毒主机上网，切换的时候用户会断一次线。切换到病 毒主机上网后，如果用户已经登陆了QQ，那么病毒主机 就会经常伪造断线的假像，那么用户就得重新登录QQ， 这样病毒主机就可以盗号了。 n由于ARP欺骗的木马程序发作的时候会发出大量的数据包 导致局域网通讯拥塞以及其自身处理能力的限制，用户会 感觉上网速度越来越慢。当ARP欺骗的木马程序停止运行 时，用户会恢复从路由网关上网，切换过程中用户会再断 一次线。 2007年12月28日9 贵州师范大学网络与信息中心 ARP 网页劫持病毒 nARP网页劫持病毒会向网络内发送ARP欺 骗数据包，挟持网关（或内部网站）MAC 地址，导致同一网段内的主机访问指定的 web地址（内部或外部）时，会话会首先通 过受病毒感染的主机，该主机会寻找HTTP 响应包，在包中加入代码，使得访问正常 网站时被指向到病毒网站。 2007年12月28日10 贵州师范大学网络与信息中心 2007年12月28日11 贵州师范大学网络与信息中心 ARP攻击-传播途径 n目前已知的ARP病毒的传播途径 通过外挂程序传播 通过网页传播 通过其他木马程序传播 通过即时通讯软件传播（QQ、MSN） 通过共享传播（网络共享、P2P软件共享） 2007年12月28日12 贵州师范大学网络与信息中心 校园网近期安全问题 nARP攻击 n流氓软件 n木马软件 2007年12月28日13 贵州师范大学网络与信息中心 流氓软件 n广告软件：未经用户允许，下载并安装在用户电脑上；或 与其他软件捆绑，通过弹出式广告等形式牟取商业利益； n间谍软件：一种能够在用户不知情的情况下，在其电脑上 安装后门、收集用户信息的软件； n浏览器劫持：一种恶意程序，通过浏览器插件、BHO(浏 览器辅助对象)、WinsockLSP等形式对用户的浏览器进行 篡改，使用户的浏览器配置不正常，被强行引导到商业网 站； n行为记录软件：未经用户许可，窃取并分析用户隐私数据 ，记录用户电脑使用习惯、网络浏览习惯等个人行为的软 件； n恶意共享软件：某些共享软件为了获取利益，采用诱骗手 段，试用陷阱等方式强迫用户注册，或在软件体内捆绑各 类恶意插件，未经允许即将其安装到用户机器里。 2007年12月28日14 贵州师范大学网络与信息中心 十大流氓软件 序号软件及网站名称所属公司存在问题 1 3721上网助手、地 址栏搜索及网 络实 名 北京3721科技有限公司 1、强制安装 2、浏览 器劫持（添加用户不需要的按钮、ie地址菜单项 中 添加非法内容） 3、干扰其他软件运行 4、无法彻底卸载 2淘宝网阿里巴巴强行弹出过多广告 3ebay 易趣ebay inc. 1、强制安装 2、浏览 器劫持（自动在ie中添加按钮和菜单） 3、无法卸载 4dudu下载加速器千橡公司 1、强制安装 2、诱导 用户安装广告程序 3、无法彻底删除 5中文上网中国互联网络信息中心 1、强制安装 2、无法彻底卸载 6青娱乐 聊天软件青娱乐强制安装 7很棒小秘书很棒信息服务有限公司 1、强制安装 2、无法彻底卸载 8 百度搜霸、 百度超级搜霸 百度强制安装 9一搜工具条雅虎强制安装 10网络猪、划词搜索中搜在线 1、强制安装 2、无法彻底卸载 2007年12月28日15 贵州师范大学网络与信息中心 浏览器劫持 n浏览器自动关闭 n默认主页被篡改(默认主页被禁止修改) n自动弹出多个页面 2007年12月28日16 贵州师范大学网络与信息中心 校园网近期安全问题 nARP攻击 n流氓软件 n木马软件 2007年12月28日17 贵州师范大学网络与信息中心 木马软件 n木马软件是一个服务器/客户端程序。黑客在电脑上运行 着木马的服务器端程序，搜集木马的客户端程序发来的信 息。采用欺骗、伪装的手段使用户运行木马的客户端程序 ，例如放在邮件里，用诱人的标题骗用户去打开运行；或 者捆绑在一些常用软件里让用户运行，或者混在网页上的 插件里自动安装等等。一旦用户运行之后，就藏在用户的 机器里，在用户开机上网以后，伺机搜集用户的个人信息 ，偷偷地利用网络把这些信息打包发送给服务器端。也就 是说，一旦中了木马，那么用户的秘密就很有可能泄露出 去。