毕业论文
相关资料:
企业内网安全分析与策略
一、背景分析
提起网络信息安全,人们自然就会想到病毒破坏和黑客攻击。其实不然,政府和企业因信息被窃取所造成的损失远远超过病毒破坏和黑客攻击所造成的损失,据权威机构调查:三分之二以上的安全威胁来自泄密和内部人员犯罪,而非病毒和外来黑客引起。
目前,政府、企业等社会组织在网络安全防护建设中,普遍采用传统的内网边界安全防护技术,即在组织网络的边缘设置网关型边界防火墙、AAA认证、入侵检测系统IDS等等网络边界安全防护技术,对网络入侵进行监控和防护,抵御来自组织外部攻击、防止组织网络资源、信息资源遭受损失,保证组织业务流程的有效进行。
这种解决策略是针对外部入侵的防范,对于来自网络内部的对企业网络资源、信息资源的破坏和非法行为的安全防护却无任何作用。对于那些需要经常移动的终端设备在安全防护薄弱的外部网络环境的安全保障,企业基于网络边界的安全防护技术就更是鞭长莫及了,由此危及到内部网络的安全。一方面,企业中经常会有人私自以Modem拨号方式、手机或无线网卡等方式上网,而这些机器通常又置于企业内网中,这种情况的存在给企业网络带来了巨大的潜在威胁;另一方面,黑客利用虚拟专用网络VPN、无线局域网、操作系统以及网络应用程序的各种漏洞就可以绕过企业的边界防火墙侵入企业内部网络,发起攻击使内部网络瘫痪、重要服务器宕机以及破坏和窃取企业内部的重要数据。
二、内网安全风险分析
现代企业的网络环境是建立在当前飞速发展的开放网络环境中,顾名思义,开放的环境既为信息时代的企业提供与外界进行交互的窗口,同时也为企业外部提供了进入企业最核心地带——企业信息系统的便捷途径,使企业网络面临种种威胁和风险:病毒、蠕虫对系统的破坏;系统软件、应用软件自身的安全漏洞为不良企图者所利用来窃取企业的信息资源;企业终端用户由于安全意识、安全知识、安全技能的匮乏,导致企业安全策略不能真正的得到很好的落实,开放的网络给企业的信息安全带来巨大的威胁。
1.病毒、蠕虫入侵
目前,开放网络面临的病毒、蠕虫威胁具有传播速度快、范围广、破坏性大、种类多、变化快等特点,即使再先进的防病毒软件、入侵检测技术也不能独立有效地完成安全防护,特别是对新类型新变种的病毒、蠕虫,防护技术总要相对落后于新病毒新蠕虫的入侵。
病毒、蠕虫很容易通过各种途径侵入企业的内部网络,除了利用企业网络安全防护措施的漏洞外,最大的威胁却是来自于内部网络用户的各种危险应用:不安装杀毒软件;安装杀毒软件但不及时升级;网络用户在安装完自己的办公桌面系统后,未采取任何有效防护措施就连接到危险的网络环境中,特别是Internet;移动用户计算机连接到各种情况不明网络环境,在没有采取任何防护措施的情况下又连入企业网络;桌面用户在终端使用各种数据介质、软件介质等等都可能将病毒、蠕虫在不知不觉中带入到企业网络中,给企业信息基础设施,企业业务带来无法估量的损失。
2.软件漏洞隐患
企业网络通常由数量庞大、种类繁多的软件系统组成,有系统软件、数据库系统、应用软件等等,尤其是存在于广大终端用户办公桌面上的各种应用软件不胜繁杂,每一个软件系统都有不可避免的、潜在的或已知的软件漏洞。无论哪一部分的漏洞被利用,都会给企业带来危害,轻者危及个别设备,重者成为攻击整个企业网络媒介,危及整个企业网络安全。
3.系统安全配置薄弱
企业网络建设中应用的各种软件系统都有各自默认的安全策略增强的安全配置设置,例如,账号策略、审核策略、屏保策略、匿名访问限制、建立拨号连接限制等等。这些安全配置的正确应用对于各种软件系统自身的安全防护的增强具有重要作用,但在实际的企业网络环境中,这些安全配置却被忽视,尤其是那些网络的终端用户,导致软件系统的安全配置成为“软肋”、有时可能严重为配置漏洞,完全暴露给整个外部。例如某些软件系统攻击中采用的“口令强制攻击”就是利用了弱口令习惯性的使用安全隐患,黑客利用各种网络应用默认安装中向外部提供的有限信息获取攻击的必要信息等等。
4.脆弱的网络接入安全防护
传统的网络访问控制都是在企业网络边界进行的,或在不同的企业内网不同子网边界进行且在网络访问用户的身份被确认后,用户即可以对企业内网进行各种访问操作。在这样一个访问控制策略中存在无限的企业网络安全漏洞,例如,企业网络的合法移动用户在安全防护较差的外网环境中使用VPN连接、远程拨号、无线AP,以太网接入等等网络接入方式,在外网和企业内网之间建立一个安全通道。
