网吧技术手培训手册下.docx

第八章 无忧网维网吧产品1.1.1. 无忧网维简介无忧网维是杭州常锦科技有限公司研发的一套针对局域网多PC上网环境量身打造的集网络游戏、影视音乐、软件办公、系统保护等强大功能的内容更新及管理平台。无忧网维在原游戏大师和系统保险箱的基础上面大幅度优化了三层更新和系统安全保护等功能。1.1.2. 无忧网维特点1.1.3. 快速下载、三层更新遍布全国各主干网络的下载服务器，保证所有资源内容能快速的被下载到局域网内部服务器上。内网更新功能保证局域网内所有的客户机能够快速的下载更新，且不占网速。1.1.4. 更新和管理自动化无忧网维有专门的团队负责资源的寻觅和更新，通过三层更新体系，实现资源自动更新、管理自动化1.1.5. 快速部署通过服务器控制台，快速实现局域网服务部署。一个控制台可控制多个局域网，实现统一管理。1.1.6. 系统保护驱动级系统保护针对局域网和单机进行防御,让病毒无处容身，让木马远离您的账号。1.1.7. 虚拟磁盘集成游戏虚拟盘，存放更多资源。1.1.8. 支持无盘系统完美支持无盘系统1.1.9. 软件主动推送通过服务器控制台，可将需要的软件、资源快速推送到所有的客户机，免去每一台客户机下载的烦恼。1.1.10. 客户机壁纸、主题修改通过控制台，统一设置客户机桌面主题与壁纸，方便网吧进行活动宣传。1.1.11. 网吧同聊网吧内部交流平台，通过同聊频道，网民畅谈自己的网络生活，同时也为在网吧一起玩游戏、交朋友提供有效途径。1.1.12. Ebar购物网吧购物频道，网民通过本频道可以浏览所有网吧吧台精心准备的诸如香烟、饮料、零食等商品，网民选择购买以后，网吧服务人员会在第一时间收到提示，将网民需要的商品送到网民手上。购物频道实行现金付费方式，无需网银！1.1.13. 无忧网维安装1.1.14. 安装无忧网维服务器点击5uBarServer.exe进入安装向导i. 无忧网维安装欢迎界面，说明安装程序版权所属ii. 无忧网维许可协议，如果您安装本软件，默认为认可本许可协议规定的所有条款，如若违反，常锦科技有权追究相关责任。iii. 选择程序安装路径，程序默认安装在C:Program Files目录下，自动生成名为barservers的目录。iv. 修改程序在开始程序菜单显示的名称，可不做修改。v. 安装过程中最重要的步骤，填写主控服务器地址，无忧网维服务安装工具连接到主控服务器上去，通过主控服务器能控制所有服务的安装和部署。无忧网维默认选中自动安装主控、下载服务器，如果取消，需要手动通过控制台服务vi. 安装进度，本过程无法取消vii. 安装完成，安装向导会自动在桌面上生成“服务器控制台”快捷方式，同时会自动运行控制台。1.1.15. 安装无忧网维菜单点击5uClientMenu.exe进入无忧网维菜单安装向导操作步骤i. 无忧网维客户端菜单欢迎界面，在安装前，先确认已经关闭其他正在运行的软件，确保无忧网维菜单能全部安装完成ii. 用户许可协议，用户必须同意本协议才能执行下一步安装iii. 选择安装目录，无忧网维默认存放在C:Program Files目录下，安装向导会自动生成”BarClientView”文件夹iv. 选择开始程序菜单中的名称v. 填写局域网服务器地址 填写局域网中服务器IP地址vi. 设置菜单下载软件存放路径，如果没有特殊设置，下载默认路径为安装程序所在的目录vii. 安装进度控制，本过程无法取消viii. 安装完成界面，可以选择安装完成后的动作，向导将默认在桌面上生成“游戏菜单”、“ 美图挂机锁”两个快捷方式1.1.16. 多服务器部署业务需要在局域网内部书多台服务器，只需在该服务器上面安装“无忧网维服务安装工具”，此时能通过控制台控制安装何种服务。点击5uServerInstall.exe，进入安装向导操作步骤i. 无忧网维服务安装工具欢迎界面，在安装前，先确认已经关闭其他正在运行的软件，确保无忧网维服务安装工具能全部安装完成ii. 用户许可协议，用户必须同意本协议才能执行下一步安装iii. 选择安装目录，无忧网维默认存放在C:Program Files目录下，安装向导会自动生成”barserverinstall ”文件夹iv. 选择开始程序菜单中的名称v. 填写局域网服务器地址 填写局域网中服务器IP地址vi. 安装进度控制，本过程无法取消vii. 安装完成界面1.1.17. 无忧网维升级无忧网维通过服务器控制台完成所有客户端和服务的升级1.1.18. 无忧网维服务器端基本操作1.1.19. 快速连接安装好时候提示连接服务器界面，第一次设置好以后登录直接进行连接。或点击快速链接进行更改/链接。 本功能支持远程控制，只要局域网中的服务器关闭windows防火墙并拥有一个外部IP地址，就能够通过Internet连接远程管理1.1.20. 账号认证控制台连接服务控制器成功以后，会要求输入网吧账号、密码进行验证，只有通过验证的才能够使用无忧网维提供的管理功能。