《局域网病毒的防范和处理.ppt》由会员分享,可在线阅读,更多相关《局域网病毒的防范和处理.ppt(53页珍藏版)》请在优知文库上搜索。
1、局域网病毒的防范和局域网病毒的防范和处理处理计算机病毒在网络中泛滥已久,而其在局域网中也能快速繁殖,导致局域网计算机的相互感染,下面将为大家介绍有关局域网病毒的入侵原理及防范方法。n局域网病毒入侵原理及现象n局域网病毒的特点n局域网病毒防范方法n局域网病毒的诊断和处理 局域网病毒入侵原理及现象n先来剖析一下其网络的基本结构,中小型企业使用的办公局域网不外乎计算机网络应用的一个分支,因此它离不开网络的基本构成形式。从本质上来看,中小企业的网络同样是由一个个网络节点站所组成的(也可以称其为网络上的一个个站点),站点就可以具体为网络服务器和客户机。计算机病毒可以通过各种途径进入到网络中的一个站点(包
2、括服务器),然后再通过局域网络中的各种特定环境进行传播。具体地说,我们可以把它的传播方式归纳为以下几种。1.局域网资源共享感染病毒n中小型企业组建的局域网很大的一部分用处是在共享资源方面,而正是由于共享资源的“数据开放性”,造就了病毒感染的有效渠道。2.服务器数据传播病毒n中小型企业不可能像花大成本构建含“路由器”等高端网络设备的网络环境,很多工作都会丢给一台普通PC代替的服务器去做,网络中的客户机可以通过服务器来和外界联系,而客户机自间的内部邮件传递也可以通过服务器完成,但普通PC的性能特点,不可避免地在病毒面前有其脆弱性。一旦服务器感染病毒,所有需要经过服务器的数据也会被顺带感染,进而造成
3、整个网络感染病毒的情况。3.客户机之间的数据传递携带病毒n客户机除了和服务器通讯之外,相互之间也需要进行数据传递,如果其中一台计算机感染病毒,在与另一台客户机传递数据时,势必会将病毒带给对方。4.客户机带动服务器染毒,进而感染网络中的其他客户机n这种形式可以说是综合了前三种形式。网络中的某一台客户机染毒,通过1、3种形式感染服务器,服务器再由第2种形式感染其他客户机。n如果企业使用的是“无盘工作站”形式,那么病毒的传播将更为简易。因为其“无盘”并非真的“无盘”(它的盘是网络盘),当其运行网络盘上的一个带毒程序时,便将内存中的病毒传染给该程序或通过映像路径传染到服务器的其他的文件上,因此整个“无
4、盘”网络就彻底地被病毒感染了。 局域网病毒的特点n知道了病毒的传播方式,再来看看它的特点。在中小型企业网络的特定环境下,病毒除了与生俱来的可传播性、可执行性、破坏性等常规病毒的共性外,还具有一些其他的特点:1. 感染速度快n病毒的传播必须要一定的途径,在完全封闭的单机情况下,病毒是无法从一台计算机传给另一台计算机的。不过在企业简单的网络环境下,病毒的传播可以利用充分的介质,通过简单而快速的内部网络,病毒可以迅速地传播,举个例子:在常见的100M办公网络内,只要有一台工作站染毒,就可在几十秒钟内将同一网络中的数百台计算机全部感染。2. 扩散面广n病毒感染了局域网中某一台客户机,而客户机又可以进一
5、步感染网络中的其他客户机(也包括服务器),而感染了病毒的客户机又可以更进一步的感染更多客户机(也包括了局域网以外的计算机)如此反复交叉感染,病毒在网络中扩散时,除了速度快以外,其扩散范围也相当惊人。3. 传播的形式复杂多样n网络内病毒的传播形式前面我们已经做了介绍,这里就不再详细说明,不过随着计算机病毒的推陈出新,相信还会有更多的我们所无法预计的传播形式。4. 难于彻底清除n单机上的计算机病毒有时可以通过杀毒和删除带毒文件来解决。如果还不行,低级格式化硬盘等措施总能将病毒彻底清除。n而网络中只要有一台工作站未能清除干净,就可使整个网络重新被病毒感染,甚至刚刚完成杀毒工作的一台工作站,就有可能被
