計(jì)算機(jī)與網(wǎng)絡(luò)安全

下p九'卬

zxw@

清華大學(xué)信息網(wǎng)絡(luò)工程研究中心

2006年12月27日

提綱

一.個(gè)人計(jì)算機(jī)的安全配置與使用規(guī)范

二.校園網(wǎng)近期安全問題

三.個(gè)人計(jì)算機(jī)常見安全問題與解決辦法

四.討論

?、個(gè)人計(jì)算機(jī)的安全配置與使用規(guī)范

1.Windows系統(tǒng)的安全保護(hù)機(jī)制

2.校內(nèi)安全資源的使用

3,初裝計(jì)算機(jī)的正確步驟

?、個(gè)人計(jì)算機(jī)的安全配置與使用規(guī)范

Windows系統(tǒng)的安全保護(hù)機(jī)制

□系統(tǒng)與應(yīng)用程序補(bǔ)丁

□防火墻

□帳號(hào)與口令

□防病毒軟件

□正確的使用習(xí)慣

windows的安全保護(hù)機(jī)制

□系統(tǒng)與應(yīng)用程序補(bǔ)丁

補(bǔ)丁的安裝方法：

1.Windows在線的update網(wǎng)站更新（需要是正版）

2.微軟提供的自動(dòng)更新服務(wù)（速度慢）.

3.學(xué)校提供的WSUS服務(wù)器（推薦使用）

4.手動(dòng)下載補(bǔ)丁程序安裝（不推薦）

需要提醒的時(shí)除了系統(tǒng)補(bǔ)丁外，很多應(yīng)用軟件也需要

安裝補(bǔ)丁程序，如（office、IE、OUTLOOK等）

windows的安全保護(hù)機(jī)制

□防火墻的選用

1.Winxp或者win2003自帶的防火墻（推薦使

用）

2.Windows自身的組策略安全規(guī)則（配置復(fù)

雜）

3.第三方的防火墻（如天網(wǎng)個(gè)人防火墻、

norton提供的防火墻、瑞星殺毒軟件提供

的防火墻、趨勢(shì)防火墻）

防火墻是必須的

windows的安全保護(hù)機(jī)制

□口令設(shè)置要求

1.口令應(yīng)該不少于8個(gè)字符；

2,不包含字典里的單詞、不包括姓氏的漢語(yǔ)

拼音；

3,同時(shí)包含多種類型的字符，比如

大寫字母(A,B,C,..Z)

小寫字母(a,b,c..z)

數(shù)字(0,1,2,…9)

標(biāo)點(diǎn)符號(hào)

windows的安全保護(hù)機(jī)制

□防病毒系統(tǒng)

1.一定要及時(shí)升級(jí)病毒庫(kù)文件(推薦使用企

業(yè)版)

2.實(shí)時(shí)監(jiān)控功能一定要開著

3.推薦使用的殺毒軟件

趨勢(shì)科技的officescan防毒軟件

賽門鐵克的norton防毒軟件

瑞星殺毒軟件(rising)

卡巴斯基。。。。

windows的安全保護(hù)機(jī)制

□正確的使用習(xí)慣

1.不隨便下載程序運(yùn)行

2.不訪問一些來歷不明的網(wǎng)頁(yè)鏈接

3.不使用的情況下盡量關(guān)閉機(jī)器

4.經(jīng)常備份重要數(shù)據(jù)

?、個(gè)人計(jì)算機(jī)的安全配置與使用規(guī)范

1.Windows系統(tǒng)的安全保護(hù)機(jī)制

2.校內(nèi)安全資源的使用

3,初裝計(jì)算機(jī)的正確步驟

校內(nèi)安全資源的使用

補(bǔ)丁更新服務(wù)器

□清華的WSUS服務(wù)器

地址：05

□WSUS服務(wù)配置方法

1,修改注冊(cè)表

2,修改組策略（推薦）

補(bǔ)丁更新服務(wù)器（組策略）

一、選擇“開始”，“運(yùn)行”，輸入

gpedit.msc,打開組策略窗口。

二、選擇“管理模板”，然后從菜單中選擇

“操作”，“添加/刪除模板”。

（注意：winxpspl以上版本的操作系統(tǒng)中這

個(gè)wuau.adm已經(jīng)添加了,您可以直接跳到

第六步）

三、在“添加/刪除模板”窗口中選擇“添

加力O

補(bǔ)丁更新服務(wù)器（組策略）

四、在“策略模板"中選擇"wuau.adm”,并

選擇“打開”。

五、選擇“關(guān)閉”，關(guān)閉“添加/刪除模板”

