研究高校網(wǎng)絡(luò)攻擊問題與防范策略

摘 要： 隨著高校教育信息化的不斷深入開展，高校的網(wǎng)絡(luò)安全問題也日益呈現(xiàn)突出，本文分析了高校主要的網(wǎng)絡(luò)攻擊安全問題，提出了相應(yīng)的安全防范措施。

關(guān)鍵詞： 病毒攻擊 ARP欺騙



0 概述
近幾年來，隨著全國高校教育信息化的深入開展，穩(wěn)定的網(wǎng)絡(luò)和計算機(jī)系統(tǒng)成為教育信息化的重要保障，網(wǎng)絡(luò)及信息安全也成為高校關(guān)注焦點之一。
本文通過研究分析高校網(wǎng)絡(luò)典型的安全問題，將從病毒攻擊、ARP欺騙攻擊、ADSL攻擊等方面入手，給出了防范策略和保護(hù)措施。
1 高校典型病毒攻擊分析
病毒攻擊仍然是高校最重要的、最廣泛的網(wǎng)絡(luò)攻擊現(xiàn)象，隨著病毒攻擊原理以及方法不斷變化，病毒攻擊仍然為最嚴(yán)峻的網(wǎng)絡(luò)安全問題。
1.1 典型病毒攻擊以及防范措施
1.1.1 ARP木馬病毒
當(dāng)局域網(wǎng)內(nèi)某臺主機(jī)運行ARP欺騙的木馬程序時，會欺騙局域網(wǎng)內(nèi)所有主機(jī)和路由器，迫使局域網(wǎng)所有主機(jī)的arp地址表的網(wǎng)關(guān)MAC地址更新為該主機(jī)的MAC地址，導(dǎo)致所有局域網(wǎng)內(nèi)上網(wǎng)的計算機(jī)的數(shù)據(jù)首先通過該計算機(jī)再轉(zhuǎn)發(fā)出去，用戶原來直接通過路由器上網(wǎng)現(xiàn)在轉(zhuǎn)由通過該主機(jī)上網(wǎng)，切換的時候用戶會斷線一次。由于ARP欺騙的木馬程序發(fā)作的時候會發(fā)出大量的數(shù)據(jù)包導(dǎo)致局域網(wǎng)通訊擁塞以及其自身處理能力的限制，用戶會感覺上網(wǎng)速度越來越慢。當(dāng)ARP欺騙的木馬程序停止運行時，用戶會恢復(fù)從路由器上網(wǎng)，切換過程中用戶會再斷一次線。ARP木馬病毒會導(dǎo)致整個局域網(wǎng)網(wǎng)絡(luò)運行不穩(wěn)定，時斷時通。
防范措施：可以借助NBTSCAN工具來檢測局域網(wǎng)內(nèi)所有主機(jī)真實的IP與MAC地址對應(yīng)表，在網(wǎng)絡(luò)不穩(wěn)定狀況下，以arp –a命令查看主機(jī)的Arp緩存表，此時網(wǎng)關(guān)IP對應(yīng)的MAC地址為感染病毒主機(jī)的MAC地址，通過“Nbtscan –r 192.168.1.1/24”掃描192.168.1.1/24網(wǎng)段查看所有主機(jī)真實IP和MAC地址表，從而根據(jù)IP確定感染病毒主機(jī)。也可以通過SNIFFER或者IRIS偵聽工具進(jìn)行抓取異常數(shù)據(jù)包，發(fā)現(xiàn)感染病毒主機(jī)。
另外，未雨綢繆，建議用戶采用雙向綁定的方法解決并且防止ARP欺騙，在計算機(jī)上綁定正確的網(wǎng)關(guān)的IP和網(wǎng)關(guān)接口MAC地址，在正常情況下，通過arp –a命令獲取網(wǎng)關(guān)IP和網(wǎng)關(guān)接口的MAC地址，編寫一個批處理文件farp.bat內(nèi)容如下：
@echo off
arp –d（清零ARP緩存地址表）
arp -s 192.168.1.254 00-22-aa-00-22-aa（綁定正確網(wǎng)關(guān)IP和MAC地址）
把批處理放置開始--程序--啟動項中，使之隨計算機(jī)重起自動運行，以避免ARP病毒的欺騙。
1.1.2 W32.Blaster 蠕蟲
W32.Blaster是一種利用DCOM RPC漏洞進(jìn)行傳播的蠕蟲，傳播能力很強(qiáng)。蠕蟲通過TCP/135進(jìn)行探索發(fā)現(xiàn)存在漏洞的系統(tǒng)，一旦攻擊成功，通過TCP/4444端口進(jìn)行遠(yuǎn)程命令控制，最后通過在受感染的計算機(jī)的UDP/69端口建立tftp服務(wù)器進(jìn)行上傳蠕蟲自己的二進(jìn)制代碼程序Msblast.exe加以控制與破壞，該蠕蟲傳播時破壞了系統(tǒng)的核心進(jìn)程svchost.exe，會導(dǎo)致系統(tǒng)RPC 服務(wù)停止，因此可能引起其他服務(wù)（如IIS）不能正常工作，出現(xiàn)比如拷貝、粘貼功能不工作，無法進(jìn)入網(wǎng)站頁面鏈接等等現(xiàn)象，嚴(yán)重時并可能造成系統(tǒng)崩潰和反復(fù)重新啟動。
