研究高校網(wǎng)絡(luò)攻擊問(wèn)題與防范策略

摘 要： 隨著高校教育信息化的不斷深入開(kāi)展，高校的網(wǎng)絡(luò)安全問(wèn)題也日益呈現(xiàn)突出，本文分析了高校主要的網(wǎng)絡(luò)攻擊安全問(wèn)題，提出了相應(yīng)的安全防范措施。

關(guān)鍵詞： 病毒攻擊 ARP欺騙



0 概述
近幾年來(lái)，隨著全國(guó)高校教育信息化的深入開(kāi)展，穩(wěn)定的網(wǎng)絡(luò)和計(jì)算機(jī)系統(tǒng)成為教育信息化的重要保障，網(wǎng)絡(luò)及信息安全也成為高校關(guān)注焦點(diǎn)之一。
本文通過(guò)研究分析高校網(wǎng)絡(luò)典型的安全問(wèn)題，將從病毒攻擊、ARP欺騙攻擊、ADSL攻擊等方面入手，給出了防范策略和保護(hù)措施。
1 高校典型病毒攻擊分析
病毒攻擊仍然是高校最重要的、最廣泛的網(wǎng)絡(luò)攻擊現(xiàn)象，隨著病毒攻擊原理以及方法不斷變化，病毒攻擊仍然為最嚴(yán)峻的網(wǎng)絡(luò)安全問(wèn)題。
1.1 典型病毒攻擊以及防范措施
1.1.1 ARP木馬病毒
當(dāng)局域網(wǎng)內(nèi)某臺(tái)主機(jī)運(yùn)行ARP欺騙的木馬程序時(shí)，會(huì)欺騙局域網(wǎng)內(nèi)所有主機(jī)和路由器，迫使局域網(wǎng)所有主機(jī)的arp地址表的網(wǎng)關(guān)MAC地址更新為該主機(jī)的MAC地址，導(dǎo)致所有局域網(wǎng)內(nèi)上網(wǎng)的計(jì)算機(jī)的數(shù)據(jù)首先通過(guò)該計(jì)算機(jī)再轉(zhuǎn)發(fā)出去，用戶(hù)原來(lái)直接通過(guò)路由器上網(wǎng)現(xiàn)在轉(zhuǎn)由通過(guò)該主機(jī)上網(wǎng)，切換的時(shí)候用戶(hù)會(huì)斷線(xiàn)一次。由于A(yíng)RP欺騙的木馬程序發(fā)作的時(shí)候會(huì)發(fā)出大量的數(shù)據(jù)包導(dǎo)致局域網(wǎng)通訊擁塞以及其自身處理能力的限制，用戶(hù)會(huì)感覺(jué)上網(wǎng)速度越來(lái)越慢。當(dāng)ARP欺騙的木馬程序停止運(yùn)行時(shí)，用戶(hù)會(huì)恢復(fù)從路由器上網(wǎng)，切換過(guò)程中用戶(hù)會(huì)再斷一次線(xiàn)。ARP木馬病毒會(huì)導(dǎo)致整個(gè)局域網(wǎng)網(wǎng)絡(luò)運(yùn)行不穩(wěn)定，時(shí)斷時(shí)通。
防范措施：可以借助NBTSCAN工具來(lái)檢測(cè)局域網(wǎng)內(nèi)所有主機(jī)真實(shí)的IP與MAC地址對(duì)應(yīng)表，在網(wǎng)絡(luò)不穩(wěn)定狀況下，以arp –a命令查看主機(jī)的Arp緩存表，此時(shí)網(wǎng)關(guān)IP對(duì)應(yīng)的MAC地址為感染病毒主機(jī)的MAC地址，通過(guò)“Nbtscan –r 192.168.1.1/24”掃描192.168.1.1/24網(wǎng)段查看所有主機(jī)真實(shí)IP和MAC地址表，從而根據(jù)IP確定感染病毒主機(jī)。也可以通過(guò)SNIFFER或者IRIS偵聽(tīng)工具進(jìn)行抓取異常數(shù)據(jù)包，發(fā)現(xiàn)感染病毒主機(jī)。