窗口。

六、選擇“計(jì)算機(jī)配置”->“管理模板

>""Windows組件"->“WindowsUpdate",

并選擇“配置自動(dòng)更新”。

七、在“配置自動(dòng)更新”的屬性窗口中，選

擇“啟用”，并選擇“確定”。

補(bǔ)丁更新服務(wù)器（組策略）

八、在“指定IntranetMicrosoft更新服務(wù)器位

置”的屬性窗口中，選擇“啟用”，并在

“設(shè)置檢測(cè)更新的Intranet更新服務(wù)：”框

中輸入“http:〃/"）在

“設(shè)置Intranet統(tǒng)計(jì)服務(wù)器：”框中輸入

“http:〃/"）并選擇確

定。

九、關(guān)閉組策略窗口。

十、在開始運(yùn)行處輸入wuauclt.exe/detectnow

命令）立即啟動(dòng)wsus服務(wù)！

補(bǔ)丁更新服務(wù)器（注冊(cè)表）

WindowsRegistryEditorVersion5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\M

icrosoft\Windows\WindowsUpdate]

“WUServef,=€"http://wsus.tsinghua.edu.cnn

"WUStatusServer1-nn

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\M

icrosoft\Windows\WindowsUpdate\AU]

"UseWUServef-dword:00000001

補(bǔ)丁更新服務(wù)器（注冊(cè)表）

當(dāng)系統(tǒng)右下角的托盤中出現(xiàn)了黃色的小盾牌

（windows2000為綠色的小地球圖標(biāo)）后，說明系

統(tǒng)有需要安裝的補(bǔ)丁程序，雙擊該圖標(biāo)后按照系

統(tǒng)提示安裝相應(yīng)的補(bǔ)丁程序！

11；14

趨勢(shì)科技?xì)⒍拒浖?/p>

□病毒服務(wù)器地址：

□病毒軟件的安裝方法：

1.在線安裝（需要把控件功能打開）

2.下載安裝包安裝

企業(yè)版的趨勢(shì)殺毒軟件采用的是服務(wù)器自動(dòng)

分發(fā)病毒庫(kù)文件，無需用戶手動(dòng)更新。

趨勢(shì)科技?xì)⒍拒浖?/p>

□圖標(biāo)的定義

圖標(biāo)描述實(shí)時(shí)掃推

正常的客戶機(jī)W，日

Q，而叫文付已過時(shí)由用

￡*?rxi

立呻”1描.不例八批.收HttfWI修正痣運(yùn)行w，.―

■■

實(shí)明>1>>W?k—'.1*■<r田VJ▼<

J?^3?.?|4>?A

19fiwdXf?rTJII5,西文ft已過時(shí)

才3抽11務(wù)*在運(yùn)行til色;圖。）97Fl|

wTl門報(bào)川為不在運(yùn)行H.3忝科文#己過啊K,目

GW婦*Q

圖標(biāo)推逑實(shí)電木塘

問椒務(wù)8s斷開G用

金㈣職務(wù)部斷開H病而四文轉(zhuǎn)己±1時(shí)啟用

■從限務(wù)2s版開連接H女時(shí)打捅已挈用夠陰

趨勢(shì)科技?xì)⒍拒浖?/p>

口卸載客戶端需要密碼（tsinghua或者pass）

口關(guān)于客戶端漫游功能（校外臨時(shí)使用）

□立即更新功能（一般情況下不需要手動(dòng)點(diǎn)

擊立即更新）

口圖標(biāo)顯示斷開（可能是臨時(shí)性的網(wǎng)絡(luò)故障,

客戶端一般不用做什么操作）

□查看病毒碼更新日期（主窗口-＞幫助-＞關(guān)

