终端安全解决方案.docx
《终端安全解决方案.docx》由会员分享,可在线阅读,更多相关《终端安全解决方案.docx(15页珍藏版)》请在冰点文库上搜索。
终端安全解决方案
终端安全解决方案
第一部分、终端问题的处理方法
一、首先需要查到攻击源:
1、物理查看方法,查看网卡显示灯。
没有运行应用的机器,网卡的收发两个灯或发送灯在不停的闪烁,可判定这台终端有问题;
2、终端查看连接状态的方法,查看终端开放的端口,协议等。
在DOS命令状态下输入netstat-an查看连接状态,查看是否有异常端口开放,是否有异常的连接等,通过arp-a查看arp表,主要看网关和已经终端的MAC地址学习是否正确,用arp-d删除错误IP对应的MAC地址,netshare查看一下共享信息,无用文件共享关闭。
netstat-rn查看终端的路由信息是否正常,而ipconfig/all看一下网卡启用状态,一般需要将无用的和虚拟的网卡禁用。
查看网络连接,即“本地连接”或其他名称的网络连接,无用连接需要禁用。
有用连接中的相关无用服务关闭掉,尤其是“QOS数据包计划”经常导致系统出现问题。
在测试时可仅保留“mircosofe客户端”和“internet协议(TCP/IP)这两个协议,其他的测试时可保留终端防火墙和终端抓包的两类协议,但一定要确认是本地软件安装的协议,必要时可卸载然后重新用干净软件安装一下;
3、采用sniffer或ethtool这样的抓包工具查看攻击,一般发包比较多的为攻击源。
sniffer你直接看流量的图,哪个终端与服务器的直连线最高说明发起的攻击最多。
而ethtool一般直接查看arp协议,点协议排序就可以,一般有问题的机器不停的问我是谁这样相关的信息;
4、查看终端补丁安装情况,一般需要确认相关操作系统安全补丁均已经正常安装,并查一下相关主要的应用软件是否也需要进行补丁安装或程序的版本升级,一般升到最新的稳定安装版本,不要升级测试版本;
5、采用任务管理器和安全卫士360等工具查看服务器和终端当前应用程序的运行情况,无用的相关应用程序进行关闭,同时查看IE的相关设置是否有问题,建议删除无用的第三方IE插件;
二、确定问题后进行查杀:
1、物理上方法一般采用2层交换机端口进行绑定的方式进行终端的IP和MAC确定;
2、将二层交换机向三层交换机进行汇聚连接,并在三层交换机上进行终端IP和MAC绑定。
在初始的情况下,如果哪个终端的MAC地址迅速网关或替换其他IP的MAC,则此终端存在问题,一般将其MAC绑定为全零,然后进行arp表的清除;
3、一般可采用安全卫士360等终端查杀和系统恢复软件进行临时文件删除,服务的关闭和IE的清理等,或采用兵刃或红叶等安全套件进行清理,但兵刃和红叶中多是黑客的攻击软件需要保持其自身的安全性,防止前面驱虎,后面引狼;
4、终端软件重新安装也是比较快捷的方式,但是要注意简版的操作系统和低版本的应用软件均在先天就存在致命的漏洞。
建议选择正版或全版和新整合的操作系统,在补丁安装完成前不要接入到网络中,并且注意安装软件自身的安全,应用软件可以逐步进行安装,但安装一个要确保其补丁升级完成。
这个工作在前期准备需要相当长的时间,但是这个是保证终端可用性的前提,一定要重视。
三、系统运行保护:
1、终端一般安装安全卫士360或专用arp防护软件的arp防护工具并启用,其原理一般是核查终端的arp表,定期进行刷新并禁止arp表的修订,终端病毒防护软件的安装和定期升级也是必要的前提;
2、操作系统补丁和应用软件定期安装;
3、终端IP和MAC统计和更新,并及时在二层交换机进行端口绑定,三层交换机上IP和MAC的绑定及定期的查看;
4、也可采用终端准入的系统来控制终端必要系统补丁和应用程序的统一升级;
当然如果是恶意的攻击和破坏也是违反信息安全的法律和法规的,在进行一定攻击的情况的记录和资料准备可以申请电信级运营商协助进行问题定位,向通信管理局和公安机关等政府相关信息安全机构进行报案,他们可进行更大范围的监控和安全事件查证。
第二部分终端病毒防护方法
一、终端中毒前的防护
1、在终端重新做系统接入网络之前一定要把操作系统的补丁打好
