1、信息系統(tǒng)安全第1頁，共249頁，2022年，5月20日，16點39分，星期一信息系統(tǒng)安全一、提高信息系統(tǒng)安全意識二、提高系統(tǒng)維護效率三、網(wǎng)絡(luò)攻擊與防范技術(shù)四、Windows系統(tǒng)安全加固技術(shù)第2頁，共249頁，2022年，5月20日，16點39分，星期一一、提高信息系統(tǒng)安全意識（一）信息系統(tǒng)安全的重要性（二）破壞信息系統(tǒng)安全的因素（三）互聯(lián)網(wǎng)安全威脅現(xiàn)狀第3頁，共249頁，2022年，5月20日，16點39分，星期一（一）信息系統(tǒng)安全的重要性信息系統(tǒng)安全是指信息系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護，不受偶然的或者惡意的原因而遭到破壞、更改、泄露，系統(tǒng)連續(xù)可靠正常地運行，網(wǎng)絡(luò)服務(wù)不中斷?！昂诳?/p>

2、”的特征，在近兩年已經(jīng)發(fā)生了明顯的改變，網(wǎng)絡(luò)攻擊已經(jīng)從表現(xiàn)特征明顯、以炫耀技術(shù)為目的轉(zhuǎn)變?yōu)橛薪M織的、更加隱秘的、以賺取經(jīng)濟利益為目的。網(wǎng)絡(luò)犯罪也從全球范圍的普遍爆發(fā)，轉(zhuǎn)向瞄準具體組織進行敲詐勒索的小范圍、更秘密的攻擊，更像是“游擊戰(zhàn)”了。第4頁，共249頁，2022年，5月20日，16點39分，星期一（二）破壞網(wǎng)絡(luò)安全的因素1.物理上的2.技術(shù)上的3.管理上的4.用戶意識第5頁，共249頁，2022年，5月20日，16點39分，星期一用戶意識請先試著回答下面幾個假設(shè)的問題：1)你的計算機用戶名和你的E-mail賬戶名、QQ昵稱、網(wǎng)絡(luò)游戲ID、論壇昵稱等是否有幾個是一致的？2)以上用戶名對應(yīng)的密

3、碼是否有幾個是完全一樣的？3)你常用的密碼是否和你的名字拼音、生日或者手機、電話號碼有關(guān)？4)你在網(wǎng)上常用的數(shù)字密碼是否和你持有的各類銀行卡密碼亦有關(guān)聯(lián)，甚至一樣？第6頁，共249頁，2022年，5月20日，16點39分，星期一（三）互聯(lián)網(wǎng)安全威脅現(xiàn)狀病毒木馬肉雞虛擬交易的灰色鏈條肉雞就是被黑客控制的計算機，黑客可以控制該肉雞對其它服務(wù)器進行攻擊（肉雞作為幫兇）。在中國，有上百萬的網(wǎng)民毫無察覺地為網(wǎng)絡(luò)黑色產(chǎn)業(yè)鏈無償?shù)亍柏暙I著力量”。第7頁，共249頁，2022年，5月20日，16點39分，星期一（三）互聯(lián)網(wǎng)安全威脅現(xiàn)狀僵尸網(wǎng)絡(luò)： (英文名稱叫BotNet)，是互聯(lián)網(wǎng)上受到黑客集中控制的一群計算

4、機，往往被黑客用來發(fā)起大規(guī)模的網(wǎng)絡(luò)攻擊，如分布式拒絕服務(wù)攻擊(DDoS)、海量垃圾郵件等，同時黑客控制的這些計算機所保存的信息也都可被黑客隨意“取用”。目前，中國的互聯(lián)網(wǎng)世界中，有5個僵尸網(wǎng)絡(luò)操控的“肉雞”規(guī)模超過10萬臺，個別僵尸網(wǎng)絡(luò)能達到30萬臺的規(guī)模。這些僵尸網(wǎng)絡(luò)可以被租借、買賣，黑客們每年可以有上百萬元的收入。第8頁，共249頁，2022年，5月20日，16點39分，星期一（三）互聯(lián)網(wǎng)安全威脅現(xiàn)狀黑客產(chǎn)業(yè)主要有兩種典型模式。模式一:黑客侵入個人、企業(yè)電腦竊取機密資料在互聯(lián)網(wǎng)上出售獲取金錢。模式二:黑客侵入大型網(wǎng)站，在網(wǎng)站上植入病毒用戶瀏覽后中毒，網(wǎng)游賬號和裝備被竊取黑客把賬號裝備拿到網(wǎng)

5、上出售獲取金錢。第9頁，共249頁，2022年，5月20日，16點39分，星期一（三）互聯(lián)網(wǎng)安全威脅現(xiàn)狀互聯(lián)網(wǎng)病毒地下交易市場初步形成，獲取利益的渠道更為廣泛。黑客產(chǎn)業(yè)分工明確中國每天有數(shù)百甚至上千種病毒被制造出來，其中大部分是木馬和后門病毒，占到全球該類病毒的三分之一左右。這個產(chǎn)業(yè)鏈每年的整體利潤預(yù)計高達數(shù)億元。第10頁，共249頁，2022年，5月20日，16點39分，星期一二、提高系統(tǒng)維護效率（一）系統(tǒng)維護（二）系統(tǒng)備份及還原（三）硬盤保護卡（還原卡）及還原軟件第11頁，共249頁，2022年，5月20日，16點39分，星期一（一）系統(tǒng)維護盡量使用正版品牌機使用OEM版的操作系統(tǒng)熟練使用

6、Ghost之類的磁盤備份還原軟件維護工具（自啟動光盤） 深山紅葉PE工具箱V30 WinPE (老毛桃最終修改版) V09.11 第12頁，共249頁，2022年，5月20日，16點39分，星期一（二）系統(tǒng)備份及還原系統(tǒng)備份品牌機的“一鍵還原”兼容機可以安裝“一鍵還原精靈”一鍵還原精靈官方網(wǎng)站建立隱藏分區(qū)開機時按F11鍵備份、還原系統(tǒng)第13頁，共249頁，2022年，5月20日，16點39分，星期一（二）系統(tǒng)備份及還原系統(tǒng)備份“一鍵還原精靈”第14頁，共249頁，2022年，5月20日，16點39分，星期一（一）系統(tǒng)維護數(shù)據(jù)備份C盤資料轉(zhuǎn)移器C盤個人資料設(shè)置和轉(zhuǎn)移器第15頁，共249頁，202

7、2年，5月20日，16點39分，星期一（一）系統(tǒng)維護數(shù)據(jù)備份C盤資料轉(zhuǎn)移器C盤個人資料設(shè)置和轉(zhuǎn)移器第16頁，共249頁，2022年，5月20日，16點39分，星期一三、網(wǎng)絡(luò)攻擊與防范技術(shù)局域網(wǎng)環(huán)境簡介局域網(wǎng)的安全威脅局域網(wǎng)監(jiān)聽與防范局域網(wǎng)ARP攻擊與防范局域網(wǎng)病毒入侵與防范快速關(guān)閉端口防止入侵局域網(wǎng)共享資源安全防范無線局域網(wǎng)嗅探與防范局域網(wǎng)上網(wǎng)的安全防范與技巧第17頁，共249頁，2022年，5月20日，16點39分，星期一局域網(wǎng)環(huán)境簡介計算機網(wǎng)絡(luò)的分類按作用范圍的大小分廣域網(wǎng)（WAN）也叫遠程網(wǎng)。作用范圍通常為幾十到幾千公里，是一種可跨越國家及地區(qū)的遍布全球的計算機網(wǎng)絡(luò)城域網(wǎng)（MAN）也叫市

