 |
||||||||||||
|
||||||||||||
|
||||||||||||
|
|
|||||||||||||||||||||
 |
浅析校园网络病毒威胁防范
浅析校园网络病毒威胁防范
长沙高新区虹桥小学 陶飞
网络如同一把双刃剑,对于校园网而言,它增强了学校从外部获得信息的能力,也使得高校校园网的管理要直面由Internet的开放性所带来的新挑战和新危险。而许多校园网都是从局域网发展来的,由于意识与资金方面的原因,他们在安全方面往往没有太多的设置,包括一些高校在内,常常只是在内部网与互联网之间放一个防火墙就了事了,甚至什么也不放,直接就面对互联网,这就给病毒、黑客提供了充分施展身手的空间。而病毒泛滥、黑客攻击、信息丢失、服务被拒绝等等,这些安全隐患发生任何一事对整个网络都将是致命性的。在信息化大规模发展的今天,防范网络威胁已经成为我们生活中重要的一个部分。那么,在这里我结合平时工作中的一些经验,说说我的看法。
随着“校校通”工程的进一步实施,越来越多的大中小学校具备了网络环境,建立了各自的数字化校园网络体系,这为获得良好的校园办公、教学与学习效果创造了条件。但由于校园网络具有联接形式多样性、终端分布不均匀性和网络的开放性、互连性等特征,致使网络易受黑客、病毒、恶意软件和其它不轨行为的攻击。在一些学校,由于对此未引起足够的重视,致使在校园网使用过程存在众多问题,校园网未能达到预期效果,甚至产生负面影响。
还有一些校园网站点,尤其是一些不成熟的asp校园网站点,利用一个asp的低级溢出漏洞,竟然能轻松的以管理员的身份登录。可见校园网信息安全的重视程度有多差。由此我产生了全面分析校园网络信息安全的隐患,并总结出一套自己的方法。
从DOS时代的“大麻”、“幽灵”,到Win9X时代的“CIH”、“梅莉莎”,再到Win2000时代的“红色代码”、“蓝色代码”,校园网一直是病毒肆虐的重灾区。这些也许离我们有些“遥远”,但是像“新欢乐时光”、“冲击波”、“震荡波”“熊猫烧香”等等,这样响当当的名字,在这几年可以说是最惹人注目了。由于参加工作这几年我一直担任学校网络管理员的工作。因此对这几个讨厌的家伙更是深有感触。因为这些病毒都曾使我校的计算机网络陷入过瘫痪。下面将这几个病毒的发现及应对过程,并结合校园网的特点总结出校园网络病毒的有效应对措施。
1、 “新欢乐时光”,这个病毒是2002年上半年出现的较为厉害的一个脚本病毒,它是用VBS编写的多变形、加密病毒,感染扩展名为.html, .htm, .asp, .php, .jsp, .htt和.vbs文件,同时该病毒会大量生成folder.htt和desktop.ini,并在%windir%System中生成一个名字叫Kernel.dll的文件(Windows 9x/Me)或kernel32.dll(Windows NT/2000),修改.dll文件的打开方式,感染Outlook的信纸文件。(注:%windir%指的是Windows的目录,对于Win9x/Me系统来说,这个目录通常是Windows,对于Windows NT/2000来说,这个目录通常是WinNT。①
我们感受最深的就是该病毒生成的两个讨厌的文件folder.htt和desktop.ini,还有被感染的机器几乎每一步操作都会生成这样的两个文件,过一段时间后电脑运行速度明显变慢。由于现在的校园网机房基本上都没有对软驱、光驱和usb口加以限制使用,导致病毒的传播速度极快。在极短的时间内就会导致整个机房崩溃。对于该病毒的查杀,首先想到的是专杀工具。下载专杀杀了一遍后系统竟然出现了问题。原来系统本身有folder.htt和desktop.ini文件。杀毒软件一起将其删除了。于是采取了手动删除的方法。后来专杀工具升级了,又采用专杀工具。
2、冲击波病毒:这是让我印象比较深刻的病毒,该病毒是由于计算机的系统由98升级到了2000,开始一段时间,运行很好。可是后来突然机房的大部分机器都不能复制粘贴了,而且有的机子经常出现“距离还有30秒”等字样,30秒结束机子便重启。经过一番调试之后未见效果于是上网查找原因,发现与网上介绍的中冲击波病毒的现象十分相像,于是按照网上所叙述的方法,打上补丁重启机器,果然又能复制粘贴了。原来冲击波病毒属于蠕虫系列,它利用的是系统的RPC 漏洞,病毒攻击系统时会使RPC服务崩溃,该服务是Windows操作系统使用的一种远程过程调用协议。②
3、 震荡波病毒:震荡波病毒利用的是系统的LSASS服务(该服务是操作系统的使用的本地安全认证子系统服务),它虽然产生的破坏现象跟冲击波病毒有些相似,但除了利用的漏洞不同之外,还有以下三个不同点:
产生的文件不同: 冲击波(Worm.Blaster)病毒运行时会在内存中产生名为msblast.exe的进程,在系统目录中产生名为msblast.exe的病毒文件,震荡波(Worm.Sasser)病毒运行时会在内存中产生名为avserve.exe的进程,在系统目录中产生名为avserve.exe的病毒文件。
利用的端口不同: 冲击波(Worm.Blaster)病毒会监听端口69,模拟出一个TFTP服务器,并启动一个攻击传播线程,不断地随机生成攻击地址,尝试用有RPC漏洞的135端口进行传播。震荡波(Worm.Sasser)病毒会本地开辟后门,听TCP的5554端口,然后做为FTP服务器等待远程控制命令,并疯狂地试探连接445端口。
攻击目标不同: 冲击波(Worm.Blaster)病毒攻击所有存在有RPC漏洞的电脑和微软升级网站,而震荡波(Worm.Sasser)病毒攻击的是所有存在有LSASS漏洞的电脑,但目前还未发现有攻击其它网站的现象。
4、熊猫烧香:“熊猫烧香”,又叫“武汉男生”。这是一个感染型的蠕虫病毒,它能感染系统中exe,com,pif,src,html,asp等文件,它还能中止大量的反病毒软件进程并且会删除扩展名为gho的文件,该文件是一系统备份工具GHOST的备份文件,使用户的系统备份文件丢失。被感染的用户系统中所有.exe可执行文件全部被改成熊猫举着三根香的模样。该病毒传染力极强,极难彻底清除,是今年来最泛滥、最顽固的病毒之一。它可以造成局域网中断,并干扰局域网中的其他电脑,病毒像瘟疫一样快速蔓延。
不管是“新欢乐时光”,还是“冲击波” “震荡波”或是“熊猫烧香”对于校园网的信息安全来说都是灾难性和毁灭性的,我们没有能力去阻止病毒制造者制造病毒,但是我们却可以加强安全措施防止病毒的侵害。通过多媒体机房这段时间防毒杀毒的经历,并结合校园网络的特点,我认为校园网的病毒防范应做到以下几点:
A、在安全模式或纯DOS中清除。在正常模式清除需要对Windows系统非常深入地了解,一般用户是很难干净地清除病毒的;推荐使用专杀工具在安全模式下进行杀毒,并且,在确认清除完成之前不要使用“Web视图”显示任何文件夹,比较稳妥的做法是在进入安全模式之前将所有的Web视图文件夹改为传统Windows风格。
B、在检查病毒的时候,建议同时检查平时常用的移动储存介质,如光盘、软盘、移动硬盘等,因为这是病毒重复感染的隐患。 C、对于联网的计算机,杀毒之前建议取消所有的共享目录。 D、操作系统要装有一定的杀毒软件,并且要及时更新病毒库。但也不能完全依赖杀毒软件。
说起杀毒软件的使用,很多人不以为然:“不就是开启一下防火墙、查杀一下病毒吗?有什么需要小题大作的?”不错,对于杀毒软件的基本功能,大家已经很熟悉了,但就一些细节问题,比如碰到杀毒软件不能成功查杀某个病毒时,你知道如何处理吗?就拿“冲击波”来说,将病毒库升级到最新版本时,防火墙灵敏的“嗅觉”倒是将冲击波闻出来了,但给出的提示是无法将Msblast.exe隔离,尝试用手工方式将该文件删除,不能成功,总提示文件正在使用,想在“任务管理器”中终止该进程,也不能如愿。其实,遇到上述问题时,你可以重新启动计算机,在进入系统前及时按[F8]键,选择以“安全模式”启动系统,由于此时系统只加载了必需的驱动或服务程序,“顽固”的病毒残余文件在这里一般能删除掉。
再者,以目前的防毒技术,还不能保证误杀情况不发生、或者删除病毒体时不将正常文件破坏,为了防止这些情况发生,多数防毒软件学“聪明”了,它们往往在杀除病毒体前将文件备份一份放到隔离区中,以后如果发生误杀,用户可以方便地将文件隔离区中恢复过来,但这也给病毒提供了在生的机会。
就我校校园网来说,由于是我管理,深知责任重大,所以我平时多多注意了学校老师使用计算机后的一些不良的习惯。比如:老师们下载资料都是放在了桌面上;进了一个陌生的网站后,突然弹出了对话框,有些老师看都没有看就点击了。往往在平时的这些不良习惯中,病毒、木马和流氓软件就已经攻击到计算机中。给学校管理员带来了不必要的麻烦。所以,通过这些发现都,我在学校的计算机中都装了一些对病毒带来的威胁防范得比较好的几种软件。比如:金山毒霸、魔法兔子、瑞星卡卡和优化大师。这几种软件在我所管理的网络环境中是必须的。因为它们可以很好的起到防毒、杀毒和清楚木马和流氓软件的效果。
计算机病毒攻击与防御手段是不断发展的,要在计算机病毒对抗中保持领先地位,必须根据发展趋势,在关键技术环节上实施跟踪研究。实施跟踪研究应着重围绕以下方面进行:一是计算机病毒的数学模型。二是计算机病毒的注入方式,重点研究“固化”病毒的激发。三是计算机病毒的攻击方式,重点研究网络间无线传递数据的标准化,以及它的安全脆弱性和高频电磁脉冲病毒枪置人病毒的有效性。四是研究对付计算机病毒的安全策略及防御技术。
上一篇:运用多媒体辅助几何知识教学的实践与探索[ 12-31 ]下一篇:沟通的路上……[ 03-30 ]
|
 |
|||||||||||||||||||
 |
