計算機與網(wǎng)絡安全

下p九'卬

zxw@

清華大學信息網(wǎng)絡工程研究中心

2006年12月27日

提綱

一.個人計算機的安全配置與使用規(guī)范

二.校園網(wǎng)近期安全問題

三.個人計算機常見安全問題與解決辦法

四.討論

?、個人計算機的安全配置與使用規(guī)范

1.Windows系統(tǒng)的安全保護機制

2.校內(nèi)安全資源的使用

3,初裝計算機的正確步驟

?、個人計算機的安全配置與使用規(guī)范

Windows系統(tǒng)的安全保護機制

□系統(tǒng)與應用程序補丁

□防火墻

□帳號與口令

□防病毒軟件

□正確的使用習慣

windows的安全保護機制

□系統(tǒng)與應用程序補丁

補丁的安裝方法：

1.Windows在線的update網(wǎng)站更新（需要是正版）

2.微軟提供的自動更新服務（速度慢）.

3.學校提供的WSUS服務器（推薦使用）

4.手動下載補丁程序安裝（不推薦）

需要提醒的時除了系統(tǒng)補丁外，很多應用軟件也需要

安裝補丁程序，如（office、IE、OUTLOOK等）

windows的安全保護機制

□防火墻的選用

1.Winxp或者win2003自帶的防火墻（推薦使

用）

2.Windows自身的組策略安全規(guī)則（配置復

雜）

3.第三方的防火墻（如天網(wǎng)個人防火墻、

norton提供的防火墻、瑞星殺毒軟件提供

的防火墻、趨勢防火墻）

防火墻是必須的

windows的安全保護機制

□口令設置要求

1.口令應該不少于8個字符；

2,不包含字典里的單詞、不包括姓氏的漢語

拼音；

3,同時包含多種類型的字符，比如

大寫字母(A,B,C,..Z)

小寫字母(a,b,c..z)

數(shù)字(0,1,2,…9)

標點符號

windows的安全保護機制

□防病毒系統(tǒng)

1.一定要及時升級病毒庫文件(推薦使用企

業(yè)版)

2.實時監(jiān)控功能一定要開著

3.推薦使用的殺毒軟件

趨勢科技的officescan防毒軟件

賽門鐵克的norton防毒軟件

瑞星殺毒軟件(rising)

卡巴斯基。。。。

windows的安全保護機制

□正確的使用習慣

1.不隨便下載程序運行

2.不訪問一些來歷不明的網(wǎng)頁鏈接

3.不使用的情況下盡量關閉機器

4.經(jīng)常備份重要數(shù)據(jù)

?、個人計算機的安全配置與使用規(guī)范

1.Windows系統(tǒng)的安全保護機制

2.校內(nèi)安全資源的使用

3,初裝計算機的正確步驟

校內(nèi)安全資源的使用

補丁更新服務器

□清華的WSUS服務器

地址：05

□WSUS服務配置方法

1,修改注冊表

2,修改組策略（推薦）

補丁更新服務器（組策略）

一、選擇“開始”，“運行”，輸入

gpedit.msc,打開組策略窗口。

二、選擇“管理模板”，然后從菜單中選擇

“操作”，“添加/刪除模板”。

（注意：winxpspl以上版本的操作系統(tǒng)中這

個wuau.adm已經(jīng)添加了,您可以直接跳到

第六步）

三、在“添加/刪除模板”窗口中選擇“添

加力O

補丁更新服務器（組策略）

四、在“策略模板"中選擇"wuau.adm”,并

選擇“打開”。

五、選擇“關閉”，關閉“添加/刪除模板”