于，病毒碼發(fā)布日期）

趨勢(shì)科技?xì)⒍拒浖?/p>

□趨勢(shì)科技的殺毒客戶端自帶了一個(gè)簡(jiǎn)單防

火墻）功能類似于xp系統(tǒng)自帶的防火墻）

當(dāng)xp系統(tǒng)自帶的防k墻啟動(dòng)后）這個(gè)防火

墻的功能會(huì)自動(dòng)關(guān)閉。

?、個(gè)人計(jì)算機(jī)的安全配置與使用規(guī)范

1.Windows系統(tǒng)的安全保護(hù)機(jī)制

2.校內(nèi)安全資源的使用

3,初裝計(jì)算機(jī)的正確步驟

初裝c三確步驟

□系統(tǒng)的選擇原則

1.選擇最新版的操作系統(tǒng)（推薦winxp或

2003）

2,盡量選擇已經(jīng)帶有servicepack的版本

3.遵從“最小安裝原則”

4.如果有專職管理員）請(qǐng)專職管理員協(xié)助安

裝操作系統(tǒng)

操作系統(tǒng)初始安裝的過程

□系統(tǒng)安裝與加固

1.預(yù)先將東西準(zhǔn)備好（如防火墻軟件等）

2.安裝過程請(qǐng)拔掉網(wǎng)線

3.系統(tǒng)安裝結(jié)束后請(qǐng)安裝并啟用防火墻后再插上

網(wǎng)線

4,配置補(bǔ)丁自動(dòng)更新，并升級(jí)補(bǔ)丁程序

5,安裝防病毒軟件并升級(jí)到最新的病毒庫(kù)

□具體過程請(qǐng)參照

□ftp://166.llL8.243/doc/初裝計(jì)算機(jī)補(bǔ)丁安裝doc

提綱

個(gè)人計(jì)算機(jī)的安全配置與使用規(guī)范

二.校園網(wǎng)近期安全問題

三.個(gè)人計(jì)算機(jī)常見安全問題與解決辦法

四.討論

二近期校園網(wǎng)常見安全問題

□ARP攻擊

□系統(tǒng)入侵

ARP攻擊

□什么是ARP攻擊？

利用ARP協(xié)議本身的缺陷進(jìn)行的一種非法攻

擊，目的是為了在全交換環(huán)境下實(shí)現(xiàn)數(shù)據(jù)

監(jiān)聽。通常這種攻擊方式可能被病毒、木

馬或者有特殊目的攻擊者使用。

□ARP攻擊有什么危害？

致使同網(wǎng)段的其他用戶無法正常上網(wǎng)（頻繁

斷網(wǎng)或者網(wǎng)速慢），泄露用戶的敏感信息。

ARP原理

□ARP（AddressResolutionProtocol）地址解析協(xié)

議用于將計(jì)算機(jī)的網(wǎng)絡(luò)地址（IP地址32位）轉(zhuǎn)化

為物理地址（MAC地址48位）[RFC826]

□ARP協(xié)議是屬于鏈路層的協(xié)議，在以太網(wǎng)中的數(shù)據(jù)

幀從一個(gè)主機(jī)到達(dá)網(wǎng)內(nèi)的另一臺(tái)主機(jī)是根據(jù)48位

的以太網(wǎng)地址（硬件地址）來確定接口的，而不

是根據(jù)32位的IP地址。內(nèi)核（如驅(qū)動(dòng)）必須知道

目的端的硬件地址才能發(fā)送數(shù)據(jù)。

□點(diǎn)對(duì)點(diǎn)的連接是不需要ARP協(xié)議的。

ARP原理

主機(jī)名IP地址MAC地址

主機(jī)A192.168.1.201-01-01-01-01-01

主機(jī)B192.168.1.302—02—02—02-02-02

網(wǎng)關(guān)C192.168.1.103-03-03-03-03-03

主機(jī)D10.LL204-04-04-04-04-04

網(wǎng)關(guān)E10.1.1.105-05-05-05-05-05

ARP工作原理

□假如主機(jī)A要與主機(jī)B通訊，它首先會(huì)檢查自己的

ARP緩存中是否有192.168.L3這個(gè)地址對(duì)應(yīng)的

MAC城址，如果沒宥它就會(huì)向局域網(wǎng)的廣播地址

發(fā)送ARP請(qǐng)求包，大致的意思是的

MAC地址是什么請(qǐng)告訴,而廣播地址會(huì)