另一个传统网络访问控制问题来自企业网络内部,尤其对于大型企业网络拥有成千上万的用户终端,使用的网络应用层出不穷,目前对于企业网管很难准确的控制企业网络的应用,这样的现实导致安全隐患的产生:员工使用未经企业允许的网络应用,如邮件服务器收发邮件,这就可能使企业的保密数据外泄或感染邮件病毒;企业内部员工在终端上私自使用未经允许的网络应用程序,在此过程中就有可能下载到带有病毒、木马程序等恶意代码的软件,从而感染内部网络,进而造成内部网络中敏感数据的泄密或损毁。
5.企业网络入侵
现阶段黑客攻击技术细分下来共有8类,分别为入侵系统类攻击、缓冲区溢出攻击、欺骗类攻击、拒绝服务攻击、对防火墙的攻击、病毒攻击、伪装程序/木马程序攻击、后门攻击。
对于采取各种传统安全防护措施的企业内网来说,都没有万无一失的把握;对于从企业内网走出到安全防护薄弱的外网环境的移动用户来说,安全保障就会严重恶化,当移动用户连接到企业内网,就会将各种网络入侵带入企业网络。
6.终端用户计算机安全完整性缺失
随着网络技术的普及和发展,越来越多的员工会在企业专网以外使用计算机办公,同时这些移动员工需要连接回企业的内部网络获取工作必须的数据。由于这些移动用户处于专网的保护之外,很有可能被黑客攻陷或感染网络病毒。同时,企业现有的安全投资(如:防病毒软件、各种补丁程序、安全配置等)若处于不正常运行状态,终端员工没有及时更新病毒特征库,或私自卸载安全软件等,将成为黑客攻击内部网络的跳板。
三、内网安全实施策略
1.多层次的病毒、蠕虫防护
病毒、蠕虫破坏网络安全事件一直以来在网络安全领域就没有一个根本的解决办法,其中的原因是多方面的,有人为的原因,如不安装防杀病毒软件,病毒库未及时升级等等,也有技术上的原因,杀毒软件、入侵防范系统等安全技术对新类型、新变异的病毒、蠕虫的防护往往要落后一步。危害好像是无法避免的,但我们可以控制它的危害程度,只要我们针对不同的原因采取有针对性的切实有效的防护办法,就会使病毒、蠕虫对企业的危害减少到最低限度,甚至没有危害。这样,仅靠单一、简单的防护技术是难以防护病毒、蠕虫的威胁的。
2.终端用户透明、自动化的补丁管理,安全配置
为了弥补和纠正运行在企业网络终端设备的系统软件、应用软件的安全漏洞,使整个企业网络安全不至由于个别软件系统的漏洞而受到危害,完全必要在企业的安全管理策略中加强对补丁升级、系统安全配置的管理。
用户可通过管理控制台集中管理企业网络终端设备的软件系统的补丁升级、系统配置策略,定义终端补丁下载。将补丁升级策略、增强终端系统安全配置策略下发给运行于各终端设备上的安全代理,安全代理执行这些策略,以保证终端系统补丁升级、安全配置的完备有效,整个管理过程都是自动完成的,对终端用户来说完全透明,减少了终端用户的麻烦和企业网络的安全风险,提高企业网络整体的补丁升级、安全配置管理效率和效用,使企业网络的补丁及安全配置管理策略得到有效的落实。
3.全面的网络准入控制
为了解决传统的外网用户接入企业网络给企业网络带来的安全隐患,以及企业网络安全管理人员无法控制内部员工网络行为给企业网络带来的安全问题,除了有效的解决企业员工从企业内网、外网以各种网络接入方式接入企业网络的访问控制问题,同时对传统的网络边界访问控制没有解决的网络接入安全防护措施,而采用边界准入控制、接入层准入控制等技术进行全面的实现准入控制。当外网用户接入企业网络时,检查客户端的安全策略状态是否符合企业整体安全策略,对于符合的外网访问则放行。一个全面的网络准入检测系统。
4.终端设备安全完整性保证
主机完整性强制是确保企业网络安全的关键组件。主机完整性可确保连接到企业网的客户端正运行着所需的应用程序和数据文件。信息安全业界已经开发出了多种基于主机的安全产品,以确保企业网络和信息的安全,阻止利用网络连接技术、应用程序和操作系统的弱点和漏洞所发起的攻击。并已充分采用了在个人防火墙、入侵检测、防病毒、文件完整性、文件加密和安全补丁程序等方面的技术进步来有效地保护企业设备。然而,只有在充分保证这些安全技术的应用状态、更新级别和策略完整性之后,才能享受这些安全技术给企业网络安全带来的益处。如果企业端点设备不能实施主机完整性,也就不能将该设备看成企业网络受信设备。
仅供参考,请自借鉴
希望对您有帮助
寝室校园网如何实现2台电脑共享上网?
