摘 要 随着高校教育信息化的不断深入开展,高校的网络安全问题也日益呈现突出,本文分析了高校主要的网络攻击安全问题,提出了相应的安全防范措施。
关键词 病毒攻击 ARP欺骗
0 概述
近几年来,随着全国高校教育信息化的深入开展,稳定的网络和计算机系统成为教育信息化的重要保障,网络及信息安全也成为高校关注焦点之一。
本文通过研究分析高校网络典型的安全问题,将从病毒攻击、ARP欺骗攻击、ADSL攻击等方面入手,给出了防范策略和保护措施。
1 高校典型病毒攻击分析
病毒攻击仍然是高校最重要的、最广泛的网络攻击现象,随着病毒攻击原理以及方法不断变化,病毒攻击仍然为最严峻的网络安全问题。
1.1 典型病毒攻击以及防范措施
1.1.1 ARP木马病毒
当局域网内某台主机运行ARP欺骗的木马程序时,会欺骗局域网内所有主机和路由器,迫使局域网所有主机的arp地址表的网关MAC地址更新为该主机的MAC地址,导致所有局域网内上网的计算机的数据首先通过该计算机再转发出去,用户原来直接通过路由器上网现在转由通过该主机上网,切换的时候用户会断线一次。由于ARP欺骗的木马程序发作的时候会发出大量的数据包导致局域网通讯拥塞以及其自身处理能力的限制,用户会感觉上网速度越来越慢。当ARP欺骗的木马程序停止运行时,用户会恢复从路由器上网,切换过程中用户会再断一次线。ARP木马病毒会导致整个局域网网络运行不稳定,时断时通。
防范措施:可以借助NBTSCAN工具来检测局域网内所有主机真实的IP与MAC地址对应表,在网络不稳定状况下,以arp –a命令查看主机的Arp缓存表,此时网关IP对应的MAC地址为感染病毒主机的MAC地址,通过“Nbtscan –r 192.168.1.1/24”扫描192.168.1.1/24网段查看所有主机真实IP和MAC地址表,从而根据IP确定感染病毒主机。也可以通过SNIFFER或者IRIS侦听工具进行抓取异常数据包,发现感染病毒主机。
另外,未雨绸缪,建议用户采用双向绑定的方法解决并且防止ARP欺骗,在计算机上绑定正确的网关的IP和网关接口MAC地址,在正常情况下,通过arp –a命令获取网关IP和网关接口的MAC地址,编写一个批处理文件farp.bat内容
@echo off
arp –d(清零ARP缓存地址表)
arp -s 192.168.1.254 00-22-aa-00-22-aa(绑定正确网关IP和MAC地址)
把批处理放置开始--程序--启动项中,使之随计算机重起自动运行,以避免ARP病毒的欺骗。
1.1.2 W32.Blaster 蠕虫
W32.Blaster是一种利用DCOM RPC漏洞进行传播的蠕虫,传播能力很强。蠕虫通过TCP/135进行探索发现存在漏洞的系统,一旦攻击成功,通过TCP/4444端口进行远程命令控制,最后通过在受感染的计算机的UDP/69端口建立tftp服务器进行上传蠕虫自己的二进制代码程序Msblast.exe加以控制与破坏,该蠕虫传播时破坏了系统的核心进程svchost.exe,会导致系统RPC 服务停止,因此可能引起其他服务(如IIS)不能正常工作,出现比如拷贝、粘贴功能不工作,无法进入网站页面链接等等现象,严重时并可能造成系统崩溃和反复重新启动。
1.1.3 W32.Nachi.Worm 蠕虫
W32.Nachi.Worm蠕虫(以下简称Nachi蠕虫)利用了Microsoft Windows DCOM RPC接口远程缓冲区溢出漏洞和Microsoft Windows 2000 WebDAV远程缓冲区溢出漏洞进行传播。如果该蠕虫发现被感染的机器上有“冲击波”蠕虫,则杀掉“冲击波”蠕虫,并为系统打上补丁程序,但由于程序运行上下文的限制,很多系统不能被打上补丁,并被导致反复重新启动。Nachi蠕虫感染机器后,会产生大量长度为92字节的ICMP报文,从而严重影响网络性能。
1.1.4 w32.sasser蠕虫病毒
w32.sasser蠕虫病毒利用了本地安全验证子系统(Local Security Authority Subsystem,LSASS)里的一个缓冲区溢出错误,从而使得攻击者能够取得被
