研究高校网络攻击问题与防范策略
摘 要: 随着高校教育信息化的不断深入开展,高校的网络安全问题也日益呈现突出,本文分析了高校主要的网络攻击安全问题,提出了相应的安全防范措施。关键词: 病毒攻击 ARP欺骗
0 概述
近几年来,随着全国高校教育信息化的深入开展,稳定的网络和计算机系统成为教育信息化的重要保障,网络及信息安全也成为高校关注焦点之一。
本文通过研究分析高校网络典型的安全问题,将从病毒攻击、ARP欺骗攻击、ADSL攻击等方面入手,给出了防范策略和保护措施。
1 高校典型病毒攻击分析
病毒攻击仍然是高校最重要的、最广泛的网络攻击现象,随着病毒攻击原理以及方法不断变化,病毒攻击仍然为最严峻的网络安全问题。
1.1 典型病毒攻击以及防范措施
1.1.1 ARP木马病毒
当局域网内某台主机运行ARP欺骗的木马程序时,会欺骗局域网内所有主机和路由器,迫使局域网所有主机的arp地址表的网关MAC地址更新为该主机的MAC地址,导致所有局域网内上网的计算机的数据首先通过该计算机再转发出去,用户原来直接通过路由器上网现在转由通过该主机上网,切换的时候用户会断线一次。由于ARP欺骗的木马程序发作的时候会发出大量的数据包导致局域网通讯拥塞以及其自身处理能力的限制,用户会感觉上网速度越来越慢。当ARP欺骗的木马程序停止运行时,用户会恢复从路由器上网,切换过程中用户会再断一次线。ARP木马病毒会导致整个局域网网络运行不稳定,时断时通。
防范措施:可以借助NBTSCAN工具来检测局域网内所有主机真实的`IP与MAC地址对应表,在网络不稳定状况下,以arp –a命令查看主机的Arp缓存表,此时网关IP对应的MAC地址为感染病毒主机的MAC地址,通过“Nbtscan –r 192.168.1.1/24”扫描192.168.1.1/24网段查看所有主机真实IP和MAC地址表,从而根据IP确定感染病毒主机。也可以通过SNIFFER或者IRIS侦听工具进行抓取异常数据包,发现感染病毒主机。
另外,未雨绸缪,建议用户采用双向绑定的方法解决并且防止ARP欺骗,在计算机上绑定正确的网关的IP和网关接口MAC地址,在正常情况下,通过arp –a命令获取网关IP和网关接口的MAC地址,编写一个批处理文件farp.bat内容如下:
@echo off
arp –d(清零ARP缓存地址表)
arp -s 192.168.1.254 00-22-aa-00-22-aa(绑定正确网关IP和MAC地址)
把批处理放置开始--程序--启动项中,使之随计算机重起自动运行,以避免ARP病毒的欺骗。
1.1.2 W32.Blaster 蠕虫
W32.Blaster是一种利用DCOM RPC漏洞进行传播的蠕虫,传播能力很强。蠕虫通过TCP/135进行探索发现存在漏洞的系统,一旦攻击成功,通过TCP/4444端口进行远程命令控制,最后通过在受感染的计算机的UDP/69端口建立tftp服务器进行上传蠕虫自己的二进制代码程序Msblast.exe加以控制与破坏,该蠕虫传播时破坏了系统的核心进程svchost.exe,会导致系统RPC 服务停止,因此可能引起其他服务(如IIS)不能正常工作,出现比如拷贝、粘贴功能不工作,无法进入网站页面链接等等现象,严重时并可能造成系统崩溃和反复重新启动。
1.1.3 W32.Nachi.Worm 蠕虫
W32.Nachi.Worm蠕虫(以下简称Nachi蠕虫)利用了Microsoft Windows DCOM RPC接口远程缓冲区溢出漏洞和Microsoft Windows 2000 WebDAV远程缓冲区溢出漏洞进行传播。如果该蠕虫发现被感染的机器上有“冲击波”蠕虫,则杀掉“冲击波”蠕虫,并为系统打上补丁程序,但由于程序运行上下文的限制,很多系统不能被打上补丁,并被导致反复重新启动。Nachi蠕虫感染机器后,会产生大量长度为92字节的ICMP报文,从而严重影响网络性能。
1.1.4 w32.sasser蠕虫病毒
w32.sasser蠕虫病毒利用了本地安全验证子系统(Local Security Authority Subsystem,LSASS)里的一个缓冲区溢出错误,从而使得攻击者能够取得被感染系统的控制权。震荡波病毒会利用 TCP 端口 5554 架设一个 FTP 服务器。同时,它使用 TCP 端口5554 随机搜索 Internet 的网段,寻找其它没有修补 LSASS 错误的 Windows 2000 和 Windows XP 系统。震荡波病毒会发起 128 个线程来扫描随机的IP地址,并连续侦听从 TCP 端口 1068 开始的各个端口。该蠕虫会使计算机运行缓慢、网络堵塞、并让系统不停的进行倒计时重启。