高校网络攻击问题与防范策略研究

1、高校网络攻击问题与防范策略研究摘要随着高校教育信息化的不断深化开展，高校的网络平安问题也日益呈现突出，本文分析了高校主要的网络攻击平安问题，提出了相应的平安防范措施。关键词病毒攻击ARP欺骗近几年来，随着全国高校教育信息化的深化开展，稳定的网络和计算机系统成为教育信息化的重要保障，网络及信息平安也成为高校关注焦点之一。本文通过研究分析高校网络典型的平安问题，将从病毒攻击、ARP欺骗攻击、ADSL攻击等方面入手，给出了防范策略和保护措施。病毒攻击仍然是高校最重要的、最广泛的网络攻击现象，随着病毒攻击原理以及方法不断变化，病毒攻击仍然为最严峻的网络平安问题。1.1典型病毒攻击以及防范措施1.1.1

2、ARP木马病毒当局域网内某台主机运行ARP欺骗的木马程序时，会欺骗局域网内所有主机和路由器，迫使局域网所有主机的arp地址表的网关A地址更新为该主机的A地址，导致所有局域网内上网的计算机的数据首先通过该计算机再转发出去，用户原来直接通过路由器上网如今转由通过该主机上网，切换的时候用户会断线一次。由于ARP欺骗的木马程序发作的时候会发出大量的数据包导致局域网通讯拥塞以及其自身处理才能的限制，用户会感觉上网速度越来越慢。当ARP欺骗的木马程序停顿运行时，用户会恢复从路由器上网，切换过程中用户会再断一次线。ARP木马病毒会导致整个局域网网络运行不稳定，时断时通。防范措施：可以借助NBTSAN工具来检

3、测局域网内所有主机真实的IP与A地址对应表，在网络不稳定状况下，以arpa命令查看主机的Arp缓存表，此时网关IP对应的A地址为感染病毒主机的A地址，通过“Nbtsanr/24扫描/24网段查看所有主机真实IP和A地址表，从而根据IP确定感染病毒主机。也可以通过SNIFFER或者IRIS侦听工具进展抓取异常数据包，发现感染病毒主机。另外，未雨绸缪，建议用户采用双向绑定的方法解决并且防止ARP欺骗，在计算机上绑定正确的网关的IP和网关接口A地址，在正常情况下，通过arpa命令获取网关IP和网关接口的A地址，编写一个批处理文件farp.bat内容如下：ehffarpd清零ARP缓存地址表arp-s

4、5400-22-aa-00-22-aa绑定正确网关IP和A地址把批处理放置开场-程序-启动项中，使之随计算机重起自动运行，以防止ARP病毒的欺骗。1.1.232.Blaster蠕虫32.Blaster是一种利用DRP破绽进展传播的蠕虫，传播才能很强。蠕虫通过TP/135进展探究发现存在破绽的系统，一旦攻击成功，通过TP/4444端口进展远程命令控制，最后通过在受感染的计算机的UDP/69端口建立tftp效劳器进展上传蠕虫自己的二进制代码程序sblast.exe加以控制与破坏，该蠕虫传播时破坏了系统的核心进程svhst.exe，会导致系统RP效劳停顿，因此可能引起其他效劳如IIS不能正常工作，出

5、现比方拷贝、粘贴功能不工作，无法进入网站页面链接等等现象，严重时并可能造成系统崩溃和反复重新启动。1.1.332.Nahi.r蠕虫32.Nahi.r蠕虫(以下简称Nahi蠕虫)利用了irsftindsDRP接口远程缓冲区溢出破绽和irsftinds2000ebDAV远程缓冲区溢出破绽进展传播。假如该蠕虫发现被感染的机器上有“冲击波蠕虫，那么杀掉“冲击波蠕虫，并为系统打上补丁程序，但由于程序运行上下文的限制，很多系统不能被打上补丁，并被导致反复重新启动。Nahi蠕虫感染机器后，会产生大量长度为92字节的IP报文，从而严重影响网络性能。1.1.432.sasser蠕虫病毒32.sasser蠕虫病毒