8、域網(wǎng)。它的范圍約為幾千米到幾十千米局域網(wǎng)（LAN）也叫局部網(wǎng)。一般將微機通過高速通信線路相連，范圍一般在幾百米到幾千米第18頁，共249頁，2022年，5月20日，16點39分，星期一局域網(wǎng)環(huán)境簡介局域網(wǎng)最主要的特點覆蓋的地理范圍較小，幾米到幾公里以微機為主要聯(lián)網(wǎng)對象通常為某個單位或部門所有具有較高的數(shù)據(jù)傳輸速率、較低的時延和較小的誤碼率易于安裝、配置和維護簡單，造價低實用性強，已經(jīng)成為計算機網(wǎng)絡(luò)中使用最廣的形式局域網(wǎng)一般分為令牌網(wǎng)和以太網(wǎng)兩種令牌網(wǎng)主要用于廣域網(wǎng)及大型局域網(wǎng)的主干部分，其操作系統(tǒng)大多是UNIX。組建和管理非常繁瑣，需專業(yè)人員勝任以太網(wǎng)是當今世界應(yīng)用范圍最廣的一種網(wǎng)絡(luò)技術(shù)，組建

9、較為容易，各設(shè)備之間的兼容性較好，Windows和Netware都支持它第19頁，共249頁，2022年，5月20日，16點39分，星期一局域網(wǎng)的組成局域網(wǎng)由網(wǎng)絡(luò)硬件和網(wǎng)絡(luò)軟件兩部分組成網(wǎng)絡(luò)硬件用于實現(xiàn)局域網(wǎng)的物理連接為連接在局域網(wǎng)上的計算機之間的通信提供一條物理信道和實現(xiàn)局域網(wǎng)間的資源共享網(wǎng)絡(luò)軟件則主要用于控制并具體實現(xiàn)信息的傳送和網(wǎng)絡(luò)資源的分配與共享這兩部分互相依賴,共同完成局域網(wǎng)的通信功能第20頁，共249頁，2022年，5月20日，16點39分，星期一局域網(wǎng)的拓樸結(jié)構(gòu)最常見的局域網(wǎng)拓樸結(jié)構(gòu)有星型、環(huán)型、總線型和樹型集線器(a) 星型網(wǎng)*(b) 環(huán)型網(wǎng)(c) 總線網(wǎng)(d) 樹型網(wǎng)注：圖(

10、a)在物理上是一個星型網(wǎng)，但在邏輯上仍是一個總線網(wǎng)干線耦合器匹配電阻第21頁，共249頁，2022年，5月20日，16點39分，星期一按網(wǎng)絡(luò)使用的傳輸介質(zhì)分類局域網(wǎng)使用的傳輸介質(zhì)有雙絞線,光纖,同軸電纜,無線電波,微波等對應(yīng)的局域網(wǎng)有雙絞線網(wǎng),光纖網(wǎng),同軸電纜網(wǎng),無線局域網(wǎng),微波網(wǎng)目前小型局域網(wǎng)大都是雙絞線網(wǎng),而較大型局域網(wǎng)則采用光纖和雙絞線傳輸介質(zhì)的混合型網(wǎng)絡(luò)近年來,無線網(wǎng)絡(luò)技術(shù)發(fā)展迅速,它將成為未來局域網(wǎng)的一個重要發(fā)展方向第22頁，共249頁，2022年，5月20日，16點39分，星期一局域網(wǎng)環(huán)境簡介無線局域網(wǎng)Wireless LAN可提供所有無線局域網(wǎng)的功能，而不需要物理線路連接數(shù)據(jù)先被

11、調(diào)制到射頻載波中，然后以大氣為載體進行傳輸?shù)湫退俾蕿?1Mbps和54Mbps，但實際應(yīng)用中得到的速率通常為此速率的一部分無線局域網(wǎng)的實現(xiàn)可以非常簡單，只要在計算機上安裝無線網(wǎng)卡即可如果想和有線網(wǎng)絡(luò)連接在一起需要添加一個無線接入點AP。AP一般位于無線客戶端的中心接入位置第23頁，共249頁，2022年，5月20日，16點39分，星期一Wireless LAN的優(yōu)缺點優(yōu)點：移動性安裝安裝的靈活性減少用戶投入易于擴展缺點：Wireless LAN和有線局域網(wǎng)相比速率較低無線網(wǎng)絡(luò)的硬件投入會高于有線網(wǎng)絡(luò)第24頁，共249頁，2022年，5月20日，16點39分，星期一三、網(wǎng)絡(luò)攻擊與防范技術(shù)局域網(wǎng)環(huán)

12、境簡介局域網(wǎng)的安全威脅局域網(wǎng)監(jiān)聽與防范局域網(wǎng)ARP攻擊與防范局域網(wǎng)病毒入侵與防范快速關(guān)閉端口防止入侵局域網(wǎng)共享資源安全防范無線局域網(wǎng)嗅探與防范局域網(wǎng)上網(wǎng)的安全防范與技巧第25頁，共249頁，2022年，5月20日，16點39分，星期一局域網(wǎng)安全威脅局域網(wǎng)技術(shù)將網(wǎng)絡(luò)資源共享的特性體現(xiàn)得淋漓盡致不僅能提供軟件資源、硬件資源共享還提供Internet連接共享等各種網(wǎng)絡(luò)共享服務(wù)越來越多的局域網(wǎng)被應(yīng)用在學(xué)校、寫字樓，辦公區(qū) 第26頁，共249頁，2022年，5月20日，16點39分，星期一局域網(wǎng)的安全威脅目前絕大多數(shù)的局域網(wǎng)使用的協(xié)議都是和Internet一樣的TCP/IP協(xié)議各種黑客工具一樣適用于局域

13、網(wǎng)局域網(wǎng)中的計算機更多體現(xiàn)的是共享和服務(wù)因此局域網(wǎng)的安全隱患較之于Internet更是有過之而無不及第27頁，共249頁，2022年，5月20日，16點39分，星期一局域網(wǎng)的安全威脅目前的局域網(wǎng)基本上都采用以廣播為技術(shù)基礎(chǔ)的以太網(wǎng)任何兩個節(jié)點之間的通信數(shù)據(jù)包，不僅為這兩個節(jié)點的網(wǎng)卡所接收，也同時為處在同一以太網(wǎng)上的任何一個節(jié)點的網(wǎng)卡所截取 黑客只要接入以太網(wǎng)上的任一節(jié)點進行偵聽就可以捕獲發(fā)生在這個以太網(wǎng)上的所有數(shù)據(jù)包，對其進行解包分析，從而竊取關(guān)鍵信息，這就是以太網(wǎng)所固有的安全隱患第28頁，共249頁，2022年，5月20日，16點39分，星期一安全無內(nèi)、外之分長期以來，對于信息安全問題，通常

14、認為安全問題主要源于外面因素，都希望在互聯(lián)網(wǎng)接入處，把病毒和攻擊擋在門外，就可安全無憂有許多重大的網(wǎng)絡(luò)安全問題正是由于內(nèi)部員工引起一些間諜軟件、木馬程序等惡意軟件就會不知不覺地被下載到電腦中在員工瀏覽色情網(wǎng)站、利用即時通訊和訪問購物網(wǎng)站時這些惡意軟件還會在企業(yè)內(nèi)部網(wǎng)絡(luò)中進行傳播，不僅會產(chǎn)生安全隱患，而且還會影響到網(wǎng)絡(luò)的使用率特別值得注意的是，企業(yè)的機密資料、客戶數(shù)據(jù)等信息可能會由于惡意軟件的存在，不知不覺被盜取第29頁，共249頁，2022年，5月20日，16點39分，星期一局域網(wǎng)內(nèi)的安全誤區(qū)局域網(wǎng)中無需單機防火墻 沒有人會針對我安裝殺毒軟件和病毒防火墻就不怕病毒安裝了SP2的Windows

