《计算机与网络安全》PPT课件

补丁更新服务器（组策略）
四、在“策略模板”中选择“wuau.adm”，并 选择“打开”。 五、选择“关闭”，关闭“添加/删除模板” 窗口。 六、选择“计算机配置”->“管理模板”>“Windows 组件”->“Windows Update”， 并选择“配置自动更新”。 七、在“配置自动更新”的属性窗口中，选 择“启用”，并选择“确定”。
补丁更新服务器（注册表）
Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\M icrosoft\Windows\WindowsUpdate] “WUServer”=“http://wsus.tsinghua.edu.cn" "WUStatusServer"="http://wsus.tsinghua.edu.cn" [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\M icrosoft\Windows\WindowsUpdate\AU] "UseWUServer"=dword:00000001
ARP工作原理

假如主机A需要和主机D进行通讯，它首先会发现 这个主机D的IP地址并不是自己同一个网段内的， 因此需要通过网关来转发，这样的话它会检查自 己的ARP缓存表里是否有网关192.168.1.1对应的 MAC地址，如果没有就通过ARP请求获得，如果 有就直接与网关通讯，然后再由网关C通过路由 将数据包送到网关E，网关E收到这个数据包后发 现是送给主机D（10.1.1.2）的，它就会检查自己 的ARP缓存（没错，网关一样有自己的ARP缓 存），看看里面是否有10.1.1.2对应的MAC地址， 如果没有就使用ARP协议获得，如果有就是用该 MAC地址与主机D通讯。
口令设置要求 1. 口令应该不少于8个字符； 2. 不包含字典里的单词、不包括姓氏的汉语 拼音； 3. 同时包含多种类型的字符，比如 大写字母(A,B,C,..Z) 小写字母(a,b,c..z) 数字(0,1,2,…9) 标点符号(@,#,!,$,%,& …)

windows的安全保护机制
防病毒系统 1. 一定要及时升级病毒库文件（推荐使用企 业版） 2. 实时监控功能一定要开着 3. 推荐使用的杀毒软件 趋势科技的officescan防毒软件 赛门铁克的norton防毒软件 瑞星杀毒软件（rising) 卡巴斯基。。。。
提纲
个人计算机的安全配置与使用规范 校园网近期安全问题 个人计算机常见安全问题与解决办法 讨论
一．
二．
三．
四．
二、近期校园网常见安全问题
ARP攻击
系统入侵
ARP攻击
什么是ARP攻击？
利用ARP协议本身的缺陷进行的一种非法攻 击，目的是为了在全交换环境下实现数据 监听。通常这种攻击方式可能被病毒、木 马或者有特殊目的攻击者使用。 ARP攻击有什么危害？ 致使同网段的其他用户无法正常上网（频繁 断网或者网速慢），泄露用户的敏感信息。

1.
2. 3. 4.
系统的选择原则 选择最新版的操作系统（推荐winxp或 2003） 尽量选择已经带有service pack的版本 遵从“最小安装原则” 如果有专职管理员，请专职管理员协助安 装操作系统
操作系统初始安装的过程

1.
2. 3. 4. 5.
系统安装与加固 预先将东西准备好（如防火墙软件等） 安装过程请拔掉网线 系统安装结束后请安装并启用防火墙后再插上 网线 配置补丁自动更新，并升级补丁程序 安装防病毒软件并升级到最新的病毒库 具体过程请参照 ftp://166.111.8.243/doc/初装计算机补丁安装.doc
趋势科技杀毒软件
趋势科技的杀毒客户端自带了一个简单防
火墙，功能类似于xp系统自带的防火墙， 当xp系统自带的防火墙启动后，这个防火 墙的功能会自动关闭。
一、个人计算机的安全配置与使用规范
1.
2.
3.
Windows系统的安全保护机制 校内安全资源的使用 初装计算机的正确步骤
初装计算机的正确步骤

windows的安全保护机制
正确的使用习惯 不随便下载程序运行 不访问一些来历不明的网页链接 不使用的情况下尽量关闭机器 经常备份重要数据

1.
2.
3. 4.
一、个人计算机的安全配置与使用规范
1.
2.
3.
Windows系统的安全保护机制 校内安全资源的使用 初装计算机的正确步骤
校内安全资源的使用
ARP攻击
什么情况下表明局域网内有ARP攻击 校园网登陆系统频繁掉线 网速突然变慢 使用ARP –a命令发现网关的MAC地址不 停的变换 使用sniffer软件发现局域网内存在大量的 ARP reply包

