贵州师范大学校园网安全基础知识培训.ppt

贵州师范大学校园网安全基础知识培训,学校办公室、宣传部组织 网络与信息中心承办,贵州师范大学网络与信息中心,2,2007年12月28日,主要内容,校园网近期安全问题 常用解决办法 个人电脑安全防护,贵州师范大学网络与信息中心,3,2007年12月28日,校园网近期安全问题,ARP攻击 流氓软件 木马软件,贵州师范大学网络与信息中心,4,2007年12月28日,ARP攻击,什么是ARP攻击？ 利用ARP协议本身的缺陷进行的一种非法攻击，目的是为了在全交换环境下实现数据监听。通常这种攻击方式可能被病毒、木马或者有特殊目的攻击者使用。,贵州师范大学网络与信息中心,5,2007年12月28日,ARP攻击-后果,如果局域网中的某台或某些电脑中毒后会向同网段内所有计算机发ARP欺骗包，导致网络内其它电脑因网关物理地址被更改而无法上网，受到ARP攻击的电脑典型症状是刚开机能上网，几分钟之后断网，过一会又能上网，或者重启一遍电脑就可以上网，一会又不好了，如此不断重复，造成校园网的不稳定，影响正常工作。,贵州师范大学网络与信息中心,6,2007年12月28日,ARP攻击-已知攻击类型,ARP 欺骗 ARP MAC 洪泛 ARP 木马 ARP 网页劫持病毒,贵州师范大学网络与信息中心,7,2007年12月28日,ARP 欺骗,伪造IP地址和MAC地址实现ARP欺骗，在C类网络中产生大量的ARP通信量，使网络阻塞 ，用户机找不到网关IP。,贵州师范大学网络与信息中心,8,2007年12月28日,ARP MAC 洪泛,不断发送大量假IP-MAC地址的数据包，破坏正常的MAC和Port对应的关系，造成交换机 MAC-PORT缓存的崩溃,使整个网络不能正常通信。,贵州师范大学网络与信息中心,9,2007年12月28日,ARP 木马,当局域网内某台主机运行ARP欺骗的木马程序时，会欺骗局域网内所有主机和路由，让所有上网的流量必须经过病毒主机。其他用户原来直接通过路由网关上网现在转由通过病毒主机上网，切换的时候用户会断一次线。切换到病毒主机上网后，如果用户已经登陆了QQ，那么病毒主机就会经常伪造断线的假像，那么用户就得重新登录QQ，这样病毒主机就可以盗号了。 由于ARP欺骗的木马程序发作的时候会发出大量的数据包导致局域网通讯拥塞以及其自身处理能力的限制，用户会感觉上网速度越来越慢。当ARP欺骗的木马程序停止运行时，用户会恢复从路由网关上网，切换过程中用户会再断一次线。,贵州师范大学网络与信息中心,10,2007年12月28日,ARP 网页劫持病毒,ARP网页劫持病毒会向网络内发送ARP欺骗数据包，挟持网关（或内部网站）MAC地址，导致同一网段内的主机访问指定的web地址（内部或外部）时，会话会首先通过受病毒感染的主机，该主机会寻找HTTP响应包，在包中加入代码，使得访问正常网站时被指向到病毒网站。,贵州师范大学网络与信息中心,11,2007年12月28日,贵州师范大学网络与信息中心,12,2007年12月28日,ARP攻击-传播途径,目前已知的ARP病毒的传播途径 通过外挂程序传播 通过网页传播 通过其他木马程序传播 通过即时通讯软件传播（QQ、MSN） 通过共享传播（网络共享、P2P软件共享）,贵州师范大学网络与信息中心,13,2007年12月28日,校园网近期安全问题,ARP攻击 流氓软件 木马软件,贵州师范大学网络与信息中心,14,2007年12月28日,流氓软件,广告软件：未经用户允许，下载并安装在用户电脑上；或与其他软件捆绑，通过弹出式广告等形式牟取商业利益； 间谍软件：一种能够在用户不知情的情况下，在其电脑上安装后门、收集用户信息的软件； 浏览器劫持：一种恶意程序，通过浏览器插件、BHO(浏览器辅助对象)、WinsockLSP等形式对用户的浏览器进行篡改，使用户的浏览器配置不正常，被强行引导到商业网站； 行为记录软件：未经用户许可，窃取并分析用户隐私数据，记录用户电脑使用习惯、网络浏览习惯等个人行为的软件； 恶意共享软件：某些共享软件为了获取利益，采用诱骗手段，试用陷阱等方式强迫用户注册，或在软件体内捆绑各类恶意插件，未经允许即将其安装到用户机器里。,贵州师范大学网络与信息中心,15,2007年12月28日,十大流氓软件,贵州师范大学网络与信息中心,16,2007年12月28日,浏览器劫持,浏览器自动关闭 默认主页被篡改(默认主页被禁止修改) 自动弹出多个页面,贵州师范大学网络与信息中心,17,2007年12月28日,校园网近期安全问题,ARP攻击 流氓软件 木马软件,贵州师范大学网络与信息中心,18,2007年12月28日,木马软件,木马软件是一个服务器/客户端程序。