终端安全解决方案Word文档下载推荐.docx
- 文档编号:21609205
- 上传时间:2023-01-31
- 格式:DOCX
- 页数:11
- 大小:39.12KB
终端安全解决方案Word文档下载推荐.docx
《终端安全解决方案Word文档下载推荐.docx》由会员分享,可在线阅读,更多相关《终端安全解决方案Word文档下载推荐.docx(11页珍藏版)》请在冰豆网上搜索。
3、一般可采用安全卫士360等终端査杀和系统恢复软件进行临时文件
删除,服务的关闭和IE的淸理等,或釆用兵刃或红叶等安全套件进行清理,但兵刃和红叶中多是黑客的攻击软件需要保持其自身的安全性,防止前面驱虎,后面引狼;
4.终端软件重新安装也是比较快捷的方式,但是要注意简版的操作系
统和低版本的应用软件均在先天就存在致命的漏洞。
建议选择正版或全版和新整合的操作系统,在补丁安装完成前不要接入到网络中,并且注意安装软件自身的安全,应用软件可以逐步进行安装,但安装一个要确保其补丁升级完成。
这个工作在前期准备需要相当长的时间,但是这个是保证终端可用性的前提,一定要重视.
三、系统运行保护:
K终端一般安装安全卫士360或专用arp防护软件的arp防护工具
并启用,其原理一般是核査终端的arp表,定期进行刷新并禁止arp表的修订,终端病«
防护软件的安装和定期升级也是必要的前提;
2、操作系统补丁和应用软件定期安装;
3、终端IP和MAC统计和更新,并及时在二层交换机进行端口绑定,
三层交换机上IP和MAC的绑定及定期的査看;
4、也可采用终端准入的系统来控制终端必要系统补丁和应用程序的统
升级;
当然如果是恶意的攻击和破坏也是违反信息安全的法律和法规的,在进
行一定攻击的1W况的记录和资料准备可以申请电信级运营商协助进行问题定位,向通信管理局和公安机关等政府相关信息安全机构进行报案,他们可进行更大范
的监控和安全事件查证。
第二部分终端病毒防护方法
一.终端中毒前的防护
1.在终端重新做系统接入网络之前一定要把操作系统的补丁打好
木马病毒多数是通过系统漏洞入侵终端的,所以重新装完操作系统的终端,打补丁是重要的环节。
要做到每一台终端的补丁都打全之后再接入网络,如果等到终端中毒之后再打补丁就来不及了。
2、新接入网络的终端一定做到每一台终端都要装趋势防病毒软件。
一台都不能漏掉•如果漏掉了一台,就相当于操作系统的一个漏洞一样,因为趋势防病毒软件注重的是防御,将病毒拒之门外。
所以每一台终端都要装趋势杀毒软件也是很重要的一个环节.
3、前两点都做到的情况下,每一个终端的操作者要有良好的使用习惯•不浏览不良网站,不要去点击一些广告等欺骗性的页面•下载的时候要去正规的网站下载,使用的软件尽量用正版的。
安装软件的时候尽量不要安装在C盘。
很多软件也会有漏洞,木马病毒会通过软件漏洞入侵操作系统从而导致终端中毒。
在安装软件的过程中,软件本身会捆绑一些其它工具,如果安装的软件不是在正规网站下载的,那么很有可能捆绑的东西里会带有一些病毒木马等危害终端•或者恶意篡改IE浏览器主页。
所以安装软件的时候要注意一下软件捆绑的东西,不要一直下一步点到底。
4、移动介质在使用的过程当中要做好检査防止病«
蔓延
移动介质,例如:
优盘、软盘、光盘、移动硬盘等移动设备,在使用的过程中要做好备份、检查工作,防止病毒扩散。
5.要把不需要的系统共享关闭,还有Windows自动播放关闭。
一、终端中毒后的处理1、当前终端中病毒的途径有以下儿种:
(I)、网页挂马:
网页病毒主要是利用软件或系统操作平台等的安全漏洞,通过执行嵌入在网页HTML超文本标记语言内的JavaAppiet小应用程序,JavaScript脚本语言程序,ActiveX软件部件网络交互技术支持可自动执行的代码程序,以强行修改用户操作系统的注册表设置及系统实用配置程序,或非法控制系统用户文件,或恶意删除硕盘文件、格式化硬盘为行为U标的非法恶意程序•这种非法恶意程序能够得以被自动执行,在于它完全不受用户的控制.