例如，用户的QQ密码，网上银行的密码，邮箱密码 ，等等。 2007年12月28日18 贵州师范大学网络与信息中心 常用解决办法 nARP攻击的解决方案 n清除流氓软件 n清除木马的一般方法 2007年12月28日19 贵州师范大学网络与信息中心 ARP攻击的解决方案 n第一：判定局域网内是否有ARP攻击 系统频繁掉线 网速突然变慢 使用ARP a命令发现网关的MAC地址不停的 变换 打开的常用学校网站上有不正常的广告信息 2007年12月28日20 贵州师范大学网络与信息中心 ARP攻击的解决方案 n第二：查找正在进行ARP攻击的主机 1、在知道正确的网关MAC的情况下，通过ARP a命令看到的另 一个网关MAC就是攻击主机的MAC 2、安装ARP防火墙 nArpFix n安全卫士360的ARP防火墙 n arp -s xxx.xxx.xxx.xxx xx-xx-xx-xx-xx-xx（手动绑定网关） n注意：同一时间只能使用一种ARP防火墙，另不能启用瑞星2008版 本的ARP防火墙，否则将影响整个局域网性能 3、使用ARP保护程序发现攻击主机 nArpFix n安全卫士360的ARP防火墙 nIP-MacScan nIpconfig/all 2007年12月28日21 贵州师范大学网络与信息中心 ARP攻击的解决方案 n如何处理感染主机 发现感染主机，第一时间拔掉网线 按照安全手册重新安装操作系统 2007年12月28日22 贵州师范大学网络与信息中心 ARP攻击的解决方案 n如何预防感染ARP病毒？ 关闭不必要的共享 及时安装系统补丁程序 安装防病毒软件并及时升级病毒库 不随便运行来历不明的程序 不访问一些来历不明的链接 2007年12月28日23 贵州师范大学网络与信息中心 常用解决办法 nARP攻击的解决方案 n清除流氓软件 n清除木马的一般方法 2007年12月28日24 贵州师范大学网络与信息中心 清除流氓软件 n常用软件 趋势杀毒软件 魔法兔子 安全卫士360 2007年12月28日25 贵州师范大学网络与信息中心 修复IE浏览器 n超级兔子IE管理专家 n安全卫士360 nIERegFix n瑞星卡卡上网助手 n金山IE修复工具 2007年12月28日26 贵州师范大学网络与信息中心 常用解决办法 nARP攻击的解决方案 n清除流氓软件 n清除木马的一般方法 2007年12月28日27 贵州师范大学网络与信息中心 清除木马的一般方法 n判断本地是否有病毒木马程序 系统运行突然变慢 杀毒软件查出病毒,但是无法清除也无法隔离 启动系统后不做任何网络操作 n运行 netstat an 命令 启动系统后不做任何网络操作，几分钟后 n运行 netstat s命令 查看系统进程中是否有可疑进程(例如Svohost.exe) n将可疑进程的名字到网上去查找看是否有相关资料 查看系统启动项里是否有可疑进程 nmsconfig 2007年12月28日28 贵州师范大学网络与信息中心 清除木马的一般方法 n断开网络查杀 n如果清除不掉，切换到安全模式，查杀 2007年12月28日29 贵州师范大学网络与信息中心 个人电脑安全防护 n装机安全 n密码设置 n配置安全 2007年12月28日30 贵州师范大学网络与信息中心 个人电脑安全防护 n1、装机安全 联网前的工作 n安装如下补丁所需的补丁程序请使用其它移动介质拷贝到相应的机器 上。 win2000 W2ksp4_cn.exe Windows2000-KB828741-x86-CHS.EXE Windows2000-KB835732-x86-CHS.EXE winxp Xpsp2_cn.exe 在校园网上安装趋势企业版杀毒软件 n88:4343/officescan/console/html/ClientInst all/officescannt.htm 2007年12月28日31 贵州师范大学网络与信息中心 密码设置 n密码选择：易记不易猜 床前明月光 疑是地上霜 举头望明月 低头思故乡 nCyjd！1 n密码策略 不少于6位 定期更换 连续登陆3次错误，锁定账号3分钟 不用生日，姓名和英文单词！ 2007年12月28日32 贵州师范大学网络与信息