高校网络攻击问题与防范策略研究.doc

1高校网络攻击问题与防范策略研究摘 要 随着高校教育信息化的不断深入开展，高校的网络安全问题也日益呈现突出，本文分析了高校主要的网络攻击安全问题，提出了相应的安全防范措施关键词 病毒攻击 ARP 欺骗 0 概述近几年来，随着全国高校教育信息化的深入开展，稳定的网络和计算机系统成为教育信息化的重要保障，网络及信息安全也成为高校关注焦点之一本文通过研究分析高校网络典型的安全问题，将从病毒攻击、ARP 欺骗攻击、ADSL 攻击等方面入手，给出了防范策略和保护措施1 高校典型病毒攻击分析病毒攻击仍然是高校最重要的、最广泛的网络攻击现象，随着病毒攻击原理以及方法不断变化，病毒攻击仍然为最严峻的网络安全问题1.1 典型病毒攻击以及防范措施1.1.1 ARP 木马病毒当局域网内某台主机运行 ARP 欺骗的木马程序时，会欺骗局域网内所有主机和路由器，迫使局域网所有主机的 arp 地址表的网关 MAC 地址更新为该主机的MAC 地址，导致所有局域网内上网的计算机的数据首先通过该计算机再转发出去，用户原来直接通过路由器上网现在转由通过该主机上网，切换的时候用户会断线一次由于 ARP 欺骗的木马程序发作的时候会发出大量的数据包导致局域网通讯拥塞以及其自身处理能力的限制，用户会感觉上网速度越来越慢。

当 ARP欺骗的木马程序停止运行时，用户会恢复从路由器上网，切换过程中用户会再断一次线ARP 木马病毒会导致整个局域网网络运行不稳定，时断时通2防范措施：可以借助 NBTSCAN 工具来检测局域网内所有主机真实的 IP 与MAC 地址对应表，在网络不稳定状况下，以 arp –a 命令查看主机的 Arp 缓存表，此时网关 IP 对应的 MAC 地址为感染病毒主机的 MAC 地址，通过“Nbtscan –r 192.168.1.1/24”扫描 192.168.1.1/24 网段查看所有主机真实 IP 和 MAC 地址表，从而根据 IP 确定感染病毒主机也可以通过 SNIFFER 或者 IRIS 侦听工具进行抓取异常数据包，发现感染病毒主机另外，未雨绸缪，建议用户采用双向绑定的方法解决并且防止 ARP 欺骗，在计算机上绑定正确的网关的 IP 和网关接口 MAC 地址，在正常情况下，通过 arp –a 命令获取网关 IP 和网关接口的 MAC 地址，编写一个批处理文件 farp.bat 内容如下：@echo offarp –d（清零 ARP 缓存地址表）arp -s 192.168.1.254 00-22-aa-00-22-aa（绑定正确网关 IP 和 MAC 地址）把批处理放置开始--程序--启动项中，使之随计算机重起自动运行，以避免 ARP病毒的欺骗。

1.1.2 W32.Blaster 蠕虫W32.Blaster 是一种利用 DCOM RPC 漏洞进行传播的蠕虫，传播能力很强蠕虫通过 TCP/135 进行探索发现存在漏洞的系统，一旦攻击成功，通过 TCP/4444 端口进行远程命令控制，最后通过在受感染的计算机的 UDP/69 端口建立 tftp 服务器进行上传蠕虫自己的二进制代码程序 Msblast.exe 加以控制与破坏，该蠕虫传播时破坏了系统的核心进程 svchost.exe，会导致系统 RPC 服务停止，因此可能引起其他服务（如 IIS）不能正常工作，出现比如拷贝、粘贴功能不工作，无法进入网站页面链接等等现象，严重时并可能造成系统崩溃和反复重新启动1.1.3 W32.Nachi.Worm 蠕虫W32.Nachi.Worm 蠕虫(以下简称 Nachi 蠕虫)利用了 Microsoft Windows DCOM 3RPC 接口远程缓冲区溢出漏洞和 Microsoft Windows 2000 WebDAV 远程缓冲区溢出漏洞进行传播如果该蠕虫发现被感染的机器上有“冲击波”蠕虫，则杀掉“冲击波”蠕虫，并为系统打上补丁程序，但由于程序运行上下文的限制，很多系统不能被打上补丁，并被导致反复重新启动。

