研究高校網(wǎng)絡(luò )攻擊問(wèn)題與防范策略

摘 要： 隨著(zhù)高校教育信息化的不斷深入開(kāi)展，高校的網(wǎng)絡(luò )安全問(wèn)題也日益呈現突出，本文分析了高校主要的網(wǎng)絡(luò )攻擊安全問(wèn)題，提出了相應的安全防范措施。

關(guān)鍵詞： 病毒攻擊 ARP欺騙



0 概述
近幾年來(lái)，隨著(zhù)全國高校教育信息化的深入開(kāi)展，穩定的網(wǎng)絡(luò )和計算機系統成為教育信息化的重要保障，網(wǎng)絡(luò )及信息安全也成為高校關(guān)注焦點(diǎn)之一。
本文通過(guò)研究分析高校網(wǎng)絡(luò )典型的安全問(wèn)題，將從病毒攻擊、ARP欺騙攻擊、ADSL攻擊等方面入手，給出了防范策略和保護措施。
1 高校典型病毒攻擊分析
病毒攻擊仍然是高校最重要的、最廣泛的網(wǎng)絡(luò )攻擊現象，隨著(zhù)病毒攻擊原理以及方法不斷變化，病毒攻擊仍然為最嚴峻的網(wǎng)絡(luò )安全問(wèn)題。
1.1 典型病毒攻擊以及防范措施
1.1.1 ARP木馬病毒
當局域網(wǎng)內某臺主機運行ARP欺騙的木馬程序時(shí)，會(huì )欺騙局域網(wǎng)內所有主機和路由器，迫使局域網(wǎng)所有主機的arp地址表的網(wǎng)關(guān)MAC地址更新為該主機的MAC地址，導致所有局域網(wǎng)內上網(wǎng)的計算機的數據首先通過(guò)該計算機再轉發(fā)出去，用戶(hù)原來(lái)直接通過(guò)路由器上網(wǎng)現在轉由通過(guò)該主機上網(wǎng)，切換的時(shí)候用戶(hù)會(huì )斷線(xiàn)一次。由于A(yíng)RP欺騙的木馬程序發(fā)作的時(shí)候會(huì )發(fā)出大量的數據包導致局域網(wǎng)通訊擁塞以及其自身處理能力的限制，用戶(hù)會(huì )感覺(jué)上網(wǎng)速度越來(lái)越慢。當ARP欺騙的木馬程序停止運行時(shí)，用戶(hù)會(huì )恢復從路由器上網(wǎng)，切換過(guò)程中用戶(hù)會(huì )再斷一次線(xiàn)。ARP木馬病毒會(huì )導致整個(gè)局域網(wǎng)網(wǎng)絡(luò )運行不穩定，時(shí)斷時(shí)通。
防范措施：可以借助NBTSCAN工具來(lái)檢測局域網(wǎng)內所有主機真實(shí)的IP與MAC地址對應表，在網(wǎng)絡(luò )不穩定狀況下，以arp –a命令查看主機的Arp緩存表，此時(shí)網(wǎng)關(guān)IP對應的MAC地址為感染病毒主機的MAC地址，通過(guò)“Nbtscan –r 192.168.1.1/24”掃描192.168.1.1/24網(wǎng)段查看所有主機真實(shí)IP和MAC地址表，從而根據IP確定感染病毒主機。也可以通過(guò)SNIFFER或者IRIS偵聽(tīng)工具進(jìn)行抓取異常數據包，發(fā)現感染病毒主機。
另外，未雨綢繆，建議用戶(hù)采用雙向綁定的方法解決并且防止ARP欺騙，在計算機上綁定正確的網(wǎng)關(guān)的IP和網(wǎng)關(guān)接口MAC地址，在正常情況下，通過(guò)arp –a命令獲取網(wǎng)關(guān)IP和網(wǎng)關(guān)接口的MAC地址，編寫(xiě)一個(gè)批處理文件farp.bat內容如下：
@echo off
arp –d（清零ARP緩存地址表）
arp -s 192.168.1.254 00-22-aa-00-22-aa（綁定正確網(wǎng)關(guān)IP和MAC地址）
把批處理放置開(kāi)始--程序--啟動(dòng)項中，使之隨計算機重起自動(dòng)運行，以避免ARP病毒的欺騙。
1.1.2 W32.Blaster 蠕蟲(chóng)
W32.Blaster是一種利用DCOM RPC漏洞進(jìn)行傳播的蠕蟲(chóng)，傳播能力很強。蠕蟲(chóng)通過(guò)TCP/135進(jìn)行探索發(fā)現存在漏洞的系統，一旦攻擊成功，通過(guò)TCP/4444端口進(jìn)行遠程命令控制，最后通過(guò)在受感染的計算機的UDP/69端口建立tftp服務(wù)器進(jìn)行上傳蠕蟲(chóng)自己的二進(jìn)制代碼程序Msblast.exe加以控制與破壞，該蠕蟲(chóng)傳播時(shí)破壞了系統的核心進(jìn)程svchost.exe，會(huì )導致系統RPC 服務(wù)停止，因此可能引起其他服務(wù)（如IIS）不能正常工作，出現比如拷貝、粘貼功能不工作，無(wú)法進(jìn)入網(wǎng)站頁(yè)面鏈接等等現象，嚴重時(shí)并可能造成系統崩潰和反復重新啟動(dòng)。