账号可以/bar!regPage.action 免费注册账号验证通过以后，服务器控制台右上角会显示详细信息参数说明： 网吧名称：注册账号时填写的名称认证服务器：显示认证服务器连接状态，只有连接上认证服务器，才能够获取到资源列表到期时间：技术支持服务到期时间终端授权数：局域网中客户端能够安装的最大数量下载/虚拟盘/无盘：局域网中下载服务器，虚拟盘服务器，无盘服务器的使用状态1.1.21. 服务器管理1.1.22. 版本控制操作步骤： 服务器管理版本控制，弹出的窗口中显示单前版本和最新的版本，以及本次更新的版本说明，或者按照下图的快捷操作按钮。1.1.23. 添加服务操作步骤：服务器管理添加服务，通过控制台可以在局域网中部署多台服务器，或者找到界面的快捷按钮，如下图。选择服务类型，目前可以选择的服务类型为下载服务器、主控服务器、虚拟盘服务器、网吧同聊服务填写服务名称， 服务是在服务器管理列表中显示的唯一标识选择物理服务器，选择将需要部署的服务部署在哪一台服务器上面，在局域网中，每安装一个BarServerInstall.exe，则该电脑默认为一个新的物理服务器，根据电脑名进行区分。说明：一个局域网中只允许同时运行一个主控服务器，可以有多个虚拟盘服务器和下载服务器。1.1.24. 服务管理控制台列出所有的物理服务器，主控服务器，下载服务器和虚拟盘服务器，每一台物理服务器中右键点击添加服务，可以在该服务器上面部署相关的服务。服务管理操作说明：启动服务：启动相关服务停止服务：停止相关服务删除服务：卸载并在服务管理列表中删除该服务配置服务：进行服务器相关的配置1.1.25. 虚拟盘无盘环境下需要用到。1.1.26. 分组管理1.1.27. 分组设置添加、删除、修改分组，默认分组无法删除，但可以修改分组显示名1.1.28. 客户机分组操作步骤：方法一：客户机管理客户机分组，选择分组名称，将未分组客户机列表中的客户机分配到该分组中，点击确定即可。方法二：分组管理客户机分组，选择分组名称，将未分组客户机列表中的客户机分配到该分组中，点击确定完成客户机分组方法三：控制台左侧列表中选择未分组客户机，右侧列表中将显示出所有的未分组客户机，选择加入相应分组1.1.29. 资源分组操作步骤：内容管理本地资源选择相应资源右键配置，在弹出的配置界面中进行配置。配置界面中列出了所有的分组名称，如果想将某个资源放入其中一个分组或多个分组中，在分组对应的设置操作中进行配置1.1.30. 客户机管理1.1.31. 客户机设置操作步骤：客户机管理基本设置，在弹出窗口中进行对客户机的管理操作选项界面启动：选择客户端菜单启动状态，开机不启动、正常、最大化、最小化。默认下开机启动客户端菜单。关闭界面操作：未选中状态，关闭界面时最小化，未选中，客户端执行关闭操作时将退出界面设置密码：设置客户端菜单管理密码1.1.32. 批量生成客户机操作步骤：i. 客户机管理批量添加，在弹出的操作窗口中进行设置ii. 定义客户机名称，客户机名称由3部分组成，前缀、后缀、编号iii. 设置客户机IP地址，主要设置起始IP地址，和结束IP地址，掩码、网关、DNSiv. 设置本次生成的客户机所属分组设置项说明：编号范围：客户机名称编号部分的递归范围，如果tiyan003-休闲编号位数：客户机名称编号部分的显示位数，根据客户机数量进行设置，如果不够设置的位数，将在前面补零，如设置成4，则显示的客户机名称为tiyan0001-休闲名称前缀：客户机名称编号中的前缀，一般根据局域网环境名进行设置，如tiyan等名称后缀：客户机名称中的后缀部分，一般根据在局域网中的功能进行设置，如-高配等起始IP：批量生成的客户机中第一台机器的IP地址，如生成的第一台客户机为tiyan001-休闲，则此IP为该客户机的IP地址结束IP：批量生成的客户机中最后一台机器的IP地址，如生成的最后一台客户机为tiyan200-休闲，则此IP为该客户机的IP地址子网掩码：本IP段的子网掩码网关地址：本IP段的网关地址首选DNS：本IP段的默认DNS备用DNS：首选DNS连接不上时的DNS地址选择分租：设置本次生成的客户机属于哪个分组1.1.33. 客户机分组管理见分组管理中的5.4.2 客户机分组说明1.1.34. 客户机操作操作步骤：左侧菜单客户机管理选择分组客户机列表右键点击，进行具体操作操作说明更新客户机配置：如果客户机硬件等有变更，更新配置进行正确统计重启：控制该客户机重启电脑关机：控制该客户机关机网络开机：设置某客户机开机设置还原：设置客户机开启还原取消还原：设置取消客户机还原删除文件：删除客户机上面的指定文件 详情5.7.1 文件管理删除客户机：删除该客户机，将在控制台上面不显示1.1.35. 资源管理1.1.36. 资源分组见客户机分组中的资源分组说明1.1.37. 本地资源导入u 导入一个资源操作步骤：i. 资源管理导入一个资源选择导入的服务器名，进入操作界面ii. 输入需要导入的资源的信息iii. 