通过下文的方法先把这两台电脑连成局域网,再把其中一台连接口上就行了.希望能帮到你
我们要知道局域网最大的特点就是可以实现资源的最佳利用,如:共享磁盘设备、打印机等,从而可以在组建的局域网内部互相调用文件,并可在任何一台共享打印机上进行打印;当然我们也可以借助Wingate或Sygate等软件多机共享一台Modem上网;或者通过代理服务器连上Internet,享受非一般的速度。如果你家里有一台以上的电脑,如果你想把你的电脑游戏室升级到网吧,那么你得考虑把它们连成局域网。
别以为很难,其实如果只是组建一个小型的局域网,我们只要添置几块网卡和一些数据线,就可以自己动手“丰衣足食”。我们知道,Win98内置了点到点(pc to pc)的网络配置能力,这使建立小型网络变得简单。如果你的局域网有很多台机,那么您需要一个成熟的网络操作系统来管理网络,例如:WinNT、Netware或Linux等。
【串并口通讯联网】
如果你只是想把两台装有Windows系列操作系统的PC连接起来,我们可以直接通过计算机的串、并口,利用串、并行通讯电缆(pc to pc),把两台微机连接好后,在Windows的“控制面板/网络”下的“适配器”中选Microsoft的“拨号网络适配器”和“协议”中的“IPX/SPX兼容协议”及“NetBEUI协议”。然后启动“控制面板”,选择“添加/删除程序”,单击“安装Windows程序”,选择“通讯”,单击“直接电缆连接”,再利用Windows安装盘进行安装。安装好后,重新启动计算机。选定一台计算机作主机,在主机“我的电脑”中用右键某一驱动器(如C驱),选择“共享”,选好共享级别。分别在两机的附件中运行“直接电缆连接”,在主机上,选择所用的通讯端口。选另一台作客户机,按提示操作,稍等片刻,联机完成。打开“客户机”桌面上的“网上邻居”,你会发现你不再孤独了,你可通过“网上邻居”访问你的主机,也可以通过“映射网络驱动器”的方法将网络驱动器映射为自己的虚拟物理驱动器,更妙的是如果你所联的主机已经上了局域网,那么你还能通过主机访问所有的网上资源。而且在你访问的同时,并不影响主机的正常工作,这一点对于笔记本电脑的用户尤为有利。
【网卡通讯联网】
当微机(pc)多于两台的话,就需要用到网卡、网线和集线器(HUB)。如果局域网中没有网卡,就如河流没有桥梁架在两岸一样。网卡是网络接口卡NIC(NETWORK Interface Card)的简称,它是局域网最基本的组件之一。网卡安装在网络计算机和服务器的扩展槽中,充当计算机和网络之间的物理接口,因此可以简单地说网卡就是接收和传送数据桥梁。网卡根据传输速率可分为:10Mbps网卡(ISA 插口或PCI插口)、100Mbps PCI插口网卡、10Mbps/100Mbps自适应网卡和千兆网卡。目前10Mbps ISA插口的网卡仍以其低廉的价格占有市场的一定份额,但由于10Mbps ISA插口网卡的网络传输速率低,且占用大量的CPU资源,只适应于那些对速度要求不高的局域网,因此我推荐用100Mbps PCI插口的网卡或者10Mbps/100Mbps自适应网卡,价格不贵又能够适应于用户比较多,网上传输的数据量大和需要进行多媒体信息传输的应用环境。
在选择网线时要先看你所购买的网卡的接口类型,网卡的接口有两种类型(RJ45和BNC):BNC口是用细同轴电缆作为传输媒介的一种网卡接口。RJ45是采用双绞线作为传输媒介的一种网卡接口,RJ45的接口酷似电话线的接口,但网络线使用的是8芯的接头,使用RJ45的缺点是架设成本高,但安装和维护较为方便,因此我们一般使用RJ45接口。集线器 (HU:根据微机的数量,利用 HUB构成星形结构,在工作站较多的情况下,会因 HUB的处理速率远远低于通信线路的传输速度,从而造成瓶颈问题。因此有条件的话可选用交换机。一个 Hub所组成的域称为冲突域,也就是说,网络上任何一台计算机在收发数据时,其他所有计算机都能够收到,且这些计算机不能同时进行数据的收发,否则会发生碰撞(CSMA/ CD协议会阻止碰撞 )。此外每台接入 Hub的计算机,都要检测接收到的数据目的地址,以确认是否是收到自己的通信信息,因此计算机 CPU占用率高,全网通信效率低,只适用于小型工作组级别应用。
【集线器HUB或者交换机的作用】:
(1)每个双绞线接口只与一个工作站 (网卡)相连,信号点对点传输。
(2)当某一端口接收到信号时,HUB将其整形再生并广播到其他每个端口。
(3)HUB本身可自动检测信号碰撞,当碰撞发生时立即发出阻塞 (jam)信号通知其他端口。
(4)某一端口的传输线或网卡发生故障时,HUB自动隔离该端口,使其不影响其他端口的正常工作,因为现在的100MB的交换机价格很便宜,所以一般都选择100Mbps的网卡和100M的交换机。
局域网所需的组件都已经齐了,现在就以在现时最稳定的个人操作系统Windows2000 Professional为基础跟我来一步一步组建局域网吧。
