网吧常用安全技术

9.1ARP病毒攻击长期以来，局域网内经常会受到ARP病毒的攻击，其病毒攻击的原理是通过伪造IP地址和MAC地址实现ARP欺骗，破坏内网中的主机和路由器交换设备ARP高速缓存机制，症状严重时会造成网络流量增大、设备CPU利用率过高、交换机二层生成树环路、短时间内全部断网或部分断网、主机上网不稳定，或者交换机短时瘫痪等状况。9.1.1ARP地址解析协议在局域网中，IP数据包通过以太网进行发送。但以太网设备并不识别32位的IP地址，而是以48位以太网地址，传输以太网数据包（即以“帧”形式发送。）设备驱动程序从不检查IP数据报文中的目的IP地址。这就需要将IP目的地址转换成以太网目的地址。ARP就是用来确定这些映像的协议，既地址解析协议。所谓“地址解析”就是主机在发送帧前将目标IP地址转换成目标MAC地址的过程oARP协议的基本功能就是通过目标设备的IP地址，查询其MAC地址，以保证通信的顺利进行。每台装有TCP/IP协议的主机或服务器内都配有一个ARP缓存表，表内的IP地址与MAC地址——对应。ARP缓存表采用了老化机制，在同一段时间内如果表中的某一行没有使用，就会被删除，这样可以减少ARP缓存的长度，加快查询速度。ir址ir址21«719.10«J219^39.108,2MAC地址OtJ-aB-OO-6^13^03IP地址与MAC地址对应表假设（主机A）向（主机B）传送数据,ARP的工作过程为：首先主机A会在自己的ARP缓存表中寻找目标主机B的IP地址。若找到，也就知道了B的MAC地址，就可直接把目标MAC地址写入帧内发送给B；若未找到，主机A就会在同网段内发送一个以太网广播数据包，目标MAC地址是“FF.FF.FF.FF.FF.F”，即向同一网段内的所有主机发出这样的请求包，询问的MAC地址。此时，只有目的主机B在接收到这个帧时，会向A发出表述“的MAC地址是00-aa-00-64-f5-03”的一个含有IP和以太网地址对的数据应答包。而网络上的其它主机对ARP询问不会给予回应。这样，A就知道了B的MAC地址，也就可以向B传递信息了。同时，A将这个地址存入高速缓存，更新自己的ARP缓存表。下次再向主机B发送信息时，就可直接从ARP缓存表里查找。9.1.2ARP攻击原理通过ARP的工作原理可知，系统的ARP缓存表是可以随时更新的动态转换表，表中的IP和MAC是可以被修改的，这样，在以太网中就很容易实现ARP欺骗。ARP攻击可分为“中间人”攻击、MAC/CAM攻击、DHCP攻击、地址欺骗等，攻击形式表现为对外网和对内网PC机和网络交换机、DHCP服务的欺骗。9・1・2・1对内网IP/MAC的欺骗局域网内的每个主机都用一个ARP高速缓存，用于存放近期内IP地址到MAC硬件地址之间的映射纪录。缓存中的IP-MAC条目是根据ARP响应包动态变化的，因此只要网络上有ARP响应包发送到本机，就会更新ARP高速缓存中的IP-MAC条目。同时，即使收到的ARP应答并非自己请求得到的，主机也会将其插入到自己的ARP缓存表中，这就造成了“ARP欺骗”的可能。典型的攻击是MITM（man-in-the-middle,中间人攻击）。例如，当攻击者想探听同一网络中两台主机之间的通信（即使是通过交换机相连，也可探听），就分别向这两台主机发送一个ARP应答机，让两台主机都“误”认为对方的MAC地址是攻击者所在的主机，这样，双方看似“直接”的通讯连接，实际上都是通过“中间人”所在的主机间接进行的，攻击者只需更改数据包中的一些信息，就能做好转发工作，从而嗅探到用户账号密码等机密信息。目前利用ARP原理编制的工具十分简单易用，这些工具可以直接嗅探和分析FTP、POP3、SMB、SMTP、HTTP/HTTPS、SSH、MSN等超过30种应用的密码传输内容，随时切断指定用户的连接。