木马病毒多数是通过系统漏洞入侵终端的,所以重新装完操作系统的终端,打补丁是重要的环节。
要做到每一台终端的补丁都打全之后再接入网络,如果等到终端中毒之后再打补丁就来不及了。
2、新接入网络的终端一定做到每一台终端都要装趋势防病毒软件。
一台都不能漏掉。
如果漏掉了一台,就相当于操作系统的一个漏洞一样,因为趋势防病毒软件注重的是防御,将病毒拒之门外。
所以每一台终端都要装趋势杀毒软件也是很重要的一个环节。
3、前两点都做到的情况下,每一个终端的操作者要有良好的使用习惯。
不浏览不良网站,不要去点击一些广告等欺骗性的页面。
下载的时候要去正规的网站下载,使用的软件尽量用正版的。
安装软件的时候尽量不要安装在C盘。
很多软件也会有漏洞,木马病毒会通过软件漏洞入侵操作系统从而导致终端中毒。
在安装软件的过程中,软件本身会捆绑一些其它工具,如果安装的软件不是在正规网站下载的,那么很有可能捆绑的东西里会带有一些病毒木马等危害终端。
或者恶意篡改IE浏览器主页。
所以安装软件的时候要注意一下软件捆绑的东西,不要一直下一步点到底。
4、移动介质在使用的过程当中要做好检查防止病毒蔓延
移动介质,例如:
优盘、软盘、光盘、移动硬盘等移动设备,在使用的过程中要做好备份、检查工作,防止病毒扩散。
5、要把不需要的系统共享关闭,还有Windows自动播放关闭。
二、终端中毒后的处理
1、当前终端中病毒的途径有以下几种:
(1)、网页挂马:
网页病毒主要是利用软件或系统操作平台等的安全漏洞,通过执行嵌入在网页HTML超文本标记语言内的JavaApplet小应用程序,JavaScript脚本语言程序,ActiveX软件部件网络交互技术支持可自动执行的代码程序,以强行修改用户操作系统的注册表设置及系统实用配置程序,或非法控制系统用户文件,或恶意删除硬盘文件、格式化硬盘为行为目标的非法恶意程序。
这种非法恶意程序能够得以被自动执行,在于它完全不受用户的控制。
一旦浏览含有该病毒的网页,在用户不知不觉的情况下,给用户的系统带来一般性的、轻度性的、恶性等不同程度的破坏。
网页病毒的激发条件是浏览网页,网页的浏览量直接影响病毒传播的速度,网页的浏览量宏观上是随着时间的增加而增加的。
(2)、移动介质:
u盘媒介一般是u盘插入一台已感染的电脑上,而感染的电脑上的u盘病毒趁机植入u盘,而用户再插入其他的电脑,其他的电脑就中毒了;.硬盘媒介通过硬盘传染也是重要的渠道,由于带有病毒机器移到其它地方使用、维修等,将干净的软盘传染并再扩散;光盘媒介:
因为光盘容量大,存储了海量的可执行文件,大量的病毒就有可能藏身于光盘,对只读式光盘,不能进行写操作,因此光盘上的病毒不能清除。
以谋利为目的非法盗版软件的制作过程中,不可能为病毒防护担负专门责任,也决不会有真正可靠可行的技术保障避免病毒的传入、传染、流行和扩散。
当前,盗版光盘的泛滥给病毒的传播带来了很大的便利。
(3)、共享:
局域网是由相互连接的一组计算机组成的,这是数据共享和相互协作的需要。
组成网络的每一台计算机都能连接到其他计算机,数据也能从一台计算机发送到其他计算机上。
如果发送的数据感染了计算机病毒,接收方的计算机将自动被感染,因此,有可能在很短的时间内感染整个网络中的计算机。
局域网络技术的应用为企业的发展做出巨大贡献,同时也为计算机病毒的迅速传播铺平了道路。
同时,由于系统漏洞所产生的安全隐患也会使病毒在局域网中传播
(4)、邮件:
病毒制作者将病毒放在电子邮件的附件中寄给受害者,引诱受害者打开电子邮件附件而传染病毒,或将病毒直接放在电子邮件内寄给受害者,诱使受害者阅读电子邮件而传染病毒。
(5)、漏洞型病毒:
因此即使你没有运行非法软件没有打开邮件浏览只要你连接到网络中,漏洞型病毒就会利用操作系统的漏洞进入你的计算机如冲击波和震荡波。
(6)、间谍软件:
是一种恶意程序,能够附着(捆绑)在软件安装包、共享文件、可执行图像以及各种可执行文件当中并能趁机潜入用户的系统,它能跟踪用户的上网习惯,更换用户主页,窃取用户的密码及其他个人隐私信息。
(7)、中毒的一些表现
我们怎样知道电脑中病毒了呢?
