局域网信息安全与冰河病毒防范.doc

信息工程学院课程结课论文局域网信息安全与冰河病毒防范课程名称：计算机系统安全 专 业：计算机应用技术 班级：计算机民专12 学号：5032108101 5032108103姓名：多斯坦.多曼 萨木哈尔 任课教师：邬欢欢 计算机系统安全课程结课论文局域网信息安全与冰河病毒防范摘要:随着计算机网络的不断发展和普及，计算机网络带来了无穷的资源，信息化的不断扩展，各类网络版应用软件推广应用，计算机网络在提高数据传输效率，实现数据集中、数据共享等方面发挥着越来越重要的作用，网络与信息系统建设已逐步成为各项工作的重要基础设施。本论文主要是为了确保各项工作的安全高效运行，保证网络信息安全以及网络硬件及软件系统的正常顺利运转是基本前提，因此计算机网络和系统安全建设就显得尤为重要。域网的信息安全与病毒防范。关键词：LAN；网络安全；网络威胁；信息安全；病毒防治正文:随着局域网络技术的发展和社会信息化进程的加快,现在人们的生活、工作、学习、娱乐和交往都已离不开计算机网络。现今，全球网民数量已接近7亿，网络已经成为生活离不开的工具，经济、文化、军事和社会活动都强烈地依赖于网络。网络环境的复杂性、多变性以及信息系统的脆弱性、开放性和易受攻击性，决定了网络安全威胁的客观存在。尽管计算机网络为人们提供了巨大的方便，但是受技术和社会因素的各种影响，计算机网络一直存在着多种安全缺陷。攻击者经常利用这些缺陷，实施攻击和入侵，给计算机网络造成极大的损害网络攻击、病毒传播、垃圾邮件等迅速增长，利用网络进行盗窃、诈骗、敲诈勒索、窃密等案件逐年上升，严重影响了网络的正常秩序，严重损害了网民的利益；网上色情、暴力等不良和有害信息的传播，严重危害了青少年的身心健康。网络系统的安全性和可靠性正在成为世界各国共同关注的焦点。 根据中国互联网信息中心2006年初发布的统计报告显示：我国互联网网站近百万家，上网用户1亿多，网民数和宽带上网人数均居全球第二。同时，网络安全风险也无处不在，各种网络安全漏洞大量存在和不断被发现，计算机系统遭受病毒感染和破坏的情况相当严重，计算机病毒呈现出异常活跃的态势。面对网络安全的严峻形势，我国的网络安全保障工作尚处于起步阶段，基础薄弱，水平不高，网络安全系统在预测、反应、防范和恢复能力方面存在许多薄弱环节，安全防护能力不仅大大低于美国、俄罗斯和以色列等信息安全强国，而且排在印度、韩国之后。在监督管理方面缺乏依据和标准，监管措施不到位，监管体系尚待完善，网络信息安全保障制度不健全、责任不落实、管理不到位。网络信息安全法律法规不够完善，关键技术和产品受制于人，网络信息安全服务机构专业化程度不高，行为不规范，网络安全技术与管理人才缺乏。面对网络安全的严峻形势，如何建设高质量、高稳定性、高可靠性的安全网络成为通信行业乃至整个社会发展所要面临和解决的重大课题。1局域网信息安全概要1.1 局域网特点局域网(Local Area Network)是在一个局部的地理范围内(如一个学校、工厂和机关内)，将各种计算机。外部设备和数据库等互相联接起来组成的计算机通信网，简称LAN。它可以通过数据通信网或专用数据电路，与远方的局域网、数据库或处理中心相连接，构成一个大范围的信息处理系统。 局域网有以下特点：（1）覆盖的地理范围较小，几米到几公里（2）以微机为主要联网对象（3）通常为某个单位或部门所有（4）具有较高的数据传输速率、较低的时延和较小的误码率（5）易于安装、配置和维护简单，造价低（6）实用性强，已经成为计算机网络中使用最广的形式1.2 局域网信息安全威胁分析1.2.1 欺骗性的软件使数据安全性降低由于局域网很大的一部分用处是资源共享，而正是由于共享资源的“数据开放性”，导致数据信息容易被篡改和删除，数据安全性较低。