《计算机与网络安全》PPT课件.ppt

《《计算机与网络安全》PPT课件.ppt》由会员分享，可在线阅读，更多相关《《计算机与网络安全》PPT课件.ppt（66页珍藏版）》请在装配图网上搜索。

1、计算机与网络安全,提纲,个人计算机的安全配置与使用规范 校园网近期安全问题 个人计算机常见安全问题与解决办法 讨论,一、个人计算机的安全配置与使用规范,Windows系统的安全保护机制 校内安全资源的使用 初装计算机的正确步骤,一、个人计算机的安全配置与使用规范,Windows系统的安全保护机制 系统与应用程序补丁 防火墙 帐号与口令 防病毒软件 正确的使用习惯,windows的安全保护机制,系统与应用程序补丁 补丁的安装方法: Windows在线的update网站更新(需要是正版) 微软提供的自动更新服务(速度慢) 学校提供的WSUS服务器(推荐使用) 手动下载补丁程序安装(不推荐) 需要提

2、醒的时除了系统补丁外,很多应用软件也需要 安装补丁程序,如(office、IE、OUTLOOK等）,windows的安全保护机制,防火墙的选用 Winxp或者win2003自带的防火墙（推荐使用） Windows自身的组策略安全规则（配置复杂） 第三方的防火墙（如天网个人防火墙、norton提供的防火墙、瑞星杀毒软件提供的防火墙、趋势防火墙） 防火墙是必须的,windows的安全保护机制,口令设置要求 口令应该不少于8个字符； 不包含字典里的单词、不包括姓氏的汉语拼音； 同时包含多种类型的字符，比如 大写字母(A,B,C,.Z) 小写字母(a,b,c.z) 数字(0,1,2,9) 标点符号(,

3、#,!,$,%,& ),windows的安全保护机制,防病毒系统 一定要及时升级病毒库文件（推荐使用企业版） 实时监控功能一定要开着 推荐使用的杀毒软件 趋势科技的officescan防毒软件 赛门铁克的norton防毒软件 瑞星杀毒软件（rising) 卡巴斯基。,windows的安全保护机制,正确的使用习惯 不随便下载程序运行 不访问一些来历不明的网页链接 不使用的情况下尽量关闭机器 经常备份重要数据,一、个人计算机的安全配置与使用规范,Windows系统的安全保护机制 校内安全资源的使用 初装计算机的正确步骤,校内安全资源的使用,补丁更新服务器 清华的WSUS服务器 地址：166.111

4、.8.105 WSUS服务配置方法 修改注册表 修改组策略（推荐）,补丁更新服务器（组策略）,一、选择“开始”，“运行”，输入gpedit.msc，打开组策略窗口。 二、选择“管理模板”，然后从菜单中选择“操作”，“添加/删除模板”。 （注意：winxp sp1以上版本的操作系统中这个wuau.adm已经添加了，您可以直接跳到第六步） 三、在“添加/删除模板”窗口中选择“添加”。,补丁更新服务器（组策略）,四、在“策略模板”中选择“wuau.adm”，并选择“打开”。 五、选择“关闭”，关闭“添加/删除模板”窗口。 六、选择“计算机配置”-“管理模板”-“Windows 组件”-“Window

5、s Update”，并选择“配置自动更新”。 七、在“配置自动更新”的属性窗口中，选择“启用”，并选择“确定”。,补丁更新服务器（组策略）,八、在“指定Intranet Microsoft更新服务器位置”的属性窗口中，选择“启用”，并在“设置检测更新的Intranet更新服务：”框中输入“ 九、关闭组策略窗口。 十、在开始运行处输入 wuauclt.exe /detectnow 命令，立即启动wsus服务！,补丁更新服务器（注册表）,Windows Registry Editor Version 5.00 HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftW

6、indowsWindowsUpdate “WUServer”=“ WUStatusServer= HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftWindowsWindowsUpdateAU UseWUServer=dword:00000001,补丁更新服务器（注册表）,当系统右下角的托盘中出现了黄色的小盾牌（windows2000为绿色的小地球图标）后，说明系统有需要安装的补丁程序，双击该图标后按照系统提示安装相应的补丁程序！,趋势科技杀毒软件,病毒服务器地址： 病毒软件的安装方法： 在线安装（需要把控件功能打开） 下载安装包安装 企业版的趋势杀毒软件采