其实电脑中毒跟人生病一样,总会有一些明显的症状表现出来。
例如机器运行十分缓慢、上不了网、杀毒软件升不了级、word文档打不开,电脑不能正常启动、硬盘分区找不到了、数据丢失等等,就是中毒的一些征兆。
2、中毒诊断
(1)、按Ctrl+Shift+Ese键(同时按此三键),调出windows任务管理器查看系统运行的进程,找出不熟悉进程并记下其名称(这需要经验),如果这些进程是病毒的话,以便于后面的清除。
暂时不要结束这些进程,因为有的病毒或非法的进程可能在此没法结束。
点击性能查看CPU和内存的当前状态,如果CPU的利用率接近100%或内存的占用值居高不下,此时电脑中毒的可能性是95%。
(2)、查看windows当前启动的服务项,由“控制面板”的“管理工具”里打开“服务”。
看右栏状态为“启动”启动类别为“自动”项的行;一般而言,正常的windows服务,基本上是有描述内容的(少数被骇客或蠕虫病毒伪造的除外),此时双击打开认为有问题的服务项查看其属性里的可执行文件的路径和名称,假如其名称和路径为C:
winntsystem32explored.exe,计算机中招。
有一种情况是“控制面板”打不开或者是所有里面的图标跑到左边,中间有一纵向的滚动条,而右边为空白,再双击添加/删除程序或管理工具,窗体内是空的,这是病毒文件winhlpp32.exe发作的特性。
(3)、运行注册表编辑器,命令为regedit或regedt32,查看都有那些程序与windows一起启动。
主要看Hkey_Local_Machine SoftwareMicroSoftWindowsCurrentVersionRun和后面几个RunOnce等,查看窗体右侧的项值,看是否有非法的启动项。
WindowsXp运行msconfig也起相同的作用。
随着经验的积累,你可以轻易的判断病毒的启动项。
(4)、取消隐藏属性,查看系统文件夹winnt(windows)system32,如果打开后文件夹为空,表明电脑已经中毒;打开system32 后,可以对图标按类型排序,看有没有流行病毒的执行文件存在。
顺便查一下文件夹Tasks,wins,drivers.目前有的病毒执行文件就藏身于此; driversetc下的文件hosts是病毒喜欢篡改的对象,它本来只有700字节左右,被篡改后就成了1Kb以上,这是造成一般网站能访问而安全厂商网站不能访问、著名杀毒软件不能升级的原因所在。
(5)、由杀毒软件判断是否中毒,如果中毒,杀毒软件会被病毒程序自动终止,并且手动升级失败。
3、中毒之后如何处理
(1)、在注册表里删除随系统启动的非法程序,然后在注册表中搜索所有该键值,删除之。
当成系统服务启动的病毒程序,会在 Hkey_Local_MachineSystemControlSet001services和controlset002services里藏身,找到之后一并消灭。
(2)、停止有问题的服务,改自动为禁止。
(3)、如果文件system32driversetchosts被篡改,恢复它,即只剩下一行有效值“127.0.0.1localhost”,其余的行删除。
再把host设置成只读。
(4)、重启电脑,摁F8进“带网络的安全模式”。
目的是不让病毒程序启动,又可以对Windows升级打补丁和对杀毒软件升级。
(5)、搜索病毒的执行文件,手动消灭之。
(6)、对Windows升级打补丁和对杀毒软件升级。
(7)、关闭不必要的系统服务,如remoteregistryservice。
(8)、第6步完成后用杀毒软件对系统进行全面的扫描,剿灭漏网之鱼。
(9)、上步完成后,重启计算机,完成所有操作。
4、下面介绍两种常见的紧急情况处理方法
(1)、ARP病毒攻击与防护
①、1ARP概念
ARP,全称AddressResolutionProtocol,中文名为地址解析协议,它工作在数据链路层,在本层和硬件接口联系,同时对上层提供服务。
IP数据包常通过以太网发送,以太网设备并不识别32位IP地址,它们是以48位以太网地址传输以太网数据包。
因此,必须把IP目的地址转换成以太网目的地址。
在以太网中,一个主机要和另一个主机进行直接通信,必须要知道目标主机的MAC地址。
但这个目标MAC地址是如何获得的呢?