将资源配置到某个分组iv. 完成添加操作参数说明资源编号：本地导入的资源默认从1号开始编号，系统自动生成，无法修改资源名称：要导入的资源名称所属频道：导入的资源所属的频道，目前能选择的为:软件大全、游戏宝库、网址大全所属分类：导入的资源所属的分类，在系统给出的分类中进行选择保存路径：资源在本地的存放路径主要程序：资源启动以后再进程中的程序名称，可以设置为空运行程序：资源的启动程序运行程序参数：启动资源需要增加的特殊参数，一般设置为空客户机下载路径：客户机下载该资源时的存放路径，可设置为空配置分组：配置该资源分组u 批量导入资源 操作步骤i. 资源管理导入多个资源选择导入的服务器进入操作界面ii. 选择搜索目录，设置搜索深度iii. 系统自动进行资源匹配，将搜索到的资源列表显示出来iv. 选择需要导入的资源，导入本地。参数说明搜索目录：设置需要搜索资源的本地目录深度：设置搜索资源时候的搜索深度，默认设置为3，如设置的搜索目录为D:，深度为3 ，则系统搜索资源时候会搜索到D:游戏大全网络游戏穿越火线。与IDC对比更新：导入以后自动与IDC中的相关资源进行对比，保证以后更新能正常更新生成索引：重新制作索引，只有制作过索引的资源才能提供客户机下载1.1.38. 资源下载操作步骤：左侧列表菜单内容管理资源中心选择需要下载的资源右键点该类资源，选择下载，进入下载列表自动下载参数说明资源推荐：无忧网维统计出来的热门资源新增资源：系统新增加的资源资源中心：无忧网维服务器上的所有资源有更新的资源：最新更新的资源列表本地资源列表：本地服务器已有的资源列表本地网站列表：本地服务器已配置的网站列表监控列表：服务器下载监控、客户机下载监控1.1.39. 推送资源操作步骤：找到下图所指点击进入界面第一步选择需要推送的客户机资源第二步选择资源要推送的客户机第三步选择本次推送的更新模式，并点击确定开始推送参数说明资源：本地下载的资源客户机：登录连接到服务器的客户机更新模式：在线客户机、所有客户机1.1.40. 远程文件管理操作步骤：远程管理文件管理选择需要远程管理的电脑，可选参数：下载服务器、主控服务器、客户机1.1.41. 控制台远程连接操作步骤：基本设置选择是否禁止远程登陆，输入控制台密码保存1.1.42. 配置资源网吧服务器上的资源需要经过配置才能被客户机下载、使用操作步骤：左侧菜单内容管理本地资源列表选择需要配置的资源右键配置进入配置操作界面选择配置（选择资源和配置时都支持多选）配置时同时配置分租，在相应的分组中设置，即可加入到该分组中。设置项：为未配置，本地，虚拟盘（如果未添加虚拟盘则不显示该项）参数说明未配置：默认设置，未配置的资源将无法提供客户机下载或使用本地：配置到本地，客户机需要将该资源下载才能使用虚拟盘：配置为虚拟盘，则客户机上面可以直接使用该资源，无需下载。需要先配置虚拟盘服务1.1.43. 右键操作1.1.44. 查找资源操作步骤i. 在资源列表中右键点击，选择查找弹出操作窗口ii. 输入需要查找的资源首字母选择查找方向进行查找1.1.45. 修复资源操作步骤i. 在资源列表中右键点击，选择修复ii. 系统默认将该任务加入加入下来列表，重新对比下载1.1.46. 更新资源操作步骤i. 在资源列表中右键点击，选择更新操作ii. 系统自动检查该资源是否有更新，有更新将进行更新1.1.47. 删除资源操作步骤i. 在资源列表中右键点击，选择删除，弹出操作窗口ii. 选择要进行的操作，确定进行删除参数说明从服务器列表中移除：移除以后，控制台本地资源列表中不显示该资源删除下载服务器上资源文件：选中以后，同时删除下载服务器上面的资源文件且不再服务器列表中显示删除客户机上的资源：选中以后删除客户机上的该资源，不移除服务器列表上面的显示1.1.48. 设置自动更新操作步骤i. 在资源列表中右键点击，选择更新方式ii. 在更新方式列表中选择自动还是手动更新，所有资源默认为自动更新状态1.1.49. 监控管理1.1.50. 服务器下载监控列表显示下载服务器上所有正在下载的任务具体信息，在本列表中可进行设置某一个任务开始、停止、删除、优先级1.1.51. 客户下载监控列表显示所有客户机下载信息1.1.52. 索引任务监控索引失败的任务列表1.1.53. 网吧同聊启用网吧聊天功能首先需要安装网吧聊天服务，安装步骤参考5.3.2 安装服务1.1.54. 基本设置打开基本设置，进入改界面，可以对聊天进行设置，发布公告，过滤敏感词汇等。1.1.55. 历史记录1.1.56. 禁言设置1.1.57. 网吧商店（EBAR）收银台下载安装Ebar收银端，正确连接到网吧服务器，游戏菜单中将自动添加网吧商店频道。列出所有的网吧后台录入的商品信息。网吧商品信息录入I,登录网吧管理后台，进行设置，我们的商品库中预设置了200余种网吧常用的商品。您只需要将网吧有的商品选择上即可。1.1.58. 无忧网维客户端基本操作1.1.59. 