1.1.3 W32.Nachi.Worm 蠕蟲(chóng)
W32.Nachi.Worm蠕蟲(chóng)(以下簡(jiǎn)稱(chēng)Nachi蠕蟲(chóng))利用了Microsoft Windows DCOM RPC接口遠程緩沖區溢出漏洞和Microsoft Windows 2000 WebDAV遠程緩沖區溢出漏洞進(jìn)行傳播。如果該蠕蟲(chóng)發(fā)現被感染的機器上有“沖擊波”蠕蟲(chóng)，則殺掉“沖擊波”蠕蟲(chóng)，并為系統打上補丁程序，但由于程序運行上下文的限制，很多系統不能被打上補丁，并被導致反復重新啟動(dòng)。Nachi蠕蟲(chóng)感染機器后，會(huì )產(chǎn)生大量長(cháng)度為92字節的ICMP報文，從而嚴重影響網(wǎng)絡(luò )性能。
1.1.4 w32.sasser蠕蟲(chóng)病毒
w32.sasser蠕蟲(chóng)病毒利用了本地安全驗證子系統（Local Security Authority Subsystem，LSASS）里的一個(gè)緩沖區溢出錯誤，從而使得攻擊者能夠取得被感染系統的控制權。震蕩波病毒會(huì )利用 TCP 端口 5554 架設一個(gè) FTP 服務(wù)器。同時(shí)，它使用 TCP 端口5554 隨機搜索 Internet 的網(wǎng)段，尋找其它沒(méi)有修補 LSASS 錯誤的 Windows 2000 和 Windows XP 系統。震蕩波病毒會(huì )發(fā)起 128 個(gè)線(xiàn)程來(lái)掃描隨機的IP地址，并連續偵聽(tīng)從 TCP 端口 1068 開(kāi)始的各個(gè)端口。該蠕蟲(chóng)會(huì )使計算機運行緩慢、網(wǎng)絡(luò )堵塞、并讓系統不停的進(jìn)行倒計時(shí)重啟。
蠕蟲(chóng)病毒防范措施：用戶(hù)首先要保證計算機系統的不斷更新，高�？山�立微軟的WSUS系統保證用戶(hù)計算機系統的及時(shí)快速升級，另外用戶(hù)必須安裝可持續升級的殺毒軟件，沒(méi)有及時(shí)升級殺毒軟件也是同樣危險的，高校網(wǎng)絡(luò )管理部門(mén)出臺相應安全政策以及保證對用戶(hù)定時(shí)的安全培訓也是相當重要的。用戶(hù)本地計算機可采取些輔助措施保護計算機系統的安全，如本地硬盤(pán)克隆、局域網(wǎng)硬盤(pán)克隆技術(shù)等。
2 高校家屬區網(wǎng)絡(luò )攻擊分析
2.1 ADSL貓（MODEM）攻擊
ADSL攻擊主要發(fā)生在高校家屬區，ADSL作為一種寬帶接入方式已經(jīng)被廣大用戶(hù)接受，家屬用戶(hù)通過(guò)一臺ADSL路由器撥號，利用ADSL的NAT功能實(shí)現多臺計算機同時(shí)上網(wǎng)，最常見(jiàn)的安全問(wèn)題就是用戶(hù)沒(méi)有修改路由器的初始配置密碼，一般的ADSL路由器有一個(gè)默認的配置密碼，且默然開(kāi)放WEB（80）和TELNET（23）服務(wù)端口，內網(wǎng)黑客很容易利用工具如ADSL終結者通過(guò)這些默然密碼以WEB和TELNET方式進(jìn)入ADSL管理平臺，加以改變數據以及關(guān)閉ADSL路由器，再者多數ADSL路由器管理系統存在代碼漏洞，黑客可以利用這些漏洞使ADSL路由器重復死機或者不斷重起。
解決辦法：用戶(hù)及時(shí)修改ADSL默認密碼，用戶(hù)可以通過(guò)如admin

【研究高校網(wǎng)絡(luò )攻擊問(wèn)題與防范策略】相關(guān)文章：

緩沖區溢出攻擊的分析及防范策略03-18

研究企業(yè)品牌危機及其防范策略03-18

高校鋼琴教育的現狀與策略研究05-25

高校招生工作營(yíng)銷(xiāo)策略研究03-20

高校英語(yǔ)教育問(wèn)題及相應策略12-11

施工管理問(wèn)題及應對策略研究11-16

高校體育傳承茶文化策略研究論文11-08

網(wǎng)絡(luò )廣告發(fā)展策略研究03-22

探析網(wǎng)絡(luò )環(huán)境下的學(xué)習策略研究03-16

網(wǎng)絡(luò )營(yíng)銷(xiāo)的產(chǎn)品層次與策略研究03-22