研究高校網絡攻擊問題與防范策略

研究高校網絡攻擊問題與防范策略

摘 要： 隨著高校教育信息化的不斷深入開展，高校的網絡安全問題也日益呈現突出，本文分析了高校主要的網絡攻擊安全問題，提出了相應的安全防范措施。

關鍵詞： 病毒攻擊 ARP欺騙



0 概述
近幾年來，隨著全國高校教育信息化的深入開展，穩定的網絡和計算機系統成為教育信息化的重要保障，網絡及信息安全也成為高校關注焦點之一。
本文通過研究分析高校網絡典型的安全問題，將從病毒攻擊、ARP欺騙攻擊、ADSL攻擊等方面入手，給出了防范策略和保護措施。
1 高校典型病毒攻擊分析
病毒攻擊仍然是高校最重要的、最廣泛的網絡攻擊現象，隨著病毒攻擊原理以及方法不斷變化，病毒攻擊仍然為最嚴峻的網絡安全問題。
1.1 典型病毒攻擊以及防范措施
1.1.1 ARP木馬病毒
當局域網內某臺主機運行ARP欺騙的木馬程序時，會欺騙局域網內所有主機和路由器，迫使局域網所有主機的arp地址表的網關MAC地址更新為該主機的MAC地址，導致所有局域網內上網的計算機的數據首先通過該計算機再轉發出去，用戶原來直接通過路由器上網現在轉由通過該主機上網，切換的時候用戶會斷線一次。由于ARP欺騙的木馬程序發作的時候會發出大量的數據包導致局域網通訊擁塞以及其自身處理能力的限制，用戶會感覺上網速度越來越慢。當ARP欺騙的木馬程序停止運行時，用戶會恢復從路由器上網，切換過程中用戶會再斷一次線。ARP木馬病毒會導致整個局域網網絡運行不穩定，時斷時通。
防范措施：可以借助NBTSCAN工具來檢測局域網內所有主機真實的IP與MAC地址對應表，在網絡不穩定狀況下，以arp –a命令查看主機的Arp緩存表，此時網關IP對應的MAC地址為感染病毒主機的MAC地址，通過“Nbtscan –r 192.168.1.1/24”掃描192.168.1.1/24網段查看所有主機真實IP和MAC地址表，從而根據IP確定感染病毒主機。也可以通過SNIFFER或者IRIS偵聽工具進行抓取異常數據包，發現感染病毒主機。
另外，未雨綢繆，建議用戶采用雙向綁定的方法解決并且防止ARP欺騙，在計算機上綁定正確的網關的IP和網關接口MAC地址，在正常情況下，通過arp –a命令獲取網關IP和網關接口的MAC地址，編寫一個批處理文件farp.bat內容如下：
@echo off
arp –d（清零ARP緩存地址表）
arp -s 192.168.1.254 00-22-aa-00-22-aa（綁定正確網關IP和MAC地址）
把批處理放置開始--程序--啟動項中，使之隨計算機重起自動運行，以避免ARP病毒的欺騙。
1.1.2 W32.Blaster 蠕蟲
W32.Blaster是一種利用DCOM RPC漏洞進行傳播的蠕蟲，傳播能力很強。蠕蟲通過TCP/135進行探索發現存在漏洞的系統，一旦攻擊成功，通過TCP/4444端口進行遠程命令控制，最后通過在受感染的計算機的UDP/69端口建立tftp服務器進行上傳蠕蟲自己的二進制代碼程序Msblast.exe加以控制與破壞，該蠕蟲傳播時破壞了系統的核心進程svchost.exe，會導致系統RPC 服務停止，因此可能引起其他服務（如IIS）不能正常工作，出現比如拷貝、粘貼功能不工作，無法進入網站頁面鏈接等等現象，嚴重時并可能造成系統崩潰和反復重新啟動。
1.1.3 W32.Nachi.Worm 蠕蟲
W32.Nachi.Worm蠕蟲(以下簡稱Nachi蠕蟲)利用了Microsoft Windows DCOM RPC接口遠程緩沖區溢出漏洞和Microsoft Windows 2000 WebDAV遠程緩沖區溢出漏洞進行傳播。如果該蠕蟲發現被感染的機器上有“沖擊波”蠕蟲，則殺掉“沖擊波”蠕蟲，并為系統打上補丁程序，但由于程序運行上下文的限制，很多系統不能被打上補丁，并被導致反復重新啟動。Nachi蠕蟲感染機器后，會產生大量長度為92字節的ICMP報文，從而嚴重影響網絡性能。
1.1.4 w32.sasser蠕蟲病毒
w32.sasser蠕蟲病毒利用了本地安全驗證子系統（Local Security Authority Subsystem，LSASS）里的一個緩沖區溢出錯誤，從而使得攻擊者能夠取得被感染系統的控制權。震蕩波病毒會利用 TCP 端口 5554 架設一個 FTP 服務器。同時，它使用 TCP 端口5554 隨機搜索 Internet 的網段，尋找其它沒有修補 LSASS 錯誤的 Windows 2000 和 Windows XP 系統。震蕩波病毒會發起 128 個線程來掃描隨機的IP地址，并連續偵聽從 TCP 端口 1068 開始的各個端口。該蠕蟲會使計算機運行緩慢、網絡堵塞、并讓系統不停的進行倒計時重啟。
蠕蟲病毒防范措施：用戶首先要保證計算機系統的不斷更新，高校可建立微軟的WSUS系統保證用戶計算機系統的及時快速升級，另外用戶必須安裝可持續升級的殺毒軟件，沒有及時升級殺毒軟件也是同樣危險的，高校網絡管理部門出臺相應安全政策以及保證對用戶定時的安全培訓也是相當重要的。用戶本地計算機可采取些輔助措施保護計算機系統的安全，如本地硬盤克隆、局域網硬盤克隆技術等。
2 高校家屬區網絡攻擊分析
2.1 ADSL貓（MODEM）攻擊
ADSL攻擊主要發生在高校家屬區，ADSL作為一種寬帶接入方式已經被廣大用戶接受，家屬用戶通過一臺ADSL路由器撥號，利用ADSL的NAT功能實現多臺計算機同時上網，最常見的安全問題就是用戶沒有修改路由器的初始配置密碼，一般的ADSL路由器有一個默認的配置密碼，且默然開放WEB（80）和TELNET（23）服務端口，內網黑客很容易利用工具如ADSL終結者通過這些默然密碼以WEB和TELNET方式進入ADSL管理平臺，加以改變數據以及關閉ADSL路由器，再者多數ADSL路由器管理系統存在代碼漏洞，黑客可以利用這些漏洞使ADSL路由器重復死機或者不斷重起。
解決辦法：用戶及時修改ADSL默認密碼，用戶可以通過如admin

【研究高校網絡攻擊問題與防范策略】相關文章：

緩沖區溢出攻擊的分析及防范策略03-18

研究企業品牌危機及其防范策略03-18

高校鋼琴教育的現狀與策略研究05-25

高校招生工作營銷策略研究03-20

高校英語教育問題及相應策略12-11

施工管理問題及應對策略研究11-16

高校體育傳承茶文化策略研究論文11-08

網絡廣告發展策略研究03-22

探析網絡環境下的學習策略研究03-16

網絡營銷的產品層次與策略研究03-22