窗口。

六、選擇“計算機配置”->“管理模板

>""Windows組件"->“WindowsUpdate",

并選擇“配置自動更新”。

七、在“配置自動更新”的屬性窗口中，選

擇“啟用”，并選擇“確定”。

補丁更新服務器（組策略）

八、在“指定IntranetMicrosoft更新服務器位

置”的屬性窗口中，選擇“啟用”，并在

“設置檢測更新的Intranet更新服務：”框

中輸入“http:〃/"）在

“設置Intranet統(tǒng)計服務器：”框中輸入

“http:〃/"）并選擇確

定。

九、關閉組策略窗口。

十、在開始運行處輸入wuauclt.exe/detectnow

命令）立即啟動wsus服務！

補丁更新服務器（注冊表）

WindowsRegistryEditorVersion5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\M

icrosoft\Windows\WindowsUpdate]

“WUServef,=€"http://wsus.tsinghua.edu.cnn

"WUStatusServer1-nn

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\M

icrosoft\Windows\WindowsUpdate\AU]

"UseWUServef-dword:00000001

補丁更新服務器（注冊表）

當系統(tǒng)右下角的托盤中出現(xiàn)了黃色的小盾牌

（windows2000為綠色的小地球圖標）后，說明系

統(tǒng)有需要安裝的補丁程序，雙擊該圖標后按照系

統(tǒng)提示安裝相應的補丁程序！

11；14

趨勢科技殺毒軟件

□病毒服務器地址：

□病毒軟件的安裝方法：

1.在線安裝（需要把控件功能打開）

2.下載安裝包安裝

企業(yè)版的趨勢殺毒軟件采用的是服務器自動

分發(fā)病毒庫文件，無需用戶手動更新。

趨勢科技殺毒軟件

□圖標的定義

圖標描述實時掃推

正常的客戶機W，日

Q，而叫文付已過時由用

￡*?rxi

立呻”1描.不例八批.收HttfWI修正痣運行w，.―

■■

實明>1>>W?k—'.1*■<r田VJ▼<

J?^3?.?|4>?A

19fiwdXf?rTJII5,西文ft已過時

才3抽11務*在運行til色;圖。）97Fl|

wTl門報川為不在運行H.3忝科文#己過啊K,目

GW婦*Q

圖標推逑實電木塘

問椒務8s斷開G用

金㈣職務部斷開H病而四文轉(zhuǎn)己±1時啟用

■從限務2s版開連接H女時打捅已挈用夠陰

趨勢科技殺毒軟件

口卸載客戶端需要密碼（tsinghua或者pass）

口關于客戶端漫游功能（校外臨時使用）

□立即更新功能（一般情況下不需要手動點

擊立即更新）

口圖標顯示斷開（可能是臨時性的網(wǎng)絡故障,

客戶端一般不用做什么操作）

□查看病毒碼更新日期（主窗口-＞幫助-＞關

于，病毒碼發(fā)布日期）

趨勢科技殺毒軟件

□趨勢科技的殺毒客戶端自帶了一個簡單防

火墻）功能類似于xp系統(tǒng)自帶的防火墻）

當xp系統(tǒng)自帶的防k墻啟動后）這個防火

墻的功能會自動關閉。

?、個人計算機的安全配置與使用規(guī)范

1.Windows系統(tǒng)的安全保護機制

2.校內(nèi)安全資源的使用

3,初裝計算機的正確步驟

初裝c三確步驟

□系統(tǒng)的選擇原則

1.選擇最新版的操作系統(tǒng)（推薦winxp或

2003）

2,盡量選擇已經(jīng)帶有servicepack的版本

3.遵從“最小安裝原則”

4.如果有專職管理員）請專職管理員協(xié)助安

裝操作系統(tǒng)

操作系統(tǒng)初始安裝的過程

□系統(tǒng)安裝與加固

1.預先將東西準備好（如防火墻軟件等）

2.安裝過程請拔掉網(wǎng)線

3.系統(tǒng)安裝結(jié)束后請安裝并啟用防火墻后再插上

網(wǎng)線

4,配置補丁自動更新，并升級補丁程序

5,安裝防病毒軟件并升級到最新的病毒庫

□具體過程請參照

□ftp://166.llL8.243/doc/初裝計算機補丁安裝doc

提綱

個人計算機的安全配置與使用規(guī)范

二.校園網(wǎng)近期安全問題

三.個人計算機常見安全問題與解決辦法

四.討論

二近期校園網(wǎng)常見安全問題

□ARP攻擊

□系統(tǒng)入侵

ARP攻擊

□什么是ARP攻擊？

利用ARP協(xié)議本身的缺陷進行的一種非法攻

擊，目的是為了在全交換環(huán)境下實現(xiàn)數(shù)據(jù)

