貴州師大學校園全安基礎知識培訓

1、網(wǎng)絡與信息中心承辦Evaluation only.Created with Aspose.Slides for .NET 3.5 Client Pro.Copyright 2004-2011 Aspose Pty Ltd.2007年12月28日1主要內容校園網(wǎng)近期安全問題常用解決辦法個人電腦安全防護Evaluation only.Created with Aspose.Slides for .NET 3.5 Client Pro.Copyright 2004-2011 Aspose Pty Ltd.2007年12月28日2校園網(wǎng)近期安全問題ARP攻擊流氓軟件木馬軟件Evaluation onl

2、y.Created with Aspose.Slides for .NET 3.5 Client Pro.Copyright 2004-2011 Aspose Pty Ltd.2007年12月28日3ARP攻擊什么是ARP攻擊？利用ARP協(xié)議本身的缺陷進行的一種非法攻擊，目的是為了在全交換環(huán)境下實現(xiàn)數(shù)據(jù)監(jiān)聽。通常這種攻擊方式可能被病毒、木馬或者有特殊目的攻擊者使用。Evaluation only.Created with Aspose.Slides for .NET 3.5 Client Pro.Copyright 2004-2011 Aspose Pty Ltd.2007年12月28日4AR

3、P攻擊-后果如果局域網(wǎng)中的某臺或某些電腦中毒后會向同網(wǎng)段內所有計算機發(fā)ARP欺騙包，導致網(wǎng)絡內其它電腦因網(wǎng)關物理地址被更改而無法上網(wǎng)，受到ARP攻擊的電腦典型癥狀是剛開機能上網(wǎng)，幾分鐘之后斷網(wǎng)，過一會又能上網(wǎng)，或者重啟一遍電腦就可以上網(wǎng)，一會又不好了，如此不斷重復，造成校園網(wǎng)的不穩(wěn)定，影響正常工作。 Evaluation only.Created with Aspose.Slides for .NET 3.5 Client Pro.Copyright 2004-2011 Aspose Pty Ltd.2007年12月28日5ARP攻擊-已知攻擊類型ARP 欺騙ARP MAC 洪泛 ARP 木馬

4、 ARP 網(wǎng)頁劫持病毒Evaluation only.Created with Aspose.Slides for .NET 3.5 Client Pro.Copyright 2004-2011 Aspose Pty Ltd.2007年12月28日6ARP 欺騙偽造IP地址和MAC地址實現(xiàn)ARP欺騙，在C類網(wǎng)絡中產生大量的ARP通信量，使網(wǎng)絡阻塞 ，用戶機找不到網(wǎng)關IP。Evaluation only.Created with Aspose.Slides for .NET 3.5 Client Pro.Copyright 2004-2011 Aspose Pty Ltd.2007年12月28日

5、7ARP MAC 洪泛 不斷發(fā)送大量假IP-MAC地址的數(shù)據(jù)包，破壞正常的MAC和Port對應的關系，造成交換機 MAC-PORT緩存的崩潰,使整個網(wǎng)絡不能正常通信。Evaluation only.Created with Aspose.Slides for .NET 3.5 Client Pro.Copyright 2004-2011 Aspose Pty Ltd.2007年12月28日8ARP 木馬當局域網(wǎng)內某臺主機運行ARP欺騙的木馬程序時，會欺騙局域網(wǎng)內所有主機和路由，讓所有上網(wǎng)的流量必須經(jīng)過病毒主機。其他用戶原來直接通過路由網(wǎng)關上網(wǎng)現(xiàn)在轉由通過病毒主機上網(wǎng)，切換的時候用戶會斷一次線。