6、利用了本地平安验证子系统LalSeurityAuthritySubsyste，LSASS里的一个缓冲区溢出错误，从而使得攻击者可以获得被感染系统的控制权。震荡波病毒会利用TP端口5554架设一个FTP效劳器。同时，它使用TP端口5554随机搜索Internet的网段，寻找其它没有修补LSASS错误的inds2000和indsXP系统。震荡波病毒会发起128个线程来扫描随机的IP地址，并连续侦听从TP端口1068开场的各个端口。该蠕虫会使计算机运行缓慢、网络堵塞、并让系统不停的进展倒计时重启。蠕虫病毒防范措施：用户首先要保证计算机系统的不断更新，高校可建立微软的SUS系统保证用户计算机系统的及时

7、快速晋级，另外用户必须安装可持续晋级的杀毒软件，没有及时晋级杀毒软件也是同样危险的，高校网络管理部门出台相应平安政策以及保证对用户定时的平安培训也是相当重要的。用户本地计算机可采取些辅助措施保护计算机系统的平安，如本地硬盘克垄局域网硬盘克隆技术等。2.1ADSL猫DE攻击ADSL攻击主要发生在高校家属区，ADSL作为一种宽带接入方式已经被广阔用户承受，家属用户通过一台ADSL路由器拨号，利用ADSL的NAT功能实现多台计算机同时上网，最常见的平安问题就是用户没有修改路由器的初始配置密码，一般的ADSL路由器有一个默认的配置密码，且默然开放EB80和TELNET23效劳端口，内网黑客很容易利用工

8、具如ADSL终结者通过这些默然密码以EB和TELNET方式进入ADSL管理平台，加以改变数据以及关闭ADSL路由器，再者多数ADSL路由器管理系统存在代码破绽，黑客可以利用这些破绽使ADSL路由器重复死机或者不断重起。解决方法：用户及时修改ADSL默认密码，用户可以通过如adin-prtsetting中对ADSL路由器饿HTTP、TELNET的效劳端口更换掉，使用6100062000中任意一个，对大局部用户来说可以关闭一些效劳端口，以免黑客扫描得逞。sniffer中文翻译过来就是嗅探器，在当前网络技术中使用得非常得广泛，sniffer既可以做为网络故障的诊断工具，也可以作为黑客嗅探和监听的工具

9、，比拟有名的工具如Tpdup、Sniffit、Snifferpr、Iris等，在Sniffer之前一般要安装inpap驱动(indspaketapture)，它是inds平台下一个免费，公共的网络访问系统。开发inpap这个工程的目的在于为in32应用程序提供访问网络底层的才能。它提供了以下的各项功能：(1)捕获原始数据报，包括在共享网络上各主机发送/接收的以及互相之间交换的数据报；(2)在数据报发往应用程序之前，按照自定义的规那么将某些特殊的数据报过滤掉；(3)在网络上发送原始的数据报；(4)搜集网络通信过程中的统计信息。inpap的主要功能在于独立于主机而发送和接收原始数据报。也就是说，i

10、npap不能阻塞，过滤或控制其他应用程序数据报的发收，它仅仅只是监听共享网络上传送的数据报。Sniffe的检测：Sniffer可以利用网卡处于混杂形式抓取非法数据，造成正常用户数据泄露，可以利用网卡正常形式和混杂形式对播送地址的理解区别来检测sniffer，正常情况下，网卡检测是不是播送地址要以目的以太网址是否等于ff.ff.ff.ff.ff.ff为标准，网卡在混乱形式时，网卡检测那么是数据包的目的以太网址的第一个八位组值，是0 xff那么认为是播送地址。利用这点细微差异就可以检测出Sniffer.。也可以采取成心往局域网一试验机发送大量数据，由于混杂形式Sniffer的主机疲于抓取大量数据，很容易通过检测如PING各计算机