7、用的是服务器自动分发病毒库文件，无需用户手动更新。,趋势科技杀毒软件,图标的定义,趋势科技杀毒软件,卸载客户端需要密码（tsinghua或者pass) 关于客户端漫游功能（校外临时使用） 立即更新功能（一般情况下不需要手动点击立即更新） 图标显示断开（可能是临时性的网络故障，客户端一般不用做什么操作） 查看病毒码更新日期（主窗口- 帮助-关于-病毒码发布日期）,趋势科技杀毒软件,趋势科技的杀毒客户端自带了一个简单防火墙，功能类似于xp系统自带的防火墙，当xp系统自带的防火墙启动后，这个防火墙的功能会自动关闭。,一、个人计算机的安全配置与使用规范,Windows系统的安全保护机制 校内安全资源的

8、使用 初装计算机的正确步骤,初装计算机的正确步骤,系统的选择原则 选择最新版的操作系统（推荐winxp或2003） 尽量选择已经带有service pack的版本 遵从“最小安装原则” 如果有专职管理员，请专职管理员协助安装操作系统,操作系统初始安装的过程,系统安装与加固 预先将东西准备好（如防火墙软件等） 安装过程请拔掉网线 系统安装结束后请安装并启用防火墙后再插上网线 配置补丁自动更新，并升级补丁程序 安装防病毒软件并升级到最新的病毒库 具体过程请参照 ftp:/166.111.8.243/doc/初装计算机补丁安装.doc,提纲,个人计算机的安全配置与使用规范 校园网近期安全问题 个人计

9、算机常见安全问题与解决办法 讨论,二、近期校园网常见安全问题,ARP攻击 系统入侵,ARP攻击,什么是ARP攻击？ 利用ARP协议本身的缺陷进行的一种非法攻击，目的是为了在全交换环境下实现数据监听。通常这种攻击方式可能被病毒、木马或者有特殊目的攻击者使用。 ARP攻击有什么危害？ 致使同网段的其他用户无法正常上网（频繁断网或者网速慢），泄露用户的敏感信息。,ARP原理,ARP（AddressResolutionProtocol）地址解析协议用于将计算机的网络地址（IP地址32位）转化为物理地址（MAC地址48位）RFC826 ARP协议是属于链路层的协议，在以太网中的数据帧从一个主机到达网内的

10、另一台主机是根据48位的以太网地址（硬件地址）来确定接口的，而不是根据32位的IP地址。内核（如驱动）必须知道目的端的硬件地址才能发送数据。 点对点的连接是不需要ARP协议的。,ARP原理,主机名 IP地址 MAC地址 主机A 192.168.1.2 01-01-01-01-01-01 主机B 192.168.1.3 02-02-02-02-02-02 网关C 192.168.1.1 03-03-03-03-03-03 主机D 10.1.1.2 04-04-04-04-04-04 网关E 10.1.1.1 05-05-05-05-05-05,ARP工作原理,假如主机A要与主机B通讯，它首先会检

11、查自己的ARP缓存中是否有192.168.1.3这个地址对应的MAC地址，如果没有它就会向局域网的广播地址发送ARP请求包，大致的意思是192.168.1.3的MAC地址是什么请告诉192.168.1.2,而广播地址会把这个请求包广播给局域网内的所有主机，但是只有192.168.1.3这台主机才会响应这个请求包，它会回应192.168.1.2一个arp包，大致的意思是192.168.1.3的MAC地址是02-02-02-02-02-02。这样的话主机A就得到了主机B的MAC地址，并且它会把这个对应的关系存在自己的ARP缓存表中。之后主机A与主机B之间的通讯就依靠两者缓存表里的MAC地址来通讯了