6、切換到病毒主機上網(wǎng)后，如果用戶已經(jīng)登陸了QQ，那么病毒主機就會經(jīng)常偽造斷線的假像，那么用戶就得重新登錄QQ，這樣病毒主機就可以盜號了。由于ARP欺騙的木馬程序發(fā)作的時候會發(fā)出大量的數(shù)據(jù)包導致局域網(wǎng)通訊擁塞以及其自身處理能力的限制，用戶會感覺上網(wǎng)速度越來越慢。當ARP欺騙的木馬程序停止運行時，用戶會恢復從路由網(wǎng)關上網(wǎng)，切換過程中用戶會再斷一次線。Evaluation only.Created with Aspose.Slides for .NET 3.5 Client Pro.Copyright 2004-2011 Aspose Pty Ltd.2007年12月28日9ARP 網(wǎng)頁劫持病毒ARP

7、網(wǎng)頁劫持病毒會向網(wǎng)絡內發(fā)送ARP欺騙數(shù)據(jù)包，挾持網(wǎng)關（或內部網(wǎng)站）MAC地址，導致同一網(wǎng)段內的主機訪問指定的web地址（內部或外部）時，會話會首先通過受病毒感染的主機，該主機會尋找HTTP響應包，在包中加入代碼，使得訪問正常網(wǎng)站時被指向到病毒網(wǎng)站。Evaluation only.Created with Aspose.Slides for .NET 3.5 Client Pro.Copyright 2004-2011 Aspose Pty Ltd.2007年12月28日10Evaluation only.Created with Aspose.Slides for .NET 3.5 Clien

8、t Pro.Copyright 2004-2011 Aspose Pty Ltd.2007年12月28日11ARP攻擊-傳播途徑目前已知的ARP病毒的傳播途徑通過外掛程序傳播通過網(wǎng)頁傳播通過其他木馬程序傳播通過即時通訊軟件傳播（QQ、MSN）通過共享傳播（網(wǎng)絡共享、P2P軟件共享）Evaluation only.Created with Aspose.Slides for .NET 3.5 Client Pro.Copyright 2004-2011 Aspose Pty Ltd.2007年12月28日12校園網(wǎng)近期安全問題ARP攻擊流氓軟件木馬軟件Evaluation only.Create

9、d with Aspose.Slides for .NET 3.5 Client Pro.Copyright 2004-2011 Aspose Pty Ltd.2007年12月28日13流氓軟件廣告軟件：未經(jīng)用戶允許，下載并安裝在用戶電腦上；或與其他軟件捆綁，通過彈出式廣告等形式牟取商業(yè)利益；間諜軟件：一種能夠在用戶不知情的情況下，在其電腦上安裝后門、收集用戶信息的軟件；瀏覽器劫持：一種惡意程序，通過瀏覽器插件、BHO(瀏覽器輔助對象)、WinsockLSP等形式對用戶的瀏覽器進行篡改，使用戶的瀏覽器配置不正常，被強行引導到商業(yè)網(wǎng)站；行為記錄軟件：未經(jīng)用戶許可，竊取并分析用戶隱私數(shù)據(jù)，記錄用戶

10、電腦使用習慣、網(wǎng)絡瀏覽習慣等個人行為的軟件；惡意共享軟件：某些共享軟件為了獲取利益，采用誘騙手段，試用陷阱等方式強迫用戶注冊，或在軟件體內捆綁各類惡意插件，未經(jīng)允許即將其安裝到用戶機器里。Evaluation only.Created with Aspose.Slides for .NET 3.5 Client Pro.Copyright 2004-2011 Aspose Pty Ltd.2007年12月28日14十大流氓軟件序號軟件及網(wǎng)站名稱所屬公司存在問題13721上網(wǎng)助手、地址欄搜索及網(wǎng)絡實名北京3721科技有限公司1、強制安裝2、瀏覽器劫持（添加用戶不需要的按鈕、ie地址菜單項中添加非