查找资源打开客户端菜单界面，在顶部搜索款中输入想要的资源的首字母，快速、进准的定位到该资源通过分类筛选，找到想要的资源。1.1.60. 下载资源双击进行下载，如果该资源配置在虚拟盘上运行，则直接运行成功1.1.61. 快速上网通过客户端菜单上面的网址导航功能，点击就能进入想要浏览的网站，不用为记不住网址而烦恼客户端菜单上的网址导航分为：新闻|综合、搜索|邮箱、购物|团购、社区|交友、体育|NBA、财经|股票、音乐|视频、游戏|资讯，七类收集了所有人们的网站供用户选择1.1.62. 快速登录QQ点击菜单右上角的QQ，快速找到QQ进行登录1.1.63. 设置输入法通过右上角的输入法按钮，查找到菜单中所有的输入法资源，用户可以快速的选择想要的输入法，包括火星文等1.1.64. 使用挂机锁点击右上角的挂机锁，弹出挂机锁设置界面，进行锁屏，防止离开电脑前被别人使用您的电脑、安全方便。1.1.65. 相关快速链接1.1.66. 支持论坛如果使用遇到什么问题可以到论坛发帖或者做交流，我们将会为你提供专业的解答。1.1.67. 在线客服点击进入客服，我们的在线客服人员会耐心的解答你的问题，为你排忧解难。第九章 网吧常用安全技术9.1 ARP病毒攻击长期以来，局域网内经常会受到ARP病毒的攻击，其病毒攻击的原理是通过伪造IP地址和MAC地址实现ARP欺骗，破坏内网中的主机和路由器交换设备ARP高速缓存机制，症状严重时会造成网络流量增大、设备CPU利用率过高、交换机二层生成树环路、短时间内全部断网或部分断网、主机上网不稳定，或者交换机短时瘫痪等状况。9.1.1 ARP地址解析协议在局域网中，IP数据包通过以太网进行发送。但以太网设备并不识别32位的IP地址，而是以48位以太网地址，传输以太网数据包（即以“帧”形式发送）。设备驱动程序从不检查IP数据报文中的目的IP地址。这就需要将IP目的地址转换成以太网目的地址。ARP就是用来确定这些映像的协议，既地址解析协议。所谓“地址解析”就是主机在发送帧前将目标IP地址转换成目标MAC地址的过程。ARP协议的基本功能就是通过目标设备的IP地址，查询其MAC地址，以保证通信的顺利进行。每台装有TCP/IP协议的主机或服务器内都配有一个ARP缓存表，表内的IP地址与MAC地址一一对应。ARP缓存表采用了老化机制，在同一段时间内如果表中的某一行没有使用，就会被删除，这样可以减少ARP缓存的长度，加快查询速度。IP地址与MAC地址对应表假设（主机A）向（主机B）传送数据，ARP的工作过程为：首先主机A会在自己的ARP缓存表中寻找目标主机B的IP地址。若找到，也就知道了B的MAC地址，就可直接把目标MAC地址写入帧内发送给B；若未找到，主机A就会在同网段内发送一个以太网广播数据包，目标MAC地址是“FF.FF.FF.FF.FF.FF”，即向同一网段内的所有主机发出这样的请求包，询问的MAC地址。此时，只有目的主机B在接收到这个帧时，会向A发出表述“的MAC地址是00-aa-00-64-f5-03”的一个含有IP和以太网地址对的数据应答包。而网络上的其它主机对ARP询问不会给予回应。这样，A就知道了B的MAC地址，也就可以向B传递信息了。同时，A将这个地址存入高速缓存，更新自己的ARP缓存表。下次再向主机B发送信息时，就可直接从ARP缓存表里查找。9.1.2 ARP攻击原理通过ARP的工作原理可知，系统的ARP缓存表是可以随时更新的动态转换表，表中的IP和MAC是可以被修改的，这样，在以太网中就很容易实现ARP欺骗。ARP攻击可分为“中间人”攻击、MAC/CAM攻击、DHCP攻击、地址欺骗等，攻击形式表现为对外网和对内网PC机和网络交换机、DHCP服务的欺骗。 对内网IP/MAC的欺骗局域网内的每个主机都用一个ARP高速缓存，用于存放近期内IP地址到MAC硬件地址之间的映射纪录。缓存中的IP-MAC条目是根据ARP响应包动态变化的，因此只要网络上有ARP响应包发送到本机，就会更新ARP高速缓存中的IP-MAC条目。同时，即使收到的ARP应答并非自己请求得到的，主机也会将其插入到自己的ARP缓存表中，这就造成了“ARP欺骗”的可能。典型的攻击是MITM（man-in-the-middle，中间人攻击）。例如，当攻击者想探听同一网络中两台主机之间的通信（即使是通过交换机相连，也可探听），就分别向这两台主机发送一个ARP应答机，让两台主机都“误”认为对方的MAC地址是攻击者所在的主机，这样，双方看似“直接”的通讯连接，实际上都是通过“中间人”所在的主机间接进行的，攻击者只需更改数据包中的一些信息，就能做好转发工作，从而嗅探到用户账号密码等机密信息。目前利用ARP原理编制的工具十分简单易用，这些工具可以直接嗅探和分析FTP、POP3、SMB、SMTP、HTTP/HTTPS、SSH、MSN等超过30种应用的密码传输内容，随时切断指定用户的连接。当攻击者发送大量持续伪造的ARP包时，还会造成局域网中的机器ARP缓存混乱，上网不稳定。