本
6.2 网络安全常见问题与故障
6.2.1 防杀病毒
注意Wi n do w s 安装顺序
局域网采用代理服务器接入I n t e r n e t 。奇怪的是,服务器安装完成后,很快就会感染病毒,
从而导致运行速度变慢,性能大幅下降。请问,应当如何处理?
答:在安装过程中,有两个顺序一定要注意。一是接入网络的顺序。W i n do ws
S e r v e r
2003安装时有一个漏洞,当用户输入A d m i n i s t r a t o r 密码后,系统就建立了A d m i n $的共享,但是,此时并没有使用刚刚输入的密码来保护,而且这种情况将一直持续到再次启动。在此期间,任何人都可以通过A d m i n $进入本地计算机。同时,安装完成后,各种服务都将自动运行,此时各种漏洞都没有被修补,很容易被入侵的。因此,在完全安装并配置好W i n d o w s S e r v e r 2003之前,暂时不要设置网络连接,禁止将计算机连接至网络。二是系统补丁的安装顺序。系统补丁应当在所有应用程序都安装完成之后再进行,因为补丁程序往往要替换或修改某些系统文件。如果先安装系统补丁再安装应用程序,有可能导致补丁文件被原漏洞文件覆盖,从而又打开原来
的漏洞。例如,I I S 的H o t F i x 要求每次更改I I S 组件后
都要重新安装。
“口令”蠕虫病毒
网络借助路由器实现I n t e r n e t 连接,然而,最近频繁遭遇“口令”蠕虫病毒攻击,导致局
域网近于瘫痪。请问,应当如何处理?
答:“口令”蠕虫病毒主要攻击N T 平台,通过扫描W i ndows
2000/XP 的445端口,进行共享会话猜测管理员系统口令。如果猜测到口令,则蠕虫建立管理会话,用p s e x e c.e x e 程序通过共享上传蠕虫文件,在被感染的主机上,在注册表中S o f t w a r e \Microsoft\Windows\CurrentVersion\Run 设置启动项,以便病毒能够在系统启动的时候加载运行。蠕虫会在主机上开启V N C 后门,该后门开启5800和5900端口,进行远程控制。蠕虫开启扫描进程,对随机生成的I P 地址进行扫描来传播感染其他主机。建议购置网络防火墙,从而过滤蠕虫病毒使用的端口号。如果没有充裕的资金,也可以在路由器上设置访问列表,实现端口过滤。
第1步
进入全局配置模式
Switch# configure terminal
第2步
定义扩展I P 访问列表,取值范围为100
~
199或2000 ~ 2699。
Switch(config)# access-list access-list-number {deny | permit} protocol source source-wildcard [operator port] destination destination-wildcard [operator port]
或者
access-list access-list-number {deny | permit}
protocol any
[operator port] any [operator port]或者access-list access-list-number {deny | permit}
protocol host source [operator port] host destination [operator
port]
protocol 欲过滤的协议,如IP 、TCP 、UDP 、ICMP 等。默认过滤所有协议,若欲根据特殊协议进行报
文过滤,需指
定协议。destination destination-wildcard 目的地址和通配符屏蔽码。
ope rat or
端口操作符,在协议类型为T CP 或U DP 时支持端口比较,支持的比较操作有:等于(e q )、大于(gt )、小于(lt )、不等于(neq )或介于(range );如果操作符为r a n g e ,则后面需要跟两个端口。
P o r t 端口号,可以用几种不同方法指定。可以指定数字或使用一个可识别的助记符。例如,可以使用80或http
指定超文本传输协议,使用21或ft p 指定文件传输协议。若网络因此蠕虫病毒发生异常,可在防火墙或者路由器上作相应端口的过滤。
access-list 110 deny tcp any any eq 445access-list 110 deny tcp any any eq 5800access-list 110 deny
tcp any any
eq
5900access-list 110
permit ip
any
any 第3步
返回特权配置模式。Switch(config)#
end
第4步
校验当前设置。
第6章
网络安全方案与故障
Switch# show access-lists number 第5步 保存当前配置。
Switch# copy running-config startup-config 终端用户可采取如下措施:
☆为A dmini st rat or 设置一个强壮的密码。☆查看系统进程是否存在D v l d r 32.e x e ,以确认是否被病毒感染,如果您的系统被感染,那么可以结束该进程,并在正确的目录下删除相应的蠕虫文件和注册表键值,然后重新启动系统。
☆重新启动机器。
☆如无必需,建议关闭5800、5900端口。A S P 服务经常不能访问
我们小区的服务器用的是W n d o w s 2003+IIS+CGI ,有Web 、FTP 等服务,最近几天ASP 服
务经常不能访问,就像不到网页一样,用瑞星杀毒时到几种病毒:T r o j a n.L M i r.W h b o y.d 、S
c r I P t.Homepage.d 、Trojan.LMir.Howa 、Worm. ,估计可能是这几种病毒的影响,于是就全盘杀毒,杀完毒后重新启动系统恢复正常,可是第二天系统又不行了,症状一样,可是用瑞星最新版(16.16)杀毒后竟然说没有病毒,那为什么A S P 又不行了呢?重新启动后就又正常了,原因何在?