11、法內容）3、干擾其他軟件運行4、無法徹底卸載2淘寶網(wǎng)阿里巴巴強行彈出過多廣告3ebay 易趣ebay inc.1、強制安裝2、瀏覽器劫持（自動在ie中添加按鈕和菜單）3、無法卸載4dudu下載加速器千橡公司1、強制安裝2、誘導用戶安裝廣告程序3、無法徹底刪除5中文上網(wǎng)中國互聯(lián)網(wǎng)絡信息中心1、強制安裝2、無法徹底卸載6青娛樂聊天軟件青娛樂強制安裝7很棒小秘書很棒信息服務有限公司1、強制安裝2、無法徹底卸載8百度搜霸、百度超級搜霸百度強制安裝9一搜工具條雅虎強制安裝10網(wǎng)絡豬、劃詞搜索中搜在線1、強制安裝2、無法徹底卸載Evaluation only.Created with Aspose.Sli

12、des for .NET 3.5 Client Pro.Copyright 2004-2011 Aspose Pty Ltd.2007年12月28日15瀏覽器劫持瀏覽器自動關閉默認主頁被篡改(默認主頁被禁止修改)自動彈出多個頁面Evaluation only.Created with Aspose.Slides for .NET 3.5 Client Pro.Copyright 2004-2011 Aspose Pty Ltd.2007年12月28日16校園網(wǎng)近期安全問題ARP攻擊流氓軟件木馬軟件Evaluation only.Created with Aspose.Slides for .N

13、ET 3.5 Client Pro.Copyright 2004-2011 Aspose Pty Ltd.2007年12月28日17木馬軟件木馬軟件是一個服務器/客戶端程序。黑客在電腦上運行著木馬的服務器端程序，搜集木馬的客戶端程序發(fā)來的信息。采用欺騙、偽裝的手段使用戶運行木馬的客戶端程序，例如放在郵件里，用誘人的標題騙用戶去打開運行；或者捆綁在一些常用軟件里讓用戶運行，或者混在網(wǎng)頁上的插件里自動安裝等等。一旦用戶運行之后，就藏在用戶的機器里，在用戶開機上網(wǎng)以后，伺機搜集用戶的個人信息，偷偷地利用網(wǎng)絡把這些信息打包發(fā)送給服務器端。也就是說，一旦中了木馬，那么用戶的秘密就很有可能泄露出去。例如，

14、用戶的QQ密碼，網(wǎng)上銀行的密碼，郵箱密碼，等等。Evaluation only.Created with Aspose.Slides for .NET 3.5 Client Pro.Copyright 2004-2011 Aspose Pty Ltd.2007年12月28日18常用解決辦法ARP攻擊的解決方案清除流氓軟件清除木馬的一般方法Evaluation only.Created with Aspose.Slides for .NET 3.5 Client Pro.Copyright 2004-2011 Aspose Pty Ltd.2007年12月28日19ARP攻擊的解決方案第一：判定

15、局域網(wǎng)內是否有ARP攻擊系統(tǒng)頻繁掉線網(wǎng)速突然變慢使用ARP a命令發(fā)現(xiàn)網(wǎng)關的MAC地址不停的變換打開的常用學校網(wǎng)站上有不正常的廣告信息Evaluation only.Created with Aspose.Slides for .NET 3.5 Client Pro.Copyright 2004-2011 Aspose Pty Ltd.2007年12月28日20ARP攻擊的解決方案第二：查找正在進行ARP攻擊的主機1、在知道正確的網(wǎng)關MAC的情況下，通過ARP a命令看到的另一個網(wǎng)關MAC就是攻擊主機的MAC2、安裝ARP防火墻ArpFix安全衛(wèi)士360的ARP防火墻 arp -s xxx.x

16、xx.xxx.xxx xx-xx-xx-xx-xx-xx（手動綁定網(wǎng)關）注意：同一時間只能使用一種ARP防火墻，另不能啟用瑞星2008版本的ARP防火墻，否則將影響整個局域網(wǎng)性能3、使用ARP保護程序發(fā)現(xiàn)攻擊主機ArpFix安全衛(wèi)士360的ARP防火墻IP-MacScanIpconfig/allEvaluation only.Created with Aspose.Slides for .NET 3.5 Client Pro.Copyright 2004-2011 Aspose Pty Ltd.2007年12月28日21ARP攻擊的解決方案如何處理感染主機發(fā)現(xiàn)感染主機，第一時間拔掉網(wǎng)線按照安全