下图中，的MAC由原来的00-0f-3d-83-76-33被篡改为病毒主机的MAC 00-90-f5-34-5a-23。该网段的网关地址的MAC被篡改，同时局域网内的部分MAC也被篡改为00-00-00-00-00，导致该网段的许多主机无法正常上网。被病毒主机攻击后的客户机ARP缓存表 SWITCH的CAM欺骗SWITCH（交换机）上同样有着一个动态的MAC缓存。它会主动学习客户端的MAC地址，并建立维护端口和MAC地址的对应表，以此建立交换路径，这就是通常所说的CAM表。也称MAC-PORT缓存。CAM表的大小是固定的，不同交换机的CAM表的大小不同，开始时表内并无内容，交换机从来往数据帧中学习，CAM表也就不断地填充和更新。对CAM的攻击是指利用木马程序产生欺骗MAC，快速添瞒CAM表，CAM表被填瞒后，交换机以广播方式处理通过交换机的报文，以前正常的MAC和PORT对应的关系被破坏，这时攻击者就可利用各种嗅探攻击获取网络信息。CAM表填满后，流量会以洪泛方式发送到所有端口，同时TRUNK接口上的流量也会发给所有接口和邻接交换机，这就会造成交换机负载过大、网络缓慢、丢包，甚至是瘫痪。在ARP欺骗木马开始运行的时候，局域网有相当数量的主机MAC地址会被更新为病毒主机的MAC地址（即这些主机的MAC地址都一致为病毒主机的MAC地址），只有当ARP欺骗的木马程序停止运行时，才能恢复到真实的MAC地址。 DHCP服务的攻击采用DHCP Server可以自动为用户设置网络IP地址、掩码、网关、DNS等网络参数，从而简化设置、提高效率。但DHCP的运作通常没有服务器和客户端的认证机制，病毒对其攻击的方式通常会表现为DHCP Server的冒充、DHCP Server的DOS攻击等。所谓冒充，就是耗尽DHCP服务器所能分配的IP地址，然后冒充合法的DHCP服务器，为用户分配一个经过修改的DNS Server，将用户在毫无察觉的情况下引导到预先配好的假网站，骗取其账户密码等机密信息。9.1.3 ARP病毒分析ARP病毒多数属于木马程序或蠕虫类病毒，例如pwsteal.lemir或其变种。病毒运作机理大多是通过组件，用病毒文件覆盖掉操作系统中的一些驱动程序，然后用病毒的组件注册（并监视）为内核级驱动设备，同时负责发送指令操作驱动程序，例如发送ARP欺骗包、抓包，过滤包等。这些病毒程序的破坏表现症状为，欺骗局域网内所有主机和交换机，让局域网中总的信息流量必须经过病毒主机。原来直接通过交换机上网的其它用户，转而通过病毒主机上网，切换时会断线一次。由于ARP欺骗的木马程序发作时会发出大量的数据包导致局域网通讯堵塞，加之自身处理能力的限制，用户会感觉上网速度越来越慢。当ARP欺骗的木马程序停止运行，用户会恢复为从交换机上网。木马程嗅探导致内网主机短时间断网过程9.1.4 防御措施根据ARP病毒对网主机和交换机、DHCP服务器攻击的特点，在防治该病毒时也必须对这3个环节加强防护。然而，目前对ARP的防御还存在着设备技术有限、病毒专杀工具不完善，实施有一定难度等诸多问题，要完全克服ARP协议缺陷，找到更便捷有效的防御方法，仍然任重道远。 应急措施发现病毒攻击时，首先应从病毒源头直接采取便捷的方法：1、在客户机上进入MS-DOS窗口，输入命令“arp-a”，查看网关IP所对应的正确的MAC地址，将其纪录下来。若此时已经不能上网，则先运行一次命令“arp-d”将arp缓存中的内容删空，计算机便可暂时恢复上网（攻击如果不停止的话），一旦能上网就立刻断开网络（禁用网卡或拔掉网线），然后再运行“arp a”。2、取得网关的正确MAC地址后，不能上网的情况下，手工绑定网关IP和正确的MAC，可确保计算机不再被攻击影响。手工绑定的方法是，在MS-DOS窗口下运行命令“Arp-s 网关IP网关MAC”。这时，类型会变为静态（static），也就不会再受到攻击的影响。但是，手工绑定在计算机重启后就会失效，需要再次绑定。对于这一问题，可写一个在每次开机时自动绑定的批处理文件： echo offarp darp s 网关IP网关MAC将文件中的网关IP地址和MAC地址更改为正确的网关IP地址和MAC地址，然后放入“windows-开始-程序-启动”中。但是，要想真正彻底根除攻击，只有找出网段内被病毒感染的计算机，然后杀毒。 定期防御1、对于交换设备，可使用可防御ARP攻击的交换机（例如思科等多功能交换机），综合运用port security feature 、DHCP Snooping 、Dynamic ARP inspection（DAI）、IP source guard等一些关键技术，来建立动态的IP+MAC+PORT对应表和绑定关系、实时控制ARP流量、建立DHCP嗅探匹配表等。并合理划分VLAN，进行端口隔离，彻底杜绝在交换环境中实施的“中间人”攻击、MAC/CAM攻击、DHCP攻击、地址欺骗等。2、对于主机，应及时安装、更新防病毒软件，对内存和硬盘进行全面地防毒、杀毒。