- 相關推薦
研究高校網(wǎng)絡攻擊問題與防范策略
摘 要: 隨著高校教育信息化的不斷深入開展,高校的網(wǎng)絡安全問題也日益呈現(xiàn)突出,本文分析了高校主要的網(wǎng)絡攻擊安全問題,提出了相應的安全防范措施。關鍵詞: 病毒攻擊 ARP欺騙
0 概述
近幾年來,隨著全國高校教育信息化的深入開展,穩(wěn)定的網(wǎng)絡和計算機系統(tǒng)成為教育信息化的重要保障,網(wǎng)絡及信息安全也成為高校關注焦點之一。
本文通過研究分析高校網(wǎng)絡典型的安全問題,將從病毒攻擊、ARP欺騙攻擊、ADSL攻擊等方面入手,給出了防范策略和保護措施。
1 高校典型病毒攻擊分析
病毒攻擊仍然是高校最重要的、最廣泛的網(wǎng)絡攻擊現(xiàn)象,隨著病毒攻擊原理以及方法不斷變化,病毒攻擊仍然為最嚴峻的網(wǎng)絡安全問題。
1.1 典型病毒攻擊以及防范措施
1.1.1 ARP木馬病毒
當局域網(wǎng)內某臺主機運行ARP欺騙的木馬程序時,會欺騙局域網(wǎng)內所有主機和路由器,迫使局域網(wǎng)所有主機的arp地址表的網(wǎng)關MAC地址更新為該主機的MAC地址,導致所有局域網(wǎng)內上網(wǎng)的計算機的數(shù)據(jù)首先通過該計算機再轉發(fā)出去,用戶原來直接通過路由器上網(wǎng)現(xiàn)在轉由通過該主機上網(wǎng),切換的時候用戶會斷線一次。由于ARP欺騙的木馬程序發(fā)作的時候會發(fā)出大量的數(shù)據(jù)包導致局域網(wǎng)通訊擁塞以及其自身處理能力的限制,用戶會感覺上網(wǎng)速度越來越慢。當ARP欺騙的木馬程序停止運行時,用戶會恢復從路由器上網(wǎng),切換過程中用戶會再斷一次線。ARP木馬病毒會導致整個局域網(wǎng)網(wǎng)絡運行不穩(wěn)定,時斷時通。
防范措施:可以借助NBTSCAN工具來檢測局域網(wǎng)內所有主機真實的IP與MAC地址對應表,在網(wǎng)絡不穩(wěn)定狀況下,以arp –a命令查看主機的Arp緩存表,此時網(wǎng)關IP對應的MAC地址為感染病毒主機的MAC地址,通過“Nbtscan –r 192.168.1.1/24”掃描192.168.1.1/24網(wǎng)段查看所有主機真實IP和MAC地址表,從而根據(jù)IP確定感染病毒主機。也可以通過SNIFFER或者IRIS偵聽工具進行抓取異常數(shù)據(jù)包,發(fā)現(xiàn)感染病毒主機。
另外,未雨綢繆,建議用戶采用雙向綁定的方法解決并且防止ARP欺騙,在計算機上綁定正確的網(wǎng)關的IP和網(wǎng)關接口MAC地址,在正常情況下,通過arp –a命令獲取網(wǎng)關IP和網(wǎng)關接口的MAC地址,編寫一個批處理文件farp.bat內容如下:
@echo off
arp –d(清零ARP緩存地址表)
arp -s 192.168.1.254 00-22-aa-00-22-aa(綁定正確網(wǎng)關IP和MAC地址)
把批處理放置開始--程序--啟動項中,使之隨計算機重起自動運行,以避免ARP病毒的欺騙。
1.1.2 W32.Blaster 蠕蟲
W32.Blaster是一種利用DCOM RPC漏洞進行傳播的蠕蟲,傳播能力很強。蠕蟲通過TCP/135進行探索發(fā)現(xiàn)存在漏洞的系統(tǒng),一旦攻擊成功,通過TCP/4444端口進行遠程命令控制,最后通過在受感染的計算機的UDP/69端口建立tftp服務器進行上傳蠕蟲自己的二進制代碼程序Msblast.exe加以控制與破壞,該蠕蟲傳播時破壞了系統(tǒng)的核心進程svchost.exe,會導致系統(tǒng)RPC 服務停止,因此可能引起其他服務(如IIS)不能正常工作,出現(xiàn)比如拷貝、粘貼功能不工作,無法進入網(wǎng)站頁面鏈接等等現(xiàn)象,嚴重時并可能造成系統(tǒng)崩潰和反復重新啟動。