它就是通过地址解析协议获得的。
ARP协议用于将网络中的IP地址解析为的硬件地址(MAC地址),以保证通信的顺利进行。
②、ARP工作原理
首先,每台主机都会在自己的ARP缓冲区中建立一个ARP列表,以表示IP地址和MAC地址的对应关系。
当源主机需要将一个数据包要发送到目的主机时,会首先检查自己ARP列表中是否存在该IP地址对应的MAC地址,如果有﹐就直接将数据包发送到这个MAC地址;如果没有,就向本地网段发起一个ARP请求的广播包,查询此目的主机对应的MAC地址。
此ARP请求数据包里包括源主机的IP地址、硬件地址、以及目的主机的IP地址。
网络中所有的主机收到这个ARP请求后,会检查数据包中的目的IP是否和自己的IP地址一致。
如果不相同就忽略此数据包;如果相同,该主机首先将发送端的MAC地址和IP地址添加到自己的ARP列表中,如果ARP表中已经存在该IP的信息,则将其覆盖,然后给源主机发送一个ARP响应数据包,告诉对方自己是它需要查找的MAC地址;源主机收到这个ARP响应数据包后,将得到的目的主机的IP地址和MAC地址添加到自己的ARP列表中,并利用此信息开始数据的传输。
如果源主机一直没有收到ARP响应数据包,表示ARP查询失败。
例如:
A的地址为:
IP:
192.168.10.1MAC:
AA-AA-AA-AA-AA-AA
B的地址为:
IP:
192.168.10.2MAC:
BB-BB-BB-BB-BB-BB
根据上面的所讲的原理,我们简单说明这个过程:
A要和B通讯,A就需要知道B的以太网地址,于是A发送一个ARP请求广播(谁是192.168.10.2,请告诉192.168.10.1),当B收到该广播,就检查自己,结果发现和自己的一致,然后就向A发送一个ARP单播应答(192.168.10.2在BB-BB-BB-BB-BB-BB)。
③、欺骗原理
假设一个网络环境中,网内有三台主机,分别为主机A、B、C。
主机详细信息如下描述:
A的地址为:
IP:
192.168.10.1MAC:
AA-AA-AA-AA-AA-AA
B的地址为:
IP:
192.168.10.2MAC:
BB-BB-BB-BB-BB-BB
C的地址为:
IP:
192.168.10.3MAC:
CC-CC-CC-CC-CC-CC
正常情况下A和C之间进行通讯,但是此时B向A发送一个自己伪造的ARP应答,而这个应答中的数据为发送方IP地址是192.168.10.3(C的IP地址),MAC地址是BB-BB-BB-BB-BB-BB(C的MAC地址本来应该是CC-CC-CC-CC-CC-CC,这里被伪造了)。
当A接收到B伪造的ARP应答,就会更新本地的ARP缓存(A被欺骗了),这时B就伪装成C了。
同时,B同样向C发送一个ARP应答,应答包中发送方IP地址四192.168.10.1(A的IP地址),MAC地址是BB-BB-BB-BB-BB-BB(A的MAC地址本来应该是AA-AA-AA-AA-AA-AA),当C收到B伪造的ARP应答,也会更新本地ARP缓存(C也被欺骗了),这时B就伪装成了A。
这样主机A和C都被主机B欺骗,A和C之间通讯的数据都经过了B。
主机B完全可以知道他们之间说的什么:
)。
这就是典型的ARP欺骗过程。
注意:
一般情况下,ARP欺骗的某一方应该是网关。
④、常用的防护方法
搜索网上,目前对于ARP攻击防护问题出现最多是绑定IP和MAC和使用ARP防护软件,也出现了具有ARP防护功能的路由器。
呵呵,我们来了解下这三种方法。
首先:
静态绑定
最常用的方法就是做IP和MAC静态绑定,在网内把主机和网关都做IP和MAC绑定。
欺骗是通过ARP的动态实时的规则欺骗内网机器,所以我们把ARP全部设置为静态可以解决对内网PC的欺骗,同时在网关也要进行IP和MAC的静态绑定,这样双向绑定才比较保险。
方法:
对每台主机进行IP和MAC地址静态绑定。
通过命令,arp-s可以实现“arp–sIPMAC地址”。
例如:
“arp–s192.168.10.1AA-AA-AA-AA-AA-AA”。
如果设置成功会在PC上面通过执行arp-a可以看到相关的提示:
InternetAddressPhysicalAddressType
192.168.10.1AA-AA-AA-AA-AA-AAstatic(静态)
一般不绑定,在动态的情况下:
InternetAddressPhysicalAddressType
192.168.10.1AA-AA-AA-AA-AA-AAdynamic(动态)
说明:
对于网络中有很多主机,500台,1000台...,如果我们这样每一台都去做静态绑定,工作量是非常大的,这种静态绑定,在电脑每次重起后,都必须重新在绑定,虽然也可以做一个批处理文件,但是还是比较麻烦的!
其次:
使用ARP防护软件
目前关于ARP类的防护软件出的比较多了,大家使用比较常用的ARP工具主要是欣向ARP工具,Antiarp等。
它们除了本身来检测出ARP攻击外,防护的工作原理是一定频率向网络广播正确的ARP信息。
我们还是来简单说下这两个小工具。
(1)、欣向ARP工具
俺使用了该工具,它有5个功能:
A.IP/MAC清单
选择网卡。
如果是单网卡不需要设置。
如果是多网卡需要设置连接内网的那块网卡。
IP/MAC扫描。
这里会扫描目前网络中所有的机器的IP与MAC地址。
请在内网运行正常时扫描,因为这个表格将作为对之后ARP的参照。
之后的功能都需要这个表格的支持,如果出现提示无法获取IP或MAC时,就说明这里的表格里面没有相应的数据。
B.ARP欺骗检测
这个功能会一直检测内网是否有PC冒充表格内的IP。
你可以把主要的IP设到检测表格里面,例如,路由器,电影服务器,等需要内网机器访问的机器IP。
(补充)“ARP欺骗记录”表如何理解:
“Time”:
发现问题时的时间;
“sender”:
发送欺骗信息的IP或MAC;
“Repeat”:
欺诈信息发送的次数;
“ARPinfo”:
是指发送欺骗信息的具体内容.如下面例子:
timesenderRepeatARPinfo22:
22:
22192.168.1.221433192.168.1.1isat00:
0e:
03:
22:
02:
e8
这条信息的意思是:
在22:
22:
22的时间,检测到由192.168.1.22发出的欺骗信息,已经发送了1433次,他发送的欺骗信息的内容是:
192.168.1.1的MAC地址是00:
0e:
03:
22:
02:
e8。
打开检测功能,如果出现针对表内IP的欺骗,会出现提示。
可以按照提示查到内网的ARP欺骗的根源。
提示一句,任何机器都可以冒充其他机器发送IP与MAC,所以即使提示出某个IP或MAC在发送欺骗信息,也未必是100%的准确。
所有请不要以暴力解决某些问题。
C.主动维护
这个功能可以直接解决ARP欺骗的掉线问题,但是并不是理想方法。
他的原理就在网络内不停的广播制定的IP的正确的MAC地址。
“制定维护对象”的表格里面就是设置需要保护的IP。
发包频率就是每秒发送多少个正确的包给网络内所有机器。
强烈建议尽量少的广播IP,尽量少的广播频率。
一般设置1次就可以,如果没有绑定IP的情况下,出现ARP欺骗,可以设置到50-100次,如果还有掉线可以设置更高,即可以实现快速解决ARP欺骗的问题。
但是想真正解决ARP问题,还是请参照上面绑定方法。
D.欣向路由器日志
收集欣向路由器的系统日志,等功能。
E.抓包
类似于网络分析软件的抓包,保存格式是.cap。
(2)、Antiarp
这个软件界面比较简单,以下为我收集该软件的使用方法。
A.填入网关IP地址,点击[获取网关地址]将会显示出网关的MAC地址。
点击[自动防护]即可保护当前网卡与该网关的通信不会被第三方监听。
注意:
如出现ARP欺骗提示,这说明攻击者发送了ARP欺骗数据包来获取网卡的数据包,如果您想追踪攻击来源请记住攻击者的MAC地址,利用MAC地址扫描器可以找出IP对应的MAC地址.
