高校網(wǎng)絡攻擊問題與防范策略研究

1、高校網(wǎng)絡攻擊問題與防范策略研究1高校典型病毒攻擊分析病毒攻擊仍然是高校最重要的、最廣泛的網(wǎng)絡攻擊現(xiàn)象，隨著病毒攻擊原理以及方法不 斷變化，病毒攻擊仍然為最嚴峻的網(wǎng)絡安全問題。1.1典型病毒攻擊以及防范措施ll.l arp木馬病毒當局域網(wǎng)內(nèi)某臺主機運行arp欺騙的木馬程序時，會欺騙局域網(wǎng)內(nèi)所冇主機和路由器, 迫使局域網(wǎng)所有主機的arp地址表的網(wǎng)關mac地址更新為該主機的mac地址，導致所有 局域網(wǎng)內(nèi)上網(wǎng)的計算機的數(shù)據(jù)首先通過該計算機再轉發(fā)出去，用戶原來直接通過路由器上網(wǎng) 現(xiàn)在轉由通過該主機上網(wǎng)，切換的時候用戶會斷線一次。由于arp欺騙的木馬程序發(fā)作的 時候會發(fā)出大量的數(shù)據(jù)包導致局域網(wǎng)通訊擁塞以及

2、其自身處理能力的限制，川戶會感覺上網(wǎng) 速度越來越慢。當arp欺騙的木馬程序停止運行時，用戶會恢復從路由器上網(wǎng)，切換過程 中用戶會再斷一次線。arp木馬病毒會導致整個局域網(wǎng)網(wǎng)絡運行不穩(wěn)定，時斷時通。防范措施：可以借助nbtscan工具來檢測局域網(wǎng)內(nèi)所白主機真實的ip與mac地址 對應表，在網(wǎng)絡不穩(wěn)定狀況下，以arp-a命令查看主機的arp緩存表，此時網(wǎng)關ip對應的 mac地址為感染病毒主機的mac地址，通過“nbtscan -r /24”掃描/24 網(wǎng)段查看所冇主機真實ip和mac地址表，從而根據(jù)ip確定感染病毒主機。也可以通過 sniffer或者ir

3、is偵聽工具進行抓取異常數(shù)據(jù)包，發(fā)現(xiàn)感染病毒主機。另外，未雨綢繆，建議川戶采川雙向綁定的方法解決并h防止arp欺騙，在計算機上 綁定正確的網(wǎng)關的ip和網(wǎng)關接口 mac地址，在正常情況下，通過arp-a命令獲取網(wǎng)關ip 和網(wǎng)關接口的mac地址，編寫一個批處理文件farp.bat內(nèi)容如下：echo offarp -d （清零arp緩存地址表）arp -s 5400-22-aa-00-22-aa （綁定正確網(wǎng)關 ip 和 mac 地址）把批處理放置開始-程序-啟動項中，使z隨計算機重起自動運行，以避免arp病毒的 欺騙。1.1.2 w32blaster 蠕蟲w32.blaste

4、r是一種利用dcom rpc漏洞進行傳播的嬌蟲，傳播能力很強。嬌蟲通過 tcp/135進行探索發(fā)現(xiàn)存在漏洞的系統(tǒng)，一旦攻擊成功，通過tcp/4444端口進行遠程命令控 制，最后通過在受感染的計算機的udp/69端口建立tftp服務器進行上傳蠕蟲h己的二進制 代碼程序msblast.exe加以控制與破壞，該蠕蟲傳播時破壞了系統(tǒng)的核心進程svchost.exe, 會導致系統(tǒng)rpc服務停止，因此可能引起其他服務（如iis）不能正常工作，出現(xiàn)比如拷 貝、粘貼功能不工作，無法進入網(wǎng)站頁面鏈接等等現(xiàn)彖，嚴垂時并口j能造成系統(tǒng)崩潰和反復 重新啟動。1.1.3 w32.nachi.worm 蠕蟲w32.nac

5、hi.worm 蠕蟲（以下簡稱 nachi 蠕蟲）利用 了 microsoft windows dcom rpc 接口 遠程緩沖區(qū)溢出漏洞和microsoft windows 2000 webdav遠程緩沖區(qū)溢出漏洞進行傳播。如 果該蠕蟲發(fā)現(xiàn)被感染的機器上有“沖擊波”蠕蟲,則殺掉“沖擊波”蠕蟲,并為系統(tǒng)打上補丁程 序，但由于程序運行上下文的限制，很多系統(tǒng)不能被打上補丁，并被導致反復重新啟動。 nachi蠕蟲感染機器后，會產(chǎn)牛人量長度為92字節(jié)的icmp報文，從而嚴重影響網(wǎng)絡性能。1.1.4 w32.sasser 蠕蟲病毒w32.sasser蠕蟲病毒利川了本地安全驗證子系統(tǒng)(local secu