例如“网络钓鱼攻击”，钓鱼工具是通过大量发送声称来自于一些知名机构的欺骗性垃圾邮件，意图引诱收信人给出敏感信息：如用户名、口令、账号ID、ATM PIN 码或信用卡详细信息等的一种攻击方式。最常用的手法是冒充一些真正的网站来骗取用户的敏感的数据，以往此类攻击的冒名的多是大型或着名的网站，但由于大型网站反应比较迅速，而且所提供的安全功能不断增强，网络钓鱼已越来越多地把目光对准了较小的网站。同时由于用户缺乏数据备份等数据安全方面的知识和手段， 因此会造成经常性的信息丢失等现象发生。1.2.2 计算机病毒及恶意代码的威胁由于网络用户不及时安装防病毒软件和操作系统补丁，或未及时更新防病毒软件的病毒库而造成计算机病毒的入侵。许多网络寄生犯罪软件的攻击，正是利用了用户的这个弱点。寄生软件可以修改磁盘上现有的软件，在自己寄生的文件中注入新的代码。最近几年，随着犯罪软件（crime ware）汹涌而至，寄生软件已退居幕后，成为犯罪软件的助手。1.2.3 局域网用户安全意识不强许多用户使用移动存储设备来进行数据的传递，经常将外部数据不经过必要的安全检查通过移动存储设备带入内部局域网，同时将内部数据带出局域网， 这给木马、蠕虫等病毒的进入提供了方便同时增加了数据泄密的可能性。另外一机两用甚至多用情况普遍，笔记本电脑在内外网之间平凡切换使用，许多用户将在Internet 网上使用过的笔记本电脑在未经许可的情况下擅自接入内部局域网络使用，造成病毒的传入和信息的泄密。1.2.4 IP地址冲突局域网用户在同一个网段内，经常造成IP地址冲突，造成部分计算机无法上网。对于局域网来讲，此类IP地址冲突的问题会经常出现，用户规模越大，查找工作就越困难，所以网络管理员必须加以解决。 正是由于局域网内应用上这些独特的特点，造成局域网内的病毒快速传递， 数据安全性低，网内电脑相互感染，病毒屡杀不尽，数据经常丢失。1.3 局域网当前形势及面临的问题随着局域网络技术的发展和社会信息化进程的加快,现在人们的生活、工作、学习、娱乐和交往都已离不开计算机网络。现今，全球网民数量已接近7亿，网络已经成为生活离不开的工具，经济、文化、军事和社会活动都强烈地依赖于网络。网络环境的复杂性、多变性以及信息系统的脆弱性、开放性和易受攻击性，决定了网络安全威胁的客观存在。尽管计算机网络为人们提供了巨大的方便，但是受技术和社会因素的各种影响，计算机网络一直存在着多种安全缺陷。攻击者经常利用这些缺陷，实施攻击和入侵，给计算机网络造成极大的损害网络攻击、病毒传播、垃圾邮件等迅速增长，利用网络进行盗窃、诈骗、敲诈勒索、窃密等案件逐年上升，严重影响了网络的正常秩序，严重损害了网民的利益；网上色情、暴力等不良和有害信息的传播，严重危害了青少年的身心健康。网络系统的安全性和可靠性正在成为世界各国共同关注的焦点。 根据中国互联网信息中心2006年初发布的统计报告显示：我国互联网网站近百万家，上网用户1亿多，网民数和宽带上网人数均居全球第二。同时，网络安全风险也无处不在，各种网络安全漏洞大量存在和不断被发现，计算机系统遭受病毒感染和破坏的情况相当严重，计算机病毒呈现出异常活跃的态势。面对网络安全的严峻形势，我国的网络安全保障工作尚处于起步阶段，基础薄弱，水平不高，网络安全系统在预测、反应、防范和恢复能力方面存在许多薄弱环节，安全防护能力不仅大大低于美国、俄罗斯和以色列等信息安全强国，而且排在印度、韩国之后。在监督管理方面缺乏依据和标准，监管措施不到位，监管体系尚待完善，网络信息安全保障制度不健全、责任不落实、管理不到位。网络信息安全法律法规不够完善，关键技术和产品受制于人，网络信息安全服务机构专业化程度不高，行为不规范，网络安全技术与管理人才缺乏。