1 / 28

华东师大网络基础建设

华东师大网络基础建设. 常潘 pchang@ecnu.edu.cn. 主要内容介绍. 系统漏洞及常见网络攻击手段 病毒(蠕虫)技术发展及防范 木马技术介绍及防范措施 托管服务器的建议. 微软安全漏洞. 2007 年 69 个 2008 年 78 个 2009 年已经发布 49 个漏洞补丁. 面对漏洞我们应该怎么做?. 打补丁。以往的统计数字表明,及时打补丁能有效防止大多数病毒爆发。. 怎样打补丁?. 对用户进行安全培训,形成定期更新系统的习惯。 Windows 系统尽量开启自动定时更新,以减少网络管理人员的工作量。

ocean
Download Presentation

华东师大网络基础建设

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. 华东师大网络基础建设 常潘 pchang@ecnu.edu.cn

  2. 主要内容介绍 • 系统漏洞及常见网络攻击手段 • 病毒(蠕虫)技术发展及防范 • 木马技术介绍及防范措施 • 托管服务器的建议 2

  3. 微软安全漏洞 2007年 69个 2008年78个 2009年已经发布49个漏洞补丁 3

  4. 面对漏洞我们应该怎么做? • 打补丁。以往的统计数字表明,及时打补丁能有效防止大多数病毒爆发。 4

  5. 怎样打补丁? • 对用户进行安全培训,形成定期更新系统的习惯。 • Windows系统尽量开启自动定时更新,以减少网络管理人员的工作量。 • 对重要系统实行手动更新,更新前做好备份和记录工作。 • 在需要打补丁的系统数量多的情况下,使用补丁管理系统,实现补丁的扫描、分发和安装。 • 系统管理服务器(Systems Management Server) • 终端服务(Terminal services) • AppExpress、Landesk

  6. 病毒的分类 • 1995年以前 • 引导区病毒 • DOS 病毒 • Windows 病毒 • 1996 - 1998年 • 宏病毒 • Script 病毒 • Java 病毒 • 1999年以後 • 特洛伊木马、蠕虫、 恶作剧程序、 黑客工具 6

  7. 邮件/互联网 邮件 物理介质 Apple 1,2,3 Brain Good Times Bubbleboy Melissa Love Letter Code Red Nimda Goner 1981 1986 1994 1999 2000 2001 2002… 当今病毒演化趋势 病毒演化趋势 攻击和威胁转移到服务器和互连网网关,对之提出新的安全挑战 7

  8. 病毒的发展趋势 • 病毒更新换代向多元化发展 • 依赖网络进行传播 • 攻击方式多样(邮件,网页,局域网等) • 利用系统漏洞成为病毒有力的传播方式 • 病毒与黑客技术相融合 • 伪装的更巧妙。 • svchost.exe等,看起来和系统程序很接近 8

  9. 病毒的危害 • 占用系统资源,使被感染主机运行速度变得极为缓慢甚至崩溃,正常应用无法运行。 • 占用大量网络带宽,甚至使网络瘫痪。 • 对特定著名服务器发动DOS攻击。如微软、yahoo、google等。 • 反复重启系统,如冲击波、震荡波等 • 攻击防病毒软件。 • 放置木马、后门,偷取商业信息及个人、企业用户的隐私。 • 其他 9

  10. Internet/HTTP 病毒入侵途径 中毒的网站主机 网页夹带HTTP病毒指令 Firewall Router 用户机虽已经安装防病毒软件,但病毒(HTTP指令格式)经由网页浏览,透过IE的安全性漏洞,直接感染用户机 有安装防毒软件的用户机 10

  11. 病毒的应对措施 • 病毒防治,对学校而言已是一个整体安全问题,不再是单纯的买几套装软件就可以解决问题的。 • 学校需要集中管理Central Control。 • 系统维护, 病毒特征码定期,及时更新... • 找出并有效防堵所有病毒入侵管道。 11

  12. 如何才能有效防治病毒 • 预防为主 + 紧急措施 • 建立局域网内部的升级系统,包括各种操作系统的补丁升级,各种常用的软件升级,各种杀毒软件病毒库的升级。 • 对邮件服务器进行监控,防止带毒邮件进行传播。 • 对局域网用户进行安全培训 • 去掉服务器中不必要的共享和服务 • 控制传染源 • Internet网关 • 90%病毒的入侵渠道 • 网络客户机 • 其余10%病毒的入侵渠道 12

  13. 如何才能有效防治病毒 • 控制病毒的扩散途径 • 邮件服务器 • Web服务器 • 文件服务器 • 客户端、PC安装反病毒防火墙 • 培训,养成不打开来历不明的邮件的习惯。尤其不要打开附件。 • 选择最快的升级途径,包括对操作系统和反病毒软件的升级。 • 通过Internet升级进行每天/每小时的升级 • 企业网内防毒产品自动部署机制 • 安装,随时升级 13

  14. 如何才能有效防治病毒 • 集中的管理 • 集中的病毒警报机制 • 集中的安全产品部署、策略部署和升级机制 • 集中的系统日志、报告机制 14

  15. 最危险的病毒--木马 • 木马,其实质只是一个非法的、未经许可安装和运行的网络客户端/服务器程序。 • 有明确的窃取敏感信息和恶意控制主机的意图,如窃取银行帐户密码。 • 非常隐蔽,非专业人员很难发现其踪迹。 • 难以清除。 • 对受害者造成的损失巨大。 15