一旦浏览含有该病毒的网页,在用户不知不觉的情况下,给用户的系统带来一般性的、轻度性的、恶性等不同程度的破坏。
网页病毒的激发条件是浏览网页,网页的浏览量直接影响病毒传播的速度,网页的浏览量宏观上是随着时间的增加而增加的。
(2)、移动介质:
U盘媒介一般是U盘插入一台已感染的电脑上,而感染的电脑上的U盘病毒趁机植入U盘,而用户再插入其他的电脑,其他的电脑就中毒了;
。
硬盘媒介通过硬盘传染也是fi要的渠道,山于带有病毒机器移到其它地方使用、维修等,将干净的软盘传染并再扩散;
光盘媒介:
因为光盘容量大,存储了海量的可执行文件,大量的病«
就有可能藏身于光盘,对只读式光盘,不能进行写操作,因此光盘上的病毒不能清除。
以谋利为U的非法盗版软件的制作过程中,不可能为病毒防护担负专门责任,也决不会有真正可靠可行的技术保障避免病毒的传入、传染、流行和扩散•当前,盗版光盘的泛滥给病毒的传播带来了很大的便利.
(3)、共享:
局域网是山相互连接的一组计算机组成的,这是数据共学和相互协作的需要。
组成网络的每一台计算机都能连接到其他计算机,数据也能从一台计算机发送到其他计•算机上•如果发送的数据感染了讣算机病毒,接收方的计算机将自动被感染,因此,有可能在很短的时间内感染整个网络中的讣算机.
局域网络技术的应用为企业的发展做出巨大贡献,同时也为计算机病毒的迅速传播铺平了道路。
同时,山于系统漏洞所产生的安全隐患也会使病毒在局域网中传
(4)、邮件:
病毒制作者将病毒放在电子邮件的附件中寄给受害者,引诱受害者打开电子邮件附件而传染病毒,或将病毒直接放在电子邮件内寄给受害者,诱使受害者阅读电子邮件而传染病毒.
(5)、漏洞型病毒:
因此即使你没有运行非法软件没有打开邮件浏览只要你连接到网络中,漏洞型病毒就会利用操作系统的漏洞进入你的讣算机如冲击波和震荡波.
(6)、间谍软件:
是一种恶意程序,能够附着(捆绑)在软件安装包、共学文件、可执行图像以及各种可执行文件当中并能趁机潜入用户的系统,它能跟踪用户的上网习惯,更换用户主页,窃取用户的密码及其他个人隐私信息.
(7)、中毒的一些表现
我们怎样知道电脑中病毒了呢?
其实电脑中毒跟人生病一样,总会有一些明显的症状表现出来•例如机器运行十分缓慢、上不了网、杀毒软件升不了级、word文档打不开,电脑不能正常启动、硬盘分区找不到了、数据丢失等等,就是中毒的一些征兆。
2、中毒诊断
(1)、按Ctrl+Shift+Ese键(同时按此三键),调!
11windows任务管理器査看系统运行的进程,找出不熟悉进程并记下其名称(这需要经验),如果这些进程是病毒的话,以便于后面的清除。
暂时不要结束这些进程,因为有的病«
或非法的进程可能在此没法结束•点击性能查看CPU和内存的当前状态,如果CPU的利用率接近100%或内存的占用值居高不下,此时电脑中毒的可能性是95%.
(2)、査看windows当前启动的服务项,llE“控制面板〃的“管理工具”里打开“服务”。
看右栏状态为“启动”启动类别为“自动"
项的行;
一般而言,正常的windOWS服务,基本上是有描述内容的(少数被骇客或蠕虫病毒伪造的除外),此时双击打开认为有问题的服务项査看其属性里的可执行文件的路径和名称,假如其名称和路径为C:
WinntsystemS2explored.exe,汁算机中招。
有一种悄况是“控制面板”打不开或者是所有里面的图标跑到左边,中间有一纵向的滚动条,而右边为空0,再双击添加/删除程序或管理工具,窗体内是空的,这是病毒文件winhipp32oexe发作的特性.
(3)、运行注册表编辑器,命令为regedit或regedt32,查看都有那些程序与windOWS一起启动。
主要看Hkey_LocaI_MachineSoftwareMicroSoftWindowsCurrentVersionRun和后面儿个RunOnce等,査看窗体右侧的项值,看是否有非法的启动项。
WindowsXP运行msconfig也起相同的作用•随着经验的积累,你可以轻易的判断病毒的启动项.