B.IP地址冲突
如频繁的出现IP地址冲突,这说明攻击者频繁发送ARP欺骗数据包,才会出现IP冲突的警告,利用AntiARPSniffer可以防止此类攻击。
C.您需要知道冲突的MAC地址,Windows会记录这些错误。
查看具体方法如下:
右击[我的电脑]--[管理]--点击[事件查看器]--点击[系统]--查看来源为[TcpIP]---双击事件可以看到显示地址发生冲突,并记录了该MAC地址,请复制该MAC地址并填入AntiARPSniffer的本地MAC地址输入框中(请注意将:
转换为-),输入完成之后点击[防护地址冲突],为了使MAC地址生效请禁用本地网卡然后再启用网卡,在CMD命令行中输入Ipconfig/all,查看当前MAC地址是否与本地MAC地址输入框中的MAC地址相符,如果更改失败请与我联系。
如果成功将不再会显示地址冲突。
注意:
如果您想恢复默认MAC地址,请点击[恢复默认],为了使MAC地址生效请禁用本地网卡然后再启用网卡。
再次:
具有ARP防护功能的路由器
这类路由器以前听说的很少,对于这类路由器中提到的ARP防护功能,其实它的原理就是定期的发送自己正确的ARP信息。
但是路由器的这种功能对于真正意义上的攻击,是不能解决的。
ARP的最常见的特征就是掉线,一般情况下不需要处理一定时间内可以回复正常上网,因为ARP欺骗是有老化时间的,过了老化时间就会自动的回复正常。
现在大多数路由器都会在很短时间内不停广播自己的正确ARP信息,使受骗的主机回复正常。
但是如果出现攻击性ARP欺骗(其实就是时间很短的量很大的欺骗ARP,1秒有个几百上千的),它是不断的发起ARP欺骗包来阻止内网机器上网,即使路由器不断广播正确的包也会被他大量的错误信息给淹没。
可能你会有疑问:
我们也可以发送比欺骗者更多更快正确的ARP信息啊?
如果攻击者每秒发送1000个ARP欺骗包,那我们就每秒发送1500个正确的ARP信息!
面对上面的疑问,我们仔细想想,如果网络拓扑很大,网络中接了很多网络设备和主机,大量的设备都去处理这些广播信息,那网络使用起来好不爽,再说了会影响到我们工作和学习。
ARP广播会造成网络资源的浪费和占用。
如果该网络出了问题,我们抓包分析,数据包中也会出现很多这类ARP广播包,对分析也会造成一定的影响。
(2)、WORM_DOWNAD处理方法
WORM_DOWNAD病毒是一种透过多种管道攻击其它计算机的病毒。
当企业内部一旦感染这种复合型攻击的病毒时,若没有事先做好应对的措施,很容易因为资安环境有弱点而在短时间内造成严重的伤害
WORM_DOWNAD具有以下几种特性:
①透过MS08-067的系统弱点攻击计算机
利用密码字典攻击法登入Admin$system32数据夹执行病毒档案,并在工作排程中新增工作项目产生病毒档案
在可携式磁盘驱动器与网络磁盘驱动器中产生病毒档案
升级会员 