15、XP就安全了第30頁，共249頁，2022年，5月20日，16點39分，星期一三、網(wǎng)絡(luò)攻擊與防范技術(shù)局域網(wǎng)環(huán)境簡介局域網(wǎng)的安全威脅局域網(wǎng)監(jiān)聽與防范局域網(wǎng)ARP攻擊與防范局域網(wǎng)病毒入侵與防范快速關(guān)閉端口防止入侵局域網(wǎng)共享資源安全防范無線局域網(wǎng)嗅探與防范局域網(wǎng)上網(wǎng)的安全防范與技巧第31頁，共249頁，2022年，5月20日，16點39分，星期一以太網(wǎng)協(xié)議工作方式將要發(fā)送的數(shù)據(jù)包發(fā)往連接在一起的所有主機包中包含著應(yīng)該接收數(shù)據(jù)包主機的正確地址只有與數(shù)據(jù)包中目標地址一致的那臺主機才能接收當主機網(wǎng)卡設(shè)置為混雜模式時(監(jiān)聽模式)經(jīng)過自己網(wǎng)絡(luò)接口的那些數(shù)據(jù)包無論數(shù)據(jù)包中的目標地址是什么，主機都將接收（監(jiān)聽）第

16、32頁，共249頁，2022年，5月20日，16點39分，星期一以太網(wǎng)協(xié)議工作方式現(xiàn)在網(wǎng)絡(luò)中使用的大部分協(xié)議都是很早設(shè)計的許多協(xié)議的實現(xiàn)都是基于一種非常友好的、通信的雙方充分信任的基礎(chǔ)之上許多信息以明文發(fā)送第33頁，共249頁，2022年，5月20日，16點39分，星期一局域網(wǎng)監(jiān)聽與防范局域網(wǎng)中采用廣播方式在某個廣播域中可以監(jiān)聽到所有的信息包黑客通過對信息包進行分析，就能獲取局域網(wǎng)上傳輸?shù)囊恍┲匾畔⒑芏嗪诳腿肭謺r都把局域網(wǎng)掃描和偵聽作為其最基本的步驟和手段，原因是想用這種方法獲取其想要的密碼等信息對黑客入侵活動和其它網(wǎng)絡(luò)犯罪進行偵查、取證時，也可以使用網(wǎng)絡(luò)監(jiān)聽技術(shù)來獲取必要的信息因此，了解以

17、太網(wǎng)監(jiān)聽技術(shù)的原理、實現(xiàn)方法和防范措施就顯得尤為重要第34頁，共249頁，2022年，5月20日，16點39分，星期一網(wǎng)絡(luò)監(jiān)聽網(wǎng)絡(luò)監(jiān)聽技術(shù)本來是提供給網(wǎng)絡(luò)安全管理人員進行管理的工具，可以用來監(jiān)視網(wǎng)絡(luò)的狀態(tài)、數(shù)據(jù)流動情況以及網(wǎng)絡(luò)上傳輸?shù)男畔⒌犬斝畔⒁悦魑牡男问皆诰W(wǎng)絡(luò)上傳輸時，使用監(jiān)聽技術(shù)進行攻擊并不是一件難事，只要將網(wǎng)絡(luò)接口設(shè)置成監(jiān)聽模式，便可以源源不斷地將網(wǎng)上傳輸?shù)男畔⒔孬@網(wǎng)絡(luò)監(jiān)聽可以在網(wǎng)上的任何一個位置實施，如局域網(wǎng)中的一臺主機、網(wǎng)關(guān)上或遠程網(wǎng)的調(diào)制解調(diào)器之間等第35頁，共249頁，2022年，5月20日，16點39分，星期一網(wǎng)絡(luò)監(jiān)聽的應(yīng)用場景如果用戶的賬戶名和口令等信息也以明文的方式在網(wǎng)上

18、傳輸只要具有初步的網(wǎng)絡(luò)和TCP/IP協(xié)議知識，便能輕易地從監(jiān)聽到的信息中提取出感興趣的部分黑客或網(wǎng)絡(luò)攻擊者會利用此方法進行網(wǎng)絡(luò)監(jiān)聽正確使用網(wǎng)絡(luò)監(jiān)聽技術(shù)也可以發(fā)現(xiàn)入侵并對入侵者進行追蹤定位在對網(wǎng)絡(luò)犯罪進行偵查取證時獲取有關(guān)犯罪行為的重要信息，成為打擊網(wǎng)絡(luò)犯罪的有力手段第36頁，共249頁，2022年，5月20日，16點39分，星期一使用sniffer pro進行監(jiān)聽獲取郵箱密碼通過對用監(jiān)聽工具捕獲的數(shù)據(jù)幀進行分析，可以很容易的發(fā)現(xiàn)敏感信息和重要信息對一些明碼傳輸?shù)泥]箱用戶名和口令可以直接顯示出來第37頁，共249頁，2022年，5月20日，16點39分，星期一網(wǎng)絡(luò)監(jiān)聽的相關(guān)軟件密碼監(jiān)聽器(01)

19、用于監(jiān)聽網(wǎng)頁的密碼，包括網(wǎng)頁上的郵箱、論壇、聊天室等只需在一臺電腦上運行，就可以監(jiān)聽整個局域網(wǎng)內(nèi)任意一臺電腦登錄的賬號和密碼，并將密碼顯示、保存，或發(fā)送到用戶指定的郵箱第38頁，共249頁，2022年，5月20日，16點39分，星期一如何檢測并防范網(wǎng)絡(luò)監(jiān)聽網(wǎng)絡(luò)監(jiān)聽是很難被發(fā)現(xiàn)的，特點隱蔽性強運行網(wǎng)絡(luò)監(jiān)聽的主機只是被動地接收在局域局上傳輸?shù)男畔⒉恢鲃拥呐c其他主機交換信息，也沒有修改在網(wǎng)上傳輸?shù)臄?shù)據(jù)包手段靈活網(wǎng)絡(luò)監(jiān)聽可以在網(wǎng)上的任何位置實施可以是網(wǎng)上的一臺主機、路由器，也可以是調(diào)制解調(diào)器網(wǎng)絡(luò)監(jiān)聽效果最好的地方是在網(wǎng)絡(luò)中某些具有戰(zhàn)略意義的位置如網(wǎng)關(guān)、路由器、防火墻之類的設(shè)備或重要網(wǎng)段；而使用最方便的

20、地方是在網(wǎng)中的一臺主機上第39頁，共249頁，2022年，5月20日，16點39分，星期一對可能存在的網(wǎng)絡(luò)監(jiān)聽的檢測1) 對于懷疑運行監(jiān)聽程序的主機，可用正確的IP地址和錯誤的物理地址去探測(如Ping)，運行監(jiān)聽程序的主機會有響應(yīng)這是因為正常的機器不接收錯誤的物理地址處理監(jiān)聽狀態(tài)的機器能接收如果他的IP stack不再次反向檢查的話，就會響應(yīng)第40頁，共249頁，2022年，5月20日，16點39分，星期一對可能存在的網(wǎng)絡(luò)監(jiān)聽的檢測2) 可向網(wǎng)上發(fā)送大量目的地址根本不存在的數(shù)據(jù)包由于監(jiān)聽程序要分析和處理大量的數(shù)據(jù)包會占用很多的CPU資源，這將導(dǎo)致性能下降通過比較前后該機器性能加以判斷這種方法