12、，直到通讯停止后两分钟，这个对应关系才会被从表中删除。,ARP工作原理,假如主机A需要和主机D进行通讯，它首先会发现这个主机D的IP地址并不是自己同一个网段内的，因此需要通过网关来转发，这样的话它会检查自己的ARP缓存表里是否有网关192.168.1.1对应的MAC地址，如果没有就通过ARP请求获得，如果有就直接与网关通讯，然后再由网关C通过路由将数据包送到网关E，网关E收到这个数据包后发现是送给主机D（10.1.1.2）的，它就会检查自己的ARP缓存（没错，网关一样有自己的ARP缓存），看看里面是否有10.1.1.2对应的MAC地址，如果没有就使用ARP协议获得，如果有就是用该MAC地址与主

13、机D通讯。,ARP欺骗,Arp欺骗原理 主机在实现ARP缓存表的机制中存在一个不完善的地方，当主机收到一个ARP的应答包后，它并不会去验证自己是否发送过这个ARP请求，而是直接将应答包里的MAC地址与IP对应的关系替换掉原有的ARP缓存表里的相应信息。这就导致主机B截取主机A与主机D之间的数据通信成为可能,ARP欺骗,主机b向网关C发送ARP应答包说：我是A我的MAC地址是02-02-02-02-02-02，主机b同时向主机A发送ARP应答包说：我是C我的MAC地址是02-02-02-02-02-02 B获得A发给C的数据，修改后发给C，同时获得C发给A的数据修改后发给A，实现了监听过程,AR

14、P攻击,几个概念： Arp缓存表,ARP攻击,ARP数据包 13:10:44.802151 arp who-has 192.168.1.1 tell 192.168.1.2 13:10:44.802607 arp reply 192.168.1.1 is-at 00:00:0c:07:ac:00,ARP攻击,什么情况下表明局域网内有ARP攻击 校园网登陆系统频繁掉线 网速突然变慢 使用ARP a命令发现网关的MAC地址不停的变换 使用sniffer软件发现局域网内存在大量的ARP reply包,ARP攻击,如何发现正在进行ARP攻击的主机 1、在知道正确的网关MAC的情况下，通过ARP a命令

15、看到的另一个网关MAC就是攻击主机的MAC 2、使用Sniffer软件抓包发现大量的以网关的IP地址发送的ARP reply包，包中指定的MAC就是攻击主机的MAC 3、使用我们开发的ARP保护程序发现攻击主机的MAC ftp:/166.111.8.243/tools/ArpFix.rar,ARP攻击,如何处理感染主机 发现感染主机，第一时间拔掉网线 按照安全手册重新安装操作系统,ARP攻击,目前已知的ARP病毒的传播途径 通过外挂程序传播 通过网页传播 通过其他木马程序传播 通过即时通讯软件传播（QQ、MSN） 通过共享传播（网络共享、P2P软件共享）,ARP攻击,如何预防感染ARP病毒？

16、关闭不必要的共享 及时安装系统补丁程序 安装防病毒软件并及时升级病毒库 不随便运行来历不明的程序 不访问一些来历不明的链接,二、近期校园网常见安全问题,ARP攻击 系统入侵,近期校园网常见安全问题,系统入侵 多数被攻击的都是服务器，操作系统多为windows2000 server 或者linux 针对linux常利用的漏洞为：openssh 和 apche等软件的漏洞 针对windows2000 server更多的是利用网页编写本身的漏洞。,提纲,个人计算机的安全配置与使用规范 校园网近期安全问题 个人计算机常见安全问题与解决办法 讨论,三、常见安全问题及解决方法,系统中的自启动程序 浏览器的

17、恢复 本地病毒木马程序检查,系统中的自启动程序,Windows支持多种在系统启动时自动加载应用程序的方法包括： 启动组 Boot.ini、win.ini、system.ini文件 注册表启动项 添加成系统服务 计划任务 动态库文件加载,系统中的自启动程序,启动组和win.ini、system.ini 开始-程序-启动里面 对应的目录： C:Documents and Settingsadministrator开始菜单程序启动 C:Boot.ini C:WindowsWin.ini C:Windowssystem.ini,系统中的自启动程序,注册表启动项 HKEY_CURRENT_USERSof