答:从故障现象上看,主要是感染了冲击波病毒。作为一种蠕虫病毒,在重新启动系统时,其影响不会立即表现,但使用一段时间之后,即开始出现故障现象。请从网络中下载并安装冲击波补丁,即可解决该问题。另外,估计你的服务器没有安装病毒防火墙,也没有及时地升级系统安全补丁。建议及时从M i crosoft 的站点下载最新的升级包,或者让你的系统自动升级。现在许多病毒特别是里蠕虫病毒,都是利用操作系统的漏洞进行传播的。当系统有漏洞时,就会被自动感染,对于局域网内的计算机更是如此。当需要安装新的操作系统时,建议采用如下方法:
第一,拔掉计算机的网线,格式化,重新安装操作系统,安装M i crosoft 最新的升级包(在一台无病毒的计算机上,从M i c r o s o f t 的站点下载),安装防火墙及防病毒软件。
第二,插上网线,运行在线升级程序,并启动操作系统的“自动更新”功能。
第三,安装相应的服务,如I I S 、F T P 等,上传网站。
估计以后就不会出现此类问题了。中了冲击波病毒
我最近与宿舍同学用A D SL+H u b 共享上网(A D S L 为虚拟拨号),其他两台计算机均没有问题。
但我的计算机启动时进程中有一个名为“d l l h o s t ”的
程序,且网络应用始终在1%左右(约100k ),其他两部计算机就会掉线,我的计算机也不能正常上网。结束该进程后,一切正常。请问,如何解决?
答:这是冲击波W orm_M SB l a st.A 的变种“冲击波杀手”W o r m _M S B l a s t.D ,同样利用微软的R P C D C O M 缓冲溢出漏洞攻击,并利用W i n d o w s I I S W e b D A V 进行传播。解决的方法如下:
☆下载冲击波专杀工具查杀蠕虫病毒。金山毒霸的冲击波专杀工具下载地址为:h t t p ://g z4.d ub a/download/othertools/Duba_Sdbot.EXE 。
☆下载并安装微软R P C 漏洞补丁。☆使用最新版杀毒工具和防火墙。
需要注意的是,该进程不一定就都是病毒,因为这也是系统进程DCO M DL L Host 。在查杀蠕虫病毒后再出现该进程是正常的。
病毒问题导致网络突然时断时续
公司采用网通的D D N 上网。以前用的很好,但是,上周五突然出现了网络时断时续的现
象。周六和周日公司上网的人很少,网络工作恢复正常。周一上班后,发现网络断断续续非常频繁,W e b 无法 览,Q Q 信息也无法发送。代理服务器安装双网卡,使用S y G a t e 实现连接共享。打开S y G a t e 主窗口查看时,发现I n t e r n e t 网络速度很慢,基本不到1k /s ,网络流量为0k /s 。偶尔连接速度勉强可以的时候,丢包现象非常严重。重启S y G a t e 后,网内的I n t e r n e t 访问仅仅可以好20秒左右。后来更换了代理服务器,并启用了W i n do w s 内置的I C S ,结果该计算机不到5分钟就死机了!下班的时候,换回了原来的那台代理服务器,结果公司8台开着的计算机工作都正常,网速也很快。请问,这是什么原因?应当如何解决?