21、難度比較大3) 使用反監(jiān)聽工具如antisniffer等進行檢測第41頁，共249頁，2022年，5月20日，16點39分，星期一對網(wǎng)絡(luò)監(jiān)聽的檢測當前，有兩個比較可行的辦法搜索網(wǎng)上所有主機運行的進程網(wǎng)絡(luò)管理員使用UNIX或Windows NT的主機，可以很容易地得到當前進程的清單確定是否有一個進程被從管理員主機上啟動搜查監(jiān)聽程序現(xiàn)在監(jiān)聽程序只有有限的幾種，管理員可以檢查目錄，找出監(jiān)聽程序第42頁，共249頁，2022年，5月20日，16點39分，星期一對網(wǎng)絡(luò)監(jiān)聽的檢測還有兩個方法比較有效，缺點也是難度較大檢查被懷疑主機中是否有一個隨時間不斷增長的文件存在因為網(wǎng)絡(luò)監(jiān)聽輸出的文件通常很大，且隨時間

22、不斷增長通過運行ipconfig命令，檢查網(wǎng)卡是否被設(shè)置成了監(jiān)聽模式或使用Ifstatus工具，定期檢測網(wǎng)絡(luò)接口是否處于監(jiān)聽狀態(tài)當網(wǎng)絡(luò)接口處于監(jiān)聽狀態(tài)時，可能是入侵者侵入了系統(tǒng)，并正在運行一個監(jiān)聽程序，就要有所注意第43頁，共249頁，2022年，5月20日，16點39分，星期一對網(wǎng)絡(luò)監(jiān)聽的防范措施從邏輯或物理上對網(wǎng)絡(luò)分段以交換式集線器代替共享式集線器控制單播包而無法控制廣播包和多播包使用加密技術(shù)劃分VLAN運用VLAN（虛擬局域網(wǎng)）技術(shù)，將以太網(wǎng)通信變?yōu)辄c到點通信，可以防止大部分基于網(wǎng)絡(luò)監(jiān)聽的入侵第44頁，共249頁，2022年，5月20日，16點39分，星期一三、網(wǎng)絡(luò)攻擊與防范技術(shù)局域網(wǎng)環(huán)

23、境簡介局域網(wǎng)的安全威脅局域網(wǎng)監(jiān)聽與防范局域網(wǎng)ARP攻擊與防范局域網(wǎng)病毒入侵與防范快速關(guān)閉端口防止入侵局域網(wǎng)共享資源安全防范無線局域網(wǎng)嗅探與防范局域網(wǎng)上網(wǎng)的安全防范與技巧第45頁，共249頁，2022年，5月20日，16點39分，星期一ARP協(xié)議Address Resolution Protocol (地址解析協(xié)議)在局域網(wǎng)中，網(wǎng)絡(luò)中實際傳輸?shù)氖恰皫睅锩媸怯心繕酥鳈C的MAC地址的在以太網(wǎng)中，一個主機要和另一個主機進行直接通信，必須要知道目標主機的MAC地址但這個目標MAC地址是如何獲得的呢通過地址解析協(xié)議獲得第46頁，共249頁，2022年，5月20日，16點39分，星期一ARP協(xié)議原理所謂

24、“地址解析”就是主機在發(fā)送幀前將目標IP地址轉(zhuǎn)換成目標MAC地址的過程ARP協(xié)議的基本功能就是通過目標設(shè)備的IP地址，查詢目標設(shè)備的MAC地址，以保證通信的順利進行在局域網(wǎng)中，通過ARP協(xié)議來完成IP地址轉(zhuǎn)換為第二層物理地址 (即MAC地址) 的ARP協(xié)議對網(wǎng)絡(luò)安全具有重要的意義通過偽造IP地址和MAC地址實現(xiàn)ARP欺騙，能夠在網(wǎng)絡(luò)中產(chǎn)生大量的ARP通信量使網(wǎng)絡(luò)阻塞第47頁，共249頁，2022年，5月20日，16點39分，星期一局域網(wǎng)內(nèi)部的ARP攻擊ARP協(xié)議的基本功能就是通過目標設(shè)備的IP地址，查詢目標設(shè)備的MAC地址，以保證通信的進行基于ARP協(xié)議的這一工作特性，黑客向?qū)Ψ接嬎銠C不斷發(fā)送

25、有欺詐性質(zhì)的ARP數(shù)據(jù)包數(shù)據(jù)包內(nèi)包含有與當前設(shè)備重復(fù)的Mac地址使對方在回應(yīng)報文時，由于簡單的地址重復(fù)錯誤而導(dǎo)致不能進行正常的網(wǎng)絡(luò)通信第48頁，共249頁，2022年，5月20日，16點39分，星期一受ARP攻擊可能出現(xiàn)的現(xiàn)象1) 不斷彈出“本機的XXX段硬件地址與網(wǎng)絡(luò)中的XXX段地址沖突”的對話框2) 計算機不能正常上網(wǎng)，出現(xiàn)網(wǎng)絡(luò)中斷的癥狀因為這種攻擊是利用ARP請求報文進行“欺騙”的，所以防火墻會誤以為是正常的請求數(shù)據(jù)包，不予攔截普通的防火墻很難抵擋這種攻擊第49頁，共249頁，2022年，5月20日，16點39分，星期一ARP 病毒攻擊癥狀現(xiàn)在局域網(wǎng)中感染ARP 病毒的情況比較多清理和防

26、范都比較困難，給不少的網(wǎng)絡(luò)管理員造成了很多的困擾癥狀有時候無法正常上網(wǎng)，有時候有好了，包括訪問網(wǎng)上鄰居也是如此，拷貝文件無法完成，出現(xiàn)錯誤局域網(wǎng)內(nèi)的ARP 包爆增使用Arp 查詢的時候會發(fā)現(xiàn)不正常的Mac地址，或錯誤的Mac 地址對應(yīng)，還有就是一個Mac 地址對應(yīng)多個IP 的情況也會有出現(xiàn)第50頁，共249頁，2022年，5月20日，16點39分，星期一ARP 攻擊的原理ARP 欺騙攻擊的包一般有以下兩個特點，滿足之一可視為攻擊包報警以太網(wǎng)數(shù)據(jù)包頭的源地址、目標地址和ARP 數(shù)據(jù)包的協(xié)議地址不匹配ARP數(shù)據(jù)包的發(fā)送和目標地址不在自己網(wǎng)絡(luò)網(wǎng)卡MAC 數(shù)據(jù)庫內(nèi)，或者與自己網(wǎng)絡(luò)MAC 數(shù)據(jù)庫MAC/

27、IP 不匹配第51頁，共249頁，2022年，5月20日，16點39分，星期一ARP 攻擊的原理這些統(tǒng)統(tǒng)第一時間報警查這些數(shù)據(jù)包(以太網(wǎng)數(shù)據(jù)包)的源地址(也有可能偽造)，就大致知道哪臺機器在發(fā)起攻擊了現(xiàn)在有網(wǎng)絡(luò)管理工具比如網(wǎng)絡(luò)執(zhí)法官、P2P 終結(jié)者也會使用同樣的方式來偽裝成網(wǎng)關(guān)，欺騙客戶端對網(wǎng)關(guān)的訪問也就是會獲取發(fā)到網(wǎng)關(guān)的流量，從而實現(xiàn)網(wǎng)絡(luò)流量管理和網(wǎng)絡(luò)監(jiān)控等功能同時也會對網(wǎng)絡(luò)管理帶來潛在的危害，就是可以很容易的獲取用戶的密碼等相關(guān)敏感信息第52頁，共249頁，2022年，5月20日，16點39分，星期一ARP攻擊軟件WinArpAttacker ARP攻擊器ARP機器列表掃描基于ARP的各種