【连接局域网的步骤】:
1、安装网卡。关闭计算机,打开机箱,找到一空闲PCI插槽(一般为较短的白色插槽),插入网卡,上好螺丝。
2、连接网线。将网线一头插在网卡接头处,一头插到交换机或HUB上。
3、安装网卡驱动程序。打开计算机,操作系统会检测到网卡并提示您插入驱动程序盘。插入随网卡销售的驱动程序盘,然后单击“下一步”,Windows找到驱动程序后,会显示确定屏幕,单击“下一步”。如果Windows没有找到驱动程序,单击“设备驱动程序向导”中的“浏览”按钮来指定驱动器的位置。如果您的驱动程序不是最新的版本,可以打开“设备管理”,运行“更新设备驱动程序器向导”,双击“网络适配器”,然后选中您的网卡,选择“驱动程序”键,单击“升级驱动程序”按钮。Windows会提示您插入Windows安装盘,按照提示操作即可。您还必须为网络中的每一台计算机指定一个唯一的名字和相同的工作组名(例如默认的Workgroup),然后再重新启动计算机。具体操作为在桌面“我的电脑”图标上点右键,单击“属性”。在弹出的对话框里点击“网络标识”,再点击“属性”,在“计算机”名中填入你想要指定的机器名,在工作组中填入统一的工作组名,点击确定完成。
4、安装必要的网络协议。在桌面“网上邻居”图标上单击右键,点击“属性”,在“本地连接”图标上单击右键,在弹出的属性对话框里点击“安装”,双击“协议”安装“Internet协议(TCP/IP)”,双击“客户”安装“Microsoft网络客户端”,重新启动计算机。
5、实现网络共享。在桌面“网上邻居”图标上单击右键,点击“属性”,在“本地连接”图标上单击右键,在弹出的属性对话框里点击“安装”,双击“服务”安装“Microsoft网络的文件和打印机共享”,单击“确定”,需重新启动计算机后这些设置才有效。如果您要共享驱动器或目录,在资源管理器中或桌面上,打开“我的电脑”,右击欲共享的驱动器或目录,选择“共享”,填写相应的内容。如果选择共享整个驱动器,则该驱动器下的所有目录均为网络共享。打开“网络邻居”图标可以得到网络上计算机的列表。双击您欲访问的计算机,进入驱动器。要想映射网络驱动器,请查阅Windows帮助文件。如果在使用网络访问打印机或别的计算机时出现问题,请检查您的网线连接,保证连线和共享设置正确。
6、设置可任选的启动口令安装网络驱动程序后第一次启动计算机时,会弹出一对话框提示您键入Microsoft网络的用户和口令。键入用户名,以后每次启动计算机时它会自动显示(可以使用第三步中指定的计算机名)。如果不想设置口令,将口令行置空,然后“确定”,否则键入口令,并确定口令。如果输入的口令与设置的口令不符,则计算机虽可在本地运行操作系统,但不能上网共享资源。
哈哈这样.我们一个简单的基于Windows2000 Professinal的局域网建立起来了,你也可以用以上方法在你的邻里之间建立一个局域网
一、 组网设备准备
这里笔者假设你已经到电信申请了ADSL宽带业务,并且已经安装到位。组建共享局域网时,请先查看你的ADSL Modem产品说明,如果支持路由功能,那就可以省去购买宽带路由器的钱;反之,这一设备必不可少;
另外,另一必不可少的设备就是交换机,计算机之间的相互通信全靠它作中转设备;还有就是每台计算机需要安装一块网卡负责接收数据,以及急讣父��荽�涞耐ǖ馈��撸琌K,基本上就这些东西了。而如果你只有两台计算机,大可不必如此麻烦,直接在两台计算机里各安装一块网卡,再用网线连接起来就OK了。
1、 宽带路由器
宽带路由器有两个作用,一个作用是连通不同的网络,另一个作用是选择信息传送的线路,它是共享宽带连接的最佳解决方案。并以易使用、易管理、零维护的优点成为Internet共享接入的首选设备。
选择路由器和选择电脑是一个道理,首先要看硬件。硬件是路由器运行的基础,硬件型号好,质量高,路由器不但功能稳定,而且可进行功能的扩展。比如接入计算机数量,一般中上档次的接入路由器可支持100台PC机,且除了IP共享和路由功能外还具有防火墙、时间管理、DMZ等功能;再比如大容量的内存和闪存,都可为路由器提供强劲的处理能力。
目前市面上,这类产品的品牌不少,大家可向周围朋友打听打听,什么牌子在当地口碑不错。比较常见的有:友讯(D-LINK)、TP-LINK、艾泰科技、思科、3Com、华为3Com等。
2、 交换机
交换机,这个集线器的后续产品,无论是在速度及具备功能上,都是前者所不能比拟的。其主要功能就是实现多台计算机的互连互通,相当于文前提到的“中间人”的作用。
而在如今家用交换机市场,因为不同品牌、不同端口数的交换机价格差距很大,所以在选购时,应该根据自己的实际情况来选择,比如选择的组网方式、承受的价格、品牌、喜欢的交换机外形等,另外还必须注意交换机的各项性能指标,比如接口数量等,一般说来,5口和8口的交换机是首选。
3、 网卡、网线