監(jiān)聽。通常這種攻擊方式可能被病毒、木

馬或者有特殊目的攻擊者使用。

□ARP攻擊有什么危害？

致使同網(wǎng)段的其他用戶無法正常上網(wǎng)（頻繁

斷網(wǎng)或者網(wǎng)速慢），泄露用戶的敏感信息。

ARP原理

□ARP（AddressResolutionProtocol）地址解析協(xié)

議用于將計算機的網(wǎng)絡地址（IP地址32位）轉(zhuǎn)化

為物理地址（MAC地址48位）[RFC826]

□ARP協(xié)議是屬于鏈路層的協(xié)議，在以太網(wǎng)中的數(shù)據(jù)

幀從一個主機到達網(wǎng)內(nèi)的另一臺主機是根據(jù)48位

的以太網(wǎng)地址（硬件地址）來確定接口的，而不

是根據(jù)32位的IP地址。內(nèi)核（如驅(qū)動）必須知道

目的端的硬件地址才能發(fā)送數(shù)據(jù)。

□點對點的連接是不需要ARP協(xié)議的。

ARP原理

主機名IP地址MAC地址

主機A192.168.1.201-01-01-01-01-01

主機B192.168.1.302—02—02—02-02-02

網(wǎng)關C192.168.1.103-03-03-03-03-03

主機D10.LL204-04-04-04-04-04

網(wǎng)關E10.1.1.105-05-05-05-05-05

ARP工作原理

□假如主機A要與主機B通訊，它首先會檢查自己的

ARP緩存中是否有192.168.L3這個地址對應的

MAC城址，如果沒宥它就會向局域網(wǎng)的廣播地址

發(fā)送ARP請求包，大致的意思是的

MAC地址是什么請告訴,而廣播地址會

把這個請求包廣播給局域網(wǎng)內(nèi)的所有主機，但是

只有這臺主機才會響應這個請求包，

它會回應192.168.L2一個arp包，大致的意思是

的MAC地址是02-02-02-02-02-02。這

樣的話主機A就得到了主機B的MAC地址，并且

它會把這個對應的關系存在自己的ARP緩存裝中。

之后主機A與主機B之間的通訊就依靠兩者緩存表

里的MAC地址來通訊了，直到通訊停止后兩分鐘，

這個好應關系才會被從表中刪除。

ARP工作原理

□假如主機A需要和主機D進行通訊，它首先會發(fā)現(xiàn)

這個主機D的IP地址并不是自己同一個網(wǎng)段內(nèi)的，

因此需要通過網(wǎng)關來轉(zhuǎn)發(fā)，這樣的話它會檢查自

己的ARP緩存表里是否有網(wǎng)關對應的

MAC地址，如果沒有就通過ARP請求獲得，如果

有就直接與網(wǎng)關通訊，然后再由網(wǎng)關C通過路由

將數(shù)據(jù)包送到網(wǎng)關E,網(wǎng)關E收到這個數(shù)據(jù)包后發(fā)