6、rity authority subsystem, lsass)里的一個緩沖區(qū)溢出錯課，從而使得攻擊者能夠取得被 感染系統(tǒng)的控制權。役蕩波病毒會利用tcp端口 5554架設一個ftp服務器。同時，它 使用tcp端口 5554隨機搜索internet的網(wǎng)段，尋找其它沒有修補lsass錯誤的 windows 2000和windows xp系統(tǒng)。震蕩波病毒會發(fā)起128個線程來扌打描隨機的ip地址, 并連續(xù)偵聽從tcp端口 1068開始的各個端口。該蠕蟲會使計算機運行緩慢、網(wǎng)絡堵塞、 并讓系統(tǒng)不停的進行倒計時重啟。端蟲病毒防范措施：用戶首先耍保證計算機系統(tǒng)的不斷更新，高校町建立微軟的wsus 系統(tǒng)保證

7、川戶計算機系統(tǒng)的及時快速升級，另外用戶必須安裝可持續(xù)升級的殺毒軟件，沒冇 及時升級殺毒軟件也是同樣危險的，高校網(wǎng)絡管理部門出臺相應安全政策以及保證對用戶定 時的安全培訓也是相當重要的。川戶本地計算機口 j采取些輔助扭施保護計算機系統(tǒng)的安全, 如本地硬盤克隆、局域網(wǎng)碩盤克隆技術等。2高校家屬區(qū)網(wǎng)絡攻擊分析2.1 adsl 貓(modem)攻擊adsl攻擊主要發(fā)生在高校家屬區(qū),adsl作為一種寬帶接入方式已經(jīng)被廣大用戶接受, 家屬用戶通過一臺adsl路由器撥號，利用adsl的nat功能實現(xiàn)多臺計算機同時上網(wǎng)， 最常見的安全問題就是用戶沒冇修改路由器的初始配置密碼，一般的adsl路由器冇一個 默認的

8、配置密碼,且默然開放web (80)和telnet (23)服務端口，內(nèi)網(wǎng)黑客很容易利 用工具如adsl終結者通過這些默然密碼以web和telnet方式進入adsl管理平臺， 加以改變數(shù)據(jù)以及關閉adsl路由器，再者多數(shù)adsl路由器管理系統(tǒng)存在代碼漏洞，黑 客可以利用這些漏洞使adsl路由器重復死機或者不斷重起。解決辦法：用戶及時修改adsl默認密碼，用戶可以通過如admin-> port setting中對 adsl路由器餓http、telnet的服務端口更換掉，使用61000-62000中任意一個，對大 部分用戶來說可以關閉一些服務端口，以免黑客掃描得逞。3 內(nèi)網(wǎng)sniffer的威

9、脅sniffer中文翻譯過來就是嗅探器，在當前網(wǎng)絡技術中使川得非常得廣泛，sniffer既可以 做為網(wǎng)絡故障的診斷工具,也可以作為黑客嗅探和監(jiān)聽的工具，比較有名的工具如tcpdump、 sniffitx sniffer pro iris 等，在 sniffer z前一般要安裝 winpcap 驅動(windows packet capture), 它是windows平臺卜-一個免費，公共的網(wǎng)絡訪問系統(tǒng)。開發(fā)winpcap這個項目的目的在于為 win32應用程序提供訪問網(wǎng)絡底層的能力。它提供了以下的各項功能：(1)捕獲原始數(shù)據(jù)報， 包括在共亨網(wǎng)絡上各主機發(fā)送/接收的以及相互之間交換的數(shù)據(jù)報；(2

10、)在數(shù)據(jù)報發(fā)往應用程 序z前，按照自定義的規(guī)則將某些特殊的數(shù)據(jù)報過濾掉；(3)在網(wǎng)絡上發(fā)送原始的數(shù)據(jù)報； 收集網(wǎng)絡通信過程中的統(tǒng)計信息。wi叩cap的主要功能在于獨立于主機而發(fā)送和接收原始 數(shù)據(jù)報。也就是說，winpcap不能阻塞，過濾或控制其他應用程序數(shù)據(jù)報的發(fā)收，它僅僅只 是監(jiān)聽共亨網(wǎng)絡上傳送的數(shù)據(jù)報。sniffe的檢測：sniffer可以利用網(wǎng)卡處于混雜模式抓取非法數(shù)據(jù)，造成正常用戶數(shù)據(jù)泄 銘，可以利川網(wǎng)卡正常模式和混雜模式對廣播地址的理解區(qū)別來檢測sniffer,正常情況f， 網(wǎng)卡檢測是不是廣播地址要以目的以太網(wǎng)址是否等于ff.ff.ff.ff.ff.ff為標準，網(wǎng)卡在混亂模式 時，網(wǎng)卡檢測則是數(shù)據(jù)包的口的以太網(wǎng)址的第一個八位組值，是oxff則認為是廣播地址。利 用這點細微差別就可以檢測出sniffer.o也可以采取故意往局域網(wǎng)一試驗機發(fā)送人量數(shù)據(jù)， 由于混雜模式sniffer的主機疲于抓取人量數(shù)據(jù)，很容易通過檢測如p1ng各計算機的反