面对网络安全的严峻形势，如何建设高质量、高稳定性、高可靠性的安全网络成为通信行业乃至整个社会发展所要面临和解决的重大课题。2局域网常用的攻击方法2.1ARP攻击分析2.1.1自然威胁ARP攻击就是通过伪造IP地址和MAC地址实现ARP欺骗，能够在网络中产生大量的ARP通信量使网络阻塞，攻击者只要持续不断的发出伪造的ARP响应包就能更改目标主机ARP缓存中的IP-MAC条目，造成网络中断或中间人攻击。 ARP攻击主要是存在于局域网网络中，局域网中若有一台计算机感染ARP木马，则感染该ARP木马的系统将会试图通过“ARP欺骗”手段截获所在网络内其它计算机的通信信息，并因此造成网内其它计算机的通信故障。 某机器A要向主机B发送报文，会查询本地的ARP缓存表，找到B的IP地址对应的MAC地址后，就会进行数据传输。如果未找到，则A广播一个ARP请求报文（携带主机A的IP地址Ia物理地址Pa），请求IP地址为Ib的主机B回答物理地址Pb。网上所有主机包括B都收到ARP请求，但只有主机B识别自己的IP地址，于是向A主机发回一个ARP响应报文。其中就包含有B的MAC地址，A接收到B的应答后，就会更新本地的ARP缓存。接着使用这个MAC地址发送数据（由网卡附加MAC地址）。因此，本地高速缓存的这个ARP表是本地网络流通的基础，而且这个缓存是动态的。2.1.2被ARP攻击后的现象ARP欺骗木马的中毒现象表现为：使用局域网时会突然掉线，过一段时间后又会恢复正常。比如客户端状态频频变红，用户频繁断网，IE浏览器频繁出错，以及一些常用软件出现故障等。如果局域网中是通过身份认证上网的，会突然出现可认证，但不能上网的现象（无法ping通网关），重启机器或在MS-DOS窗口下运行命令arp -d后，又可恢复上网。 ARP欺骗木马只需成功感染一台电脑，就可能导致整个局域网都无法上网，严重的甚至可能带来整个网络的瘫痪。该木马发作时除了会导致同一局域网内的其他用户上网出现时断时续的现象外，还会窃取用户密码。如盗取QQ密码、盗取各种网络游戏密码和账号去做金钱交易，盗窃网上银行账号来做非法交易活动等，这是木马的惯用伎俩，给用户造成了很大的不便和巨大的经济损失。 基于ARP协议的这一工作特性，黑客向对方计算机不断发送有欺诈性质的ARP数据包，数据包内包含有与当前设备重复的Mac地址，使对方在回应报文时，由于简单的地址重复错误而导致不能进行正常的网络通信。一般情况下，受到ARP攻击的计算机会出现两种现象： 1.不断弹出“本机的0-255段硬件地址与网络中的0-255段地址冲突”的对话框。 2.计算机不能正常上网，出现网络中断的症状。 因为这种攻击是利用ARP请求报文进行“欺骗”的，所以防火墙会误以为是正常的请求数据包，不予拦截。因此普通的防火墙很难抵挡这种攻击。2.2 网络监听2.2.1 网络监听原理网络监听是黑客们常用的一种方法。当黑客成功地登录进一台网络上的主机、并取得这台主机超级用户的权限之后，往往要扩大战果，尝试登录或者获取网络中其他主机的控制权。网络监听就是一种最简单而且最有效的方法，它常常能轻易地获得用其他方法很难获得的信息。在网络上，监听效果最好的是网关、路由器、防火墙一类的设备，这些设备通常由网络管理员来操作。对于目前很流行的以太网协议，其工作方式是：将要发送的数据包发往连接在一起的所有主机，包中包含着应该接收数据包主机的正确地址，只有与数据包中目标地址一致的那台主机才能接收。但是，当主机工作监听模式下，无论数据包中的目标地址是什么，主机都将接收（当然只能监听经过自己网络接口的那些包）。2.2.2 网络监听过程当同一网络中的两台主机通信的时候，源主机将写有目的的主机地址的数据包直接发向目的主机。