网卡亦称作NIC,其意思是Network Interface Card(网络接口卡),它的作用是将数据分解为数据包再发送至网络。目前市面上主要是PCI接口的网卡。
另一方面,我们平常所说的10M网卡,100M网卡,10M/100M自适应网卡等,主要是按照网卡连接速率来划分的。综合以上所说,如今家用最成熟的选择是PCI接口的10M/100M产品。笔记本则是使用的PCMCIA接口的网卡,其价格比普通PC机上的PCI网卡要贵出不少,一般PCI网卡几十元即可拿下,而PCMCIA通常都要1、2百。
而在网线方面,没有过多注意的。一般都是选择超五类的双绞线,大家在购买时,商家就会依据你的网络类型替你做好接头的,所以不必担心。网线的价格以长度来衡量,一般为1.5元/米。
PCI网卡(普通台式机)
PCMCIA网卡(笔记本)
三、 关于设备的连接
前面我们已经清楚了组建这么一个网络需要什么设备,以及各设备的选购常识。那么,如何根据具体情况,最终确定自己究竟需要哪些设备呢?以下是可能的几种情况:
1、 双机直连
即是说其中一台计算机与ADSL Modem相连,然后通过网卡直接与另一台计算机连接。如果采用这种连接,就需要在宽带接入的计算机上作internet共享代理设置,比如安装wingate等代理软件,来实现双机共享上网。这算是最最廉价的网络。
2、 宽带路由器+网卡+计算机
这种方式主要用在共享计算机不多的情况下。因为一般的宽带路由器都提供了4个交换机端口,如果需要共享的计算机小于4台的话,就没必要再花钱去购买交换机了。具体连接方式为:ADSL宽带线路连接ADSL Modem,直连双绞线连接Modem和路由器,其它计算机用交叉双绞线与路由器相连即可。
3、 宽带路由器+交换机+网卡+计算机
对应上面一种情况,此方式就是运用在共享计算机大于宽带路由器交换端口的情况下。这时就需要交换机帮忙,并根据共享计算机的数量选择相应端口的交换机。即是说,所有共享计算机先与交换机相连,再通过交换机连接宽带路由器,从而实现共享上网。
4、 交换机+网卡+计算机
如果你的ADSL Modem自带有宽带路由功能(请查看产品说明书),那就可以省去路由器。这是跟上面三种方式唯一的区别。连接起来也更方便,根本不需要设置,连接方式为:ADSL Modem的LAN口用双绞线和交换机的任一端口连接,再将各计算机分别接入交换机剩余端口即可。
组建局域网,共享上网
——》一:网线直连不是最经济的做法,虽然我们只需要添加1条网线、1块网卡,总价格算起来不会超过100元。但是这种做法有个最大的弱点,就是上网时两台机器必须同时开着,除非你只用主机上网,否则日积月累的电费,呵呵也不见得比其它方法省钱~~,所以建议最好不使用这种办法!
——》二:采用交换机/HUB、服务器的方式。我们可以采用SyGate等软件做成谁先开机谁做主机的共享形式,但还潜在一个问题,就是当作为主机的那台机器提前关机了,另外一台机器的网络也许随之断开,如果你这时候正用ie下载文件到一半,如果你正在玩联众……呵呵后果可想而知!
——》三:采用宽带路由方式。如果你不想自己设置,可以在购买宽带的同时让技术人员帮你设置好。
同时这种方式带来的好处还有就是稳定!是以上所有方案中最稳定的,这个好像没有异议吧。还有就是省力,你不需要每次上网都要拨号了,这都由宽带路由来自动替你完成,而且宽带路由还有断线重拨功能,省去了多少麻烦?接下来就是安全,你暴露在Internet上的IP是你路由的IP,而非机器本身的IP,这样你就无形中被保护起来。
再有就是不违反电信或者网通的规定,即使他限制了MAC地址也没用,因为路由本身是有MAC地址的。
——》1,首先将宽带猫与路由器的WLAN端口连接,可使用猫随机带的连接线。
——》2,用直连网线将路由器的一个Lan口与交换机的UpLing口连接。还用直连网线连接交换机的普通口和电脑。这样硬件环境就做好了。如果你的机器比较少,也就2、3台的话,没有必要加交换机,用直连网线将路由器的一个Lan口与一台电脑连接即可。
——》3,第一台机器,先设置你的网络参数(右键“网上邻居”-“属性”-右键“本地连接”-属性-找到TCP/IP协议后双击它):
IP地址:192.168.1.11
子网掩码:255.255.255.0
网关:192.168.1.1
DNS:不要管它。
然后一路“确定”,需要重启的时候重启。不过有没有提示,你最好还是重新启动一下。
——》4,第二台机器,如第一台,只是将IP地址变成192.168.1.12即可。依次类推,这时已经成功组成局域网。
——》5,设置宽带路由,我想应该有说明书的啦,我只简单介绍一下。
先找一台机器,然后打开IE,在地址栏里输入:192.168.1.1后回车。提示你输入用户名和密码,见说明书。
正确进入路由配置界面后,上网方式,如果是ADSL拨号选择PPPOE形式,这时需要输入你上网的用户名和密码。如果是直接分配IP选择直接IP形式,详情请咨询ISP商
校园网总是断,如何解决?