現(xiàn)是送給主機D()的，它就會檢查自己

的ARP緩存(沒錯，網(wǎng)關一樣有自己的ARK

存)，看看里面是否有10.L1.2對應的MAC地址，

如果沒有就使用ARP協(xié)議獲得，如果有就是用該

MAC地址與主機D通訊。

ARP欺騙

□Arp欺騙原理

主機在實現(xiàn)ARP緩存表的機制中存在一個不

完善的地方，當主機收到一個ARP的應答包

后夕它并不會去驗證自己是否發(fā)送過這個

ARP請求，而是直接將應答包里的MAC地址

與IP對應的關系替換掉原有的ARP緩存表里

的相應信息。這就導致主機B截取主機A與

主機D之間的數(shù)據(jù)通信成為可能

ARP欺騙

1.主機b向網(wǎng)關C發(fā)送ARP應答包說：我是A

我的MAC地址是02-02-02-02-02-02,主

機b同時向主機A發(fā)送ARP應答包說：我是

C我的MAC地址是02-02-02-02-02-02

□B獲得A發(fā)給C的數(shù)據(jù)，修改后發(fā)給C,同時

獲得C發(fā)給A的數(shù)據(jù)修改后發(fā)給A,實現(xiàn)了

監(jiān)聽過程

ARP攻擊

幾個概念:

Arp緩存表

nterface：2—0x2

InternetAddressPhysicalAddressType

00-0f-3d-83-74-28d卯a(chǎn)mi

300-13T3-f-b2-0cd卯a(chǎn)mi

5200-0f-3d-83-74-28d卯a(chǎn)id

：\UINDOUSXSten32>arp-a

ARP攻擊

□ARP數(shù)據(jù)包

13:10:44.802151arpwho-hastell

13:10:44.802607arpreplyis-at

00:00:0c:07:ac:00

ARP攻擊

□什么情況下表明局域網(wǎng)內(nèi)有ARP攻擊

1.校園網(wǎng)登陸系統(tǒng)頻繁掉線

2.網(wǎng)速突然變慢

3,使用ARP-a命令發(fā)現(xiàn)網(wǎng)關的MAC地址不

停的變換

4,使用sniffer軟件發(fā)現(xiàn)局域網(wǎng)內(nèi)存在大量的

ARPreply包

ARP攻擊

□如何發(fā)現(xiàn)正在進行ARP攻擊的主機

1、在知道正確的網(wǎng)關MAC的情況下，通過

ARP-a命令看到的另一個網(wǎng)關MAC就是

攻擊主機的MAC

2、使用Sniffer軟件抓包發(fā)現(xiàn)大量的以網(wǎng)關的

IP地址發(fā)送的ARPreply包，包中指定的

MAC就是攻擊主機的MAC

3、使用我們開發(fā)的ARP保護程序發(fā)現(xiàn)攻擊主

機的MAC

ARP攻擊

□如何處理感染主機

1.發(fā)現(xiàn)感染主機，第一時間拔掉網(wǎng)線

2.按照安全手冊重新安裝操作系統(tǒng)