1.
2.
3. 4.
ARP攻击
如何发现正在进行ARP攻击的主机 1、在知道正确的网关MAC的情况下，通过 ARP –a命令看到的另一个网关MAC就是 攻击主机的MAC 2、使用Sniffer软件抓包发现大量的以网关的 IP地址发送的ARP reply包，包中指定的 MAC就是攻击主机的MAC 3、使用我们开发的ARP保护程序发现攻击主 机的MAC ftp://166.111.8.243/tools/ArpFix.rar
ARP攻击

1.
2.
3.
4. 5.
如何预防感染ARP病毒？ 关闭不必要的共享 及时安装系统补丁程序 安装防病毒软件并及时升级病毒库 不随便运行来历不明的程序 不访问一些来历不明的链接
windows的安全保护机制

系统与应用程序补丁
补丁的安装方法:
1. 2. 3. 4.
Windows在线的update网站更新(需要是正版) 微软提供的自动更新服务(速度慢) 学校提供的WSUS服务器(推荐使用) 手动下载补丁程序安装(不推荐)
需要提醒的时除了系统补丁外,很多应用软件也需要 安装补丁程序,如(office、IE、OUTLOOK等）
计算机与网络安全
提纲
个人计算机的安全配置与使用规范 校园网近期安全问题 个人计算机常见安全问题与解决办法 讨论
一．
二．
三．
四．
一、个人计算机的安全配置与使用规范
1.
2.
来自百度文库
3.
Windows系统的安全保护机制 校内安全资源的使用 初装计算机的正确步骤
一、个人计算机的安全配置与使用规范
Windows系统的安全保护机制 系统与应用程序补丁 防火墙 帐号与口令 防病毒软件 正确的使用习惯
ARP欺骗
1.

主机b向网关C发送ARP应答包说：我是A 我的MAC地址是02-02-02-02-02-02， 主机b同时向主机A发送ARP应答包说： 我是C我的MAC地址是02-02-02-02-0202 B获得A发给C的数据，修改后发给C，同 时获得C发给A的数据修改后发给A，实现 了监听过程
补丁更新服务器
清华的WSUS服务器 http://wsus.tsinghua.edu.cn 地址：166.111.8.105
1. 2.
WSUS服务配置方法 修改注册表 修改组策略（推荐）
补丁更新服务器（组策略）
一、选择“开始”，“运行”，输入 gpedit.msc，打开组策略窗口。 二、选择“管理模板”，然后从菜单中选择 “操作”，“添加/删除模板”。 （注意：winxp sp1以上版本的操作系统中这 个wuau.adm已经添加了，您可以直接跳到 第六步） 三、在“添加/删除模板”窗口中选择“添 加”。
ARP原理
ARP（AddressResolutionProtocol）地址解析 协议用于将计算机的网络地址（IP地址32位）转 化为物理地址（MAC地址48位）[RFC826] ARP协议是属于链路层的协议，在以太网中的数 据帧从一个主机到达网内的另一台主机是根据48 位的以太网地址（硬件地址）来确定接口的，而 不是根据32位的IP地址。内核（如驱动）必须知 道目的端的硬件地址才能发送数据。 点对点的连接是不需要ARP协议的。
补丁更新服务器（组策略）
八、在“指定Intranet Microsoft更新服务器位 置”的属性窗口中，选择“启用”，并在 “设置检测更新的Intranet更新服务：”框 中输入“http://wsus.tsinghua.edu.cn/”，在 “设置Intranet统计服务器：”框中输入 “http://wsus.tsinghua.edu.cn/”，并选择确 定。 九、关闭组策略窗口。 十、在开始运行处输入 wuauclt.exe /detectnow 命令，立即启动wsus服务！
ARP攻击
几个概念： Arp缓存表
ARP攻击
ARP数据包
13:10:44.802151 arp who-has 192.168.1.1 tell 192.168.1.2 13:10:44.802607 arp reply 192.168.1.1 is-at 00:00:0c:07:ac:00
ARP欺骗
Arp欺骗原理
主机在实现ARP缓存表的机制中存在一个不 完善的地方，当主机收到一个ARP的应答 包后，它并不会去验证自己是否发送过这 个ARP请求，而是直接将应答包里的MAC 地址与IP对应的关系替换掉原有的ARP缓存 表里的相应信息。这就导致主机B截取主机 A与主机D之间的数据通信成为可能