如何检查和处理“ ARP 欺骗”木马的方法
1 .检查本机的“ ARP 欺骗”木马染毒进程
同时按住键盘上的“ CTRL ”和“ ALT ”键再按“ DEL ”键,选择“任务管理器”,点选“进程”标签。察看其中是否有一个名为“ MIR0.dat ”的进程。如果有,则说明已经中毒。右键点击此进程后选择“结束进程”。参见右图。
2 .检查网内感染“ ARP 欺骗”木马染毒的计算机
在“开始” - “程序” - “附件”菜单下调出“命令提示符”。输入并执行以下命令:
ipconfig
记录网关 IP 地址,即“ Default Gateway ”对应的值,例如“ 59.66.36.1 ”。再输入并执行以下命令:
arp –a
在“ Internet Address ”下找到上步记录的网关 IP 地址,记录其对应的物理地址,即“ Physical Address ”值,例如“ 00-01-e8-1f-35-54 ”。在网络正常时这就是网关的正确物理地址,在网络受“ ARP 欺骗”木马影响而不正常时,它就是木马所在计算机的网卡物理地址。
也可以扫描本子网内的全部 IP 地址,然后再查 ARP 表。如果有一个 IP 对应的物理地址与网关的相同,那么这个 IP 地址和物理地址就是中毒计算机的 IP 地址和网卡物理地址。
3 .设置 ARP 表避免“ ARP 欺骗”木马影响的方法
本方法可在一定程度上减轻中木马的其它计算机对本机的影响。用上边介绍的方法确定正确的网关 IP 地址和网关物理地址,然后在 “命令提示符”窗口中输入并执行以下命令:
arp –s 网关 IP 网关物理地址
4.态ARP绑定网关
步骤一:
在能正常上网时,进入MS-DOS窗口,输入命令:arp -a,查看网关的IP对应的正确MAC地址, 并将其记录下来。
注意:如果已经不能上网,则先运行一次命令arp -d将arp缓存中的内容删空,计算机可暂时恢复上网(攻击如果不停止的话)。一旦能上网就立即将网络断掉(禁用网卡或拔掉网线),再运行arp -a。
步骤二:
如果计算机已经有网关的正确MAC地址,在不能上网只需手工将网关IP和正确的MAC地址绑定,即可确保计算机不再被欺骗攻击。
要想手工绑定,可在MS-DOS窗口下运行以下命令:
arp -s 网关IP 网关MAC
例如:假设计算机所处网段的网关为192.168.1.1,本机地址为192.168.1.5,在计算机上运行arp -a后输出如下:
Cocuments and Settingsarp -a
Interface:192.168.1.5 --- 0x2
Internet Address Physical Address Type
192.168.1.1 00-01-02-03-04-05 dynamic
其中,00-01-02-03-04-05就是网关192.168.1.1对应的MAC地址,类型是动态(dynamic)的,因此是可被改变的。
被攻击后,再用该命令查看,就会发现该MAC已经被替换成攻击机器的MAC。如果希望能找出攻击机器,彻底根除攻击,可以在此时将该MAC记录下来,为以后查找该攻击的机器做准备。
手工绑定的命令为:
arp -s 192.168.1.1 00-01-02-03-04-05
绑定完,可再用arp -a查看arp缓存:
Cocuments and Settingsarp -a
Interface: 192.168.1.5 --- 0x2
Internet Address Physical Address Type
192.168.1.1 00-01-02-03-04-05 static
这时,类型变为静态(static),就不会再受攻击影响了。
但是,需要说明的是,手工绑定在计算机关机重启后就会失效,需要再次重新绑定。所以,要彻底根除攻击,只有找出网段内被病毒感染的计算机,把病毒杀掉,才算是真正解决问题。
5 .作批处理文件
在客户端做对网关的arp绑定,具体操作步骤如下:
步骤一:
查找本网段的网关地址,比如192.168.1.1,以下以此网关为例。在正常上网时,“开始→运行→cmd→确定”,输入:arp -a,点回车,查看网关对应的Physical Address。
比如:网关192.168.1.1 对应00-01-02-03-04-05。
步骤二:
编写一个批处理文件rarp.bat,内容如下:
@echo off
arp -d
arp -s 192.168.1.1 00-01-02-03-04-05
保存为:rarp.bat。
步骤三:
运行批处理文件将这个批处理文件拖到“Windows→开始→程序→启动”中,如果需要立即生效,请运行此文件。
注意:以上配置需要在网络正常时进行
6.使用安全工具软件
及时下载Anti ARP Sniffer软件保护本地计算机正常运行。具体使用方法可以在网上搜索。
如果已有病毒计算机的MAC地址,可使用NBTSCAN等软件找出网段内与该MAC地址对应的IP,即感染病毒的计算机的IP地址,然后报告单位的网络中心对其进行查封。
或者利用单位提供的集中网络防病毒系统来统一查杀木马。另外还可以利用木马杀客等安全工具进行查杀。
7.应急方案
网络管理管理人员利用上面介绍的ARP木马检测方法在局域网的交换机上查出受感染该病毒的端口后,立即关闭中病毒的端口,通过端口查出相应的用户并通知其彻底查杀病毒。而后,做好单机防范,在其彻底查杀病毒后再开放相应的交换机端口,重新开通上网。
附录一
清华大学校园网络安全响应小组编的一个小程序
下载地址:
清华大学校园网络安全响应小组编了一个小程序,它可以保护您的计算机在同一个局域网内部有ARP欺骗木马计算机的攻击时,保持正常上网。具体使用方法:
1、 程序运行后请先选择网卡,选定网卡后点击“选定”按钮。
2、 选定网卡后程序会自动获取您机器的网关地址。
3、获得网关地址后请点击获取MAC地址按钮获取正确的网关MAC地址。
4、 确认网关的MAC地址后请点击连接保护,程序开始保护您的机器。
5、 点击程序右上角的叉,程序自动隐藏到系统托盘内。
6、要完全退出程序请在系统托盘中该程序图标上点击右键选择EXIT。
注意:
1、这个程序只是一个ARP攻击保护程序,即受ARP木马攻击时保持自己计算机的MAC地址不被恶意篡改,从而在遭受攻击时网络不会中断。本程序并不能清除已经感染的ARP木马,要预防感染或杀除木马请您安装正版的杀毒软件!