  16. 偷窥用户信息 • 凡是你在PC前所说、所做的一切,都有可能被记录! • 木马具有捕获每一个用户屏幕、每一次键击事件的能力。 • 完全的控制宿主主机。可以打开摄像头、麦克风,并将得到的图像、声音传给木马控制者(2004.6发现的蜜蜂大盗)。 • 带有包嗅探器,它能够捕获和分析流经网卡的每一个数据包 • 随意操控PC本身资源的能力,而且还能够冒充PC合法用户,例如冒充合法用户发送邮件、修改文档,甚至进行银行转帐操作。 16

  17. 校园网现有核心出口拓扑结构图 • 盗取包括工商银行、招商银行、建设银行、交通银行、深圳发展银行、民生银行、华夏银行、上海银行等银行及付费通、支付宝、中国在线支付网、银联支付网关等三家网上支付机构的帐号、密码、验证码等 • 每隔10毫秒检查一次用户是否正在使用涉及到的银行“个人网上银行”的登陆界面 • 记录用户键入的所有键盘记录 • 每隔60秒搜索一次记录数据,然后把窃取到的信息以get方式发送到指定的http://*****.com/****/get.asp 17

  18. 木马的植入 • 利用系统漏洞,远程下载并执行木马安装程序。 • 捆绑在下载的其他软件中,用户安装该软件的同时安装木马,特别是各种破解软件、所谓绿色版软件。 • 伪装为其他软件(如小工具、漂亮的屏保等)。 • 利用IE漏洞可以通过Script、ActiveX及Asp、PHP、Cgi等交互脚本的方式植入。 • 电子邮件(如谎称是朋友寄给你的贺卡等)。 18

  19. 木马的隐藏及启动 • 在任务栏里隐形 • 在任务管理器里隐形 • 无进程、无端口的DLL(动态链接库)木马 • 自动启动(注册表、win.ini、system.ini等) • 捆绑到其他的程序上(如打开某个盘符) • Dll的形式注入到系统服务中,随服务的启动而启动 19

  20. 木马的反弹技术及多线程技术 • 反弹技术:由木马服务端主动连接客户端,因此在互联网上可以访问到局域网里通过 NAT 代理(透明代理)上网的电脑,并且可以穿过防火墙,例如灰鸽子。 • 一个木马同时运行多个线程。例如:三个线程,其中一个为主线程,负责远程控制的工作。另外两个为辅助线程,其中一个辅助线程称为监视线程,它负责检查木马程序是否被删除和是否被停止自启动。 20

  21. 木马病毒的防范 • 不要打开来历不明的文件,包括邮件附件和P2P软件发过来的文件。 • 非必须打开的服务、端口全部关闭。 • 保持操作系统的更新,减少漏洞。 • 安装个人防火墙软件。 • 下载软件要到可信的知名网站。并仔细阅读安装说明,如果为https网站,要检查安全证书的授权 21

  22. 是否中木马 • 留意系统一些可疑状况,如系统速度突然变慢、CPU利用率上升、没有进行任何网络相关操作时、网络连接显示在接收和发送数据、硬盘频繁读盘等。 • 无法获取IP地址、可以ping通,但不能浏览网页 • 使用工具(如netstat -a、TcpView等)查看是否有可疑的连接 • 查看c:\、c:\windows、c:\windows\system、 c:\windows\system32等位置有没有可疑文件 • 查看注册表特定位置有没有可疑的信息 22

  23. 发现木马后的处理 • 立即断开网络连接 • 所有在本机使用过的账号和密码都要马上更改,例如网上银行,拨号连接,ICQ,FTP,你的个人站点,免费邮箱等等 • 根据发现的线索确定木马的名称版本,在备份好重要数据之后,用专杀工具或手动清除木马。 • 实在不行后,重装系统往往是最快和最有效的办法 23

  24. 清除木马的过程 • 停止木马进程,无法停止的话则需要进入安全模式。 • 清除自启动的途径,包括注册表、 autoexec.bat/win.ini/sysytem.ini/wininit.ini/*.inf(例如autorun.inf)/config.sys等 • 删除木马体,如冰河的kernel32.exe、sysexplr.exe • 清除文件关联 • 使用工具 • 木马克星 • Trojan Remover 24

  25. 我校提供的安全措施 • Windows自动更新 • 请访问http://202.120.80.12,下载update.exe执行后重启系统,会立即下载各种安全漏洞补丁 • 杀毒软件 • http://norton.ecnu.edu.cn,安装杀毒软件。 • 建议用户安装的软件 • 360安全卫士 • Windows defender 25

  26. 对各部门托管服务器及虚拟空间的要求 • 为防止托管服务器死机以及重新安装操作系统的便捷性,我们从上学期开始要求新托管的服务器必须配备远程控制卡,一旦死机,远程可以直接重新启动服务器以及安装操作系统 • 托管服务器要能每天登录查看补丁及病毒库的更新状况 • 托管服务器能每天备份数据到另外一台机器 • 托管服务器的超级用户要重命名,防止口令猜测攻击 • 更改远程桌面的端口号,最好不使用3389端口 • 开启防火墙服务,只允许80和远程桌面端口及ping • 采用sql server的系统,最好能将网页的sql验证改为windows集成认证,同时设置强sa密码。access数据库为了防止下载,最好改成不规则的命名,同时将.mdb改为.asp或.aspx 26

  27. 对各部门托管服务器及虚拟空间的要求 • 应用软件的选择:能够使用jsp编写的尽可能选择jsp,操作系统也尽可能选择非windows系统,网页最好不用从网站上下载模板,因为模板的网页管理这一部分存在很多漏洞以及后门,很容易被利用 27

More Related