当攻击者发送大量持续伪造的ARP包时，还会造成局域网中的机器ARP缓存混乱，上网不稳定。下图中，的MAC由原来的00-0f-3d-83-76-33被篡改为病毒主机的MAC00-90-f5-34-5a-23。该网段的网关地址的MAC被篡改，同时局域网内的部分MAC也被篡改为00-00-00-00-00，导致该网段的许多主机无法正常上网。nterface：219^219. 0x100S31ntcr-netflddi'ess.Phj/Qicalnddi^css219.219.±08,18-(10—39-04—219.219,丄GE&& 0000-00-flainyaklidflB-l丄一11887-da-0bd^naimic219.2190ei-B7-95-dc-66-50dyn范艸ic219,219-10^lild-13-Sf-fi9-69-4ddynafiiiic219.Z19.108.17300-02-3F-a872d3d<jnapii1c219,219,108.1^0&&-&c-?6?-Bic-92d^nwtlc0&-B0-0P-00-00-00inuailldinua.1id219.219.108-盘砂00-00-00-0W-fl0-B43inva.1id219.219.10S.216ea GG-81--e3dyna.nic被病毒主机攻击后的客户机ARP缓存表SWITCH的CAM欺骗SWITCH（交换机）上同样有着一个动态的MAC缓存。它会主动学习客户端的MAC地址，并建立维护端口和MAC地址的对应表，以此建立交换路径，这就是通常所说的CAM表。也称MAC-PORT缓存。CAM表的大小是固定的，不同交换机的CAM表的大小不同，开始时表内并无内容，交换机从来往数据帧中学习，CAM表也就不断地填充和更新。对CAM的攻击是指利用木马程序产生欺骗MAC,快速添瞒CAM表，CAM表被填瞒后，交换机以广播方式处理通过交换机的报文，以前正常的MAC和PORT对应的关系被破坏，这时攻击者就可利用各种嗅探攻击获取网络信息。CAM表填满后，流量会以洪泛方式发送到所有端口，同时TRUNK接口上的流量也会发给所有接口和邻接交换机，这就会造成交换机负载过大、网络缓慢、丢包，甚至是瘫痪。在ARP欺骗木马开始运行的时候，局域网有相当数量的主机MAC地址会被更新为病毒主机的MAC地址（即这些主机的MAC地址都一致为病毒主机的MAC地址），只有当ARP欺骗的木马程序停止运行时，才能恢复到真实的MAC地址。DHCP服务的攻击采用DHCPServer可以自动为用户设置网络IP地址、掩码、网关、DNS等网络参数，从而简化设置、提高效率。但DHCP的运作通常没有服务器和客户端的认证机制，病毒对其攻击的方式通常会表现为DHCPServer的冒充、DHCPServer的DOS攻击等。所谓冒充,就是耗尽DHCP服务器所能分配的IP地址，然后冒充合法的DHCP服务器，为用户分配一个经过修改的DNSServer，将用户在毫无察觉的情况下引导到预先配好的假网站，骗取其账户密码等机密信息。9.1.3ARP病毒分析ARP病毒多数属于木马程序或蠕虫类病毒，例如pwsteal.lemir或其变种。病毒运作机理大多是通过组件，用病毒文件覆盖掉操作系统中的一些驱动程序，然后用病毒的组件注册（并监视）为内核级驱动设备，同时负责发送指令操作驱动程序，例如发送ARP欺骗包、抓包，过滤包等。这些病毒程序的破坏表现症状为，欺骗局域网内所有主机和交换机，让局域网中总的信息流量必须经过病毒主机。原来直接通过交换机上网的其它用户，转而通过病毒主机上网，切换时会断线一次。由于ARP欺骗的木马程序发作时会发出大量的数据包导致局域网通讯堵塞，加之自身处理能力的限制，用户会感觉上网速度越来越慢。当ARP欺骗的木马程序停止运行，用户会恢复为从交换机上网。