校园网络应用服务及安全防御ppt-PowerPoint

校园网络应用及安全防御2008.11.05报告提纲•校园网络应用服务•校园网络安全状态•网络的安全防御措施一、校园网络应用服务校园网络应用服务结构分布图CentOS4FUNC1:校务信息系统IBM325RDEL5:GW:未定FUNC1:log日志服务器IBM3650W2003IBM325RHAS4FUNC1:网通线路服务器IBMx235RHAS4FUNC1:NATBackupIBMx235FUNC1:quidviewFUNC2:snifferHP330MLFUNC1:NATIBM710RDEL5FUNC1:学校主页网站FUNC2:服务器备份COMPAQ570RDEL5FUNC1:BBSserver/proxyFUNC2:服务器备份COMPAQ570互为备份互为备份W2003FUNC1:学校二级网站IBM3650互为备份W2003FUNC1:文件/数据库备份COMPAQ570CentOS4FUNC1:主要数据库FUNC2:WEB服务器FUNC3:文件备份CentOS470FUNC1:数字资源库服务器FUNC2:文件/数据库备份IBM346互为备份IBM346HW-S8512互为备份SolarisFUNC1:DNS服务器FUNC2:邮件服务器备份SUN280SolarisFUNC1:Mail邮件服务器FUNC2:DNS备份SUN280校园网提供的服务校园网接入服务局域网上网无线上网拨号上网校园网信息服务电子邮件申请WEB网站发布FTP服务主机托管DNS域名解析BBS论坛申请IP地址申请WindowsUpdate自动更新网络培训讲座校园网运行服务网络故障提交与处理网络封禁清单查询网络流量监控服务服务数字化•目前，网络中心承载教务、图书、财务、校务办公信息等十多个教学、科研管理系统，拥有包括学校和各部门在内的七十多个二级网站，约几十万个文件和数据库。•提供约四十多个DNS域名服务。•提供约四十多个FTP服务。学校主页网站管理系统网络中心业务办公系统网络中心业务办公系统数字资源库自动更新服务•网络带给我们便捷通信、自由交流、海量信息，同时也带来不可忽视的安全隐患与潜在威胁！二、校园网络的安全状态•国家计算机网络应急技术处理协调中心（CNCERT/CC）互联网业务流量监测分析•根据CNCERT/CC在2007年上半年对互联网业务流量的抽样统计，在TCP协议中，占用带宽最多的网络应用有四类：Web浏览、P2P下载、电子邮件和即时聊天工具。•UDP协议中当前最占用带宽的是Windows信使服务使用的1026和1027端口，此端口常被滥用发送垃圾信息。此外，P2P下载软件迅雷和eMule占用较多带宽。我国互联网高速发展(CNNIC-08)•截至2008年6月底，中国网民数量达到2.53亿，网民规模跃居世界第一位。但是普及率只有19.1%，仍然低于全球平均水平（21.1%）。•中国网站数量为191.9万个，年增长率为46.3%。其中CN下的网站数为137万，占总网站数71.4%。•网上银行使用率为23.4%。用户增长率较快，半年用户增长率达到47.1%。但使用率远低于美国网民53%的使用率，也低于韩国网民39.1%的使用率。•网上炒股/基金使用率为16.9%。网上炒股/基金的使用率与中国的股市同步波动，使用率在下降，总体用户量略涨了466万。目前中国网民的使用率仍高于韩国网民的5.4%，也高于美国网民的11%病毒传播的主要途径我国最流行的十种病毒时间排名2001,52002,52003,52004，52005，52006，62007，62008，61CIHExploitRedlofNetskyTrojan.PSW.LMirTrojan.DL.Agent（木马代理）Trojan.DL.Agent（木马代理）Gamepass（网游大盗）2FunloveNimdaSpageRedlofQqpassPhel（下载助手）Gamepass（网游大盗）AutoRun3BingheBingheNimdaHomepageNetskyGpigeon（灰鸽子）ANI/RIFF（艾妮）JS.Agent4W97M.markerJS.SeekerTrojan.QQKiller6.8.serUnknownmailBlasterexploitLmir/Lemir（传奇木马）熊猫烧香Delf（德芙）5MTXHappytimeKlezLovegateGaobotQQHelper（QQ助手）Mnless（梅勒斯）KillAV（AV终结者）6Troj.eraseFunloveFunloveFunloveMhtexploitDelf（德芙）Delf（德芙）Gpigeon（灰鸽子）7BOKlezJS.AppletAcxhtadropperRedlofSDBotGpigeon（灰鸽子）Small及其变种8YAICIHMail.virusWebimportBackDoor.RbotStartPageSmall及其变种JS.RealPlr9WyxGopScript.exploit.htm.pageactiveXComponentBeagleLovgate（爱之门）Qqpass（QQ木马）JS.Psyme10Troj.gdoorTroj.netthiefHack.crack.foxmailWyxLovegateQqpass（QQ木马）Lmir/Lemir（传奇木马）HTML.IFrame校园网络是互联网络的有机组成部分，同时又是为师生员工的教学、科研、管理、服务、文化娱乐等服务的特殊支撑平台。