把這個(gè)請(qǐng)求包廣播給局域網(wǎng)內(nèi)的所有主機(jī)，但是

只有這臺(tái)主機(jī)才會(huì)響應(yīng)這個(gè)請(qǐng)求包，

它會(huì)回應(yīng)192.168.L2一個(gè)arp包，大致的意思是

的MAC地址是02-02-02-02-02-02。這

樣的話主機(jī)A就得到了主機(jī)B的MAC地址，并且

它會(huì)把這個(gè)對(duì)應(yīng)的關(guān)系存在自己的ARP緩存裝中。

之后主機(jī)A與主機(jī)B之間的通訊就依靠?jī)烧呔彺姹?/p>

里的MAC地址來通訊了，直到通訊停止后兩分鐘，

這個(gè)好應(yīng)關(guān)系才會(huì)被從表中刪除。

ARP工作原理

□假如主機(jī)A需要和主機(jī)D進(jìn)行通訊，它首先會(huì)發(fā)現(xiàn)

這個(gè)主機(jī)D的IP地址并不是自己同一個(gè)網(wǎng)段內(nèi)的，

因此需要通過網(wǎng)關(guān)來轉(zhuǎn)發(fā)，這樣的話它會(huì)檢查自

己的ARP緩存表里是否有網(wǎng)關(guān)對(duì)應(yīng)的

MAC地址，如果沒有就通過ARP請(qǐng)求獲得，如果

有就直接與網(wǎng)關(guān)通訊，然后再由網(wǎng)關(guān)C通過路由

將數(shù)據(jù)包送到網(wǎng)關(guān)E,網(wǎng)關(guān)E收到這個(gè)數(shù)據(jù)包后發(fā)

現(xiàn)是送給主機(jī)D()的，它就會(huì)檢查自己

的ARP緩存(沒錯(cuò)，網(wǎng)關(guān)一樣有自己的ARK

存)，看看里面是否有10.L1.2對(duì)應(yīng)的MAC地址，

如果沒有就使用ARP協(xié)議獲得，如果有就是用該

MAC地址與主機(jī)D通訊。

ARP欺騙

□Arp欺騙原理

主機(jī)在實(shí)現(xiàn)ARP緩存表的機(jī)制中存在一個(gè)不

完善的地方，當(dāng)主機(jī)收到一個(gè)ARP的應(yīng)答包

后夕它并不會(huì)去驗(yàn)證自己是否發(fā)送過這個(gè)

ARP請(qǐng)求，而是直接將應(yīng)答包里的MAC地址

與IP對(duì)應(yīng)的關(guān)系替換掉原有的ARP緩存表里

的相應(yīng)信息。這就導(dǎo)致主機(jī)B截取主機(jī)A與

主機(jī)D之間的數(shù)據(jù)通信成為可能

ARP欺騙

1.主機(jī)b向網(wǎng)關(guān)C發(fā)送ARP應(yīng)答包說：我是A

我的MAC地址是02-02-02-02-02-02,主

機(jī)b同時(shí)向主機(jī)A發(fā)送ARP應(yīng)答包說：我是

C我的MAC地址是02-02-02-02-02-02

□B獲得A發(fā)給C的數(shù)據(jù)，修改后發(fā)給C,同時(shí)

獲得C發(fā)給A的數(shù)據(jù)修改后發(fā)給A,實(shí)現(xiàn)了

監(jiān)聽過程

ARP攻擊

幾個(gè)概念:

Arp緩存表

nterface：2—0x2

InternetAddressPhysicalAddressType

00-0f-3d-83-74-28d卯a(chǎn)mi

300-13T3-f-b2-0cd卯a(chǎn)mi

5200-0f-3d-83-74-28d卯a(chǎn)id

：\UINDOUSXSten32>arp-a

ARP攻擊

□ARP數(shù)據(jù)包

13:10:44.802151arpwho-hastell

13:10:44.802607arpreplyis-at

00:00:0c:07:ac:00

ARP攻擊

□什么情況下表明局域網(wǎng)內(nèi)有ARP攻擊

1.校園網(wǎng)登陸系統(tǒng)頻繁掉線

2.網(wǎng)速突然變慢

3,使用ARP-a命令發(fā)現(xiàn)網(wǎng)關(guān)的MAC地址不

停的變換

4,使用sniffer軟件發(fā)現(xiàn)局域網(wǎng)內(nèi)存在大量的

ARPreply包

ARP攻擊

□如何發(fā)現(xiàn)正在進(jìn)行ARP攻擊的主機(jī)

1、在知道正確的網(wǎng)關(guān)MAC的情況下，通過

ARP-a命令看到的另一個(gè)網(wǎng)關(guān)MAC就是

攻擊主機(jī)的MAC

2、使用Sniffer軟件抓包發(fā)現(xiàn)大量的以網(wǎng)關(guān)的

IP地址發(fā)送的ARPreply包，包中指定的

MAC就是攻擊主機(jī)的MAC

3、使用我們開發(fā)的ARP保護(hù)程序發(fā)現(xiàn)攻擊主

機(jī)的MAC

ARP攻擊

□如何處理感染主機(jī)

1.發(fā)現(xiàn)感染主機(jī)，第一時(shí)間拔掉網(wǎng)線

2.按照安全手冊(cè)重新安裝操作系統(tǒng)

ARP攻擊

□目前已知的ARP病毒的傳播途徑

1,通過外掛程序傳播

2,通過網(wǎng)頁(yè)傳播

3.通過其他木馬程序傳播

4,通過即時(shí)通訊軟件傳播（QQ、MSN）

5,通過共享傳播（網(wǎng)絡(luò)共享、P2P軟件共享）

ARP攻擊

□如何預(yù)防感染ARP病毒？

1.關(guān)閉不必要的共享

2.及時(shí)安裝系統(tǒng)補(bǔ)丁程序

3,安裝防病毒軟件并及時(shí)升級(jí)病毒庫(kù)

4.不隨便運(yùn)行來歷不明的程序

5.不訪問一些來歷不明的鏈接

1、近期校園網(wǎng)常見安全問題

口ARP攻擊

□系統(tǒng)入侵

近期校園網(wǎng)常見安全問題

□系統(tǒng)入侵

多數(shù)被攻擊的都是服務(wù)器，操作系統(tǒng)多為

windows2000server或者linux

針對(duì)linux常利用的漏洞為：openssh和apche

等軟件的漏洞

針對(duì)windows2000server更多的是利用網(wǎng)頁(yè)編

寫本身的漏洞。。

提綱

一.個(gè)人計(jì)算機(jī)的安全配置與使用規(guī)范

二.校園網(wǎng)近期安全問題

三.個(gè)人計(jì)算機(jī)常見安全問題與解決辦法

四.討論

入常見安全問題及解決方法

1.系統(tǒng)中的自啟動(dòng)程序

2.瀏覽器的恢復(fù)

3.本地病毒木馬程序檢查

系統(tǒng)中的自啟動(dòng)程序

□Windows支持多種在系統(tǒng)啟動(dòng)時(shí)自動(dòng)加載

應(yīng)用程序的方法包括：

1.啟動(dòng)組

2.Boot.ini>win.ini>system.ini文件

3.注冊(cè)表啟動(dòng)項(xiàng)

4,添加成系統(tǒng)服務(wù)

5.計(jì)劃任務(wù)

6,動(dòng)態(tài)庫(kù)文件加載

系統(tǒng)中的自啟動(dòng)程序

□啟動(dòng)組和win.ini、system.ini

開始_〉程序_〉啟動(dòng)里面

對(duì)應(yīng)的目錄：

C:\DocumentsandSettings\administrator\「開

始」菜單'程序'啟動(dòng)\

C:\Boot.ini

C:\Windows\Win.ini

C:\Windows\system.ini

系統(tǒng)中的自啟動(dòng)程序

□注冊(cè)表啟動(dòng)項(xiàng)