感染系统的控制权。震荡波病毒会利用 TCP 端口 5554 架设一个 FTP 服务器。同时,它使用 TCP 端口5554 随机搜索 Internet 的网段,寻找其它没有修补 LSASS 错误的 Windows 2000 和 Windows XP 系统。震荡波病毒会发起 128 个线程来扫描随机的IP地址,并连续侦听从 TCP 端口 1068 开始的各个端口。该蠕虫会使计算机运行缓慢、网络堵塞、并让系统不停的进行倒计时重启。
蠕虫病毒防范措施:用户首先要保证计算机系统的不断更新,高校可建立微软的WSUS系统保证用户计算机系统的及时快速升级,另外用户必须安装可持续升级的杀毒软件,没有及时升级杀毒软件也是同样危险的,高校网络管理部门出台相应安全政策以及保证对用户定时的安全培训也是相当重要的。用户本地计算机可采取些辅助措施保护计算机系统的安全,如本地硬盘克隆、局域网硬盘克隆技术等。
2 高校家属区网络攻击分析
2.1 ADSL猫(MODEM)攻击
ADSL攻击主要发生在高校家属区,ADSL作为一种宽带接入方式已经被广大用户接受,家属用户通过一台ADSL路由器拨号,利用ADSL的NAT功能实现多台计算机同时上网,最常见的安全问题就是用户没有修改路由器的初始配置密码,一般的ADSL路由器有一个默认的配置密码,且默然开放WEB(80)和TELNET(23)服务端口,内网黑客很容易利用工具如ADSL终结者通过这些默然密码以WEB和TELNET方式进入ADSL管理平台,加以改变数据以及关闭ADSL路由器,再者多数ADSL路由器管理系统存在代码漏洞,黑客可以利用这些漏洞使ADSL路由器重复死机或者不断重起。
解决办法:用户及时修改ADSL默认密码,用户可以通过如admin-portsetting中对ADSL路由器饿HTTP、TELNET的服务端口更换掉,使用61000~62000中任意一个,对大部分用户来说可以关闭一些服务端口,以免黑客扫描得逞。
3 内网SNIFFER的威胁
sniffer中文翻译过来就是嗅探器,在当前网络技术中使用得非常得广泛,sniffer既可以做为网络故障的诊断工具,也可以作为黑客嗅探和监听的工具,比较有名的工具如Tcpdump、Sniffit、Sniffer pro、Iris等,在Sniffer之前一般要安装winpcap驱动(windows packet capture),它是windows平台下一个免费,公共的网络访问系统。开发winpcap这个项目的目的在于为win32应用程序提供访问网络底层的能力。它提供了以下的各项功能:(1)捕获原始数据报,包括在共享网络上各主机发送/接收的以及相互之间交换的数据报;(2)在数据报发往应用程序之前,按照自定义的规则将某些特殊的数据报过滤掉;(3) 在网络上发送原始的数据报;(4)收集网络通信过程中的统计信息。winpcap的主要功能在于独立于主机而发送和接收原始数据报。也就是说,winpcap不能阻塞,过滤或控制其他应用程序数据报的发收,它仅仅只是监听共享网络上传送的数据报。
Sniffe的检测:Sniffer可以利用网卡处于混杂模式抓取非法数据,造成正常用户数据泄露,可以利用网卡正常模式和混杂模式对广播地址的理解区别来检测sniffer,正常情况下,网卡检测是不是广播地址要以目的以太网址是否等于ff.ff.ff.ff.ff.ff 为标准,网卡在混乱模式时,网卡检测则是数据包的目的以太网址的第一个八位组值,是0xff则认为是广播地址。利用这点细微差别就可以检测出Sniffer.。也可以采取故意往局域网一试验机发送大量数据,由于混杂模式Sniffer的主机疲于抓取大量数据,很容易通过检测如PING各计算机的反应状态来检测到。
4 总结
高校网络安全是一项比较复杂的系统工程,网络安全是相对的,没有绝对的网络安全,除了必要的硬件和技术作为有力支撑外,用户和网络管理人员之间的默契配合和安全意识不断的提高是非常重要的。在采取安全防范措施的同时,还要有较为完善的安全管理制度和合理的组织机构,这样才能够实现高校校园网较为可靠、安全的运行。