但这种数据包不能在IP层直接发送，必须从TCP/IP协议的IP层交给网络接口，也就是数据链路层，而网络接口是不会识别IP地址的，因此在网络接口数据包又增加了一部分以太帧头的信息。在帧头中有两个域，分别为只有网络接口才能识别的源主机和目的主机的物理地址，这是一个与IP地址相对应的48位的地址。传输数据时，包含物理地址的帧从网络接口（网卡）发送到物理的线路上，如果局域网是由一条粗缆或细缆连接而成，则数字信号在电缆上传输，能够到达线路上的每一台主机。当使用集线器时，由集线器再发向连接在集线器上的每一条线路，数字信号也能到达连接在集线器上的每一台主机。当数字信号到达一台主机的网络接口时，正常情况下，网络接口读入数据帧，进行检查，如果数据帧中携带的物理地址是自己的或者是广播地址，则将数据帧交给上层协议软件，也就是IP层软件，否则就将这个帧丢弃。对于每一个到达网络接口的数据帧，都要进行这个过程。然而，当主机工作在监听模式下，所有的数据帧都将被交给上层协议软件处理。而且，当连接在同一条电缆或集线器上的主机被逻辑地分为几个子网时，如果一台主机处于监听模式下，它还能接收到发向与自己不在同一子网（使用了不同的掩码、IP地址和网关）的主机的数据包。也就是说，在同一条物理信道上传输的所有信息都可以被接收到。另外，现在网络中使用的大部分协议都是很早设计的，许多协议的实现都是基于一种非常友好的、通信的双方充分信任的基础之上，许多信息以明文发送。因此，如果用户的账户名和口令等信息也以明文的方式在网上传输，而此时一个黑客或网络攻击者正在进行网络监听，只要具有初步的网络和TCP/IP协议知识，便能轻易地从监听到的信息中提取出感兴趣的部分。同理，正确的使用网络监听技术也可以发现入侵并对入侵者进行追踪定位，在对网络犯罪进行侦查取证时获取有关犯罪行为的重要信息，成为打击网络犯罪的有力手段2.3 SQL注入蠕虫2.3.1 SQL注入定义由于使用B/S模式编写应用程序的程序员越来越多，且许多水平及经验不高的网站程序员在编写代码时，没有对用户输入数据的合法性进行判断，使得其编写的应用程序存在一些漏洞，从而出现一些安全隐患。用户可以提交一段数据库查询代码，（一般是在浏览器地址栏进行,通过正常的www端口访问）根据程序返回的结果，从而收集程序及服务器的信息，获得想要得到的资料，这就是所谓的SQL Injection，即SQL注入。其手法相当灵活，在注入的时候会碰到很多意外的情况。如果能根据具体情况进行分析，构造适合的SQL语句，就可以成功获取想要的数据了。2.3.2 SQL注入攻击的概念及过程所谓SQL注入式攻击，就是攻击者把SQL命令插入到表单（如Web表单）的输入域或页面请求的查询字符串，欺骗服务器执行恶意的SQL命令。在某些表单中，用户输入的内容直接用来构造（或者影响）动态SQL命令，或作为存储过程的输入参数，这类的表单特别容易受到SQL注入式攻击（SQL Injection Attack）。当攻击者能够操作数据，往应用程序中插入一些SQL语句时，SQL注入攻击就发生了。由于SQL注入攻击利用的是SQL语法，就使得这种攻击具有广泛性。从理论上来说，对所有基于SQL语言标准的数据库软件都是有效的。当然，其最终的攻击代码可能不尽相同。从上可以看出SQL注入式攻击的原理就是利用程序设计上的漏洞，在目标服务器上运行Sql命令以及进行其他方式的攻击。动态生成Sql命令时没有对用户输入的数据进行验证是SQL注入攻击得逞的主要原因。