HKEY_CURRENT_USER\Software\Micros

oft\Windows\CurrentVersion\Run

z

HKEY_LOCAL_MACHINE\SOFTWARE\

Microsoft\Windows\CurrentVersion\Run

系統(tǒng)中的自啟動(dòng)程序

□系統(tǒng)服務(wù)

1.使用管理工具中服務(wù)選項(xiàng)來管理系統(tǒng)服務(wù)

2.系統(tǒng)服務(wù)對(duì)應(yīng)的注冊(cè)表值

HKEY_LOCAL_MACHINE\SOFTWARE\Micr

osoft\Windows\CurrentVersion\RunServices

系統(tǒng)中的自啟動(dòng)程序

口任務(wù)計(jì)劃

在控制面板的任務(wù)計(jì)劃里查看

□動(dòng)態(tài)庫(kù)文件加載

判斷相對(duì)困難夕需要有豐富的經(jīng)驗(yàn)和相應(yīng)的

工具

系統(tǒng)中的自啟動(dòng)程序

口有用但不為人知的系統(tǒng)啟動(dòng)檢測(cè)命令msconflg

L常見安全問題及解決方法

1.系統(tǒng)中的自啟動(dòng)程序

2.瀏覽器的恢復(fù)

3.本地病毒木馬程序檢查

瀏覽器的恢復(fù)

□

IE瀏覽器容易出現(xiàn)的故障

自動(dòng)關(guān)閉

默認(rèn)主頁(yè)被篡改（默認(rèn)主頁(yè)被禁止修改）

自動(dòng)彈出多個(gè)頁(yè)面

瀏覽器的恢復(fù)

□IE瀏覽器自動(dòng)關(guān)閉的原因很多，例如：

1.系統(tǒng)內(nèi)存偏小

2,系統(tǒng)內(nèi)核故障（中木馬了）

3.IE軟件故障

4.IE與其他應(yīng)用沖突（如打印進(jìn)程）

我們可以通過查看事件日志查找IE出錯(cuò)的原

因

瀏覽器的恢復(fù)

□解決IE瀏覽器自動(dòng)關(guān)閉的方法

1,使用殺毒軟件殺毒

2.察看事件記錄看看是否記錄關(guān)閉原因

3,使用修復(fù)工具對(duì)IE進(jìn)行修復(fù)

4.安裝新版本的IE瀏覽器

5.重新安裝操作系統(tǒng)

6.增加系統(tǒng)內(nèi)存

瀏覽器的恢復(fù)

□IE瀏覽器手動(dòng)修復(fù)方式（比較復(fù)雜）

□修復(fù)IE的標(biāo)題欄：

編輯注冊(cè)表

HKEY_CURRENT_USER\Software\Microsoft\I

ntemetExplorer\Main

HKEY_LOCAL_MACHINE\Software\Microsof

tMntemetExplorer\Main

找到鍵值項(xiàng)WindowTitle,修改成你要的或

刪除即可

瀏覽器的恢復(fù)

口恢復(fù)注冊(cè)表修改權(quán)限

[HKEY_CURRENT_USER\Software\Microsoft\

Windows\CurrentVersion\Policies\system]

nDisableRegistryToolsn=dword:00000001

方法1:使用其他注冊(cè)表編輯器恢復(fù)，將

DisableRegistryTools的值改為1

方法2:通過組策略工具修改.

瀏覽器的恢復(fù)

□恢復(fù)IE默認(rèn)主頁(yè)修改權(quán)限的操作：

即“Internet屬性”控制面板設(shè)置IE主頁(yè)，

“使用

默認(rèn)頁(yè)”、“使用空白頁(yè)”等按鈕變?yōu)榛疑?/p>

不可

用。

口解決方法：

編輯注冊(cè)表查找

HKEY_CURRENT_USER\Software\Policies\M

icrosoftMntemetExplorer\ControlPanel

刪除鍵值項(xiàng)HomePaee）或?qū)⑵渲蹈臑?

瀏覽器的恢復(fù)

口修改IE默認(rèn)頁(yè)

IE默認(rèn)頁(yè)為：

/windows/ie_intl/cn/

start/,惡意網(wǎng)站會(huì)修改這個(gè)地方。

解決方法：_

HKEY_CUR