另外，未雨綢繆，建議用戶(hù)采用雙向綁定的方法解決并且防止ARP欺騙，在計(jì)算機(jī)上綁定正確的網(wǎng)關(guān)的IP和網(wǎng)關(guān)接口MAC地址，在正常情況下，通過(guò)arp –a命令獲取網(wǎng)關(guān)IP和網(wǎng)關(guān)接口的MAC地址，編寫(xiě)一個(gè)批處理文件farp.bat內(nèi)容如下：
@echo off
arp –d（清零ARP緩存地址表）
arp -s 192.168.1.254 00-22-aa-00-22-aa（綁定正確網(wǎng)關(guān)IP和MAC地址）
把批處理放置開(kāi)始--程序--啟動(dòng)項(xiàng)中，使之隨計(jì)算機(jī)重起自動(dòng)運(yùn)行，以避免ARP病毒的欺騙。
1.1.2 W32.Blaster 蠕蟲(chóng)
W32.Blaster是一種利用DCOM RPC漏洞進(jìn)行傳播的蠕蟲(chóng)，傳播能力很強(qiáng)。蠕蟲(chóng)通過(guò)TCP/135進(jìn)行探索發(fā)現(xiàn)存在漏洞的系統(tǒng)，一旦攻擊成功，通過(guò)TCP/4444端口進(jìn)行遠(yuǎn)程命令控制，最后通過(guò)在受感染的計(jì)算機(jī)的UDP/69端口建立tftp服務(wù)器進(jìn)行上傳蠕蟲(chóng)自己的二進(jìn)制代碼程序Msblast.exe加以控制與破壞，該蠕蟲(chóng)傳播時(shí)破壞了系統(tǒng)的核心進(jìn)程svchost.exe，會(huì)導(dǎo)致系統(tǒng)RPC 服務(wù)停止，因此可能引起其他服務(wù)（如IIS）不能正常工作，出現(xiàn)比如拷貝、粘貼功能不工作，無(wú)法進(jìn)入網(wǎng)站頁(yè)面鏈接等等現(xiàn)象，嚴(yán)重時(shí)并可能造成系統(tǒng)崩潰和反復(fù)重新啟動(dòng)。
1.1.3 W32.Nachi.Worm 蠕蟲(chóng)
W32.Nachi.Worm蠕蟲(chóng)(以下簡(jiǎn)稱(chēng)Nachi蠕蟲(chóng))利用了Microsoft Windows DCOM RPC接口遠(yuǎn)程緩沖區(qū)溢出漏洞和Microsoft Windows 2000 WebDAV遠(yuǎn)程緩沖區(qū)溢出漏洞進(jìn)行傳播。如果該蠕蟲(chóng)發(fā)現(xiàn)被感染的機(jī)器上有“沖擊波”蠕蟲(chóng)，則殺掉“沖擊波”蠕蟲(chóng)，并為系統(tǒng)打上補(bǔ)丁程序，但由于程序運(yùn)行上下文的限制，很多系統(tǒng)不能被打上補(bǔ)丁，并被導(dǎo)致反復(fù)重新啟動(dòng)。Nachi蠕蟲(chóng)感染機(jī)器后，會(huì)產(chǎn)生大量長(zhǎng)度為92字節(jié)的ICMP報(bào)文，從而嚴(yán)重影響網(wǎng)絡(luò)性能。
1.1.4 w32.sasser蠕蟲(chóng)病毒