28、攻擊方法定時IP沖突/IP沖突洪水/禁止上網(wǎng)/禁止與其他機器通訊/監(jiān)聽與網(wǎng)關(guān)和其他機器的通訊數(shù)據(jù)/ARP代理ARP攻擊檢測/主機狀態(tài)檢測/本地ARP表變化檢測檢測到其他機器的ARP監(jiān)聽攻擊后可進行防護，自動恢復(fù)正確的ARP表把ARP數(shù)據(jù)包保存到文件可發(fā)送手工定制ARP包第53頁，共249頁，2022年，5月20日，16點39分，星期一ARP 攻擊的處理方法先保證網(wǎng)絡(luò)正常運行找到感染ARP 病毒的機器采取一定的預(yù)防措施第54頁，共249頁，2022年，5月20日，16點39分，星期一先保證網(wǎng)絡(luò)正常運行在能上網(wǎng)時，進入MS-DOS窗口，輸入命令arp a 查看網(wǎng)關(guān)IP對應(yīng)的正確MAC地址，將其記錄

29、下來如果已經(jīng)不能上網(wǎng)，則先運行一次命令arp d將arp緩存中的內(nèi)容刪空，計算機可暫時恢復(fù)上網(wǎng)（攻擊如果不停止的話）一旦能上網(wǎng)就立即將網(wǎng)絡(luò)斷掉（禁用網(wǎng)卡或拔掉網(wǎng)線），再運行arp a第55頁，共249頁，2022年，5月20日，16點39分，星期一先保證網(wǎng)絡(luò)正常運行如果已經(jīng)有網(wǎng)關(guān)的正確MAC地址在不能上網(wǎng)時，手工將網(wǎng)關(guān)IP和正確MAC綁定，可確保計算機不再被攻擊影響手工綁定可在MS-DOS窗口下運行以下命令： arp s 網(wǎng)關(guān)IP 網(wǎng)關(guān)MAC 例如：假設(shè)計算機所處網(wǎng)段的網(wǎng)關(guān)為，本機地址為在計算機上運行arp a后輸出如下：C:Documents and Settingsarp aInterfa

30、ce: 0 x2Internet Address Physical Address Type54 00-01-02-03-04-05 dynamic 第56頁，共249頁，2022年，5月20日，16點39分，星期一先保證網(wǎng)絡(luò)正常運行被攻擊后，再用該命令查看會發(fā)現(xiàn)該MAC已經(jīng)被替換成攻擊機器的MAC如果希望能找出攻擊機器，徹底根除攻擊可以在此時將該MAC記錄下來, 為以后查找做準備手工綁定的命令為： arp s 54 00-01-02-03-04-05 綁定完，可再用arp a查看arp緩存C:Documents and Settingsarp aInterface: 0 x2Internet

31、 Address Physical Address Type54 00-01-02-03-04-05 static第57頁，共249頁，2022年，5月20日，16點39分，星期一先保證網(wǎng)絡(luò)正常運行需要說明的是，手工綁定在計算機關(guān)機重開機后就會失效，需要再綁定所以，要徹底根除攻擊，只有找出網(wǎng)段內(nèi)被病毒感染的計算機，令其殺毒，方可解決找出病毒計算機的方法： 如果已有病毒計算機的MAC地址，可使用軟件NBTSCAN找出網(wǎng)段內(nèi)與該MAC地址對應(yīng)的IP即病毒計算機的IP地址，然后可報告校網(wǎng)絡(luò)中心對其進行查封第58頁，共249頁，2022年，5月20日，16點39分，星期一先保證網(wǎng)絡(luò)正常運行1) 編輯個

32、*.bat 文件echo off arp d arp -s 54 00-22-aa-00-22-aa 將文件中的網(wǎng)關(guān)IP地址和MAC地址更改為您自己的網(wǎng)關(guān)IP地址和MAC地址即可將這個批處理軟件拖到“Windows-開始-程序-啟動”中第59頁，共249頁，2022年，5月20日，16點39分，星期一先保證網(wǎng)絡(luò)正常運行2) 編輯一個注冊表文件，鍵值如下： Windows Registry Editor Version 5.00 HKEY_LOCAL_MACHINESOFTWAREmicrosoftWindowsCurrentVersionRun “mac”=“arp -s 網(wǎng)關(guān)IP 地址網(wǎng)關(guān)M

33、ac 地址 然后保存成Reg 文件以后在每個客戶端上點擊導(dǎo)入注冊表第60頁，共249頁，2022年，5月20日，16點39分，星期一找到感染ARP 病毒的機器在電腦上ping 一下網(wǎng)關(guān)的IP 地址使用ARP a 的命令看得到的網(wǎng)關(guān)對應(yīng) 的MAC 地址是否與實際情況相符如不符，可去查找與該MAC 地址對應(yīng)的電腦使用抓包工具，分析所得到的ARP 數(shù)據(jù)報有些ARP 病毒是會把通往網(wǎng)關(guān)的路徑指向自己有些是發(fā)出虛假ARP 回應(yīng)包來混淆網(wǎng)絡(luò)通信使用mac 地址掃描工具，nbtscan 掃描全網(wǎng)段IP 地址和MAC 地址對應(yīng)表有助判斷感染ARP 病毒對應(yīng)MAC 地址和IP 地址第61頁，共249頁，2022

34、年，5月20日，16點39分，星期一ARP攻擊防護軟件ARP防火墻 金山arp防火墻 /download/index.shtml#fhq 360ARP防火墻第62頁，共249頁，2022年，5月20日，16點39分，星期一預(yù)防措施及時升級客戶端的操作系統(tǒng)和應(yīng)用程式補丁 安裝和更新殺毒軟件 如果網(wǎng)絡(luò)規(guī)模較少，盡量使用手動指定IP 設(shè)置，而不是使用DHCP 來分配IP 地址 如果交換機支持，在交換機上綁定MAC 地址與IP 地址第63頁，共249頁，2022年，5月20日，16點39分，星期一三、網(wǎng)絡(luò)攻擊與防范技術(shù)局域網(wǎng)環(huán)境簡介局域網(wǎng)的安全威脅局域網(wǎng)監(jiān)聽與防范局域網(wǎng)ARP攻擊與防范局域網(wǎng)病毒入侵與

35、防范快速關(guān)閉端口防止入侵局域網(wǎng)共享資源安全防范無線局域網(wǎng)嗅探與防范局域網(wǎng)上網(wǎng)的安全防范與技巧第64頁，共249頁，2022年，5月20日，16點39分，星期一局域網(wǎng)病毒入侵計算機病毒在網(wǎng)絡(luò)中泛濫已久，而其在局域網(wǎng)中也能快速繁殖，導(dǎo)致局域網(wǎng)計算機的相互感染計算機病毒一般首先通過各種途徑進入到有盤工作站，也就進入網(wǎng)絡(luò)，然后開始在網(wǎng)上的傳播第65頁，共249頁，2022年，5月20日，16點39分，星期一局域網(wǎng)病毒的傳播方式(1) 病毒直接從工作站拷貝到服務(wù)器中或通過郵件在網(wǎng)內(nèi)傳播 (2) 病毒先傳染工作站，在工作站內(nèi)存駐留，等運行網(wǎng)絡(luò)盤內(nèi)程序時再傳染給服務(wù)器(3) 病毒先傳染工作站，在工作站內(nèi)存駐

36、留，在病毒運行時直接通過映像路徑傳染到服務(wù)器中 (4) 如果遠程工作站被病毒侵入，病毒也可以通過數(shù)據(jù)交換進入網(wǎng)絡(luò)服務(wù)器中第66頁，共249頁，2022年，5月20日，16點39分，星期一局域網(wǎng)病毒的傳播一旦病毒進入文件服務(wù)器，就可通過它迅速傳染到整個網(wǎng)絡(luò)的每一個計算機上對于無盤工作站來說由于其并非真的無盤（它的盤是網(wǎng)絡(luò)盤）當其運行網(wǎng)絡(luò)盤上的一個帶毒程序時，便將內(nèi)存中的病毒傳染給該程序或通過映像路徑傳染到服務(wù)器的其他的文件上因此無盤工作站也是病毒孽生的溫床第67頁，共249頁，2022年，5月20日，16點39分，星期一局域網(wǎng)病毒的新特點局域網(wǎng)環(huán)境下，病毒除了具有可傳播性、可執(zhí)行性、破壞性等計算