并及时下载ANTI ARP SNIFFER等专杀工具，保护本地计算机的正常运行。3、及时更新操作系统、升级IE、打上各种漏洞补丁。4、不要随便共享文件或文件夹，必须共享时，也应先设置好权限，尽量不开放可写或可控制权限。不要随便打开或运行陌生、可疑的文件和程序，例如邮件中的陌生附件，外挂程序等。关闭一些不需要的服务，完全单机的用户可直接关闭SERVER服务。使用移动存储介质进行数据访问时，先对其进行病毒检查。操作系统应设置6位以上的密码。5、使用网络防火墙软件。网络防火墙在防病毒过程中的作用至关重要，它能有效阻止来自网络的攻击和病毒入侵。9.2 木马入侵木马（Trojan Horse，特洛伊木马）病毒的名称，来自于一个古希腊的特洛伊木马传说，现在专指为计算机入侵者打开方便之门的程序。在现今的网络上，特洛伊木马和蠕虫病毒、垃圾邮件已经一起构成了影响网络正常秩序的三大公害。自20世纪80年代早期出现第一例木马至今，20多年时间里，木马技术飞速发展。毫无疑问，今后木马技术仍将不断前进，功能会越来越多样、伪装术和入侵手段将会越来越高明。基于木马入侵的攻与防必将是网络安全领域一场旷日持久的对抗。9.2.1 木马病毒的原理木马病毒属于客户/服务器模式，分为客户端和服务器端。服务器端程序骗取用户执行后，便植入计算机作为响应程序；客户端程序在黑客的计算机中执行，用于连接服务器端程序，以监视或控制远程计算机。典型的木马病毒是服务器端程序在服务器上打开一个特定端口进行监听，若有客户机向这台服务器的这一端口提出连接请求，服务器上的相应程序就会自动运行，来应答客户机的请求。服务器端程序与客户端建立连接后，由客户端发出指令，然后服务器执行这些指令后将数据传送至客户端。9.2.2 木马入侵的步骤攻击者利用木马入侵他人电脑，一般按照如下步骤进行：1、配置木马为实现木马伪装和信息反馈，在对木马进行传播之前，黑客会对木马进行具体配置。2、传播木马木马传播的方式多种多样。例如，控制端可将巧妙伪装的木马程序以附件形式通过邮件发送出去，收信人只要打开附件，系统就会感染木马。或者也可通过软件下载，利用系统或软件的漏洞等进行木马传播，使木马入侵被控端。3、运行木马服务端用户运行木马或捆绑木马程序后，木马就会自动安装。首先木马会将自身拷贝到Windows的系统文件夹中，然后在注册表、启动组等位置设置好木马触发条件。4、实现远程控制控制端和服务端都在线时，控制端通过木马端口与服务端建立连接，然后就可通过木马程序对服务端进行远程控制。9.2.3 木马病毒的特征1、隐蔽性强普通的木马服务器端运行后都会生成一个独立进程，较高级的木马（例如灰鸽子）则可以注册为系统后台服务，从而在任务管理器中实现进程隐藏。新型的DLL木马则会采用线程插入技术，将代码嵌入正在运行的系统进程中，从而实现高级隐藏。这种木马既无法通过进程管理器来查找，也不能直接终止进程的运行，危害巨大。2、启动方式多样化木马一般会借助修改启动分区的Autoexec.bat批处理文件、自动执行功能文件AutoRun. inf、注册表中的相关启动项、系统配置文件system.ini和win.ini，以及与某类型文件（例如*.TXT、*.EXE等）建立文件关联等手段来实现程序的自动运行，从而达到随系统启动或满足触发条件即自动运行的目的。3、伪装方式多样化为实现长期隐蔽，木马除使用常见文件名或扩展名（例如dll、win）或者仿制一些不易被人区别的文件名（例如svcHost .exe）等伪装手段外，还可能直接借用系统文件中已有的文件名（例如internet explorer.exe）。有的还将服务端程序的图标修改成HTML、TXT等文件的图标，具有极大的欺骗性。同时木马还可以和其它可执行文件（例如FLASH动画、不可信任站点的系统补丁程序等）进行捆绑。此外木马还具有自我销毁的伪装术，新型木马还能定制端口。4、通讯方式多样化第一、二代木马采用的是传统的C/S模式。即远程主机开放监听端口等待外部连接，客户端主动发出请求，使用TCP建立连接，进行通讯。而第三代木马则采用“反弹端口”连接技术，建立连接不再由客户端主动进行，而是由服务端完成，这种方式可以穿透一定设置的防火墙。为增强隐蔽性，许多木马程序选择使用UDP而放弃TCP通讯协议，通讯双方只在传送数据的短暂时间里会打开端口。而ICMP木马更是不用连接端口进行通讯，只需将木马服务器端伪装成一个ping.exe的进程，传送ICMP_ECHO封包，修改封包ICMP表头结构，加上木马控制信息传送至木马程序客户端，服务器端则通过接收到的ICMP_ECHOREPLY封包的大小和ICMP_SEQ特征来判断接收并从中获得指令和数据信息。5、功能强大新型木马程序功能齐全，主要有：l 窃取密码：这是其最常见的功能，通过密码破解，黑客最终将完全控制远程计算机，还可通过记录键盘输入窃取银行账户密码等；l 文件操作：控制端可通过木马程序对服务端的文件进行删除、新建、修改、上传、下载等一系列操作；l 修改注册表：控制端可任意修改服务端注册表；l 系统操作：包括重启或关闭服务端操作系统、断开网络连接、控制服务端鼠标和键盘、监视服务端桌面操作等。