附录二
Anti Arp Sniffer 的用法
下载地址:
双击Antiarp文件,出现图二所示对话框。
图二
输入网关地址(网关地址获取方式:[开始] --[程序]-- [附件]菜单下调出“命令提示符”,输入ipconfig,其中Default Gateway即为网关地址);点击获取网关MAC地址,点击自动防护保证当前网卡与网关的通信不被第三方监听。
点击恢复默认,然后点击防止地址冲突,如频繁的出现IP地址冲突,这说明攻击者频繁发送ARP欺骗数据包。
右击[我的电脑]--[管理]--点击[事件查看器]--点击[系统]--查看来源为[TcpIP]---双击事件可以看到显示地址发生冲突,并记录了该MAC地址,请复制该MAC地址并填入Anti ARP Sniffer的本地MAC地址输入框中(请注意将:转换为-),输入完成之后点击[防护地址冲突],为了使MAC地址生效请禁用本地网卡然后再启用网卡,在CMD命令行中输入Ipconfig /all,查看当前MAC地址是否与本地MAC地址输入框中的MAC地址相符,如果成功将不再会显示地址冲突。
注:1、如果您想恢复默认MAC地址,请点击[恢复默认],为了使MAC地址生效请禁用本地网卡然后再启用网卡;本软件不支持多网卡,部分网卡可能更改MAC会无效
如何维护校园网络安全
如何维护校园网络安全
如何维护校园网络安全,随着校园网络的普及,校园网络的安全问题直接影响着学校各项教育教学活动的开展,校园网络安全也越来越被重视,那如何维护校园网络安全呢?下面就和大家一起接着往下看吧!
如何维护校园网络安全1
网络边缘安全区
网络边缘安全区所处的位置在校园网络与外网的衔接处,处在整个校园网络的边界区域,这个区域的物理设备主要的功能一是通过电信接入Internet。 二是通过学校接入中国教育网。三是联接学校内网并实现校内资源共享上网。四是发布对外服务器和提供远程访问服务。网络边缘安全区直接面临的就是外部高风险连接,在这个网络区域的物理设备既要保证联接外网又要保证校园网络正常事务的运行。所以网络边缘安全区的
网络边缘安全区
主要需求为:
禁止外部用户非法访问校内网络资源。校园网络进出的流量记录信息。将校园网络内网IP地址隐藏。有条件的提供安全的远程访问服务。具备检测和抵御入侵的能力。确保校园网络用户身份真实可靠,这是保证校园网络安全的最基本要求,当然合法的用户也会做出威胁校园网络安全的事情,还需详细记录用户对网络资源的访问行为和访问信息,便于之后的审计和追溯。
确保校园网络用户身份真实可靠
核心汇聚安全区
核心汇聚安全区域的设备是整个校园网络的关键节点,在校园网络中确保所连接的主干网络高速和稳定的传输,并作为校园网络流量的汇聚中心,核心汇聚设备在控制数据传输方面起着重要作用。核心汇聚安全区主要需求为:
根据具体用途划分VLAN网段。各网段间实施访问控制。根据用途对设备端口进行绑定。对设备端口的最大连接数进行限制。预防病毒流量的传输。划分VLAN,主要是缩小了广播域,一方面是防止基于广播的病毒感染整个校园网络,比如近期的勒索病毒就是一个基于广播的病毒。另一方面可以实现某.种用途的访问控制,这样就能控制VLAN间的数据传输,比如办公段、宿舍区段、校园卡段等。
某校园网络的拓扑图
接入层安全区
接入层安全区主要面临的威胁是接入主机感染的病毒利用二层协议的相关漏洞进行攻击,如MAC地址泛洪攻击、ARP欺骗攻击等。接入层设备直接与用户的主机相连,如何识别接入主机用户身份的合法性也是接入层设备在部署和配置时要做的工作。另外校园网络提供的接入点数量庞大,而且用户成份不同,可能人为的造成端口环路的现象。因此,接入层安全区的需求为:
配置接入主机对应的VLAN段。主机端口绑定。采用二次身份认证。设备接入主机数限制。防ARP攻击。端口环路检测。服务器群安全区
校园网络的服务器主要集中在计算机中心机房,主要有学校的门户网站服务器、VP N服务器以及各种应用系统服务器。为了确保这些服务器的安全主要从管理、技术和防范三个方面入手。根据服务器的用途可以分成对外服务和对校内服务两个安全区域。对外的服务器区放置的服务器相对于校园内网的服务器来说属于高风险区域,所以必须将对外服务器区与校园内网的通讯进行控制。另外校园内网中各种应用服务器安全性也不相同,为了防止出现被入侵的服务器成为“肉鸡”,来进一步攻击其它的'服务器,所以在服务器之间还需要实施隔离。服务器安全区的需求为:
服务器隔离。端口访问控制。设置DMZ区。防病毒。漏洞扫描。补丁升级。建立日志服务器。目前还没有专门收集各个网络设备日志以备事后审计和追溯的円志服务器。如果要查看某个网络设备的日志,必须通过该设备提供的接口访问查询,相对比较麻烦,所以建立日志服务器,定期对日志服务器进行审计,可以及时发现安全风险,及时杜绝安全漏洞。