校园网络存在安全隐患•各种各样的应用软件在校园网中广泛使用：–Windows系统存在很多的系统安全漏洞；–浏览器IE存在严重的安全漏洞；–被广泛使用的FTP服务器Serv-U也存在严重的缓冲区溢出漏洞；–病毒的破坏–黑客攻击•校园网络既是学习研究平台、又是大学文化建设的窗口–学生对新技术有好奇、好学的心理，在校园网上测试、使用各种各样网络安全技术和工具；（扫描工具，系统漏洞探测工具）；–学生正处于成长期，不健康内容会对他们的成长产生不利的影响；（色情的，反动的）校园网络存在安全隐患校园网面临的多种威胁•校园网提供各种服务，提供服务的部门安全意识不统一，各种服务器存在安全威胁；•教师、学生与外界的频繁Email联系，垃圾邮件非常多•……三、网络的安全防御措施1.ARP病毒•现象：1．使用校园网时会突然掉线，过一段时间后又恢复正常。2．用户频繁断网，IE浏览器频繁出错。3．一些常用软件出现故障。•ARP是“AddressResolutionProtocol”（地址解析协议）的缩写。将IP地址转化为MAC地址。•局域网内，一台中了ARP木马的电脑，把自己伪装成网关地址，告诉所有的电脑“我是网关大家都来”，结果大家的电脑相信了他，他就可以随意的把改装过的网络数据发送给所有电脑，在这个数据里可以插入能盗号的程序。ARP病毒简单原理网络拓扑环境PCAPCSPCD交换机网关IP地址:10.10.5.1IP地址:10.10.5.92IP地址:10.10.5.93IP地址:10.10.5.94MAC地址:MAC-GWMAC地址:MAC-AMAC地址:MAC-DMAC地址:MAC-S正常情况下数据包的发送过程PCAPCSPCD交换机网关IP地址:10.10.5.1IP地址:10.10.5.92IP地址:10.10.5.93IP地址:10.10.5.94MAC地址:MAC-GWMAC地址:MAC-AMAC地址:MAC-DMAC地址:MAC-S我的IP地址:10.10.5.93,MAC地址:MAC-S,请问IP地址为10.10.5.94的主机的硬件地址是多少?我的IP地址:10.10.5.94,MAC:MAC-DARP欺骗PC机PCAPCSPCD交换机网关IP地址:10.10.5.1IP地址:10.10.5.92IP地址:10.10.5.93IP地址:10.10.5.94MAC地址:MAC-GWMAC地址:MAC-AMAC地址:MAC-DMAC地址:MAC-S我的IP地址:10.10.5.93,MAC地址:MAC-S,请问IP地址为10.10.5.94的主机的硬件地址是多少?我的IP地址:10.10.5.94,MAC:MAC-D我的IP地址:10.10.5.94,MAC:MAC-AARP欺骗网关PCAPCSPCD交换机网关IP地址:10.10.5.1IP地址:10.10.5.92IP地址:10.10.5.93IP地址:10.10.5.94MAC地址:MAC-GWMAC地址:MAC-AMAC地址:MAC-DMAC地址:MAC-S大家好,我是网关,我的IP地址:10.10.5.1,MAC地址为:MAC-AARP欺骗广播包ARP病毒防治方法一、主机静态绑定网关MACarp–d将arp缓存中的内容删空arp-s网关IP网关MAC需要说明的是，手工绑定在计算机关机重开机后就会失效，需要再绑定。优点——简单易行，普通用户都能操作缺点——只能单向绑定。需要跟网关绑定MAC结合使用。二、网关使用IP+MAC绑定模式交换机启用静态ARP绑定功能，将用户的IP与MAC进行静态绑定，防止ARP欺骗发生。优点——效果明显缺点——操作复杂，工作量巨大。无法保证主机端不被欺骗，需要与主机端绑定网关MAC结合使用。ARP病毒防治方法三、使用防ARP攻击的软件下载和使用防ARP攻击的软件，如ARPFix或者是AntiARP等。优点——简单易行缺点——需要用户端都安装，无法保证网关不被欺骗。ARP病毒防治方法2.“磁碟机”病毒•现象：1、系统运行缓慢、频繁出现死机、蓝屏、报错等现象；2、进程中出现两个lsass.exe和两个smss.exe，且病毒进程的用户名是当前登陆用户名；3、杀毒软件被破坏，多种安全软件无法打开，安全站点无法访问；4、系统时间被篡改，无法进入安全模式，隐藏文件无法显示；5、病毒感染.exe文件导致其图标发生变化；6、会对局域网发起ARP攻击，并篡改下载链接为病毒链接；2.“磁碟机”病毒“磁碟机”病毒的传播途径1.U盘/移动硬盘/数码存储卡传播（移动存储介质）2.各种木马下载器之间相互传播3.通过恶意网站下载4.通过感染文件传播5.通过内网ARP攻击传播“磁碟机”病毒的解决方法磁碟机病毒和AV终结者、机器狗的表现很类似，技术上讲磁碟机的抗杀能力更强。从我们了解到的情况看，多种杀毒软件无法拦截磁碟机的最新变种，在中毒之后，安装杀毒软件失败的可能性很大。因此，目前的方案是优先使用磁碟机专杀工具。3.AV终结者•现象：此病毒以U盘与网络的传播方式为主，采用Windows映像劫持技术（又名IFEO劫持），当病毒在被感染的客户机运行时，随机产生一组字母数字随机型8位数运行进程，并依靠自身的强大威力，试行关闭计算机中安装的杀毒软件与防火墙及等第三方安全工具的系统进程，甚至连系统更新则无法运行。无法在搜索引擎上搜索相关防毒杀毒之类的网页。系统时间被更改，无法打开注册表，任务管理器等。重装系统不能解决。快速解决方法1.先关闭windows自动播放功能，依次点击开始-运行-输入gpedit.msc，打开组策略编辑器，查找计算机配置→管理模板→系统，在右边窗格中双击“关闭自动播放”，对话框中选择所有驱动器，确定即可。2.执行AV终结者病毒专杀工具4.auto病毒•现象：将U盘插在电脑上的时候，可以识别出来优盘，但是双击U盘的时候却怎么也打不开。在盘符上单击右键，可以看到有“auto”这么个选项，这也就是auto病毒名称的来源。同时，在D盘很可能会发现有两个隐藏文件AutoRu