37、機病毒的共性外，還具有一些新的特點(1) 感染速度快 (2) 擴散面廣 (3) 傳播的形式復(fù)雜多樣 (4) 難于徹底清除 (5) 破壞性大(6) 可激發(fā)性 (7) 潛在性第68頁，共249頁，2022年，5月20日，16點39分，星期一局域網(wǎng)病毒的新特點U盤病毒Autorun.inf第69頁，共249頁，2022年，5月20日，16點39分，星期一局域網(wǎng)病毒防范以尼姆達病毒為例個人用戶感染該病毒后，使用單機版殺毒軟件即可清除然而企業(yè)的網(wǎng)絡(luò)中，一臺機器一旦感染尼姆達，病毒便會自動復(fù)制、發(fā)送并采用各種手段不停交叉感染局域網(wǎng)內(nèi)的其他用戶第70頁，共249頁，2022年，5月20日，16點39分，星期

38、一局域網(wǎng)病毒防范計算機病毒形式及傳播途徑日趨多樣化大型企業(yè)網(wǎng)絡(luò)系統(tǒng)的防病毒工作已不再像單臺計算機病毒的檢測及清除那樣簡單需要建立多層次的、立體的病毒防護體系而且要具備完善的管理系統(tǒng)來設(shè)置和維護對病毒的防護策略第71頁，共249頁，2022年，5月20日，16點39分，星期一局域網(wǎng)病毒防范一個企業(yè)網(wǎng)的防病毒體系是建立在每個局域網(wǎng)的防病毒系統(tǒng)上的應(yīng)該根據(jù)每個局域網(wǎng)的防病毒要求，建立局域網(wǎng)防病毒控制系統(tǒng)分別設(shè)置有針對性的防病毒策略(1) 增加安全意識(2) 小心郵件(3) 挑選網(wǎng)絡(luò)版殺毒軟件第72頁，共249頁，2022年，5月20日，16點39分，星期一局域網(wǎng)病毒防范方法從網(wǎng)絡(luò)的源頭開始防范將路由

39、器帶的防火墻打開過濾一些IP地址，屏蔽一些有危險的端口 使用網(wǎng)絡(luò)版殺毒軟件最好把整個網(wǎng)絡(luò)分成幾個小網(wǎng)每個小網(wǎng)接一個主機.那幾個主機接一個配置比較高的機器做主機這樣既能很好的分層管理網(wǎng)絡(luò).又可以在有病毒入侵的時候.對已經(jīng)感染病毒的機子很好的隔離定時全網(wǎng)殺毒，及時打補丁第73頁，共249頁，2022年，5月20日，16點39分，星期一三、網(wǎng)絡(luò)攻擊與防范技術(shù)局域網(wǎng)環(huán)境簡介局域網(wǎng)的安全威脅局域網(wǎng)監(jiān)聽與防范局域網(wǎng)ARP攻擊與防范局域網(wǎng)病毒入侵與防范快速關(guān)閉端口防止入侵局域網(wǎng)共享資源安全防范無線局域網(wǎng)嗅探與防范局域網(wǎng)上網(wǎng)的安全防范與技巧第74頁，共249頁，2022年，5月20日，16點39分，星期一Wi

40、ndows入侵端口默認情況下，Windows有很多端口是開放的，在你上網(wǎng)的時候，網(wǎng)絡(luò)病毒和黑客可以通過這些端口連上你的電腦為了讓你的系統(tǒng)變?yōu)殂~墻鐵壁，應(yīng)該封閉這些端口，主要有TCP 135、139、445、593、1025 端口 UDP 135、137、138、445 端口一些流行病毒的后門端口(如 TCP 2745、3127、6129 端口)遠程服務(wù)訪問端口3389第75頁，共249頁，2022年，5月20日，16點39分，星期一快速關(guān)閉端口防止入侵打開系統(tǒng)運行對話框，在其中輸入字符串命令“cmd”然后輸入secpol.msc第76頁，共249頁，2022年，5月20日，16點39分，星期一

41、快速關(guān)閉端口防止入侵第77頁，共249頁，2022年，5月20日，16點39分，星期一快速關(guān)閉端口防止入侵第78頁，共249頁，2022年，5月20日，16點39分，星期一快速關(guān)閉端口防止入侵第79頁，共249頁，2022年，5月20日，16點39分，星期一快速關(guān)閉端口防止入侵第80頁，共249頁，2022年，5月20日，16點39分，星期一服務(wù)器開放端口的設(shè)置如果有路由器或防火墻設(shè)備，需要在路由器或防火墻上開放如果你的服務(wù)器直接連接在外網(wǎng)上，并且使用外網(wǎng)IP第81頁，共249頁，2022年，5月20日，16點39分，星期一服務(wù)器開放端口的設(shè)置第82頁，共249頁，2022年，5月20日，16

42、點39分，星期一三、網(wǎng)絡(luò)攻擊與防范技術(shù)局域網(wǎng)環(huán)境簡介局域網(wǎng)的安全威脅局域網(wǎng)監(jiān)聽與防范局域網(wǎng)ARP攻擊與防范局域網(wǎng)病毒入侵與防范快速關(guān)閉端口防止入侵局域網(wǎng)共享資源安全防范無線局域網(wǎng)嗅探與防范局域網(wǎng)上網(wǎng)的安全防范與技巧第83頁，共249頁，2022年，5月20日，16點39分，星期一局域網(wǎng)共享資源第84頁，共249頁，2022年，5月20日，16點39分，星期一局域網(wǎng)共享資源第85頁，共249頁，2022年，5月20日，16點39分，星期一局域網(wǎng)共享資源第86頁，共249頁，2022年，5月20日，16點39分，星期一局域網(wǎng)共享資源第87頁，共249頁，2022年，5月20日，16點39分，星期一

43、局域網(wǎng)共享資源第88頁，共249頁，2022年，5月20日，16點39分，星期一共享資源安全防范在Windows服務(wù)器系統(tǒng)中，每當服務(wù)器啟動成功時，系統(tǒng)的C盤、D盤等都會被自動設(shè)置成隱藏共享通過這些默認共享可以讓服務(wù)器管理維護起來更方便一些但在享受方便的同時，這些默認共享常常會被一些非法攻擊者利用，從而容易給服務(wù)器造成安全威脅如果你不想讓服務(wù)器輕易遭受到非法攻擊的話，就必須及時切斷服務(wù)器的默認共享“通道”第89頁，共249頁，2022年，5月20日，16點39分，星期一共享資源安全防范功能配置法cmdmsconfig找到其中的“Server”項目，并檢查該項目前面是否有勾號存在重新啟動服務(wù)器系

44、統(tǒng)時，服務(wù)器的C盤、D盤等就不會被自動設(shè)置成默認共享了第90頁，共249頁，2022年，5月20日，16點39分，星期一功能配置法第91頁，共249頁，2022年，5月20日，16點39分，星期一功能配置法Windows 2000服務(wù)器系統(tǒng)沒有系統(tǒng)配置實用程序功能可以將Windows 2003系統(tǒng)中的msconfig.exe文件和msconfig.chm文件直接復(fù)制到Windows 2000系統(tǒng)目錄中以后就可以在該系統(tǒng)的運行對話框中，直接啟動系統(tǒng)配置實用程序功能了如果在啟動該功能的過程中，遇到有錯誤提示窗口彈出時，可以不必理會，不停單擊“取消”按鈕就可以看到系統(tǒng)配置實用程序設(shè)置窗口了第92頁，