9.2.4 防护策略要做好安全防护，首先必须了解安全的薄弱环节所在。安全漏洞主要来自以下三方面：l 软件自身安全性差：n 操作系统本身的设计问题所带来的漏洞，此类漏洞会被运行在该系统之上的应用程序所继承；n 应用软件程序的漏洞；l 安全策略不当：许多用户仅仅使用个别的安全工具进行防护，而不是有针对性的、各有侧重的采用多种安全工具来保护系统安全；l 计算机用户缺乏安全意识：许多用户在使用网络资源时，安全意识淡薄，所以木马采用心理欺骗的入侵方法往往极易成功。这三个方面所产生的安全漏洞都可能被黑客利用，成为木马入侵的突破口，因此必须进行全面的系统安全防护。9.2 4.1 打造坚实的系统防护1、用户管理策略黑客可以通过猜测用户弱口令、破解用户密码等手段进行基于认证的入侵，然后植入木马作为后门，对此，必须做好如下用户管理工作：l 停用来宾帐户，清除其它不必要的帐户；l 设定坚固的安全密码，例如采用复杂的密码、设定密码最小长度并定期更换密码；l 正确设置帐户锁定策略，阻止入侵者不断尝试破解登录密码的企图。2、文件共享策略谨慎设置文件共享，确有需要时才开放文件共享，进行正确的用户设置。养成良好的习惯，共享完毕后及时关闭。关闭默认共享“IPC$（命名管道）”是系统特有的一项管理功能，主要用来远程管理计算机，IPC入侵是黑客入侵的惯用手段之一，也可能成为木马入侵的突破口。对此应进行如下设置：l 通过修改注册表删除默认共享。个人用户也可通过在控制面板的服务管理器中关闭Server服务来解决；l 通过修改注册表禁止空连接，以此杜绝入侵者的反复试探性连接。3、堵住漏洞操作系统和应用软件漏洞也是黑客入侵的突破口之一，对于可以登录访问Internet微软官方网站的用户，建议开启Windows的自动更新功能。对于无法进行自动更新的用户，建议采用手动更新，用专用安全工具进行漏洞检查，然后到相关的可信任安全站点下载补丁进行手动安装。对于安装的应用软件，也应随时关注官方网站公布的安全消息，及时升级。4、堵住黑客的入口端口是计算机与外部网络相连的连接枢纽，也是木马入侵计算机的第一道屏障，所以端口配置正确与否将直接影响到计算机的安全。为安全考虑应，应当关闭平时不常使用的协议和端口。例如，关闭135端口避免冲击波病毒攻击；若计算机不提供也不使用文件和打印共享服务时，可在TCP/IP设置项目中禁用NETBIOS服务，即关闭137、138、139端口；关闭445端口避免黑客刺探系统相关信息；关闭3389端口防止黑客通过远程终端服务默认端口进行入侵。对于其它木马或蠕虫病毒的默认端口或不安全端口，可以使用专用安全工具或对注册表进行操作等方法进行关闭。5、关闭不必要的服务Windows操作系统提供了很多系统服务以方便管理，但开启太多服务在给用户本身带来方便的同时，也给入侵者打开了方便之门，因此可以根据需要在服务管理器中进行设置，在允许的情况下禁止可能为黑客入侵提供方便的服务。设置原则是“最小的权限+最少的服务=最大的安全”。 使用安全工具软件保护系统安全在做好操作系统本身的安全防护工作的基础之上，还应借助安全工具软件来保护系统的安全运行。安装防病毒软件和网络防火墙就是一种比较合适的选择。1、防病毒软件，例如金山毒霸、瑞星杀毒软件等都具备强大的防病毒功能，除具有全面的杀毒功能之外，还能对内存、网页、文件、引导区、邮件、注册表等项目和漏洞攻击进行实时监控。安装此类防病毒软件和相应的最新升级包，并做好正确设置后，对系统进行全面扫描便可清除其中存在的绝大多数病毒和木马。2、软件防火墙可对计算机和网络之间的信息流进行包过滤，与防病毒软件相互配合，共同保护系统安全。例如“天网”个人防火墙，除提供应用程序规则设置、系统设置、安全级别设置等功能外，该软件还能灵活地进行IP规则设置，防御ICMP攻击、IGMP攻击，对TCP和UDP数据包进行监视。安装完该防火墙软件并按需进行好各项安全设置后，它便会拦截非授权的访问，拒绝来自网络的扫描和恶意攻击。 用户安全意识策略计算机用户在日常使用网络资源的过程中，应加强安全意识，杜绝木马心理欺骗层面的入侵企图：l 不随便下载软件，不执行任何来历不明的软件；l 不随意在网站上散播个人电子邮箱地址，合理设置邮箱的邮件过滤功能，确保电子邮箱防病毒功能处于开启状态，不打开陌生人发来的邮件及附件；l 及时进行IE升级和补丁安装，还可禁用浏览器的“Active控件和插件”以及“Java脚本”功能，以防恶意站点上网页木马的“全自动入侵”；l 在可能的情况下采用代理上网，隐藏自己的IP地址，以防不良企图者获取入侵计算机的有关信息。 纵深防御保护系统安全做好以上三方面的系统安全防护工作后，当前系统的安全就基本已在掌控之中，但处于安全防御的一方始终属于被动，病毒会不断利用新技术来突破杀毒软件及防火墙，以实现数据的“合法”传输，现有的安全工具并不能百分之百保证系统的安全运行，现今构筑的安全防线随时都有可能被突破。