SQL注入攻击的具体过程如下： SQL注入漏洞的判断，即寻找注入点； 判断后台数据库类型及取注入方法； 确定可执行情况；若当前连接数据的帐号具有SA权限，且扩展存储过程能够正确执行，则整个计算机可以通过几种方法完全控制，也就完成了整个注入过程，否则继续执行下面的步骤： 发现WEB虚拟目录； 上传ASP木马； 得到系统的管理员权限；值得一提的是：我们有必要提高一下自己的SQL水平，因为有SQL语言基础的人，在SQL注入的时候成功率比不熟悉的人高很多。2.4 DOS攻击2.4.1 DOS攻击定义拒绝服务攻击（简称DOS）即攻击者想办法让目标机器停止提供服务，是黑客常用的攻击手段之。其实对网络带宽进行的消耗性攻击只是拒绝服务攻击的一小部分，只要能够对目标造成麻烦，使某些服务被暂停甚至主机死机，都属于拒绝服务攻击。拒绝服务攻击问题也一直得不到合理的解决，究其原因是因为这是由于网络协议本身的安全缺陷造成的，从而拒绝服务攻击也成为了攻击者的终极手法。攻击者进行拒绝服务攻击，实际上让服务器实现两种效果： 一是迫使服务器的缓冲区满，不接收新的请求； 二是使用IP欺骗，迫使服务器把合法用户的连接复位，影响合法用户的连接2.4.2 DOS攻击原理SYNFlood是当前最流行的DoS(拒绝服务攻击)的方式之一，这是一种利用TCP协议缺陷，发送大量伪造的TCP连接请求，使被攻击方资源耗尽(CPU满负荷或内存不足)的攻击方式。SYNFlood攻击的过程在TCP协议中被称为三次握手 (Three-wayHandshake)，而SYNFlood拒绝服务典型的分布式拒绝服务攻击网络结构图攻击就是通过三次握手而实现的。(1)攻击者向被攻击服务器发送一个包含SYN标志的TCP报文，SYN(Synchronize)即同步报文。同步报文会指明客户端使用的端口以及TCP连接的初始序号。这时同被攻击服务器建立了第一次握手。(2)受害服务器在收到攻击者的SYN报文后，将返回一个SYN+ACK的报文，表示攻击者的请求被接受，同时TCP序号被加一，ACK(Acknowledgment)即确认，这样就同被攻击服务器建立了第二次握手。(3)攻击者也返回一个确认报文ACK给受害服务器，同样TCP序列号被加一，到此一个TCP连接完成，三次握手完成。具体原理是：TCP连接的三次握手中，假设一个用户向服务器发送了SYN报文后突然死机或掉线，那么服 分布式拒绝服务攻击网络结构图务器在发出SYN+ACK应答报文后是无法收到客户端的ACK报文的(第三次握手无法完成)，这种情况下服务器端一般会重试(再次发送SYN+ACK给客户端)并等待一段时间后丢弃这个未完成的连接。这段时间的长度我们称为SYNTimeout，一般来说这个时间是分钟的数量级(大约为30秒2分钟)；一个用户出现异常导致服务器的一个线程等待1分钟并不是什么很大的问题，但如果有一个恶意的攻击者大量模拟这种情况(伪造IP地址)，服务器端将为了维护一个非常大的半连接列表而消耗非常多的资源。即使是简单的保存并遍历也会消耗非常多的CPU时间和内存，何况还要不断对这个列表中的IP进行SYN+ACK的重试。实际上如果服务器的TCP/IP栈不够强大，最后的结果往往是堆栈溢出崩溃即使服务器端的系统足够强大，服务器端也将忙于处理攻击者伪造的TCP连接请求而无暇理睬客户的正常请求(毕竟客户端的正常请求比率非常之小)，此时从正常客户的角度看来，服务器失去响应，这种情况就称作：服务器端受到了SYNFlood攻击(SYN洪水攻击)。 计算机系统安全课程结课论文3局域网病毒防范及对策3.1局域网病毒特点在局域网络环境下，网络病毒除了具有可传播性、可执行性、破坏性、隐蔽性等计算机病毒的共性外，还具有一些新的特点：a病毒传染速度快在单机系统环境下，病毒主要通过移动存储设备从一台计算机传到另一台计算机。 而在局域网络环境中，由于通过服务器把每一台计算机连接，这不仅给病毒传播提供了有效的通道，而且病毒传播速度很快。