45、共249頁，2022年，5月20日，16點39分，星期一共享資源安全防范“強行”停止法是借助Windows服務(wù)器的計算機管理功能對已經(jīng)存在的默認共享文件夾，“強制”停止共享命令，以便讓其共享狀態(tài)取消同時確保這些文件夾下次不能被自動設(shè)置成共享cmdcompmgmt.msc第93頁，共249頁，2022年，5月20日，16點39分，星期一“強行”停止法第94頁，共249頁，2022年，5月20日，16點39分，星期一“強行”停止法第95頁，共249頁，2022年，5月20日，16點39分，星期一共享資源安全防范逐一刪除法借助Windows服務(wù)器內(nèi)置的“net share”命令將已經(jīng)處于共享狀態(tài)的默

46、認共享文件夾，一個一個地刪除掉（當然這里的刪除，僅僅表示刪除默認共享文件夾的共享狀態(tài)，而不是刪除默認文件夾中的內(nèi)容）該方法有一個致命的缺陷，就是無法實現(xiàn)“一勞永逸”的刪除效果只要服務(wù)器系統(tǒng)重新啟動一下，默認共享文件夾又會自動生成了第96頁，共249頁，2022年，5月20日，16點39分，星期一逐一刪除法cmd在DOS命令行中，輸入字符串命令“net share c$ /del”，單擊回車鍵后，服務(wù)器中C盤分區(qū)的共享狀態(tài)就被自動刪除了如果服務(wù)器中還存在D盤分區(qū)、E盤分區(qū)的話，你可以按照相同的辦法，分別執(zhí)行字符串命令“net share d$ /del”、“net share e$ /del”來

47、刪除它們的共享狀態(tài)第97頁，共249頁，2022年，5月20日，16點39分，星期一逐一刪除法對應(yīng)IPC$、Admin$之類的默認共享文件夾也可以執(zhí)行字符串命令“net share ipc$ /del”“net share admin$ /del”將它們的隱藏共享狀態(tài)取消這樣，非法攻擊者就無法通過這些隱藏共享“通道”，來隨意攻擊Windows服務(wù)器了第98頁，共249頁，2022年，5月20日，16點39分，星期一共享資源安全防范“自動”刪除法如果服務(wù)器中包含的隱藏共享文件夾比較多依次通過“net share”命令來逐一刪除它們，將顯得非常麻煩可以自行創(chuàng)建一個批處理文件，來讓服務(wù)器一次性刪除所

48、有默認共享文件夾的共享狀態(tài)第99頁，共249頁，2022年，5月20日，16點39分，星期一“自動”刪除法批處理文件的內(nèi)容 echo off net share C$ /del net share D$ /del net share ipc$ /del net share admin$ /del 第100頁，共249頁，2022年，5月20日，16點39分，星期一“自動”刪除法完成上面的代碼輸入操作后，文件保存為“delshare.bat”設(shè)置好具體的保存路徑，完成自動刪除默認共享文件夾的批處理文件創(chuàng)建工作以后需要刪除這些默認共享文件夾的共享狀態(tài)時只要雙擊“delshare.bat”批處理文件

49、，服務(wù)器系統(tǒng)中的所有默認共享“通道”就能被自動切斷第101頁，共249頁，2022年，5月20日，16點39分，星期一“自動”刪除法服務(wù)器重新啟動后，所有默認的共享文件夾又會“卷土重來”通過下面的方法，讓服務(wù)器啟動成功后自動運行“delshare.bat”批處理文件，從而實現(xiàn)自動刪除默認共享文件夾的目的第102頁，共249頁，2022年，5月20日，16點39分，星期一“自動”刪除法cmdgpedit.msc打開服務(wù)器系統(tǒng)的組策略編輯窗口設(shè)置組策略第103頁，共249頁，2022年，5月20日，16點39分，星期一“自動”刪除法最后重新啟動一下服務(wù)器系統(tǒng)服務(wù)器系統(tǒng)中的默認共享就能被自動取消了第

50、104頁，共249頁，2022年，5月20日，16點39分，星期一共享資源安全防范權(quán)限分配法是借助服務(wù)器的組策略來進行用戶權(quán)利指派讓非法用戶無法通過網(wǎng)絡(luò)訪問到服務(wù)器中的任何內(nèi)容默認共享文件夾就不會成為非法用戶入侵服務(wù)器的“通道”了cmdgpedit.msc第105頁，共249頁，2022年，5月20日，16點39分，星期一權(quán)限分配法第106頁，共249頁，2022年，5月20日，16點39分，星期一權(quán)限分配法第107頁，共249頁，2022年，5月20日，16點39分，星期一共享資源安全防范系統(tǒng)策略法對于Window 2000 Server系統(tǒng)的服務(wù)器可借助該系統(tǒng)內(nèi)置的系統(tǒng)策略編輯功能，來切斷

51、默認共享“通道”cmdPoledit打開服務(wù)器系統(tǒng)的策略編輯窗口第108頁，共249頁，2022年，5月20日，16點39分，星期一系統(tǒng)策略法單擊“文件”菜單項，再從下拉菜單中選中“打開注冊表”項目雙擊“本地計算機”圖標在出現(xiàn)的計算機策略列表框中，用鼠標逐一展開WindowsNT網(wǎng)絡(luò)、共享分支在共享分支下面，檢查一下“創(chuàng)建隱藏的驅(qū)動器共享（服務(wù)器）”選項前面是否有勾號存在如存在，則表示服務(wù)器將會自動把系統(tǒng)的C盤、D盤等設(shè)置成隱藏共享第109頁，共249頁，2022年，5月20日，16點39分，星期一系統(tǒng)策略法此時可以取消“創(chuàng)建隱藏的驅(qū)動器共享（服務(wù)器）”的選中狀態(tài)，并單擊“確定”按鈕返回到服務(wù)

52、器系統(tǒng)的策略編輯窗口，并依次執(zhí)行菜單欄中的“文件”/“保存”命令，以便將前面的設(shè)置操作保存到系統(tǒng)注冊表中以后服務(wù)器系統(tǒng)重新啟動時，就不會自動生成默認共享了第110頁，共249頁，2022年，5月20日，16點39分，星期一系統(tǒng)策略法第111頁，共249頁，2022年，5月20日，16點39分，星期一共享資源安全防范共享管理法借助Windows服務(wù)器系統(tǒng)中的rundll32.exe命令快速打開系統(tǒng)的共享文件夾管理器窗口在該窗口中可逐一地對每個默認隱藏共享文件夾，進行停止共享或者修改屬性等管理操作cmdRundll32.exe ntlanui.dll, ShareManage打開共享目錄管理器窗口

53、第112頁，共249頁，2022年，5月20日，16點39分，星期一共享管理法第113頁，共249頁，2022年，5月20日，16點39分，星期一三、網(wǎng)絡(luò)攻擊與防范技術(shù)局域網(wǎng)環(huán)境簡介局域網(wǎng)的安全威脅局域網(wǎng)監(jiān)聽與防范局域網(wǎng)ARP攻擊與防范局域網(wǎng)病毒入侵與防范快速關(guān)閉端口防止入侵局域網(wǎng)共享資源安全防范無線局域網(wǎng)嗅探與防范局域網(wǎng)上網(wǎng)的安全防范與技巧第114頁，共249頁，2022年，5月20日，16點39分，星期一無線局域網(wǎng)的安全威脅無線局域網(wǎng)（WLAN）因其安裝便捷、組網(wǎng)靈活的優(yōu)點在許多領(lǐng)域獲得了越來越廣泛的應(yīng)用但由于它傳送的數(shù)據(jù)利用無線電波在空中傳播，發(fā)射的數(shù)據(jù)可能到達預(yù)期之外的接收設(shè)備，因而W