6、网上另一台带毒工作站所感染。因此,以对付单机形式的杀毒方法,在局域网内会显得捉襟见肘,心有余而力不足。5. 破坏性大n中小型企业的办公网络,主要就是为企业的工作服务。受到病毒袭击后,不但影响网络正常的工作,而更可怕的是它会使网络崩溃,破坏网络中计算机的数据,使工作成果毁于一旦。6. 可激发性n它可以称得上是病毒的隐蔽性在网络上的延伸,网络病毒激发的条件多样化,可以是内部时钟、系统的日期和用户名,也可以是网络的一次通信等等。一个病毒程序可以按照病毒设计者的要求,在某个工作站上爆发,并传播给整个网络。7. 潜在性n在网络中,一旦感染了病毒,即使病毒已被清除,其潜在的危险性也是巨大的。根据对企业的网
7、络统计,病毒被清除后,85%的会在30天内会被再次感染。案例n例如尼姆达病毒,会搜索本地网络的文件共享,无论是文件服务器还是终端客户机,一旦找到,便安装一个隐藏文件,名为Riched20.DLL到每一个包含DOC和eml文件的目录中,当用户通过Word、写字板、Outlook打开DOC和eml文档时,这些应用程序将执行Riched20.DLL文件,从而使机器被感染,同时该病毒还可以感染远程服务器被启动的文件。带有尼姆达病毒的电子邮件,不需你打开附件,只要阅读或预览了带病毒的邮件,就会继续发送带毒邮件给你通讯簿里的朋友。n企业还在使用单机版杀毒软件来防御病毒的同时,病毒却在以多种形式借助局域网迅
8、速传播,它们攻击客户端、服务器、网关,几乎无孔不入,不夸张地说,轻而易举地就可以使整个局域网陷于瘫痪,难道我们真的要坐已待毙吗?局域网病毒防范方法 n以尼姆达病毒为例,个人用户感染该病毒后,使用单机版杀毒软件即可清除;然而企业的网络中,一台机器一旦感染尼姆达,病毒便会自动复制、发送并采用各种手段不停交叉感染局域网内的其他用户。 n计算机病毒形式及传播途径日趋多样化,因此,大型企业网络系统的防病毒工作已不再像单台计算机病毒的检测及清除那样简单,而需要建立多层次的、立体的病毒防护体系,而且要具备完善的管理系统来设置和维护对病毒的防护策略。 n一个企业网的防病毒体系是建立在每个局域网的防病毒系统上的
9、,应该根据每个局域网的防病毒要求,建立局域网防病毒控制系统,分别设置有针对性的防病毒策略。1.增加安全意识n杜绝病毒,主观能动性起到很重要的作用。病毒的蔓延,经常是由于企业内部员工对病毒的传播方式不够了解,病毒传播的渠道有很多种,可通过网络、物理介质等。查杀病毒,首先要知道病毒到底是什么,它的危害是怎么样的,知道了病毒危害性,提高了安全意识,杜绝毒瘤的战役就已经成功了一半。平时,企业要从加强安全意识着手,对日常工作中隐藏的病毒危害增加警觉性,如安装一种大众认可的网络版杀毒软件,定时更新病毒定义,对来历不明的文件运行前进行查杀,每周查杀一次病毒,减少共享文件夹的数量,文件共享的时候尽量控制权限和
10、增加密码等,都可以很好地防止病毒在网络中的传播。2.小心邮件n随着网络的普及,电子信箱成了人们工作中不可缺少的一种媒介。它方便快捷在提高了人们的工作效率的同时,也无意之中成为了病毒的帮凶。有数据显示,如今有超过90的病毒通过邮件进行传播。尽管这些病毒的传播原理很简单,但这块决非仅仅是技术问题,还应该教育用户和企业,让它们采取适当的措施。只要用户随时小心警惕,不要打开值得怀疑的邮件,就可把病毒拒绝在外。3.挑选网络版杀毒软件n选择一个功力高深的网络版病毒杀手就至关重要了。一般而言,查杀是否彻底,界面是否友好、方便,能否集中管理是决定一个网络杀毒软件的三大要素。局域网病毒的诊断和处理n局域网病毒的
11、诊断n局域网病毒的处理n单机病毒的处理nWINPE的使用快速找出局域网中病毒源头n在局域网环境中上网的朋友会经常碰到无故断线的情况,并且检查电脑也检查不出什么原因。其实出现这种情况,大部分情况下都是局域网中的某一台电脑感染了ARP类型的病毒所至。感染病毒,电脑一一杀毒,电脑过多的情况下显然很费时费力。现在就告诉你这三招两式,快速找出局域网中的“毒瘤”。 nARP:Address Resolution Protocol的缩写,即地址解析协议。ARP负责将电脑的IP地址转换为对应的物理地址,即网卡的MAC地址。当发生ARP欺骗时,相关主机会收到错误的数据,从而造成断网的情况发生。 一、查看防火墙一