因此，为进一步保障系统安全，还应采用其它工具进行联合保护。例如，采用安全软件实现的对系统和网络进行监控l 一些高级进程管理工具具备进程监视、进程查杀、启动监控等多种功能，能提供详细的进程信息，显示系统隐藏进程，对当前网络进程进行监视并提供协议、端口、远程IP、状态、进程路径等信息；l 另外一些监视软件可对系统、设备、文件、注册表、网络、用户等进行全面监控，提供详细的时间、动作、状态等信息，并能将信息保存为日志以备分析使用。采用此类工具对系统进行实时监控能及时发现系统中的可疑行为和可能的木马入侵，这样就能及时发现异常情况并采取相应的措施将其消除于萌芽状态。运用此类系统监视工具与杀毒软件及防火墙相结合，能全方位实时保护系统安全。第十章 常用名词解释1、28VGA在彩色屏幕上，每个像素点都是由一组红、绿、蓝光汇聚而成。由于技术限制，三束光无法100地汇聚在一点上，因此会产生一种黄光网点的间隔，即点距。“28”就是指彩色显示器上的这种点距。点距越小，图像就越细腻、越清晰。而“VGA”是Video Graphics Array（视频图形阵列）的缩写。2、3DS又称3D Studio，全称为Three Dimension Studio，即三维摄影室。它是美国Autodesk公司推出的一套多功能三维动画软件，集实体造型、静态着色和动画创作于一体，极大地普及了三维造型技术。它能够与AutoCAD进行图形信息交换，可利用扫描仪输入图形，通过VGA与电视转换接口将动画输出至电视或录像带。3、Aactive Network（动态网络）动态网络上的各个节点经过编程处理，可以根据通过该节点的信息，执行定制化的任务。例如，一个节点可以经过编程或定制化处理，以一个单独用户为基础处理信息包，或者处理不同于其它信息包的多点传送信息包。动态网络的这种处理方法，在由移动用户构成的网络中尤为重要。4、访问控制访问控制是指按用户身份以及其所归属的某预定义组，来限制用户对某些信息项的访问，或限制对某些控制功能的使用。访问控制通常用于系统管理员控制用户对服务器、目录、文件等网络资源的访问。5、ACOPS（自动CPU过热保护）全称为Automatic CPU Overheat Prevention System。指某一类计算机主板的一种功能。此类主板在CPU插槽的中央有一个温度传感器，当计算机的CPU散热不佳，或散热风扇不转，导致CPU温度超出安全范围时，系统会通过喇叭发出警告并自动执行降温程序。6、ACPI（高级配置和电源管理接口）全称为Advanced Configuration and Power Management Interface。在Win 2000系统中，ACPI定义了Win 2000、BIOS和系统硬件之间的新型工作接口。这些接口包含了允许Win 2000控制电源管理和设备配置的机制。Wind 2000具有电源管理功能，可以让系统进入低电源消耗的“睡眠状态”，例如待机和休眠等，目的是为控制电脑的电源消耗。按下电源按钮后，Win 2000可重新“唤醒”系统，立即进入运行状态。7、ActiveX组件ActiveX组件是指某些可执行的代码或程序，例如.EXE、.DLL和.OCX文件。通过ActiveX技术，程序员能够将这些可复用的软件组装到应用程序或者服务程序中，再嵌入到网页中，随网页传送至客户的浏览器上，并在客户端执行。通过编程，ActiveX控件可与Web浏览器交互或与客户交互。8、AGP全称为Accelerated Graphics Port。是英特尔公司配合PentiumII处理器开发的，建立在PCI总线基础上的，专门针对3D图形处理的高效能总线标准。AGP插槽与PCI不兼容，其长度短于PCI插槽，AGP显示卡也不能插在PCI总线上。AGP最大的改进是达到了133MHz以上的数据传输速率，数据吞吐速度可以达到533MB秒以上。由于达到了这么高的传输速率，便可以将图形内存中的数据调入系统内存，从而大大地减轻图形内存的压力。9、AMIBIOSAMIBIOS历史最悠久的BIOS（基本输入/输出系统）芯片之一，可以说也是今天个人电脑中使用最为广泛的一种BIOS芯片。AMIBIOS由总部位于美国乔治亚州Norcross市的美国Megatrends公司生产。除了BIOS芯片之外，美国Megatrends公司还生产RAID系统，主板和其它一些电脑配件产品。10、CMOS（互补金属氧化物半导体存储器）全称Complementary Metal Oxide Semiconductor，字面含义为“互补金属氧化物半导体”。是目前为绝大多数电脑所使用的一种用电池供电的存储器（RAM）。它决定着微机系统的情况，是优化微机整体性能，进行系统维护的重要工具。它保存着一些有关系统硬件设置等方面的信息。关机以后，这些信息也继续存在。开机时，电脑需要通过这些信息来启动系统。如果不慎或