54、LAN存在著網(wǎng)絡(luò)信息容易被竊取的問題第115頁，共249頁，2022年，5月20日，16點39分，星期一無線局域網(wǎng)嗅探在網(wǎng)絡(luò)上竊取數(shù)據(jù)就叫嗅探是利用計算機的網(wǎng)絡(luò)接口截獲網(wǎng)絡(luò)中數(shù)據(jù)報文的一種技術(shù)嗅探一般工作在網(wǎng)絡(luò)的底層在不易被察覺的情況下將網(wǎng)絡(luò)傳輸?shù)娜繑?shù)據(jù)記錄下來捕獲賬號和口令、專用的或機密的信息甚至可以用來危害網(wǎng)絡(luò)鄰居的安全或者用來獲取更高級別的訪問權(quán)限、分析網(wǎng)絡(luò)結(jié)構(gòu)進行網(wǎng)絡(luò)滲透等第116頁，共249頁，2022年，5月20日，16點39分，星期一嗅探的隱蔽性WLAN中無線信道的開放性給網(wǎng)絡(luò)嗅探帶來了極大的方便在WLAN中網(wǎng)絡(luò)嗅探對信息安全的威脅來自其被動性和非干擾性運行監(jiān)聽程序的主機在竊聽

55、的過程中只是被動的接收網(wǎng)絡(luò)中傳輸?shù)男畔⑺粫渌闹鳈C交換信息，也不修改在網(wǎng)絡(luò)中傳輸?shù)男畔沟镁W(wǎng)絡(luò)嗅探具有很強的隱蔽性，往往讓網(wǎng)絡(luò)信息泄密變得不容易被發(fā)現(xiàn)第117頁，共249頁，2022年，5月20日，16點39分，星期一嗅探的隱蔽性盡管它沒有對網(wǎng)絡(luò)進行主動攻擊和破壞的危害明顯但由它造成的損失也是不可估量的通過分析網(wǎng)絡(luò)嗅探的原理與本質(zhì)才能更有效地防患于未然增強無線局域網(wǎng)的安全防護能力第118頁，共249頁，2022年，5月20日，16點39分，星期一網(wǎng)絡(luò)嗅探的原理網(wǎng)絡(luò)嗅探就是從通信中捕獲和解析信息假設(shè)主機B想知道登陸服務(wù)器C的FTP口令是什么捕獲主機A播發(fā)的數(shù)據(jù)幀對數(shù)據(jù)幀進行解析，依次剝離

56、出以太幀頭、IP包頭、TCP包頭等然后對報頭部分和數(shù)據(jù)部分進行相應(yīng)的分析處理，從而得到包含在數(shù)據(jù)幀中的有用信息第119頁，共249頁，2022年，5月20日，16點39分，星期一嗅探的實現(xiàn)先設(shè)置用于嗅探的計算機，即在嗅探機上裝好無線網(wǎng)卡，并把網(wǎng)卡設(shè)置為混雜模式在混雜模式下，網(wǎng)卡能夠接收一切通過它的數(shù)據(jù)包，進而對數(shù)據(jù)包解析，實現(xiàn)數(shù)據(jù)竊聽再實現(xiàn)循環(huán)抓取數(shù)據(jù)包，并將抓到的數(shù)據(jù)包送入下一步的數(shù)據(jù)解析模塊處理最后進行數(shù)據(jù)解析，依次提取出以太幀頭、IP包頭、TCP包頭等，然后對各個報頭部分和數(shù)據(jù)部分進行相應(yīng)的分析處理第120頁，共249頁，2022年，5月20日，16點39分，星期一嗅探防范策略加強網(wǎng)絡(luò)訪

57、問控制網(wǎng)絡(luò)設(shè)置為封閉系統(tǒng)采用可靠的協(xié)議進行加密一次性口令技術(shù)第121頁，共249頁，2022年，5月20日，16點39分，星期一三、網(wǎng)絡(luò)攻擊與防范技術(shù)局域網(wǎng)環(huán)境簡介局域網(wǎng)的安全威脅局域網(wǎng)監(jiān)聽與防范局域網(wǎng)ARP攻擊與防范局域網(wǎng)病毒入侵與防范快速關(guān)閉端口防止入侵局域網(wǎng)共享資源安全防范無線局域網(wǎng)嗅探與防范局域網(wǎng)上網(wǎng)的安全防范與技巧第122頁，共249頁，2022年，5月20日，16點39分，星期一局域網(wǎng)安全問題西方有句俗語堡壘常常從內(nèi)部被攻破古人教育我們外敵易躲，家賊難防人是這樣，信息安全亦然現(xiàn)況：內(nèi)網(wǎng)安全 不容樂觀第123頁，共249頁，2022年，5月20日，16點39分，星期一內(nèi)網(wǎng)安全的重點相

58、對于來自互聯(lián)網(wǎng)的威脅，重點是數(shù)據(jù)和信息的安全這些數(shù)據(jù)和信息，才是企業(yè)真正有價值的資源數(shù)據(jù)安全的風(fēng)險來自于兩個方面數(shù)據(jù)本身是否安全，也就是說數(shù)據(jù)是否加密是否得到授權(quán)的人訪問了這些數(shù)據(jù)和信息從風(fēng)險的這兩個方面來看，數(shù)據(jù)加密和身份認證是目前適用于內(nèi)網(wǎng)安全防范的主要技術(shù)手段第124頁，共249頁，2022年，5月20日，16點39分，星期一安全威脅三個方面黑客攻擊計算機病毒拒絕服務(wù)攻擊幾種網(wǎng)絡(luò)攻擊類型Data Diddling未經(jīng)授權(quán)刪除檔案，更改其資料（15.5%)Scanner利用工具尋找暗門漏洞(15.8%)Sniffer監(jiān)聽加密之封包(11.2%)Denial of Service使其系統(tǒng)癱瘓

59、（16.2%)IP Spoofing冒充系統(tǒng)內(nèi)網(wǎng)絡(luò)的IP地址(12.4%)Other其他(13.9%) 第125頁，共249頁，2022年，5月20日，16點39分，星期一防范黑客的措施選用安全的口令據(jù)統(tǒng)計，大約80%的安全隱患是由于口令設(shè)置不當引起的用戶口令應(yīng)包含大小寫，最好能加上字符串和數(shù)字，一起使用以期達到最好的保密效果用戶口令不要太規(guī)則,不要用用戶姓名、生日和電話號碼作為口令。不要用常用單詞作為口令根據(jù)黑客軟件的工作原理,參照口令破譯的難易程度,以破解需要的時間為排序指標，口令長度設(shè)置時應(yīng)遵循7位或14位的整數(shù)倍原則第126頁，共249頁，2022年，5月20日，16點39分，星期一防

60、范黑客的措施選用安全的口令安裝某些系統(tǒng)服務(wù)功能模塊時有內(nèi)建帳號，應(yīng)及時修改操作系統(tǒng)內(nèi)部帳號口令的缺省設(shè)置應(yīng)及時取消調(diào)離或停止工作的雇員的帳號以及無用的帳號在通過網(wǎng)絡(luò)驗證口令過程中,不得以明文方式傳輸，以免被監(jiān)聽截取第127頁，共249頁，2022年，5月20日，16點39分，星期一防范黑客的措施選用安全的口令口令不得以明文方式存放在系統(tǒng)中,確保口令以加密的形式寫在硬盤上并包含口令的文件是只讀的口令應(yīng)定期修改，應(yīng)避免重復(fù)使用舊口令，應(yīng)采用多套口令的命名規(guī)則建立帳號鎖定機制，一旦同一帳號密碼校驗錯誤若干次即斷開連接并鎖定該帳號，至一段時間才解鎖再次開放使用第128頁，共249頁，2022年，5月2