12、、查看防火墙 n日志局域网中有电脑感染ARP类型病毒后,一般从防火墙的日志中可以初步判断出感染病毒的主机。 n感染病毒的机器的典型特征便是会不断的发出大量数据包,如果在日志中能看到来自同一IP的大量数据包,多半情况下是这台机器感染病毒了。 n这里以Nokia IP40防火墙为例,进入防火墙管理界面后,查看日志项,在“Event Log”标签下可以明显看到内网中有一台机器不断的有数据包被防火墙拦截,并且间隔的时间都很短。目标地址为公司WEB服务器的外网IP地址,设置过滤策略时对WEB服务器特意加强保护,所以可以看到这些项目全部是红色标示出来的。 到WEB服务器的数据包被拦截了,那些没有拦截的数据
13、包呢?自然是到达了目的地,而“目的”主机自然会不间断的掉线了。 n由于内网采用的DHCP服务器的方法,所以只知道IP地址还没有用,必须知道对应的MAC地址,才能查到病毒源。我们可以利用NBTSCAN来查找IP所对应的MAC地址。如果是知道MAC地址,同样可以使用NBBSCAN来得到IP地址。 n由此可见,防火墙日志,有些时候还是可以帮上点忙的。 n如果没有专业的防火墙,那么直接在一台客户机上安装天网防火墙之类的软件产品,同样能够看到类似的提醒。 二、利用现有工具二、利用现有工具n如果觉得上面的方法有点麻烦,且效率低下的话,那么使用专业的ARP检测工具是最容易不过的事了。这里就请出简单易用,但功
14、能一点也不含糊的ARP 防火墙。 ARP防火墙可以快速的找出局域网中ARP攻击源,并且保护本机与网关之间的通信,保护本机的网络连接,避免因ARP攻击而造成掉线的情况发生。软件运行后会自动检测网关IP及MAC地址并自动保护电脑。如果软件自动获取的地址有错误,可单击“停止保护”按钮,填入正确的IP地址后,单击“枚取MAC”按钮,成功获取MAC地址后,单击“自动保护”按钮开始保护电脑。 n当本机接收到ARP欺骗数据包时,软件便会弹出气泡提示,并且指出机器的MAC地址 。单击“停止保护”按钮,选中“欺骗数据详细记录”中的条目,再单击“追捕攻击者”按钮,在弹出的对话框中单击确定按钮。 n软件便开始追捕攻
15、击源,稍等之后,软件会提示追捕到的攻击者的IP地址。其实大多数时候,不用手工追捕,软件会自动捕获到攻击源的MAC地址及IP地址。 手动查找中毒机器n在电脑上ping 一下网关的IP 地址,然后使用ARP a 的命令看得到的网关对应的MAC 地址是否与实际情况相符,如不符,可去查找与该MAC 地址对应的电脑。三、有效防守三、有效防守n俗话说,进攻才是最好的防守。虽然通过上面的方法可以找到病毒源,并最终解决问题,不过长期有人打电话抱怨“又断线了”。总是这样擦屁股,似乎不是长久之际,因此有效保护每一台机器不被ARP欺骗攻击才是上策。比较有效的方法之一便是在每一台机器上安装ARP防火墙,设置开机自启动
16、,并且在“拦截本机发送的攻击包”项打勾,这样不仅可以保护不受攻击,还可以防止本机已感染病毒的情况下,发送欺骗数据攻击别的机器的情况发生。 应急的方法n手动ARP地址绑定n使用这种方法绑定的弱点便是,机器重新启动之后,绑定便会失效,需要重新绑定。因此可将上面的命令行做成一个批处理文件,并将快捷方式拖放到开始菜单的“启动”项目中,这样就实现每次开机自动绑定了。 n方法一:编辑个*.bat 文件内容如下:narp.exe sn*.*.*.*(网关ip) *n*n*n*n*(网关mac 地址)nendn让网络用户点击就可以了!n办法二:编辑一个注册表问题,键值如下:nWindows Registry Editor Version 5.00nHKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunn“mac”=“arp s网关IP 地址网关Mac 地址”n所谓“道高一尺,魔高一丈”,技术总是在不断更新,病毒也在不断的发展。使用可防御ARP攻击的三层交换机,绑定端口MAC-IP,合理划分VLAN,彻底阻止盗用IP、MAC地址,杜绝ARP