松辽委网络攻击问题与防范策略研究.pdfVIP

计算机应用 东北水利水电 2009年第12期 【文章编号】1002--0624(2009)12—0060—02 松辽委网络攻击问题与防范策略研究 彭刚 (水利部松辽水利委员会，吉林长春130021) [中图分类号]TP393．08 [文献标识码]B 1概述 网关接口的MAC地址，编写一个批处理文件。把批处理放 置开始一程序一启动项中，使之随计算机重起自动运行． 近几年来，随着全国水利信息化建设的深入开展，稳 以避免AKP病毒的欺骗。 定的网络和计算机系统成为水利信息化的重要保障．网络 2．2蠕虫病毒 及信息安全也成为水利行业关注焦点之一。 (1)W32．Blaster蠕虫：是一种利用DCOMR．PC漏洞 本文通过研究分析松辽委网络典型的安全问题，将从 进行传播的蠕虫，传播能力很强。蠕虫通过TCP／135进行 病毒攻击、ARP欺骗攻击等方面人手，给出了防范策略和 ‘ 探索发现存在漏洞的系统，一旦攻击成功，通过TCP／4444 保护措施。 端口进行远程命令控制，最后通过受感染计算机的UDP／ 2典型病毒及防范措施 69端口建立tftp服务器进行上传蠕虫自己的二进制代码 2．1 ARP木马病毒 程序Msblast．exe加以控制与破坏。该蠕虫传播时破坏了系 当局域网内某台主机运行ARla欺骗的木马程序时。 会欺骗局域网内所有主机和路由器。迫使局域网所有主机 此可能引起其他服务(如ns)不能正常工作，严重时并可能 造成系统崩溃和反复重新启动。 的ARP地址表的网关MAC地址更新为该主机的MAC 地址，导致所有局域网内上网的计算机的数据首先通过该 Windows DCOM 计算机再转发出去．致使用户原来直接通过路由器上网现 RPC接口远程缓冲区溢出漏洞和MicrosoftWindows 2000 在转由通过该主机上网。切换的时候用户会断线一次。由 WebDAV远程缓冲区溢出漏洞进行传播。如果该蠕 于ARP欺骗的木马程序发作的时候会发出大量的数据 虫发现被感染的机器上有“冲击波”蠕虫．则杀掉“冲击波” 包。导致局域网通讯拥塞以及其自身处理能力的限制，用 蠕虫，并为系统打上补丁程序，但由于程序运行上下文的 户会感觉上网速度越来越慢。当ARP欺骗的木马程序停 限制，很多系统不能被打上补丁，并被导致反复重新启动。 止运行时，用户会恢复从路由器上网，切换过程中用户会 Nachi蠕虫感染机器后。会产生大量长度为92字节的 再断一次线。ARP木马病毒会导致整个局域网网络运行不 ICMP报文，从而严重影响网络性能。 稳定。时断时通。 (3)w32．$：k．cser蠕虫病毒：病毒利用了本地安全验证子 防范措施：可以借助NBTSCAN工具来检测局域网内系统里的一个缓冲区溢出错误，从而使得攻击者能够取得 所有主机真实的IP与MAC地址对应表，在网络不稳定状被感染系统的控制权。震荡波病毒会利用TCP端口5554