Nachi 蠕虫感染机器后，会产生大量长度为 92 字节的 ICMP 报文，从而严重影响网络性能1.1.4 w32.sasser 蠕虫病毒w32.sasser 蠕虫病毒利用了本地安全验证子系统（Local Security Authority Subsystem，LSASS）里的一个缓冲区溢出错误，从而使得攻击者能够取得被 感染系统的控制权震荡波病毒会利用 TCP 端口 5554 架设一个 FTP 服务器同时，它使用 TCP 端口 5554 随机搜索 Internet 的网段，寻找其它没有修补 LSASS 错误的 Windows 2000 和 Windows XP 系统震荡波病毒会发起 128 个线程来扫描随机的 IP 地址，并连续侦听从 TCP 端口 1068 开始的各个端口该蠕虫会使计算机运行缓慢、网络堵塞、并让系统不停的进行倒计时重启蠕虫病毒防范措施：用户首先要保证计算机系统的不断更新，高校可建立微软的WSUS 系统保证用户计算机系统的及时快速升级，另外用户必须安装可持续升级的杀毒软件，没有及时升级杀毒软件也是同样危险的，高校网络管理部门出台相应安全政策以及保证对用户定时的安全培训也是相当重要的。

用户本地计算机可采取些辅助措施保护计算机系统的安全，如本地硬盘克隆、局域网硬盘克隆技术等2 高校家属区网络攻击分析2.1 ADSL 猫（MODEM）攻击ADSL 攻击主要发生在高校家属区，ADSL 作为一种宽带接入方式已经被广大用户接受，家属用户通过一台 ADSL 路由器拨号，利用 ADSL 的 NAT 功能实现多4台计算机同时上网，最常见的安全问题就是用户没有修改路由器的初始配置密码，一般的 ADSL 路由器有一个默认的配置密码，且默然开放 WEB（80）和TELNET（23）服务端口，内网黑客很容易利用工具如 ADSL 终结者通过这些默然密码以 WEB 和 TELNET 方式进入 ADSL 管理平台，加以改变数据以及关闭ADSL 路由器，再者多数 ADSL 路由器管理系统存在代码漏洞，黑客可以利用这些漏洞使 ADSL 路由器重复死机或者不断重起解决办法：用户及时修改 ADSL 默认密码，用户可以通过如 admin-portsetting中对 ADSL 路由器饿 HTTP、TELNET 的服务端口更换掉，使用 61000~62000 中任意一个，对大部分用户来说可以关闭一些服务端口，以免黑客扫描得逞。

3 内网 SNIFFER 的威胁sniffer 中文翻译过来就是嗅探器，在当前网络技术中使用得非常得广泛，sniffer既可以做为网络故障的诊断工具，也可以作为黑客嗅探和监听的工具，比较有名的工具如 Tcpdump、Sniffit、Sniffer pro、Iris 等，在 Sniffer 之前一般要安装winpcap 驱动(windows packet capture)，它是 windows 平台下一个免费，公共的网络访问系统开发 winpcap 这个项目的目的在于为 win32 应用程序提供访问网络底层的能力它提供了以下的各项功能：(1)捕获原始数据报，包括在共享网络上各主机发送/接收的以及相互之间交换的数据报；(2)在数据报发往应用程序之前，按照自定义的规则将某些特殊的数据报过滤掉；(3) 在网络上发送原始的数据报；(4)收集网络通信过程中的统计信息winpcap 的主要功能在于独立于主机而发送和接收原始数据报也就是说，winpcap 不能阻塞，过滤或控制其他应用程序数据报的发收，它仅仅只是监听共享网络上传送的数据报Sniffe 的检测：Sniffer 可以利用网卡处于混杂模式抓取非法数据，造成正常用户数据泄露，可以利用网卡正常模式和混杂模式对广播地址的理解区别来检测5sniffer，正常情况下，网卡检测是不是广播地址要以目的以太网址是否等于ff.ff.ff.ff.ff.ff 为标准，网卡在混乱模式时，网卡检测则是数据包的目的以太网址的第一个八位组值，是 0xff 则认为是广播地址。

利用这点细微差别就可以检测出Sniffer.也可以采取故意往局域网一试验机发送大量数据，由于混杂模式 Sniffer的主机疲于抓取大量数据，很容易通过检测如 PING 各计算机的反应状态来检测到 4 总结高校网络安全是一项比较复杂的系统工程，网络安全是相对的，没有绝对的网络安全，除了必要的硬件和技术作为有力支撑外，用户和网络管理人员之间的默契配合和安全意识不断的提高是非常重要的在采取安全防范措施的同时，还要有较为完善的安全管理制度和合理的组织机构，这样才能够实现高校校园网较为可靠、安全的运行。