贵州师范大学校园网安全基本知识点培训.ppt

2007年12月28日 贵州师范大学网络与信息中心 贵州师范大学校园网安全基础知识培训 学校办公室、宣传部组织 网络与信息中心承办 主要内容 校园网近期安全问题 常用解决办法 个人电脑安全防护 校园网近期安全问题 ARP攻击 流氓软件 木马软件 ARP攻击 什么是ARP攻击？ 利用ARP协议本身的缺陷进行的一种非法攻击，目的是为了在全交换环境下实现数据监听。通常这种攻击方式可能被病毒、木马或者有特殊目的攻击者使用。 ARP攻击---后果 如果局域网中的某台或某些电脑中毒后会向同网段内所有计算机发ARP欺骗包，导致网络内其它电脑因网关物理地址被更改而无法上网，受到ARP攻击的电脑典型症状是刚开机能上网，几分钟之后断网，过一会又能上网，或者重启一遍电脑就可以上网，一会又不好了，如此不断重复，造成校园网的不稳定，影响正常工作。 ARP攻击---已知攻击类型 ARP – 欺骗 ARP – MAC 洪泛 ARP – 木马 ARP – 网页劫持病毒 ARP – 欺骗 伪造IP地址和MAC地址实现ARP欺骗，在C类网络中产生大量的ARP通信量，使网络阻塞 ，用户机找不到网关IP。 ARP – MAC 洪泛 不断发送大量假IP-MAC地址的数据包，破坏正常的MAC和Port对应的关系，造成交换机 MAC-PORT缓存的崩溃,使整个网络不能正常通信。 ARP – 木马 当局域网内某台主机运行ARP欺骗的木马程序时，会欺骗局域网内所有主机和路由，让所有上网的流量必须经过病毒主机。其他用户原来直接通过路由网关上网现在转由通过病毒主机上网，切换的时候用户会断一次线。切换到病毒主机上网后，如果用户已经登陆了QQ，那么病毒主机就会经常伪造断线的假像，那么用户就得重新登录QQ，这样病毒主机就可以盗号了。 由于ARP欺骗的木马程序发作的时候会发出大量的数据包导致局域网通讯拥塞以及其自身处理能力的限制，用户会感觉上网速度越来越慢。当ARP欺骗的木马程序停止运行时，用户会恢复从路由网关上网，切换过程中用户会再断一次线。 ARP – 网页劫持病毒 ARP网页劫持病毒会向网络内发送ARP欺骗数据包，挟持网关（或内部网站）MAC地址，导致同一网段内的主机访问指定的web地址（内部或外部）时，会话会首先通过受病毒感染的主机，该主机会寻找HTTP响应包，在包中加入代码，使得访问正常网站时被指向到病毒网站。 ARP攻击---传播途径 目前已知的ARP病毒的传播途径 通过外挂程序传播 通过网页传播 通过其他木马程序传播 通过即时通讯软件传播（QQ、MSN） 通过共享传播（网络共享、P2P软件共享） 校园网近期安全问题 ARP攻击 流氓软件 木马软件 流氓软件 广告软件：未经用户允许，下载并安装在用户电脑上；或与其他软件捆绑，通过弹出式广告等形式牟取商业利益； 间谍软件：一种能够在用户不知情的情况下，在其电脑上安装后门、收集用户信息的软件； 浏览器劫持：一种恶意程序，通过浏览器插件、BHO(浏览器辅助对象)、WinsockLSP等形式对用户的浏览器进行篡改，使用户的浏览器配置不正常，被强行引导到商业网站； 行为记录软件：未经用户许可，窃取并分析用户隐私数据，记录用户电脑使用习惯、网络浏览习惯等个人行为的软件； 恶意共享软件：某些共享软件为了获取利益，采用诱骗手段，试用陷阱等方式强迫用户注册，或在软件体内捆绑各类恶意插件，未经允许即将其安装到用户机器里。 十大流氓软件 浏览器劫持 浏览器自动关闭 默认主页被篡改(默认主页被禁止修改) 自动弹出多个页面 校园网近期安全问题 ARP攻击 流氓软件 木马软件 木马软件 木马软件是一个服务器/客户端程序。黑客在电脑上运行着木马的服务器端程序，搜集木马的客户端程序发来的信息。采用欺骗、伪装的手段使用户运行木马的客户端程序，例如放在邮件里，用诱人的标题骗用户去打开运行；或者捆绑在一些常用软件里让用户运行，或者混在网页上的插件里自动安装等等。一旦用户运行之后，就藏在用户的机器里，在用户开机上网以后，伺机搜集用户的个人信息，偷偷地利用网络把这些信息打包发送给服务器端。也就是说，一旦中了木马，那么用户的秘密就很有可能泄露出去。例如，用户的QQ密码，网上银行的密码，邮箱密码，等等。 常用解决办法 ARP攻击的解决方案 清除流氓软件 清除木马的一般方法 ARP攻击的解决方案 第一：判定局域网内是否有ARP攻击 系统频繁掉线 网速突然变慢 使用ARP –a命令发现网关的MAC地址不停的变换 打开的常用学校网站上有不正常的广告信息 ARP攻击的解决方案 第二：查找正在进行ARP攻击的主机 1、在知道正确的网关MAC的情况下，通过ARP –a命令看到的另一个网关MAC就是攻击主机的MAC 2、安装ARP防火墙 ArpFix 安全卫士360的ARP防