黑客在电脑上运行着木马的服务器端程序，搜集木马的客户端程序发来的信息。采用欺骗、伪装的手段使用户运行木马的客户端程序，例如放在邮件里，用诱人的标题骗用户去打开运行；或者捆绑在一些常用软件里让用户运行，或者混在网页上的插件里自动安装等等。一旦用户运行之后，就藏在用户的机器里，在用户开机上网以后，伺机搜集用户的个人信息，偷偷地利用网络把这些信息打包发送给服务器端。也就是说，一旦中了木马，那么用户的秘密就很有可能泄露出去。例如，用户的QQ密码，网上银行的密码，邮箱密码，等等。,贵州师范大学网络与信息中心,19,2007年12月28日,常用解决办法,ARP攻击的解决方案 清除流氓软件 清除木马的一般方法,贵州师范大学网络与信息中心,20,2007年12月28日,ARP攻击的解决方案,第一：判定局域网内是否有ARP攻击 系统频繁掉线 网速突然变慢 使用ARP a命令发现网关的MAC地址不停的变换 打开的常用学校网站上有不正常的广告信息,贵州师范大学网络与信息中心,21,2007年12月28日,ARP攻击的解决方案,第二：查找正在进行ARP攻击的主机 1、在知道正确的网关MAC的情况下，通过ARP a命令看到的另一个网关MAC就是攻击主机的MAC 2、安装ARP防火墙 ArpFix 安全卫士360的ARP防火墙 arp -s xxx.xxx.xxx.xxx xx-xx-xx-xx-xx-xx（手动绑定网关） 注意：同一时间只能使用一种ARP防火墙，另不能启用瑞星2008版本的ARP防火墙，否则将影响整个局域网性能 3、使用ARP保护程序发现攻击主机 ArpFix 安全卫士360的ARP防火墙 IP-MacScan Ipconfig/all,贵州师范大学网络与信息中心,22,2007年12月28日,ARP攻击的解决方案,如何处理感染主机 发现感染主机，第一时间拔掉网线 按照安全手册重新安装操作系统,贵州师范大学网络与信息中心,23,2007年12月28日,ARP攻击的解决方案,如何预防感染ARP病毒？ 关闭不必要的共享 及时安装系统补丁程序 安装防病毒软件并及时升级病毒库 不随便运行来历不明的程序 不访问一些来历不明的链接,贵州师范大学网络与信息中心,24,2007年12月28日,常用解决办法,ARP攻击的解决方案 清除流氓软件 清除木马的一般方法,贵州师范大学网络与信息中心,25,2007年12月28日,清除流氓软件,常用软件 趋势杀毒软件 魔法兔子 安全卫士360,贵州师范大学网络与信息中心,26,2007年12月28日,修复IE浏览器,超级兔子IE管理专家 安全卫士360 IERegFix 瑞星卡卡上网助手 金山IE修复工具,贵州师范大学网络与信息中心,27,2007年12月28日,常用解决办法,ARP攻击的解决方案 清除流氓软件 清除木马的一般方法,贵州师范大学网络与信息中心,28,2007年12月28日,清除木马的一般方法,判断本地是否有病毒木马程序 系统运行突然变慢 杀毒软件查出病毒,但是无法清除也无法隔离 启动系统后不做任何网络操作 运行 netstat an 命令 启动系统后不做任何网络操作，几分钟后 运行 netstat s命令 查看系统进程中是否有可疑进程(例如Svohost.exe) 将可疑进程的名字到网上去查找看是否有相关资料 查看系统启动项里是否有可疑进程 msconfig,贵州师范大学网络与信息中心,29,2007年12月28日,清除木马的一般方法,断开网络查杀 如果清除不掉，切换到安全模式，查杀,贵州师范大学网络与信息中心,30,2007年12月28日,个人电脑安全防护,装机安全 密码设置 配置安全,贵州师范大学网络与信息中心,31,2007年12月28日,个人电脑安全防护,1、装机安全 联网前的工作 安装如下补丁所需的补丁程序请使用其它移动介质拷贝到相应的机器上。 win2000 W2ksp4_cn.exe Windows2000-KB828741-x86-CHS.EXE Windows2000-KB835732-x86-CHS.EXE winxp Xpsp2_cn.exe 在校园网上安装趋势企业版杀毒软件 88:4343/officescan/console/html/ClientInstall/officescannt.htm,贵州师范大学网络与信息中心,32,2007年12月28日,密码设置,密码选择：易记不易猜 床前明月光 疑是地上霜 举头望明月 低头思故乡 Cyjd！1 密码策略 不少于6位 定期更换 连续登陆3次错误，锁定账号3分钟 不用生日，姓名和英