在正常使用情况下，只要网络中有一台计算机存在病毒，通过网络通讯设备迅速扩散，可以在很短的时间内，导致局域网内计算机相互感染繁殖。b对网络破坏程度大如果局域网感染病毒，将直接影响到整个网络系统的工作，轻则降低速度，影响工作效率，重则破坏服务器重要数据信息，大量破坏计算机中的数据，导致整个网络系统崩溃，毁坏人们长期以来积累的工作成果，造成难以挽回的损失。对网络中的计算机破坏程度相当大。c网络病毒不易清除清除局域网中的计算机病毒，要比清除单机病毒复杂得多。如果单台微机带病毒，可以通过删除带病毒文件、低级格式化硬盘等措施，将病毒彻底清除。而在网络环境中，只要有一台计算机未能完全消除消毒，就可能使整个网络重新被病毒感染，即使刚刚完成清除工作的计算机，也很有可能立即被局域网中的另一台带病毒计算机所感染。3.2局域网病毒的传播方式一般来说，计算机网络的基本构成包括网络服务器和网络节点站（包括有盘工作站、无盘工作站和远程工作站）。计算机病毒一般首先通过各种途径进入到有盘工作站，也就进入网络，然后开始在网上的传播。具体地说，其传播方式有以下几种。（1）病毒直接从工作站拷贝到服务器中或通过邮件在网内传播；（2）病毒先传染工作站，在工作站内存驻留，等运行网络盘内程序时再传染给服务器；（3）病毒先传染工作站，在工作站内存驻留，在病毒运行时直接通过映像路径传染到服务器中（4）如果远程工作站被病毒侵入，病毒也可以通过数据交换进入网络服务器中一旦病毒进入文件服务器，就可通过它迅速传染到整个网络的每一个计算机上。而对于无盘工作站来说，由于其并非真的无盘（它的盘是网络盘），当其运行网络盘上的一个带毒程序时，便将内存中的病毒传染给该程序或通过映像路径传染到服务器的其他的文件上，因此无盘工作站也是病毒孽生的温床。3.3局域网病毒的防治措施计算机局域网中最主要的软硬件就是服务器和工作站，所以防治计算机网络病毒应该首先考虑这两个部分，另外要加强各级人员的管理教育及各项制度的督促落实。 （1）基于工作站的防治技术。局域网中的每个工作站就像是计算机网络的大门，只有把好这道大门，才能有效防止病毒的侵入。工作站防治病毒的方法有三种：一、是软件防治，即定期不定期地用反病毒软件检测工作站的病毒感染情况。二、是在工作站上插防病毒卡，防病毒卡可以达到实时检测的目的，但防病毒卡的升级不方便，从实际应用的效果看，对工作站的运行速度有一定的影响。三、是在网络接口卡上安装防病病毒芯片它将工作站存取控制与病毒防护合二为一，可以更加实时有效地保护工作站及通向服务器的桥梁。但这种方法同样也存在芯片上的软件版本升级不便的问题，而且对网络的传输速度也会产生一定的影响。上述三种方法都是防病毒的有效手段，应根据网络的规模、数据传输负荷等具体情况确定使用哪一种方法。 （2）基于服务器的防治技术。服务器是网络的核心，是网络的支柱，服务器一旦被病毒感染，便无法启动，整个网络都将陷入瘫痪状态，造成的损失是灾难性的。难以挽回和无法估量的，目前市场上基于服务器的病毒防治采用NLM方法，它以NLM模块方式进行程序设计，以服务器为基础，提供实时扫描病毒的能力，从而保证服务器不被病毒感染，消除了病毒传播的路径，从根本上杜绝了病毒在网络上的蔓延。 （3）加强计算机网络的管理。计算机局域网病毒的防治，单纯依靠技术手段是不可能十分有效地杜绝和防止其蔓延的，只有把技术手段和管理机制紧密结合起来，才有可能从根本上保护网络系统的安全运行。一、从硬件设备及软件系统的使用、维护、管理、服务等各个环节制定出严格的规章制度，对网络系统的管理员及用户加强法制教育和职业道德教育，不损人，不犯法，规范工作程序和操作规程，严惩从事非法活动的集体和个人。二、加强各级网络管理人员的专业技能学习，提高工作能力，并能及时检查网络系统中出现病毒的症状。