(4)、取消隐藏属性,查看系统文件夹Winnt(windows)system32,如果打开后文件夹为空9表明电脑已经中毒;
打开system32后,可以对图标按类型排序,看有没有流行病毒的执行文件存在。
顺便査一下文件夹Tasks,祇ns,drivers。
U前有的病毒执行文件就藏身于此;
driversetc下的文件hosts是病毒喜欢篡改的对象,它本来只有700字节左右,被篡改后就成了1Kb以上,这是造成一般网站能访问而安全厂商网站不能访问、著名杀毒软件不能升级的原因所在。
(5)、由杀毒软件判断是否中毒,如果中毒,杀毒软件会被病毒程序自动终止,并且手动升级失败。
3、中毒之后如何处理
(1)、在注册表里删除随系统启动的非法程序,然后在注册表中搜索所有该键值,删除之。
当成系统服务启动的病毒程序,会在nkey_Local_MachineSystemControlSetOOlservices和controIset002services里藏身,找到之后一并消灭。
(2)、停止有问题的服务,改自动为禁止.
(3)、如果文件syStem32driversetchosts被篡改,恢复它,即只剩下一行有效值“127.0.0。
1localhost^其余的行删除•再把host设
置成只读.4(4)、重启电脑,扌恩F8进“带网络的安全模式”。
U的是不让病毒程序启动,乂可以对WindowS升级打补丁和对杀毒软件升级。
(5)、搜索病毒的执行文件,手动消灭之。
A(6)、对Windowsfl-级打
补丁和对杀毒软件升级。
(7)、关闭不必要的系统服务,如remoteregistryserviceo
(8)、第6步完成后用杀毒软件对系统进行全面的扫描,剿灭漏网之鱼。
(9)、上步完成后,重启计算机,完成所有操作。
4、下面介绍两种常见的紧急情况处理方法
(1)、ARP病毒攻击与防护
1、1ARP概念
ARP,全称AddressResoIutionProtocob中文名为地址解析协议,它工作在数据链路层,在本层和®
件接口联系,同时对上层提供服务。
IP数据包常通过以太网发送,以太网设备并不识别32位IP地址,它们是以48位以太网地址传输以太网数据包。
因此,必须把IPU的地址转换成以太网U的地址。
在以太网中,一个主机要和另一个主机进行直接通信,必须要知道U标主机的MAC地址。
但这个U标MAC地址是如何获得的呢?
它就是通过地址解析协议获得的。
ARP协议用于将网络中的IP地址解析为的硬件地址(MAC地址),以保证通信的顺利进行。
2、ARPT作原理A首先,每台主机都会在自己的ARP缓冲区中建立一个
ARP列表,以表示IP地址和mac地址的对应关系。
当源主机需要将一个数据包要发送到U的主机时,会首先检査自己ARP列表中是否存在该IP地址对应的MAC地址,如果有,就直接将数据包发送到这个MAC地址;
如果没有,就向本地网段发起一个ARP请求的广播包,查询此U的主机对应的MAC地址。
此ARP请求数据包里包括源主机的IP地址、硬件地址.以及U的主机的IP地址。
网络中所有的主机收到这个ARP请求后,会检査数据包中的目的IP是否和自己的I
P地址一致。
如果不相同就忽略此数据包「如果相同,该主机首先将发送端的M
AC地址和IP地址添加到自己的ARP列表中,如果ARP表中已经存在该IP的信息,则将其覆盖,然后给源主机发送一个ARP响应数拯包,告诉对方自己是它需要查找的MAC地址;
源主机收到这个ARP响应数据包后,将得到的U的主机的IP地址和MAC地址添加到自己的人RP列表中,并利用此信息开始数据的传输•如果源主机一直没有收到ARP响应数据包,表示ARP查询失败。
