1、網絡與信息中心承辦Evaluation only.Created with Aspose.Slides for .NET 3.5 Client Pro.Copyright 2004-2011 Aspose Pty Ltd.2007年12月28日1主要內容校園網近期安全問題常用解決辦法個人電腦安全防護Evaluation only.Created with Aspose.Slides for .NET 3.5 Client Pro.Copyright 2004-2011 Aspose Pty Ltd.2007年12月28日2校園網近期安全問題ARP攻擊流氓軟件木馬軟件Evaluation onl

2、y.Created with Aspose.Slides for .NET 3.5 Client Pro.Copyright 2004-2011 Aspose Pty Ltd.2007年12月28日3ARP攻擊什么是ARP攻擊？利用ARP協議本身的缺陷進行的一種非法攻擊，目的是為了在全交換環境下實現數據監聽。通常這種攻擊方式可能被病毒、木馬或者有特殊目的攻擊者使用。Evaluation only.Created with Aspose.Slides for .NET 3.5 Client Pro.Copyright 2004-2011 Aspose Pty Ltd.2007年12月28日4AR

3、P攻擊-后果如果局域網中的某臺或某些電腦中毒后會向同網段內所有計算機發ARP欺騙包，導致網絡內其它電腦因網關物理地址被更改而無法上網，受到ARP攻擊的電腦典型癥狀是剛開機能上網，幾分鐘之后斷網，過一會又能上網，或者重啟一遍電腦就可以上網，一會又不好了，如此不斷重復，造成校園網的不穩定，影響正常工作。 Evaluation only.Created with Aspose.Slides for .NET 3.5 Client Pro.Copyright 2004-2011 Aspose Pty Ltd.2007年12月28日5ARP攻擊-已知攻擊類型ARP 欺騙ARP MAC 洪泛 ARP 木馬

4、 ARP 網頁劫持病毒Evaluation only.Created with Aspose.Slides for .NET 3.5 Client Pro.Copyright 2004-2011 Aspose Pty Ltd.2007年12月28日6ARP 欺騙偽造IP地址和MAC地址實現ARP欺騙，在C類網絡中產生大量的ARP通信量，使網絡阻塞 ，用戶機找不到網關IP。Evaluation only.Created with Aspose.Slides for .NET 3.5 Client Pro.Copyright 2004-2011 Aspose Pty Ltd.2007年12月28日

5、7ARP MAC 洪泛 不斷發送大量假IP-MAC地址的數據包，破壞正常的MAC和Port對應的關系，造成交換機 MAC-PORT緩存的崩潰,使整個網絡不能正常通信。Evaluation only.Created with Aspose.Slides for .NET 3.5 Client Pro.Copyright 2004-2011 Aspose Pty Ltd.2007年12月28日8ARP 木馬當局域網內某臺主機運行ARP欺騙的木馬程序時，會欺騙局域網內所有主機和路由，讓所有上網的流量必須經過病毒主機。其他用戶原來直接通過路由網關上網現在轉由通過病毒主機上網，切換的時候用戶會斷一次線。

6、切換到病毒主機上網后，如果用戶已經登陸了QQ，那么病毒主機就會經常偽造斷線的假像，那么用戶就得重新登錄QQ，這樣病毒主機就可以盜號了。由于ARP欺騙的木馬程序發作的時候會發出大量的數據包導致局域網通訊擁塞以及其自身處理能力的限制，用戶會感覺上網速度越來越慢。當ARP欺騙的木馬程序停止運行時，用戶會恢復從路由網關上網，切換過程中用戶會再斷一次線。Evaluation only.Created with Aspose.Slides for .NET 3.5 Client Pro.Copyright 2004-2011 Aspose Pty Ltd.2007年12月28日9ARP 網頁劫持病毒ARP

7、網頁劫持病毒會向網絡內發送ARP欺騙數據包，挾持網關（或內部網站）MAC地址，導致同一網段內的主機訪問指定的web地址（內部或外部）時，會話會首先通過受病毒感染的主機，該主機會尋找HTTP響應包，在包中加入代碼，使得訪問正常網站時被指向到病毒網站。Evaluation only.Created with Aspose.Slides for .NET 3.5 Client Pro.Copyright 2004-2011 Aspose Pty Ltd.2007年12月28日10Evaluation only.Created with Aspose.Slides for .NET 3.5 Clien