out-out-out.oul;■OU七■out•outdtiniEdtinrdtincclti-medtiniedtificdtimedtimedtxnedtimedtimedout-out-out.oul;■OU七■out•outdtiniEdtinrdtincclti-medtiniedtificdtimedtimedtxnedtimedtimedout「out.w.out,:from219,219.1uequLCStj&quesC:bqti.也占tj&questqitebt臨quecltbequestlequestIeque^tlequestFronai?,219.丄0孙.1：eplyfrom219_219_1B8.1-byt-ea*32ibytes=32t±ne*2pis木马程嗅探导致内网主机短时间断网过程9.1.4防御措施根据ARP病毒对网主机和交换机、DHCP服务器攻击的特点，在防治该病毒时也必须对这3个环节加强防护。然而，目前对ARP的防御还存在着设备技术有限、病毒专杀工具不完善，实施有一定难度等诸多问题，要完全克服ARP协议缺陷，找到更便捷有效的防御方法，仍然任重道远。应急措施发现病毒攻击时，首先应从病毒源头直接采取便捷的方法：1、在客户机上进入MS-DOS窗口，输入命令“arp-a”，查看网关IP所对应的正确的MAC地址，将其纪录下来。若此时已经不能上网，则先运行一次命令“arp-d”将arp缓存中的内容删空，计算机便可暂时恢复上网（攻击如果不停止的话），一旦能上网就立刻断开网络（禁用网卡或拔掉网线），然后再运行“arp-a”。2、取得网关的正确MAC地址后，不能上网的情况下，手工绑定网关IP和正确的MAC,可确保计算机不再被攻击影响。手工绑定的方法是，在MS-DOS窗口下运行命令“Arp-s网关IP网关MAC”。这时，类型会变为静态（static），也就不会再受到攻击的影响。但是，手工绑定在计算机重启后就会失效，需要再次绑定。对于这一问题，可写一个在每次开机时自动绑定的批处理文件：@echooffarp-darps网关IP网关MAC将文件中的网关IP地址和MAC地址更改为正确的网关IP地址和MAC地址，然后放入“windows-开始-程序-启动”中。但是，要想真正彻底根除攻击，只有找出网段内被病毒感染的计算机，然后杀毒。定期防御1、 对于交换设备，可使用可防御ARP攻击的交换机（例如思科等多功能交换机），综合运用portsecurityfeature、DHCPSnooping、DynamicARPinspectio（nDAI）、IPsourceguard等一些关键技术，来建立动态的IP+MAC+PORT对应表和绑定关系、实时控制ARP流量、建立DHCP嗅探匹配表等。并合理划分VLAN，进行端口隔离，彻底杜绝在交换环境中实施的“中间人”攻击、MAC/CAM攻击、DHCP攻击、地址欺骗等。2、 对于主机，应及时安装、更新防病毒软件，对内存和硬盘进行全面地防毒、杀毒。并及时下载ANTIARPSNIFFER等专杀工具，保护本地计算机的正常运行。3、 及时更新操作系统、升级IE、打上各种漏洞补丁。4、 不要随便共享文件或文件夹，必须共享时，也应先设置好权限，尽量不开放可写或可控制权限。不要随便打开或运行陌生、可疑的文件和程序，例如邮件中的陌生附件，外挂程序等。关闭一些不需要的服务，完全单机的用户可直接关闭SERVER服务。使用移动存储介质进行数据访问时，先对其进行病毒检查。操作系统应设置6位以上的密码。5、 使用网络防火墙软件。网络防火墙在防病毒过程中的作用至关重要，它能有效阻止来自网络的攻击和病毒入侵。9.2木马入侵木马（TrojanHorse，特洛伊木马）病毒的名称，来自于一个古希腊的特洛伊木马传说，现在专指为计算机入侵者打开方便之门的程序。