汇报出现的新问题、新情况，做到及时发现问题解决问题，同时在网络工作站上经常做好病毒检测的工作，把好网络的第一道大门。3.4局域网病毒的防治对策a要防止网络系统出现病毒，首先要切断病毒传播的途径。在局域网中，病毒主要通过移动存储器、电子邮件、浏览网页、下载软件等形式传播。因此，我们在计算机上从事每一项操作时，都要考虑到是否会危及到系统的安全，保证传输数据的存储设备没有感染病毒。 b安装最新的防病毒软件由于操作系统本身未提供检测或清除计算机病毒的软件，所以，局域网应安装正版杀毒软件，并且及时对版本进行升级。同时，为了防止ARP攻击，还应安装360安全卫士等防护软件，并且开启360安全卫士“实时保护”中的“局域网ARP攻击拦截”，通过在系统内核拦截ARP攻击数据包，确保网关正确的，MC地址不被篡改。保障数据流向正确，通讯数据不受第三者控制，从而保证网络畅通。如果怀疑或确认计算机已经感染了病毒，应立即使用最新的防病毒软件及时杀毒。d使用防火墙防火墙(firewall)是一种协助确保信息安全的设备，依照特定的规则，允许或限制传输的数据通过，帮助计算机系统抵御用户、计算机病毒和蠕虫的恶意侵入攻击。防火墙可以是一台专属的硬件，也可以是一套软件，现在针对防火墙的软件相当多，一般的杀毒软件都具有防火墙的功能。e及时安装系统补丁任何一个操作系统发布以后，如果发现程序中有些漏洞，会及时发布一些应用程序来修复这些漏洞，我们把这些应用程序也称为“补丁程序”。当系统安装补丁程序后，黑客就不会利用这些漏洞来攻击用户。f做好系统备份为了保证局域网的安全，随时做好网络资料的备份是十分重要的。所谓网络备份，是指在网络系统发生黑客攻击、病毒感染、操作失误、软件系统错误等意外情况下，应急恢复系统的一种处理方案。目前备份系统的方法有很多种，最简单实用的如GHOST软件等。一旦发现病毒，立即停止使用受病毒感染的计算机，并断开受感染机器的网络连接，关闭文件服务器，用最新版本的杀毒软件扫描服务器上所有的文件，清除病毒；如不能清除，则删除受到感染的文件; 并用干净的备份文件恢复系统，当确信网络中病毒已彻底清除后，重新启动网络及各项工作胁的切入点， 及时、准确的切断安全事件发生点和网络。 局域网安全控制与病毒防治是一项长期而艰巨的任务， 需要不断的探索。随着网络应用的发展计算机病毒形式及传播途径日趋多样化， 安全问题日益复杂化， 网络安全建设已不再像单台计算安全防护那样简单。计算机网络安全需要建立多层次的、立体的防护体系， 要具备完善的管理系统来设置和维护对安全的防护策略。4.冰河木马实验：4.1冰河木马的组成1)G_Server.exe：被监控端后台监控程序，在安装前可以先通过“G_Client.exe”进行一些特殊配置，例如是否将动态IP发送到指定信箱、改变监听端口、设置访问口令等。黑客们想方设法对它进行伪装，用各种方法将服务器端程序安装在你的电脑上，程序运行的时候一点痕迹也没有，你是很难发现有木马冰河在你的电脑上运行的; 2)G_Client.exe： 监控端执行程序，用于监控远程计算机和配置服务器程序; 3)Operate.ini：G_Server.exe的配置文件; 4.2冰河木马的使用1）将G_Server.exe植入到目标主机2 ）打开瑞士军刀图标的客户端G_Client，选择添加主机，填上我们搜索到的IP地址。 对服务器进行简单配置。监听端口2001可更换（范围在102432768之间）；关联可更改为与EXE文件关联（就是无论运行什么exe文件，冰河就开始加载；还有关键的邮件通知设置： A.