|
簡(jiǎn)析高校網(wǎng)絡(luò)攻擊及網(wǎng)站防篡改解決方案
畢業(yè)論文網(wǎng) 2009/7/30
摘要:隨著高校教育信息化的不斷深入開(kāi)展�����,高校的網(wǎng)絡(luò)安全問(wèn)題日益突出���,許多高校網(wǎng)站遭受到不同程度的篡改��。文章針對(duì)高校網(wǎng)絡(luò)存在的上述問(wèn)題����,提出了相應(yīng)的安全防范措施和解決方案。
關(guān)鍵詞:高校����;網(wǎng)絡(luò)攻擊���;網(wǎng)站防篡改;Barracuda-NC應(yīng)用防火墻
高校典型網(wǎng)絡(luò)攻擊及防范措施
隨著網(wǎng)絡(luò)病毒攻擊原理以及方法的不斷變化���,病毒攻擊仍然是最嚴(yán)峻的網(wǎng)絡(luò)安全問(wèn)題�����。下面分析一些典型的病毒攻擊和防范措施�。
(一)ARP木馬病毒
當(dāng)局域網(wǎng)內(nèi)某臺(tái)主機(jī)運(yùn)行ARP木馬病毒程序時(shí)�����,會(huì)欺騙局域網(wǎng)內(nèi)所有主機(jī)和路由器���,迫使局域網(wǎng)所有主機(jī)的ARP地址表的網(wǎng)關(guān)MAC地址更新為該主機(jī)的MAC地址�,導(dǎo)致所有局域網(wǎng)內(nèi)上網(wǎng)的計(jì)算機(jī)的數(shù)據(jù)首先通過(guò)該計(jì)算機(jī)再轉(zhuǎn)發(fā)出去����,用戶原來(lái)直接通過(guò)路由器上網(wǎng)現(xiàn)在轉(zhuǎn)由通過(guò)該主機(jī)上網(wǎng),切換的時(shí)候用戶會(huì)斷線一次��。由于ARP木馬病毒發(fā)作的時(shí)候會(huì)發(fā)出大量的數(shù)據(jù)包導(dǎo)致局域網(wǎng)通訊擁塞以及其自身處理能力的限制,用戶會(huì)感覺(jué)上網(wǎng)速度越來(lái)越慢��。當(dāng)ARP木馬病毒停止運(yùn)行時(shí)�����,用戶會(huì)恢復(fù)從路由器上網(wǎng)����,切換過(guò)程中用戶會(huì)再斷線一次。ARP木馬病毒會(huì)導(dǎo)致整個(gè)局域網(wǎng)運(yùn)行不穩(wěn)定����,時(shí)斷時(shí)通。
ARP木馬病毒防范措施:可以借助NBTSCAN工具來(lái)檢測(cè)局域網(wǎng)內(nèi)所有主機(jī)真實(shí)的IP與MAC地址對(duì)應(yīng)表����,在網(wǎng)絡(luò)不穩(wěn)定狀況下,以arp-a命令查看主機(jī)的ARP緩存表�����,此時(shí)網(wǎng)關(guān)IP對(duì)應(yīng)的MAC地址為感染病毒主機(jī)的MAC地址��,通過(guò)“Nbtscan-r 192.168.1.1/24”掃描192.168.1.1/24網(wǎng)段查看所有主機(jī)真實(shí)IP和MAC地址表��,從而根據(jù)IP確定感染病毒主機(jī)���。也可以通過(guò)SNIFFER或者IRIS偵聽(tīng)工具進(jìn)行抓取異常數(shù)據(jù)包���,發(fā)現(xiàn)感染病毒主機(jī)。另外���,用戶還可以采用雙向綁定的方法來(lái)防止ARP欺騙���,在計(jì)算機(jī)上綁定正確的網(wǎng)關(guān)IP地址和網(wǎng)關(guān)接口MAC地址,在正常情況下���,通過(guò)arp-a命令獲取網(wǎng)關(guān)IP地址和網(wǎng)關(guān)接口的MAC地址����,編寫(xiě)一個(gè)批處理文件farp.bat內(nèi)容如下:
@echo off
arp-d(清零ARP緩存地址表)
arp-s 192.168.1.254 00-22-aa-00-22-aa(綁定正確網(wǎng)關(guān)IP和MAC地址)