8、t Pro.Copyright 2004-2011 Aspose Pty Ltd.2007年12月28日11ARP攻擊-傳播途徑目前已知的ARP病毒的傳播途徑通過外掛程序傳播通過網頁傳播通過其他木馬程序傳播通過即時通訊軟件傳播（QQ、MSN）通過共享傳播（網絡共享、P2P軟件共享）Evaluation only.Created with Aspose.Slides for .NET 3.5 Client Pro.Copyright 2004-2011 Aspose Pty Ltd.2007年12月28日12校園網近期安全問題ARP攻擊流氓軟件木馬軟件Evaluation only.Create

9、d with Aspose.Slides for .NET 3.5 Client Pro.Copyright 2004-2011 Aspose Pty Ltd.2007年12月28日13流氓軟件廣告軟件：未經用戶允許，下載并安裝在用戶電腦上；或與其他軟件捆綁，通過彈出式廣告等形式牟取商業利益；間諜軟件：一種能夠在用戶不知情的情況下，在其電腦上安裝后門、收集用戶信息的軟件；瀏覽器劫持：一種惡意程序，通過瀏覽器插件、BHO(瀏覽器輔助對象)、WinsockLSP等形式對用戶的瀏覽器進行篡改，使用戶的瀏覽器配置不正常，被強行引導到商業網站；行為記錄軟件：未經用戶許可，竊取并分析用戶隱私數據，記錄用戶

10、電腦使用習慣、網絡瀏覽習慣等個人行為的軟件；惡意共享軟件：某些共享軟件為了獲取利益，采用誘騙手段，試用陷阱等方式強迫用戶注冊，或在軟件體內捆綁各類惡意插件，未經允許即將其安裝到用戶機器里。Evaluation only.Created with Aspose.Slides for .NET 3.5 Client Pro.Copyright 2004-2011 Aspose Pty Ltd.2007年12月28日14十大流氓軟件序號軟件及網站名稱所屬公司存在問題13721上網助手、地址欄搜索及網絡實名北京3721科技有限公司1、強制安裝2、瀏覽器劫持（添加用戶不需要的按鈕、ie地址菜單項中添加非

11、法內容）3、干擾其他軟件運行4、無法徹底卸載2淘寶網阿里巴巴強行彈出過多廣告3ebay 易趣ebay inc.1、強制安裝2、瀏覽器劫持（自動在ie中添加按鈕和菜單）3、無法卸載4dudu下載加速器千橡公司1、強制安裝2、誘導用戶安裝廣告程序3、無法徹底刪除5中文上網中國互聯網絡信息中心1、強制安裝2、無法徹底卸載6青娛樂聊天軟件青娛樂強制安裝7很棒小秘書很棒信息服務有限公司1、強制安裝2、無法徹底卸載8百度搜霸、百度超級搜霸百度強制安裝9一搜工具條雅虎強制安裝10網絡豬、劃詞搜索中搜在線1、強制安裝2、無法徹底卸載Evaluation only.Created with Aspose.Sli

12、des for .NET 3.5 Client Pro.Copyright 2004-2011 Aspose Pty Ltd.2007年12月28日15瀏覽器劫持瀏覽器自動關閉默認主頁被篡改(默認主頁被禁止修改)自動彈出多個頁面Evaluation only.Created with Aspose.Slides for .NET 3.5 Client Pro.Copyright 2004-2011 Aspose Pty Ltd.2007年12月28日16校園網近期安全問題ARP攻擊流氓軟件木馬軟件Evaluation only.Created with Aspose.Slides for .N

13、ET 3.5 Client Pro.Copyright 2004-2011 Aspose Pty Ltd.2007年12月28日17木馬軟件木馬軟件是一個服務器/客戶端程序。黑客在電腦上運行著木馬的服務器端程序，搜集木馬的客戶端程序發來的信息。采用欺騙、偽裝的手段使用戶運行木馬的客戶端程序，例如放在郵件里，用誘人的標題騙用戶去打開運行；或者捆綁在一些常用軟件里讓用戶運行，或者混在網頁上的插件里自動安裝等等。一旦用戶運行之后，就藏在用戶的機器里，在用戶開機上網以后，伺機搜集用戶的個人信息，偷偷地利用網絡把這些信息打包發送給服務器端。也就是說，一旦中了木馬，那么用戶的秘密就很有可能泄露出去。例如，

14、用戶的QQ密碼，網上銀行的密碼，郵箱密碼，等等。Evaluation only.Created with Aspose.Slides for .NET 3.5 Client Pro.Copyright 2004-2011 Aspose Pty Ltd.2007年12月28日18常用解決辦法ARP攻擊的解決方案清除流氓軟件清除木馬的一般方法Evaluation only.Created with Aspose.Slides for .NET 3.5 Client Pro.Copyright 2004-2011 Aspose Pty Ltd.2007年12月28日19ARP攻擊的解決方案第一：判定