18、twareMicrosoftWindowsCurrentVersionRun HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun,系统中的自启动程序,系统服务 使用管理工具中服务选项来管理系统服务 系统服务对应的注册表值 HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunServices,系统中的自启动程序,任务计划 在控制面板的任务计划里查看 动态库文件加载 判断相对困难，需要有丰富的经验和相应的工具,系统中的自启动程序,有用但不为人知的系统启动检测命令ms

19、config,五、常见安全问题及解决方法,系统中的自启动程序 浏览器的恢复 本地病毒木马程序检查,浏览器的恢复,IE浏览器容易出现的故障 自动关闭 默认主页被篡改(默认主页被禁止修改) 自动弹出多个页面,浏览器的恢复,IE浏览器自动关闭的原因很多，例如： 系统内存偏小 系统内核故障（中木马了） IE软件故障 IE与其他应用冲突（如打印进程） 我们可以通过查看事件日志查找IE出错的原因,浏览器的恢复,解决IE浏览器自动关闭的方法 使用杀毒软件杀毒 察看事件记录看看是否记录关闭原因 使用修复工具对IE进行修复 安装新版本的IE浏览器 重新安装操作系统 增加系统内存,浏览器的恢复,IE浏览器手动修复

20、方式（比较复杂） 修复IE的标题栏： 编辑注册表 HKEY_CURRENT_USERSoftwareMicrosoftInternet ExplorerMain HKEY_LOCAL_MACHINESoftwareMicrosoftInternet ExplorerMain 找到键值项Window Title，修改成你要的或 删除即可,浏览器的恢复,恢复注册表修改权限 HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciessystem DisableRegistryTools=dword:00000001 方法1:使用其他

21、注册表编辑器恢复,将DisableRegistryTools的值改为1 方法2:通过组策略工具修改.,浏览器的恢复,恢复IE默认主页修改权限的操作： 即“Internet 属性”控制面板设置IE主页，“使用 默认页”、“使用空白页”等按钮变为灰色不可 用。 解决方法： 编辑注册表查找 HKEY_CURRENT_USERSoftwarePoliciesMicrosoftInternet ExplorerControl Panel 删除键值项HomePage，或将其值改为0,浏览器的恢复,修改IE默认页 IE默认页为： 解决方法： HKEY_CURRENT_USERSoftwareMicrosof

22、tInternet ExplorerMain HKEY_LOCAL_MACHINESoftwareMicrosoftInternet ExplorerMain 改键值项Default_Page_URL,浏览器的恢复,使用工具修复IE浏览器 常用的IE修复工具 IE修复专家 超级兔子IE管理专家 IE浏览器修复工具 黄山IE修复专家 瑞星卡卡上网助手 金山IE修复工具 HijackThis,浏览器的恢复,控制浏览器的加载项 IE-工具-管理加载项 （需要IE6.0以上版本）,五、常见安全问题及解决方法,系统中的自启动程序 浏览器的恢复 本地病毒木马程序检查,本地病毒木马程序检查,检查发现 系统运

23、行突然变慢 杀毒软件查出病毒,但是无法清除也无法隔离 启动系统后不做任何网络操作,在命令行执行netstat an命令 启动系统后不做任何网络操作几分钟后运行netstat s命令 查看系统进程中是否有可疑进程(例如Svohost.exe之类的) 查看系统启动项里是否有可疑进程,本地病毒木马程序检查,查找相关木马程序所在位置: 直接使用杀毒软件查杀 将可疑进程的名字到google上去查找看是否有相关资料 自己使用netstat ano(winxp以上版本)或者fport.exe(win2000及以下版本)软件查看 到注册表里去查找 使用一些其他的进程查看软件,本地病毒木马程序检查,手动清除的基本过程: 关闭系统还原功能 重新启动系统到安全模式下(启动时按F8) 找到相应文件删除掉 修改相应的注册表值,一个有用的安全工具,ICESWORD ftp:/166.111.8.243/tools/IceSword.rar,提纲,个人计算机的安全配置与使用规范 校园网近期安全问题 个人计算机常见安全问题与解决办法 讨论,补丁更新服务器： 病毒软件服务器： 校园网服务： CCERT主页： 安全咨询电话：62784859 62784301,