例如:
从的地址为:
IP:
192。
168.10。
1MAC:
AA-AA-AA-AA-AA—AA
B的地址为:
IP:
192o168•10。
2MAC:
BB—BB-BB-BB-BB-BB根据上面的所讲的原理,我们简单说明这个过程:
A要和B通讯,A就需要知道B的以太网地址,于是A发送一个ARP请求广播(谁是192.168。
10.2,请告诉
192。
168。
10。
1),当B收到该广播,就检查自己,结果发现和自己的一致,然后就向A发送一个ARP单播应答(192.16&
10。
2在BB-BB—BB-BB-BB—B
3.欺骗原理A假设一个网络环境中,网内有三台主机,分别为主机A、B、
Co主机详细信息如下描述:
M的地址为:
IP:
168.10.1MAC:
AA—AA-AA-
AA-AA-AAaB的地址为:
192o168.10.2MAC:
BB-BB-BB—BB-BB-BB
C的地址为:
192.168olOo3MAC:
CC—CC-CC—CC-CC-CC正常W况下A和C之间进行通讯,但是此时B向A发送一个自己伪造的ARP应答,而这个应答中的数据为发送方IP地址是192.168。
10.3(C的IP地址),M
AC地址是BB-BB—BB-BB—BB-BB(C的MAC地址本来应该是CC-CC—C
C-CC-CC-CC,这里被伪造了)。
当A接收到B伪造的ARP应答,就会更新本地的ARP缓存(A被欺骗了),这时B就伪装成C了.同时,B同样向C发送一个
ARP应答,应答包中发送方IP地址四192。
168.lOo1(A的IP地址),MAC地址是BB—BB-BB—BB-BB—BB(A的MAC地址本来应该是A
A-AA-AA-AA—AA—AA),当C收到B伪造的ARP应答,也会更新本地ARP缓存
(C也被欺骗了),这时B就伪装成了这样主机A和C都被主机B欺骗,A和C之间通讯的数据都经过了B•主机B完全可以知道他们之间说的什么:
)o这就是典型的ARP欺骗过程"
注意:
一般情况下,ARP欺骗的某一方应该是网关.
4.常用的防护方法
搜索网上,U询对于ARP攻击防护问题出现最多是绑定IP和MAC和使用
ARP防护软件,也出现了具有ARP防护功能的路山器。
呵呵,我们来了解下这三种方法。
首先:
静态绑定A最常用的方法就是做IP和MAC静态绑定,在网内把主机和网关都做IP和mac绑定•欺骗是通过ARP的动态实时的规则欺骗内网机器,所以我们把ARP全部设置为静态可以解决对内网PC的欺骗,同时在网关也要进行IP和MAC的静态绑定,这样双向绑定才比较保险.
方法:
对每台主机进行IP和MAC地址静态绑定。
A通过命令,arp-s可以实现%
rp-sIPMAC地址”"
“arp-sl92・16&
lOo1AA-AA—AA-
AA-AA-AA"
如果设置成功会在PC上面通过执行arp-a可以看到相关的提示:
Internet
AddressPhysica1AddressType192.168-lOo1AA-AA-AA—AA—AA—AAstatic(静态)—般不绑定,在动态的悄况下:
AlnternetAddressPhysicalAddress
Type192•168.10.1AA-AA-AA-AA—AA-AAdynamic(动态“说明:
对于网络中有很多主机,500台,1000台。
,如果我们这样每一台都去做静态绑定,工作量是非常大的,这种静态绑定,在电脑每次重起后,都必须重新在绑定,虽然也可以做一个批处理文件,但是还是比较麻烦的!