答:导致该故障的原因是网络内的计算机感染了蠕虫病毒,向网络发送了大量的广播包,从而占用了大量的网络带宽和计算机处理性能,从而导致网络拥塞和系统死机。先将少量计算机连接到网络,执行Windows Update ,升级最新系统安全补丁。重复操作,直至为所有计算机都安装安全补丁。然后,在每一台计算机上安装并启用病毒防火墙,升级至最新病毒库,并进行病毒查杀。
刚装系统就感染
刚刚安装的Win dows XP 系统,在安装了一些应用程序并重新启动计算机后,再次连接In t e rn et
时,就显示连接已失败错误。可是,在刚装完系统时还是可以登录呀。请问,应当如何解决?
答:如果你的计算机在局域网内,并且你的计算机在装好后就连接到网络上(不管是局域网,还是I n t e r n e t ),在你系统装好后的不长时间,就已经
被
感染。对于W i n dows XP系统,建议使用如下的方法
安装,拔掉网线,格式化系统分区,重新安装系统,
安装网卡驱动,启用W i ndow s X P内置的防火墙、安
装系统安全补丁,然后插上网线,在线执行W i n d o w s
U p d a t e升级,之后重新启动,再安装应用程序。这样
安装系统后,就不会有问题了。
中了冲击波后,要全网打补丁
自从冲击波之后,学校的网络变得龟速一般
(不知道网管是不是在睡觉)。览网页速度
慢还可以忍受,也符合逻辑,但局域网打C S怎么会
卡呢?按道理学校网络慢只会影响出口带宽,局域
网内部传输应该不会受这么大的影响。请问,有无
改良办法?
答:中了冲击波病毒的计算机,会反复向整个
网络广播,这样严重影响整个网络的速度,导致整
个网络不能正常工作。同时,由于计算机会处理网
络内的所有广播包,所以,随着广播的增加,计算
机性能也会大幅下降。解决的方法最好是关闭交换
机,为所有的计算机升级系统安全补丁,安装病毒
防火墙并杀毒。
系统提示服务器没有设置事务处理
想在一个网络里做两台服务器,一个C S服务
器,一个电影服务器。为什么在C S服务器的
“网上邻居”可以看到整个局域网的资源,而在电影
服务器中却什么也看不到,而且打开还很慢?系统
提示无法访问W o r k g r o u p,服务器没有设置事务处理。
但是,可以Ping通。两台服务器全部采用Windows 2000
S e r v e r,并且安装为独立服务器。
答:右击任务栏并在快捷菜单中选择“任务管
理器”,选择“进程”选项卡,如果看到一个名为
“w u a m g r d.e x e”的进程,则表明系统感染了“w32.
spybot.worm”病毒。该病毒借助TCP的139和UDP的
1434等端口传播,导致服务器不能提供共享服务。
解决的方法是进入安全模式,查看并结束该进程。
然后,打开W i n d o w s资源管理器,搜索并删除所有
的wua mg rd.e x e文件,并重新启动计算机。也可以安
装病毒防火墙(如Norton AntiViurs)查该病毒。最后,
执行Windows Update,访问Microsoft网站进行在线升
级,给所有服务器都安装系统安全补丁。
所有计算机都有I P冲突提示
今天早晨上班,公司局域网中所有计算机都
出现了I P地址冲突的提示,请问这是什么原
因?
答:这种情况极有可能是由一些黑客软件造成
的。例如,一款名叫“局域网终结者”的黑客工具,
采用A R P欺骗和IP的攻击,攻击后会使IP地址一直显
示冲突。建议采用以下方式解决:
第一,使用最新病毒库的杀毒软件对系统进行
查杀。
第二,安装D H C P服务器,并为每台计算机指定
保留的I P地址,即将每台计算机的I P地址与M A C地
址在D H C P服务器上进行绑定。
防火墙提示“试图连接本机的445端口”
计算机处于企业内部网络。天网防火墙不断
报警,提示有计算机“试图连接本机的445端
口”,该操作被拒绝。计算机运行速度非常慢,不过,
只要断开网络,速度就恢复正常。请问,应当如何
处理?
答:445端口是Common Internet File System(CIFS,
公共I n t e r n e t文件系统)使用的端口,就目前情况看,
并非受到攻击。不过,从网络和运行速度变慢的情
况来看,网络内的许多计算机已经感染了蠕虫病毒,
请及时安装最新的安全补丁程序。
莫名其妙地死机或重新启动计算机
最近两天,网络内的计算机总是莫名其妙地
死机或重新启动计算机。检查系统进程时,发
现一个名为“m s b l a s t.e x e”的进程在运行。请问,这
是什么原因?应当如何解决?