1.1.3 W32.Nachi.Worm 蠕蟲
W32.Nachi.Worm蠕蟲(以下簡稱Nachi蠕蟲)利用了Microsoft Windows DCOM RPC接口遠(yuǎn)程緩沖區(qū)溢出漏洞和Microsoft Windows 2000 WebDAV遠(yuǎn)程緩沖區(qū)溢出漏洞進(jìn)行傳播。如果該蠕蟲發(fā)現(xiàn)被感染的機(jī)器上有“沖擊波”蠕蟲，則殺掉“沖擊波”蠕蟲，并為系統(tǒng)打上補(bǔ)丁程序，但由于程序運行上下文的限制，很多系統(tǒng)不能被打上補(bǔ)丁，并被導(dǎo)致反復(fù)重新啟動。Nachi蠕蟲感染機(jī)器后，會產(chǎn)生大量長度為92字節(jié)的ICMP報文，從而嚴(yán)重影響網(wǎng)絡(luò)性能。
1.1.4 w32.sasser蠕蟲病毒
w32.sasser蠕蟲病毒利用了本地安全驗證子系統(tǒng)（Local Security Authority Subsystem，LSASS）里的一個緩沖區(qū)溢出錯誤，從而使得攻擊者能夠取得被感染系統(tǒng)的控制權(quán)。震蕩波病毒會利用 TCP 端口 5554 架設(shè)一個 FTP 服務(wù)器。同時，它使用 TCP 端口5554 隨機(jī)搜索 Internet 的網(wǎng)段，尋找其它沒有修補(bǔ) LSASS 錯誤的 Windows 2000 和 Windows XP 系統(tǒng)。震蕩波病毒會發(fā)起 128 個線程來掃描隨機(jī)的IP地址，并連續(xù)偵聽從 TCP 端口 1068 開始的各個端口。該蠕蟲會使計算機(jī)運行緩慢、網(wǎng)絡(luò)堵塞、并讓系統(tǒng)不停的進(jìn)行倒計時重啟。
蠕蟲病毒防范措施：用戶首先要保證計算機(jī)系統(tǒng)的不斷更新，高校可建立微軟的WSUS系統(tǒng)保證用戶計算機(jī)系統(tǒng)的及時快速升級，另外用戶必須安裝可持續(xù)升級的殺毒軟件，沒有及時升級殺毒軟件也是同樣危險的，高校網(wǎng)絡(luò)管理部門出臺相應(yīng)安全政策以及保證對用戶定時的安全培訓(xùn)也是相當(dāng)重要的。用戶本地計算機(jī)可采取些輔助措施保護(hù)計算機(jī)系統(tǒng)的安全，如本地硬盤克隆、局域網(wǎng)硬盤克隆技術(shù)等。
2 高校家屬區(qū)網(wǎng)絡(luò)攻擊分析
2.1 ADSL貓（MODEM）攻擊
ADSL攻擊主要發(fā)生在高校家屬區(qū)，ADSL作為一種寬帶接入方式已經(jīng)被廣大用戶接受，家屬用戶通過一臺ADSL路由器撥號，利用ADSL的NAT功能實現(xiàn)多臺計算機(jī)同時上網(wǎng)，最常見的安全問題就是用戶沒有修改路由器的初始配置密碼，一般的ADSL路由器有一個默認(rèn)的配置密碼，且默然開放WEB（80）和TELNET（23）服務(wù)端口，內(nèi)網(wǎng)黑客很容易利用工具如ADSL終結(jié)者通過這些默然密碼以WEB和TELNET方式進(jìn)入ADSL管理平臺，加以改變數(shù)據(jù)以及關(guān)閉ADSL路由器，再者多數(shù)ADSL路由器管理系統(tǒng)存在代碼漏洞，黑客可以利用這些漏洞使ADSL路由器重復(fù)死機(jī)或者不斷重起。
解決辦法：用戶及時修改ADSL默認(rèn)密碼，用戶可以通過如admin

【研究高校網(wǎng)絡(luò)攻擊問題與防范策略】相關(guān)文章：

緩沖區(qū)溢出攻擊的分析及防范策略03-18

研究企業(yè)品牌危機(jī)及其防范策略03-18

高校鋼琴教育的現(xiàn)狀與策略研究05-25

高校招生工作營銷策略研究03-20

高校英語教育問題及相應(yīng)策略12-11

施工管理問題及應(yīng)對策略研究11-16

高校體育傳承茶文化策略研究論文11-08

網(wǎng)絡(luò)廣告發(fā)展策略研究03-22

探析網(wǎng)絡(luò)環(huán)境下的學(xué)習(xí)策略研究03-16

網(wǎng)絡(luò)營銷的產(chǎn)品層次與策略研究03-22