把批處理放置到“開(kāi)始—程序—啟動(dòng)”項(xiàng)中�,使之隨計(jì)算機(jī)重起自動(dòng)運(yùn)行,以避免ARP病毒的欺騙����。
(二)蠕蟲(chóng)病毒
w32.Blaster蠕蟲(chóng)病毒w32.Blaster是一種利用DCOM RPC漏洞進(jìn)行傳播的蠕蟲(chóng)病毒,傳播能力很強(qiáng)�,其通過(guò)TCP/135進(jìn)行探索發(fā)現(xiàn)存在漏洞的系統(tǒng)����,一旦攻擊成功��,通過(guò)TCP/4444端口進(jìn)行遠(yuǎn)程命令控制����,最后通過(guò)在受感染的計(jì)算機(jī)的UDP/69端口建立tftp服務(wù)器進(jìn)行上傳“蠕蟲(chóng)”自己的二進(jìn)制代碼程序Msblast.exe對(duì)加以控制與破壞。該蠕蟲(chóng)病毒傳播時(shí)破壞了系統(tǒng)的核心進(jìn)程svchost.exe�,會(huì)導(dǎo)致系統(tǒng)RPC服務(wù)停止。因此���,可能引起其他服務(wù)(如IIS)不能正常工作�����,出現(xiàn)比如拷貝��、粘貼功能不工作��,無(wú)法進(jìn)入網(wǎng)站頁(yè)面鏈接等現(xiàn)象��,嚴(yán)重時(shí)可能造成反復(fù)重新啟動(dòng)和系統(tǒng)崩潰�����。
w32.Nachi.Worm蠕蟲(chóng)病毒w32.Nachi.Worm蠕蟲(chóng)病毒利用Microsoft Windows DCOM RPC接口遠(yuǎn)程緩沖區(qū)溢出漏洞和Microsoft Windows 2000 WebDAV遠(yuǎn)程緩沖區(qū)溢出漏洞進(jìn)行傳播�����。如果該蠕蟲(chóng)病毒發(fā)現(xiàn)被感染的機(jī)器上有“沖擊波蠕蟲(chóng)”���,則殺掉“沖擊波蠕蟲(chóng)”,并為系統(tǒng)打上補(bǔ)丁程序�����,但由于程序運(yùn)行上下文的限制��,很多系統(tǒng)不能被打上補(bǔ)丁��,并被導(dǎo)致反復(fù)重新啟動(dòng)�。該蠕蟲(chóng)病毒感染機(jī)器后,會(huì)產(chǎn)生大量長(zhǎng)度為92字節(jié)的ICMP報(bào)文���,從而嚴(yán)重影響網(wǎng)絡(luò)性能�����。
w32.sasser蠕蟲(chóng)病毒w32.sasser蠕蟲(chóng)病毒利用了本地安全驗(yàn)證子系統(tǒng)(Local Security Authority Subsystem����,LSASS)里的一個(gè)緩沖區(qū)溢出錯(cuò)誤,從而使得攻擊者能夠取得被感染系統(tǒng)的控制權(quán)�����。該病毒會(huì)利用TCP端口5554架設(shè)一個(gè)FTP服務(wù)器�����。同時(shí)����,它使用TCP端口5554隨機(jī)搜索Internet的網(wǎng)段,尋找其他沒(méi)有修補(bǔ)LSASS錯(cuò)誤的Windows 2000和Windows XP系統(tǒng)�����。震蕩波病毒會(huì)發(fā)起128個(gè)線程來(lái)掃描隨機(jī)的IP地址�����,并連續(xù)偵聽(tīng)從TCP端口1068開(kāi)始的各個(gè)端口����。該蠕蟲(chóng)病毒會(huì)使計(jì)算機(jī)運(yùn)行緩慢��、網(wǎng)絡(luò)堵塞并讓系統(tǒng)不停的進(jìn)行倒計(jì)時(shí)重啟����。
蠕蟲(chóng)病毒防范措施:用戶首先要保證計(jì)算機(jī)系統(tǒng)的不斷更新�����,高�����?山⑽④浀腤SUS系統(tǒng)保證用戶計(jì)算機(jī)系統(tǒng)的及時(shí)快速升級(jí)��,另外用戶必須安裝可持續(xù)升級(jí)的殺毒軟件���,沒(méi)有及時(shí)升級(jí)殺毒軟件也是同樣危險(xiǎn)的,高校網(wǎng)絡(luò)管理部門(mén)(未完����,下一頁(yè))
|