在现今的网络上，特洛伊木马和蠕虫病毒、垃圾邮件已经一起构成了影响网络正常秩序的三大公害。自20世纪80年代早期出现第一例木马至今，20多年时间里，木马技术飞速发展。毫无疑问，今后木马技术仍将不断前进，功能会越来越多样、伪装术和入侵手段将会越来越高明。基于木马入侵的攻与防必将是网络安全领域一场旷日持久的对抗。9.2.1木马病毒的原理木马病毒属于客户/服务器模式，分为客户端和服务器端。服务器端程序骗取用户执行后，便植入计算机作为响应程序；客户端程序在黑客的计算机中执行，用于连接服务器端程序，以监视或控制远程计算机。典型的木马病毒是服务器端程序在服务器上打开一个特定端口进行监听，若有客户机向这台服务器的这一端口提出连接请求，服务器上的相应程序就会自动运行，来应答客户机的请求。服务器端程序与客户端建立连接后，由客户端发出指令，然后服务器执行这些指令后将数据传送至客户端。9.2.2木马入侵的步骤攻击者利用木马入侵他人电脑，一般按照如下步骤进行：1、配置木马为实现木马伪装和信息反馈，在对木马进行传播之前，黑客会对木马进行具体配置。2、传播木马木马传播的方式多种多样。例如，控制端可将巧妙伪装的木马程序以附件形式通过邮件发送出去，收信人只要打开附件，系统就会感染木马。或者也可通过软件下载，利用系统或软件的漏洞等进行木马传播，使木马入侵被控端。3、运行木马服务端用户运行木马或捆绑木马程序后，木马就会自动安装。首先木马会将自身拷贝到Windows的系统文件夹中，然后在注册表、启动组等位置设置好木马触发条件。4、实现远程控制控制端和服务端都在线时，控制端通过木马端口与服务端建立连接，然后就可通过木马程序对服务端进行远程控制。9.2.3木马病毒的特征1、隐蔽性强普通的木马服务器端运行后都会生成一个独立进程，较高级的木马（例如灰鸽子）则可以注册为系统后台服务，从而在任务管理器中实现进程隐藏。新型的DLL木马则会采用线程插入技术，将代码嵌入正在运行的系统进程中，从而实现高级隐藏。这种木马既无法通过进程管理器来查找，也不能直接终止进程的运行，危害巨大。2、 启动方式多样化木马一般会借助修改启动分区的Autoexec.bat批处理文件、自动执行功能文件AutoRun.inf、注册表中的相关启动项、系统配置文件system.ini和win.ini，以及与某类型文件（例如*.TXT、*.EXE等）建立文件关联等手段来实现程序的自动运行，从而达到随系统启动或满足触发条件即自动运行的目的。3、 伪装方式多样化为实现长期隐蔽，木马除使用常见文件名或扩展名（例如dll、win）或者仿制一些不易被人区别的文件名（例如svcHost.exe）等伪装手段外，还可能直接借用系统文件中已有的文件名（例如internetexplorer.exe）。有的还将服务端程序的图标修改成HTML、TXT等文件的图标，具有极大的欺骗性。同时木马还可以和其它可执行文件（例如FLASH动画、不可信任站点的系统补丁程序等）进行捆绑。此外木马还具有自我销毁的伪装术，新型木马还能定制端口。4、通讯方式多样化第一、二代木马采用的是传统的C/S模式。即远程主机开放监听端口等待外部连接，客户端主动发出请求，使用TCP建立连接，进行通讯。而第三代木马则采用“反弹端口”连接技术，建立连接不再由客户端主动进行，而是由服务端完成，这种方式可以穿透一定设置的防火墙。为增强隐蔽性，许多木马程序选择使用UDP而放弃TCP通讯协议，通讯双方只在传送数据的短暂时间里会打开端口。而ICMP木马更是不用连接端口进行通讯，只需将木马服务器端伪装成一个ping.exe的进程，传送ICMP_ECHO封包，修改封包ICMP表头结构，加上木马控制信息传送至木马程序客户端，服务器端则通过接收到的ICMP_ECHOREPLY封包的大小和ICMP_SEQ特征来判断接收并从中获得指令和数据信息。