1.1.3 W32.Nachi.Worm 蠕蟲
W32.Nachi.Worm蠕蟲(以下簡稱Nachi蠕蟲)利用了Microsoft Windows DCOM RPC接口遠程緩沖區(qū)溢出漏洞和Microsoft Windows 2000 WebDAV遠程緩沖區(qū)溢出漏洞進行傳播。如果該蠕蟲發(fā)現(xiàn)被感染的機器上有“沖擊波”蠕蟲,則殺掉“沖擊波”蠕蟲,并為系統(tǒng)打上補丁程序,但由于程序運行上下文的限制,很多系統(tǒng)不能被打上補丁,并被導致反復重新啟動。Nachi蠕蟲感染機器后,會產生大量長度為92字節(jié)的ICMP報文,從而嚴重影響網(wǎng)絡性能。
1.1.4 w32.sasser蠕蟲病毒
w32.sasser蠕蟲病毒利用了本地安全驗證子系統(tǒng)(Local Security Authority Subsystem,LSASS)里的一個緩沖區(qū)溢出錯誤,從而使得攻擊者能夠取得被感染系統(tǒng)的控制權。震蕩波病毒會利用 TCP 端口 5554 架設一個 FTP 服務器。同時,它使用 TCP 端口5554 隨機搜索 Internet 的網(wǎng)段,尋找其它沒有修補 LSASS 錯誤的 Windows 2000 和 Windows XP 系統(tǒng)。震蕩波病毒會發(fā)起 128 個線程來掃描隨機的IP地址,并連續(xù)偵聽從 TCP 端口 1068 開始的各個端口。該蠕蟲會使計算機運行緩慢、網(wǎng)絡堵塞、并讓系統(tǒng)不停的進行倒計時重啟。
蠕蟲病毒防范措施:用戶首先要保證計算機系統(tǒng)的不斷更新,高校可建立微軟的WSUS系統(tǒng)保證用戶計算機系統(tǒng)的及時快速升級,另外用戶必須安裝可持續(xù)升級的殺毒軟件,沒有及時升級殺毒軟件也是同樣危險的,高校網(wǎng)絡管理部門出臺相應安全政策以及保證對用戶定時的安全培訓也是相當重要的。用戶本地計算機可采取些輔助措施保護計算機系統(tǒng)的安全,如本地硬盤克隆、局域網(wǎng)硬盤克隆技術等。
2 高校家屬區(qū)網(wǎng)絡攻擊分析
2.1 ADSL貓(MODEM)攻擊
ADSL攻擊主要發(fā)生在高校家屬區(qū),ADSL作為一種寬帶接入方式已經(jīng)被廣大用戶接受,家屬用戶通過一臺ADSL路由器撥號,利用ADSL的NAT功能實現(xiàn)多臺計算機同時上網(wǎng),最常見的安全問題就是用戶沒有修改路由器的初始配置密碼,一般的ADSL路由器有一個默認的配置密碼,且默然開放WEB(80)和TELNET(23)服務端口,內網(wǎng)黑客很容易利用工具如ADSL終結者通過這些默然密碼以WEB和TELNET方式進入ADSL管理平臺,加以改變數(shù)據(jù)以及關閉ADSL路由器,再者多數(shù)ADSL路由器管理系統(tǒng)存在代碼漏洞,黑客可以利用這些漏洞使ADSL路由器重復死機或者不斷重起。
解決辦法:用戶及時修改ADSL默認密碼,用戶可以通過如admin
【研究高校網(wǎng)絡攻擊問題與防范策略】相關文章:
緩沖區(qū)溢出攻擊的分析及防范策略03-18
研究企業(yè)品牌危機及其防范策略03-18
高校鋼琴教育的現(xiàn)狀與策略研究05-25
高校招生工作營銷策略研究03-20
高校英語教育問題及相應策略12-11
施工管理問題及應對策略研究11-16
高校體育傳承茶文化策略研究論文11-08
網(wǎng)絡廣告發(fā)展策略研究03-22
探析網(wǎng)絡環(huán)境下的學習策略研究03-16
網(wǎng)絡營銷的產品層次與策略研究03-22