答:该故障很有可能是感染了“冲击波”病毒
(R a v b l a s t e r.e x e)。冲击波病毒感染症状如下:
☆莫名其妙地死机或重新启动计算机;
☆Int ernet Explorer览器不能正常地打开链接;
☆不能复制粘贴;
☆有时出现应用程序,比如W o r d异常;
☆网络变慢;
☆在任务管理器里有一个叫“msb l a st.e xe”的进
程在运行。
如果以上这些情形,是最近两天才出现的故障
现象,都很有可能是由于受到了“冲击波”病毒的
攻击。尤其是系统中有“msb l a st.e x e”进程,那就肯
定是已经被冲击波攻击。“冲击波”是利用微软R P C
漏洞进行传播的蠕虫病毒,至少攻击过全球80%的
W i n d o w s用户,使他们的计算机无法工作并反复重
启,甚至获取对该计算机的完全控制权。建议立刻
下载并安装病毒专杀工具和系统安全补丁,并在安
装更新程序之后,重新启动计算机。病毒清除操作
如下:
☆从微软下载并安装R P C系统安全补
丁。
☆右击任务栏,并在快捷菜单中选择“任务管
理器”,终止“m s b l a s t”病毒进程。
☆病毒运行时会将自身复制为%s y s t e m d i r%\
m s b l a s t.e x e,可以手动删除该病毒文件。在这里,
第6章
网络安全方案与故障
%W i n d i r %是一个变量,它指的是操作系统安装目录,默认是“C:\W indows ”或“C:\W innt ”,也可以是用户在安装操作系统时指定的其他目录。%syst e mdi r%是一个变量,它指的是操作系统安装目录中的系统目录,默认是“C:\W indows\syste m ”或“C:\Winnt\system32”。
☆病毒会修改注册表的HKEY _L O CAL _M A CHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 项,在其中加入“windows auto update"=" ”,进行自启动,手工清除该键值。
☆病毒会用到135、4444、69等端口,可以使用防火墙软件将这些端口禁止,或者使用W i n d o w s 2000/X P 的“T C P /I P 筛选”功能,禁止这些端口。
☆安装病毒防火墙。为系统安装S y m a n t e c A n t i V i r u s 、金山毒霸、瑞星等病毒防火墙,并升级至最新病毒库。
系统提示1分钟倒计时
从昨天开始,代理服务器频繁提示系统即将开机,要求保存在运行的工作,如图6-7所
示。然后,即自动重新启动。请问,这是什么原因?
图6-7 感染震荡波病毒
答:从故障现象上看,是感染了“震荡波”病毒(Worm.Sasser )。当连接至网络或Internet 中的计算机出现下列现象之一,则表明已经感染了“震荡波”病毒:
☆出现系统错误对话框。被攻击的计算机将出现L S A S h e l l 服务异常框,接着出现一分钟后重启计算机的“系统关机”提示框。
☆系统日志中出现相应记录。如果用户无法确定计算机是否出现过异常框或系统重启提示,还可以通过查看系统日志的办法确定。运行“事件查看器”程序,查看其中系统日志,如果事件描述为“一个关键系统进程,c:\windows\ ,失败,状态代码是c 00000005。必须现在重新启动计算机。”则证明已经中毒。
☆系统资源被大量占用。病毒如果攻击成功,则会占用大量系统资源,使C P U 占用率达到100%,计算机运行将异常缓慢。
☆内存中出现名为 a v s e r v e 的进程。病毒如果攻击成功,会在内存中产生名为a v se rv e.e x e 的进程,可以用Ctrl+Shift+Esc 的方式调用“任务管理器”,然后,查看内存里是否存在上述病毒进程。
☆系统目录中出现名为 a v s e r v e.e x e 的病毒文件。病毒如果攻击成功,会在系统安装目录(默认为 C:\WINNT )下产生一个名为av se rve.e xe 的病毒文件。
☆注册表中出现病毒键值。病毒如果攻击成功,会在注册表的HKEY_L O CA L _M A CHINE\SO FT W A R E\Microsoft\Windows\CurrentVersion\Run 项中建立病毒键值“ "="%Windows%\ ”。