15、局域網內是否有ARP攻擊系統頻繁掉線網速突然變慢使用ARP a命令發現網關的MAC地址不停的變換打開的常用學校網站上有不正常的廣告信息Evaluation only.Created with Aspose.Slides for .NET 3.5 Client Pro.Copyright 2004-2011 Aspose Pty Ltd.2007年12月28日20ARP攻擊的解決方案第二：查找正在進行ARP攻擊的主機1、在知道正確的網關MAC的情況下，通過ARP a命令看到的另一個網關MAC就是攻擊主機的MAC2、安裝ARP防火墻ArpFix安全衛士360的ARP防火墻 arp -s xxx.x

16、xx.xxx.xxx xx-xx-xx-xx-xx-xx（手動綁定網關）注意：同一時間只能使用一種ARP防火墻，另不能啟用瑞星2008版本的ARP防火墻，否則將影響整個局域網性能3、使用ARP保護程序發現攻擊主機ArpFix安全衛士360的ARP防火墻IP-MacScanIpconfig/allEvaluation only.Created with Aspose.Slides for .NET 3.5 Client Pro.Copyright 2004-2011 Aspose Pty Ltd.2007年12月28日21ARP攻擊的解決方案如何處理感染主機發現感染主機，第一時間拔掉網線按照安全

17、手冊重新安裝操作系統Evaluation only.Created with Aspose.Slides for .NET 3.5 Client Pro.Copyright 2004-2011 Aspose Pty Ltd.2007年12月28日22ARP攻擊的解決方案如何預防感染ARP病毒？關閉不必要的共享及時安裝系統補丁程序安裝防病毒軟件并及時升級病毒庫不隨便運行來歷不明的程序不訪問一些來歷不明的鏈接Evaluation only.Created with Aspose.Slides for .NET 3.5 Client Pro.Copyright 2004-2011 Aspose Pt

18、y Ltd.2007年12月28日23常用解決辦法ARP攻擊的解決方案清除流氓軟件清除木馬的一般方法Evaluation only.Created with Aspose.Slides for .NET 3.5 Client Pro.Copyright 2004-2011 Aspose Pty Ltd.2007年12月28日24清除流氓軟件常用軟件趨勢殺毒軟件魔法兔子安全衛士360Evaluation only.Created with Aspose.Slides for .NET 3.5 Client Pro.Copyright 2004-2011 Aspose Pty Ltd.2007年1

19、2月28日25修復IE瀏覽器超級兔子IE管理專家安全衛士360IERegFix瑞星卡卡上網助手金山IE修復工具 Evaluation only.Created with Aspose.Slides for .NET 3.5 Client Pro.Copyright 2004-2011 Aspose Pty Ltd.2007年12月28日26常用解決辦法ARP攻擊的解決方案清除流氓軟件清除木馬的一般方法Evaluation only.Created with Aspose.Slides for .NET 3.5 Client Pro.Copyright 2004-2011 Aspose Pty

20、Ltd.2007年12月28日27清除木馬的一般方法判斷本地是否有病毒木馬程序系統運行突然變慢殺毒軟件查出病毒,但是無法清除也無法隔離啟動系統后不做任何網絡操作運行 netstat an 命令啟動系統后不做任何網絡操作，幾分鐘后運行 netstat s命令查看系統進程中是否有可疑進程(例如Svohost.exe)將可疑進程的名字到網上去查找看是否有相關資料查看系統啟動項里是否有可疑進程msconfigEvaluation only.Created with Aspose.Slides for .NET 3.5 Client Pro.Copyright 2004-2011 Aspose Pty

21、Ltd.2007年12月28日28清除木馬的一般方法斷開網絡查殺如果清除不掉，切換到安全模式，查殺Evaluation only.Created with Aspose.Slides for .NET 3.5 Client Pro.Copyright 2004-2011 Aspose Pty Ltd.2007年12月28日29個人電腦安全防護裝機安全密碼設置配置安全Evaluation only.Created with Aspose.Slides for .NET 3.5 Client Pro.Copyright 2004-2011 Aspose Pty Ltd.2007年12月28日30個人電腦安全防護1、裝機安全聯網前的工作安裝如下補丁所需的補丁程序請使用其它移動介質拷貝到相應的機器上。win2000 W2ksp4_cn.exeWindows2000-KB828741-x86-CHS.EXEWindows2000-KB835732-x86-CHS.EXEwinxp Xpsp2_cn.exe在校園網上安裝趨勢企業版殺毒軟件Evaluation only.Created with Aspose.Slides for .NET 3.5 Client