17、手冊重新安裝操作系統(tǒng)Evaluation only.Created with Aspose.Slides for .NET 3.5 Client Pro.Copyright 2004-2011 Aspose Pty Ltd.2007年12月28日22ARP攻擊的解決方案如何預防感染ARP病毒？關閉不必要的共享及時安裝系統(tǒng)補丁程序安裝防病毒軟件并及時升級病毒庫不隨便運行來歷不明的程序不訪問一些來歷不明的鏈接Evaluation only.Created with Aspose.Slides for .NET 3.5 Client Pro.Copyright 2004-2011 Aspose Pt

18、y Ltd.2007年12月28日23常用解決辦法ARP攻擊的解決方案清除流氓軟件清除木馬的一般方法Evaluation only.Created with Aspose.Slides for .NET 3.5 Client Pro.Copyright 2004-2011 Aspose Pty Ltd.2007年12月28日24清除流氓軟件常用軟件趨勢殺毒軟件魔法兔子安全衛(wèi)士360Evaluation only.Created with Aspose.Slides for .NET 3.5 Client Pro.Copyright 2004-2011 Aspose Pty Ltd.2007年1

19、2月28日25修復IE瀏覽器超級兔子IE管理專家安全衛(wèi)士360IERegFix瑞星卡卡上網(wǎng)助手金山IE修復工具 Evaluation only.Created with Aspose.Slides for .NET 3.5 Client Pro.Copyright 2004-2011 Aspose Pty Ltd.2007年12月28日26常用解決辦法ARP攻擊的解決方案清除流氓軟件清除木馬的一般方法Evaluation only.Created with Aspose.Slides for .NET 3.5 Client Pro.Copyright 2004-2011 Aspose Pty

20、Ltd.2007年12月28日27清除木馬的一般方法判斷本地是否有病毒木馬程序系統(tǒng)運行突然變慢殺毒軟件查出病毒,但是無法清除也無法隔離啟動系統(tǒng)后不做任何網(wǎng)絡操作運行 netstat an 命令啟動系統(tǒng)后不做任何網(wǎng)絡操作，幾分鐘后運行 netstat s命令查看系統(tǒng)進程中是否有可疑進程(例如Svohost.exe)將可疑進程的名字到網(wǎng)上去查找看是否有相關資料查看系統(tǒng)啟動項里是否有可疑進程msconfigEvaluation only.Created with Aspose.Slides for .NET 3.5 Client Pro.Copyright 2004-2011 Aspose Pty

21、Ltd.2007年12月28日28清除木馬的一般方法斷開網(wǎng)絡查殺如果清除不掉，切換到安全模式，查殺Evaluation only.Created with Aspose.Slides for .NET 3.5 Client Pro.Copyright 2004-2011 Aspose Pty Ltd.2007年12月28日29個人電腦安全防護裝機安全密碼設置配置安全Evaluation only.Created with Aspose.Slides for .NET 3.5 Client Pro.Copyright 2004-2011 Aspose Pty Ltd.2007年12月28日30個人電腦安全防護1、裝機安全聯(lián)網(wǎng)前的工作安裝如下補丁所需的補丁程序請使用其它移動介質拷貝到相應的機器上。win2000 W2ksp4_cn.exeWindows2000-KB828741-x86-CHS.EXEWindows2000-KB835732-x86-CHS.EXEwinxp Xpsp2_cn.exe在校園網(wǎng)上安裝趨勢企業(yè)版殺毒軟件Evaluation only.Created with Aspose.Slides for .NET 3.5 Client