ARP攻擊

□目前已知的ARP病毒的傳播途徑

1,通過外掛程序傳播

2,通過網(wǎng)頁傳播

3.通過其他木馬程序傳播

4,通過即時通訊軟件傳播（QQ、MSN）

5,通過共享傳播（網(wǎng)絡共享、P2P軟件共享）

ARP攻擊

□如何預防感染ARP病毒？

1.關閉不必要的共享

2.及時安裝系統(tǒng)補丁程序

3,安裝防病毒軟件并及時升級病毒庫

4.不隨便運行來歷不明的程序

5.不訪問一些來歷不明的鏈接

1、近期校園網(wǎng)常見安全問題

口ARP攻擊

□系統(tǒng)入侵

近期校園網(wǎng)常見安全問題

□系統(tǒng)入侵

多數(shù)被攻擊的都是服務器，操作系統(tǒng)多為

windows2000server或者linux

針對linux常利用的漏洞為：openssh和apche

等軟件的漏洞

針對windows2000server更多的是利用網(wǎng)頁編

寫本身的漏洞。。

提綱

一.個人計算機的安全配置與使用規(guī)范

二.校園網(wǎng)近期安全問題

三.個人計算機常見安全問題與解決辦法

四.討論

入常見安全問題及解決方法

1.系統(tǒng)中的自啟動程序

2.瀏覽器的恢復

3.本地病毒木馬程序檢查

系統(tǒng)中的自啟動程序

□Windows支持多種在系統(tǒng)啟動時自動加載

應用程序的方法包括：

1.啟動組

2.Boot.ini>win.ini>system.ini文件

3.注冊表啟動項

4,添加成系統(tǒng)服務

5.計劃任務

6,動態(tài)庫文件加載

系統(tǒng)中的自啟動程序

□啟動組和win.ini、system.ini

開始_〉程序_〉啟動里面

對應的目錄：

C:\DocumentsandSettings\administrator\「開

始」菜單'程序'啟動\

C:\Boot.ini

C:\Windows\Win.ini

C:\Windows\system.ini

系統(tǒng)中的自啟動程序

□注冊表啟動項

HKEY_CURRENT_USER\Software\Micros

oft\Windows\CurrentVersion\Run

z

HKEY_LOCAL_MACHINE\SOFTWARE\

Microsoft\Windows\CurrentVersion\Run

系統(tǒng)中的自啟動程序

□系統(tǒng)服務

1.使用管理工具中服務選項來管理系統(tǒng)服務

2.系統(tǒng)服務對應的注冊表值

HKEY_LOCAL_MACHINE\SOFTWARE\Micr

osoft\Windows\CurrentVersion\RunServices

系統(tǒng)中的自啟動程序

口任務計劃

在控制面板的任務計劃里查看

□動態(tài)庫文件加載

判斷相對困難夕需要有豐富的經(jīng)驗和相應的

工具

系統(tǒng)中的自啟動程序

口有用但不為人知的系統(tǒng)啟動檢測命令msconflg

L常見安全問題及解決方法

1.系統(tǒng)中的自啟動程序

2.瀏覽器的恢復

3.本地病毒木馬程序檢查

瀏覽器的恢復

□

IE瀏覽器容易出現(xiàn)的故障

自動關閉

默認主頁被篡改（默認主頁被禁止修改）

自動彈出多個頁面

瀏覽器的恢復

□IE瀏覽器自動關閉的原因很多，例如：

1.系統(tǒng)內(nèi)存偏小

2,系統(tǒng)內(nèi)核故障（中木馬了）

3.IE軟件故障

4.IE與其他應用沖突（如打印進程）

我們可以通過查看事件日志查找IE出錯的原

因

瀏覽器的恢復

□解決IE瀏覽器自動關閉的方法

1,使用殺毒軟件殺毒

2.察看事件記錄看看是否記錄關閉原因

3,使用修復工具對IE進行修復

4.安裝新版本的IE瀏覽器

5.重新安裝操作系統(tǒng)

6.增加系統(tǒng)內(nèi)存

瀏覽器的恢復

□IE瀏覽器手動修復方式（比較復雜）

□修復IE的標題欄：

編輯注冊表

HKEY_CURRENT_USER\Software\Microsoft\I

ntemetExplorer\Main

HKEY_LOCAL_MACHINE\Software\Microsof

tMntemetExplorer\Main

找到鍵值項WindowTitle,修改成你要的或

刪除即可

瀏覽器的恢復

口恢復注冊表修改權限

[HKEY_CURRENT_USER\Software\Microsoft\

Windows\CurrentVersion\Policies\system]

nDisableRegistryToolsn=dword:00000001

方法1:使用其他注冊表編輯器恢復，將

DisableRegistryTools的值改為1

方法2:通過組策略工具修改.

瀏覽器的恢復

□恢復IE默認主頁修改權限的操作：

即“Internet屬性”控制面板設置IE主頁，

“使用

默認頁”、“使用空白頁”等按鈕變?yōu)榛疑?/p>

不可

用。

口解決方法：

編輯注冊表查找

HKEY_CURRENT_USER\Software\Policies\M

icrosoftMntemetExplorer\ControlPanel

刪除鍵值項HomePaee）或?qū)⑵渲蹈臑?

瀏覽器的恢復

口修改IE默認頁

IE默認頁為：

/windows/ie_intl/cn/

start/,惡意網(wǎng)站會修改這個地方。

解決方法：_

HKEY_CUR