w32.sasser蠕蟲(chóng)病毒利用了本地安全驗(yàn)證子系統(tǒng)（Local Security Authority Subsystem，LSASS）里的一個(gè)緩沖區(qū)溢出錯(cuò)誤，從而使得攻擊者能夠取得被感染系統(tǒng)的控制權(quán)。震蕩波病毒會(huì)利用 TCP 端口 5554 架設(shè)一個(gè) FTP 服務(wù)器。同時(shí)，它使用 TCP 端口5554 隨機(jī)搜索 Internet 的網(wǎng)段，尋找其它沒(méi)有修補(bǔ) LSASS 錯(cuò)誤的 Windows 2000 和 Windows XP 系統(tǒng)。震蕩波病毒會(huì)發(fā)起 128 個(gè)線(xiàn)程來(lái)掃描隨機(jī)的IP地址，并連續(xù)偵聽(tīng)從 TCP 端口 1068 開(kāi)始的各個(gè)端口。該蠕蟲(chóng)會(huì)使計(jì)算機(jī)運(yùn)行緩慢、網(wǎng)絡(luò)堵塞、并讓系統(tǒng)不停的進(jìn)行倒計(jì)時(shí)重啟。
蠕蟲(chóng)病毒防范措施：用戶(hù)首先要保證計(jì)算機(jī)系統(tǒng)的不斷更新，高�？山�立微軟的WSUS系統(tǒng)保證用戶(hù)計(jì)算機(jī)系統(tǒng)的及時(shí)快速升級(jí)，另外用戶(hù)必須安裝可持續(xù)升級(jí)的殺毒軟件，沒(méi)有及時(shí)升級(jí)殺毒軟件也是同樣危險(xiǎn)的，高校網(wǎng)絡(luò)管理部門(mén)出臺(tái)相應(yīng)安全政策以及保證對(duì)用戶(hù)定時(shí)的安全培訓(xùn)也是相當(dāng)重要的。用戶(hù)本地計(jì)算機(jī)可采取些輔助措施保護(hù)計(jì)算機(jī)系統(tǒng)的安全，如本地硬盤(pán)克隆、局域網(wǎng)硬盤(pán)克隆技術(shù)等。
2 高校家屬區(qū)網(wǎng)絡(luò)攻擊分析
2.1 ADSL貓（MODEM）攻擊
ADSL攻擊主要發(fā)生在高校家屬區(qū)，ADSL作為一種寬帶接入方式已經(jīng)被廣大用戶(hù)接受，家屬用戶(hù)通過(guò)一臺(tái)ADSL路由器撥號(hào)，利用ADSL的NAT功能實(shí)現(xiàn)多臺(tái)計(jì)算機(jī)同時(shí)上網(wǎng)，最常見(jiàn)的安全問(wèn)題就是用戶(hù)沒(méi)有修改路由器的初始配置密碼，一般的ADSL路由器有一個(gè)默認(rèn)的配置密碼，且默然開(kāi)放WEB（80）和TELNET（23）服務(wù)端口，內(nèi)網(wǎng)黑客很容易利用工具如ADSL終結(jié)者通過(guò)這些默然密碼以WEB和TELNET方式進(jìn)入ADSL管理平臺(tái)，加以改變數(shù)據(jù)以及關(guān)閉ADSL路由器，再者多數(shù)ADSL路由器管理系統(tǒng)存在代碼漏洞，黑客可以利用這些漏洞使ADSL路由器重復(fù)死機(jī)或者不斷重起。
解決辦法：用戶(hù)及時(shí)修改ADSL默認(rèn)密碼，用戶(hù)可以通過(guò)如admin

【研究高校網(wǎng)絡(luò)攻擊問(wèn)題與防范策略】相關(guān)文章：

緩沖區(qū)溢出攻擊的分析及防范策略03-18

研究企業(yè)品牌危機(jī)及其防范策略03-18

高校鋼琴教育的現(xiàn)狀與策略研究05-25

高校招生工作營(yíng)銷(xiāo)策略研究03-20

高校英語(yǔ)教育問(wèn)題及相應(yīng)策略12-11

施工管理問(wèn)題及應(yīng)對(duì)策略研究11-16

高校體育傳承茶文化策略研究論文11-08

網(wǎng)絡(luò)廣告發(fā)展策略研究03-22

探析網(wǎng)絡(luò)環(huán)境下的學(xué)習(xí)策略研究03-16

網(wǎng)絡(luò)營(yíng)銷(xiāo)的產(chǎn)品層次與策略研究03-22