服务器的配置1)安装路径：即服务器程序安装的位置，有三个选项：分别为“Windows”、“System”、“Temp”，这些都是Windows里的一些目录;2)文件名称：是服务器程序安装到目标计算机之后的名称，默认是Winoldap.exe，对于不熟悉Windows系统的用户来说，这可像是一个系统程序啊。当然，这个名称是可以改的;3)进程名称：服务器程序运行时，在进程栏中显示的名称。默认的进程名是Windows，也可以更改;4)访问口令：客户机连接服务器程序时需要输入的口令。如果用于远程控制的时候，可以在一定程度上限制客户端程序的使用;5)敏感字符：设置冰河程序对某些敏感字符的信息加以记录。冰河把这些包含文字的信息保存下来，然后通过各种途径发给黑客;6)提示信息：被控制计算机运行时，弹出的对话框信息。如果为空的话，程序运行时就没有任何提示;7)监听端口：设置服务器程序在哪个端口等待客户程序的连接，以前的默认设置是 7626，在冰河 8.0版本中，端口号已经改为了2001;8)自动删除安装程序：如果选中此项的话，会自动删除安装程序;9)禁止自动拨号：如果不选中此项的话，每次开机时，冰河就会自动拨号上网，然后把系统信息发送到指定的邮箱。通常，黑客们都不会轻易暴露自己，所以他们会选中该项;10)待配置文件：服务器程序的名称，原始的文件名是G_Server.exe。B.【自动保护】的配置：如图所示，它可以设置服务器程序在目标计算机上的一些配置。 具体包括：1)写入注册表启动项：选中此项的话，每次系统启动时都会自动运行冰河。它在注册表中的位置是：HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentversionrunservice;2)键名：在注册表中的名称;3)关联：这是一个令冰河死灰复燃的功能。如果选中的话，当关联文件是文本文件的时候，用户执行文本文件之后，就会自动装载冰河;同样的道理，选择可执行程序关联后，可执行程序也会自动装载冰河。C.邮件通知的配置1)SMTP服务器：冰河用来发送邮件的服务器，例如等;2)接收信箱：这就是黑客用来接受目标计算机信息的信箱;3)邮件内容：包括系统信息、开机口令、缓存口令、共享资源信息等，也可以只选择其中一项或几项。 3）搜索计算机 找到开启2001端口的计算机尝试连接控制。4.3冰河木马的清除来检测自己的计算机是否中了冰河， 那就是在本机上执行冰河客户端程序，进行自动搜索，搜索的网段设置要短，并且要包含本机的固定IP，如果发现本机IP的前面出现OK的话，那就意味着的存在。要消除冰河的话，在客户端执行系统控制里的“自动卸载冰河”即可。此方法简单易用，并且卸载地比较彻底。5局域网上网的安全规范与技巧5.1选用安全的口令据统计，大约80%的安全隐患是由于口令设置不当引起的用户口令应包含大小写，最好能加上字符串和数字，一起使用以期达到最好的保密效果用户口令不要太规则,不要用用户姓名、生日和电话号码作为口令。不要用常用单词作为口令根据黑客软件的工作原理,参照口令破译的难易程度,以破解需要的时间为排序指标，口令长度设置时应遵循7位或14位的整数倍原则安装某些系统服务功能模块时有内建帐号，应及时修改操作系统内部帐号口令的缺省设置应及时取消调离或停止工作的雇员的帐号以及无用的帐号在通过网络验证口令过程中,不得以明文方式传输，以免被监听截取口令不得以明文方式存放在系统中,确保口令以加密的形式写在硬盘上并包含口令的文件是只读的口令应定期修改，应避免重复使用旧口令，应采用多套口令的命名规则建立帐号锁定机制，一旦同一帐号密码校验错误若干次即断开连接并锁定该帐号，至一段时间才解锁再次开放使用5.2在IE中隐藏自己的IP在IE中隐藏自己的IP地址会减小黑客对你机器进行的IP攻击，如何才能有效的隐藏自己的IP呢，我们可以使用代理服务器。