杜绝安全漏洞
主机安全区
校园网络中每一个客户端带来的安全威胁主要是病毒和木马,它们可以作为一个校园网络的接入点,对校园网络造成威胁。主机安全区的需求主要为安装网络安全软件,如防病毒软件、桌面防火墙软件、漏洞扫描工具和补丁升级软件等,尽可能的保证接入主机的安全。
确保主机安全
其它的安全需求
传输线路的安全。校园网络传输线路所经过的物理位置必须远离具有电磁千扰、福射干扰等数据信号干扰源(如东侧的移动和联通的倍号驻站)。校园网络线路的安全传输。必须采取相应的检测手段来减少传输线路中数据的侦听、窃取、QoS下降及欺骗等。加强网络维护人员的管理。配置门禁系统、监控系统,增强相关设施的安全保卫,对进入机房的人员进行管理(比如刷校园卡进行管理),建立《机房出入记录日志》。
对校园网络目前的现状进行调研。通过基于专家评分的网络安全评估方法对校园网络进行风险评估,得到校园网络安全处在高风险的结果,针对校园网络的安全现状及暴露的安全问题,通过拓扑结构将校园网络划分成网络边缘安全区、核心汇聚安全区、接入层安全区、服务器群安全区和主机安全区五个区域分别的进行了安全需求分析,最后补充了其它方面的安全需求,最终完善了校园网络的安全需求。
如何维护校园网络安全2
校园网络分为内网和外网,就是说他们可以上学校的内网也可以同时上互联网,大学的学生平时要玩游戏购物,学校本身有自己的服务器需要维护;
在大环境下,首先在校园网之间及其互联网接入处,需要设置防火墙设备,防止外部攻击,并且要经常更新抵御外来攻击;
由于要保护校园网所有用户的安全,我们要安全加固,除了防火墙还要增加如ips,ids等防病毒入侵检测设备对外部数据进行分析检测,确保校园网的安全;
外面做好防护措施,内部同样要做好防护措施,因为有的学生电脑可能带回家或者在外面感染,所以内部核心交换机上要设置vlan隔离,旁挂安全设备对端口进行检测防护
内网可能有ddos攻击或者arp病毒等传播,所以我们要对服务器或者电脑安装杀毒软件,特别是学校服务器系统等,安全正版安全软件,保护重要电脑的安全;
对服务器本身我们要安全server版系统,经常修复漏洞及更新安全软件,普通电脑一般都是拨号上网,如果有异常上层设备监测一般不影响其他电脑。做好安全防范措施,未雨绸缪。
如何维护校园网络安全3
校园网络安全及防范措施
校园网络安全及防范措施校园网建设的宗旨,是服务于教学、科研和管理,其建设原则也无外乎先进性、实用性、高性能性、开放性、可扩展性、可维护性、可操作性,但人们大多都忽略了网络的安全性,或者说在建设校园网过程中对安全性的考虑不够。据美国FBI统计,美国每年因网络安全问题所造成的经济损失高达75亿美元,而全球平均每20秒钟就发生一起Internet计算机侵入事件。在我国,每年因黑客入侵、计算机病毒的破坏给企业造成的损失令人触目惊心。人们在享受到网络的优越性的同时,对网络安全问题变得越来越重视。由于学校是以教学活动为中心的场所,网络的安全问题也有自己的特点。
主要表现在:
1.不良信息的传播。在校园网接入Internet后,师生都可以通过校园网络在自己的机器上进入Internet。目前Internet上各种信息良莠不齐,有关色情、暴力、邪教内容的网站泛滥。这些有毒的信息违反人类的道德标准和有关法律法规,对世界观和人生观正在形成的学生来说,危害非常大。如果安全措施不好,不仅会有部分学生进入这些网站,还会把这些信息在校园内传播。
2.病毒的危害。通过网络传播的病毒无论是在传播速度、破坏性和传播范围等方面都是单机病毒所不能比拟的。特别是在学校接入Internet后,为外面病毒进入学校大开方便之门,下载的程序和电子邮件都可能带有病毒。
3.非法访问。学校涉及到的机密不是很多,来自外部的非法访问的可能性要少一些,关键是内部的非法访问。一些学生可能会通过非正常的手段获得习题的答案,使正常的教学练习失去意义。更有甚者,有的学生可能在考前获得考试内容,严重地破坏了学校的管理秩序。
4.恶意破坏。这包括对网络设备和网络系统两个方面的破坏。网络设备包括服务器、交换机、集线器、通信媒体、工作站等,它们分布在整个校园内,管理起来非常困难,某些人员可能出于各种目的,有意或无意地将它们损坏,这样会造成校园网络全部或部分瘫痪。另一方面是利用黑客技术对校园网络系统进行破坏。表现在以下几个方面:对学校网站的主页面进行修改,破坏学校的形象;向服务器发送大量信息使整个网络陷于瘫痪;利用学校的BBS转发各种非法的信息等。
0条大神的评论