5、功能强大新型木马程序功能齐全，主要有：窃取密码：这是其最常见的功能，通过密码破解，黑客最终将完全控制远程计算机,还可通过记录键盘输入窃取银行账户密码等；文件操作：控制端可通过木马程序对服务端的文件进行删除、新建、修改、上传、下载等一系列操作；修改注册表：控制端可任意修改服务端注册表；系统操作：包括重启或关闭服务端操作系统、断开网络连接、控制服务端鼠标和键盘、监视服务端桌面操作等。9.2.4防护策略要做好安全防护，首先必须了解安全的薄弱环节所在。安全漏洞主要来自以下三方面：软件自身安全性差：操作系统本身的设计问题所带来的漏洞，此类漏洞会被运行在该系统之上的应用程序所继承；应用软件程序的漏洞；安全策略不当：许多用户仅仅使用个别的安全工具进行防护，而不是有针对性的、各有侧重的采用多种安全工具来保护系统安全；计算机用户缺乏安全意识：许多用户在使用网络资源时，安全意识淡薄，所以木马采用心理欺骗的入侵方法往往极易成功。这三个方面所产生的安全漏洞都可能被黑客利用，成为木马入侵的突破口，因此必须进行全面的系统安全防护。9.24.1打造坚实的系统防护1、用户管理策略黑客可以通过猜测用户弱口令、破解用户密码等手段进行基于认证的入侵，然后植入木马作为后门，对此，必须做好如下用户管理工作：停用来宾帐户，清除其它不必要的帐户；设定坚固的安全密码，例如采用复杂的密码、设定密码最小长度并定期更换密码；正确设置帐户锁定策略，阻止入侵者不断尝试破解登录密码的企图。2、文件共享策略谨慎设置文件共享，确有需要时才开放文件共享，进行正确的用户设置。养成良好的习惯，共享完毕后及时关闭。关闭默认共享“IPC$（命名管道）”是系统特有的一项管理功能，主要用来远程管理计算机，IPC入侵是黑客入侵的惯用手段之一，也可能成为木马入侵的突破口。对此应进行如下设置：通过修改注册表删除默认共享。个人用户也可通过在控制面板的服务管理器中关闭Server服务来解决；通过修改注册表禁止空连接，以此杜绝入侵者的反复试探性连接。3、堵住漏洞操作系统和应用软件漏洞也是黑客入侵的突破口之一，对于可以登录访问Internet微软官方网站的用户，建议开启Windows的自动更新功能。对于无法进行自动更新的用户，建议采用手动更新，用专用安全工具进行漏洞检查，然后到相关的可信任安全站点下载补丁进行手动安装。对于安装的应用软件，也应随时关注官方网站公布的安全消息，及时升级。4、 堵住黑客的入口端口是计算机与外部网络相连的连接枢纽，也是木马入侵计算机的第一道屏障，所以端口配置正确与否将直接影响到计算机的安全。为安全考虑应，应当关闭平时不常使用的协议和端口。例如，关闭135端口避免冲击波病毒攻击；若计算机不提供也不使用文件和打印共享服务时，可在TCP/IP设置项目中禁用NETBIOS服务，即关闭137、138、139端口；关闭445端口避免黑客刺探系统相关信息；关闭3389端口防止黑客通过远程终端服务默认端口进行入侵。对于其它木马或蠕虫病毒的默认端口或不安全端口，可以使用专用安全工具或对注册表进行操作等方法进行关闭。5、 关闭不必要的服务Windows操作系统提供了很多系统服务以方便管理，但开启太多服务在给用户本身带来方便的同时，也给入侵者打开了方便之门，因此可以根据需要在服务管理器中进行设置，在允许的情况下禁止可能为黑客入侵提供方便的服务。设置原则是“最小的权限+最少的服务=最大的安全”。使用安全工具软件保护系统安全在做好操作系统本身的安全防护工作的基础之上，还应借助安全工具软件来保护系统的安全运行。安装防病毒软件和网络防火墙就是一种比较合适的选择。1、防病毒软件，例如金山毒霸、瑞星杀毒软件等都具备强大的防病毒功能，除具有全面的杀毒功能之外，还能对内存、网页、文件、引导区、邮件、注册表等项目和漏洞攻击进行实时监控。安装此类防病毒软件和相应的最新升级包，并做好正确