其次:
使用ARP防护软件前关于ARP类的防护软件出的比较多了,大家使用比较常用的ARP工具主要是欣向ARP工具,Antiarp等。
它们除了本身来检测±
ARP攻击外,防护的丄作原理是一定频率向网络广播正确的ARP信息。
我们还是来简单说下这两个小工具。
A.IP/
(1)、欣向ARP工具A俺使用了该工具,它有5个功能:
金
MAC清单金选择网卡。
如果是单网卡不需要设置。
如果是多网卡需要设置连接内网的那块网卡。
亠IP/MAC扫描。
这里会扫描口前网络中所有的机器的IP与mac地址。
请在内网运行正常时扫描,因为这个表格将作为对之后ARP的参照。
之后的功能都需要这个表格的支持,如果出现提示无法获取IP或MAC时,就说明这里的表格里面没有相应的数据。
B.ARP欺骗检测A这个功能会一直检测内网是否有PC冒充表格内的IP。
你可以把主要的IP设到检测表格里面,例如,路由器,电影服务器,等需要内网机器访问的机器IP」(补充)“ARP欺骗记录〃表如何理解:
A“Tim/:
发现问题时的时间;
亠“Sender"
:
发送欺骗宿息的IP或MAC;
—RepeatJ欺诈信息发送的次数;
A"
ARPinfo\是指发送欺骗信息的具体内容.如下面例子:
timesenderRepeatARPinfo22:
22:
22192.168。
1・221433192.168.lo1isat00:
0e:
03:
22:
02:
e8a这条信息的意思是:
在2
2:
22的时间,检测到山192.16&
1.22发出的欺骗信息,己经发送了1433次,他发送的欺骗信息的内容是:
192。
16&
L1的MAC地址是00:
0e:
03:
02:
e8o打开检测功能,如果出现针对表内IP的欺骗,会出现提示。
可以按照提示查到内网的ARP欺骗的根源•提示一句,任何机器都可以冒充其他机器发送IP打MAC,所以即使提示出某个IP或MAC在发送欺骗信息,也未必是100%的准确。
所有请不要以暴力解决某些问题.AC°
主动维护这个功能可以直接解决ARP欺骗的掉线问题,但是并不是理想方法。
他的原理就在网络内不停的广播制定的IP的正确的MAC地址。
A“制定维护对象"
的表格里面就是设置需要保护的IP。
发包频率就是每秒发送多少个正确的包给网络内所有机器。
强烈建议尽量少的广播IP,尽量少的广播频率。
一般设置1次就可以,如果没有绑定IP的悄况下,出现ARP欺骗,可以设置到50-100次,如果还有
掉线可以设置更高,即可以实现快速解决ARP欺骗的问题。
但是想真正解决ARP
系统日志,等功能。
E.抓包A类似于网络分析软件的抓包,保存格武是.capo
(2)、AntiarpA这个软件界面比较简单,以下为我收集该软件的使用方
法。
Ao填入网关IP地址,点击[获取网关地址]将会显示出网关的MAC地址。
点击[自动防护]即可保护当前网卡与该网关的通信不会被第三方监听。
注意:
如出现ARP欺骗提示,这说明攻击者发送了ARP欺骗数据包来获取网卡的数据包,如果您想追踪攻击来源请记住攻击者的MAC地址,利用MAC地址扫描器可以
找出IP对应的MAC地址•AB.IP地址冲突如频繁的出现IP地址冲突,这说明攻击者频繁发送ARP欺骗数据包,才会出现
IP冲突的警告,利用AntiARPSniffer可以防止此类攻击。
心C•您需要知道冲突的MAC地址,Windows会记录这些错误。
査看具体方法如下:
右击[我的电脑]~[管理]--点击[事件査看器]-一点击[系统]一一査看来源为[TCPIP]双击事件可以看到显示地址发生冲突,并记录了该MA
C地址,请复制该mac地址并填入AntiARPSniffer的本地MAC地址
输入框中(请注意将:
转换为-),输入完成之后点击[防护地址冲突],为了使
MAC地址生效请禁用本地网卡然后再启用网卡,在CMD命令行中输入Ipconfig/alb查看当HUMAC地址是否与本地MAC地址输入框中的MAC地址相符,如果更改失败请与我联系。
如果成功将不再会显示地址冲突。
如果您想恢复默认mac地址,请点击[恢复默认],为了使MAC地址生效请禁用本地网卡然后再启用网卡。
4再次:
具有ARP防护功能的路由器亠这类路山器以前听说的很少,对于这类路山器中提到的ARP防护功能,其实它的原理就是定期的发送自己正确的ARP宿息。
但是路山器的这种功能对于真正意义上的攻击,是不能解决的詁ARP的最常见的特征就是掉线,一般情况下不需要处理一定时间内可以回复正常上网,因为ARP欺骗是有老化时间的,过了老化时间就会自动的回复正常。
现在大多数路山器都会在很短时间内不停广播自己的正确ARP信息,使受骗的主机回复正常。
但是如果出现攻击性ARP欺骗(其实就是时间很短的量很大的欺骗ARPa秒有个儿百上千的),它是不断的发起ARP欺骗包来阻止内网机器上网,即使路山器不断广播正确的包也会被他大量的错误信息给淹没。
A可能你会有疑问:
我们也可以发送比欺骗者更多更快正确的ARP信息啊?
如果攻击者每秒发送1000个ARP欺骗包,那我们就每秒发送1500个正确的ARP信息
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 终端 安全 解决方案