1.
2.
企业版的趋势杀毒软件采用的是服务器自动 分发病毒库文件，无需用户手动更新。
趋势科技杀毒软件
图标的定义
趋势科技杀毒软件
卸载客户端需要密码（tsinghua或者pass)
关于客户端漫游功能（校外临时使用）
立即更新功能（一般情况下不需要手动点
击立即更新） 图标显示断开（可能是临时性的网络故障， 客户端一般不用做什么操作） 查看病毒码更新日期（主窗口-> 帮助->关 于->病毒码发布日期）
windows的安全保护机制

1.
2. 3.
防火墙的选用 Winxp或者win2003自带的防火墙（推荐使 用） Windows自身的组策略安全规则（配置复 杂） 第三方的防火墙（如天网个人防火墙、 norton提供的防火墙、瑞星杀毒软件提供 的防火墙、趋势防火墙）
防火墙是必须的
windows的安全保护机制
补丁更新服务器（注册表）
当系统右下角的托盘中出现了黄色的小盾牌（ windows2000为绿色的小地球图标）后，说明系 统有需要安装的补丁程序，双击该图标后按照系 统提示安装相应的补丁程序！
趋势科技杀毒软件
病毒服务器地址：http://av.tsinghua.edu.cn 病毒软件的安装方法： 在线安装（需要把控件功能打开） 下载安装包安装

ARP攻击

1.
2.
如何处理感染主机 发现感染主机，第一时间拔掉网线 按照安全手册重新安装操作系统
ARP攻击
目前已知的ARP病毒的传播途径 通过外挂程序传播 通过网页传播 通过其他木马程序传播 通过即时通讯软件传播（QQ、MSN） 通过共享传播（网络共享、P2P软件共享）

1.
2.
3. 4. 5.

ARP原理
主机名 IP地址 MAC地址 主机A 192.168.1.2 01-01-01-01-01-01 主机B 192.168.1.3 02-02-02-02-02-02 网关C 192.168.1.1 03-03-03-03-03-03 主机D 10.1.1.2 04-04-04-04-04-04 网关E 10.1.1.1 05-05-05-05-05-05
ARP工作原理

假如主机A要与主机B通讯，它首先会检查自己的 ARP缓存中是否有192.168.1.3这个地址对应的 MAC地址，如果没有它就会向局域网的广播地址 发送ARP请求包，大致的意思是192.168.1.3的 MAC地址是什么请告诉192.168.1.2,而广播地址会 把这个请求包广播给局域网内的所有主机，但是 只有192.168.1.3这台主机才会响应这个请求包， 它会回应192.168.1.2一个arp包，大致的意思是 192.168.1.3的MAC地址是02-02-02-02-02-02。这 样的话主机A就得到了主机B的MAC地址，并且 它会把这个对应的关系存在自己的ARP缓存表中。 之后主机A与主机B之间的通讯就依靠两者缓存表 里的MAC地址来通讯了，直到通讯停止后两分钟， 这个对应关系才会被从表中删除。