“震荡波”病毒破坏方式为在本地开辟后门,监听T CP 5554端口,作为F T P 服务器等待远程控制命令。病毒以F T P 的形式提供文件传送。黑客可以通过这个端口偷窃用户机器的文件和其他信息。病毒开辟128个扫描线程。以本地I P 地址为基础,取随机I P 地址,疯狂地试探连接445端口,试图利用W i nd ow s 的L S A S S 中存在一个缓冲区溢出漏洞进行攻击,一旦攻击成功会导致对方机器感染此病毒并进行下一轮的传播,攻击失败也会造成对方机器的缓冲区溢出,导致对方机器程序非法操作,以及系统异常等。
可采用以下方式清除该病毒:
第一,断网打系统安全补丁。如果不给系统打上相应的漏洞补丁,则联网后依然会遭受到该病毒的攻击,用户应该先到微软h t t p ://w w w.microsoft/china/technet/security/bulletin/ms04-011.m s p x 下载相应的漏洞补丁程序,然后断开网络,运行补丁程序,当补丁安装完成后再上网。
网络连接不上的原因第二,清除内存中的病毒进程。要想彻底清除该病毒,应先清除内存中的病毒进程,按下
CT R L +S HI FT +E SC 组合键,或者右击任务栏并在快捷菜单中选择“任务管理器”,打开任务管理器界面,然后在内存中查名为“a v se rv e.e x e ”的进程,到后直接将它结束。
第三,删除病毒文件。病毒感染系统时会在系统安装目录(默认为C :\W I N N T )下产生一个名为a vserve.e xe 的病毒文件,并在系统目录下(默认为C:\WINNT\System32)生成一些名为<;随机字符串>_UP.e x e 的病毒文件,用户可以查这些文件,到后删除,如果系统提示删除文件失败,则用户需要到安全模式下或D O S 系统下删除这些文件。
第四,删除注册表键值。该病毒会在电脑注册表的HKEY _L O CA L _M A CHI NE\Sof t wa re \M i cros oft \Windows\Currentversion\Run 项中建立名为“ ”,内容为“%Windows%\ ”的病毒键值,为了防止病毒在下次系统启动时自动运行,用户应将该键值删除,方法是在“运行”菜单中键入“R E G E D I T ”,然后调出注册表编辑器,到该病毒
键
值,然后直接删除。
第五,安装病毒防火墙。为系统安装S y m a n t e c
A n t i V i r u s、金山毒霸、瑞星等病毒防火墙,并升级至
最新病毒库。
C P U负荷100%,其他计算机无法上网
一个200多台计算机的网吧。近日代理服务
器出现故障,开启代理软件时C P U负荷达
100%,导致其他客户端计算机无法上网。服务器配
置为P4 2.4/512内存/Windows 2000 Professional。经
检查网线、交换机和I S P都没有问题,重新制作了一
台代理服务器仍然如此。请问,应当如何解决?
答:从故障现象上看,代理服务器感染了蠕虫
病毒。虽然重新安装了代理服务器,但因为它直接
连接到I n t e r n e t,因此,如果没有及时安装系统安全
补丁,还是会在上网后短短的几分钟内感染蠕虫病
毒。另外,网络内的计算机存在系统漏洞并且感染
了病毒,那么,新安装的服务器也会立即被感染。建
议先从M i crosoft官方站点下载所有的系统安全升级补
丁,尤其是一些系统漏洞补丁,并将补丁保存在代
理服务器的一个非系统分区上。拔掉代理服务器的
网线,将系统分区格式化,重新安装W i n d o w s,安装
所有的系统补丁。连接到Interne t后,执行“Wi ndows
U pda t e”继续升级。
计算机提示通讯失败
网络直到昨天晚上使用还很正常,可是今天
早上一开机,大部分的计算机就上不了网了
(计算机提示通讯失败),从网络邻居里不到服务
器。刚开始以为是病毒,但是没有扫描到任何病毒。
又以为是交换机的部分端口坏了,于是,将不能上
网的计算机的端口换到可以上网的计算机的端口去,
仍然不行。这样一来,连原来正常的计算机都没办
法上了,这是怎么回事?
答:从情况来看,估计网络上有“冲击波”等
病毒。在查杀病毒时,应该关闭交换机,查网络中
的每一台计算机。另外,在关闭交换机之前,请查
看交换机上的状态指示灯,如果指示灯一直在“狂
闪”,说明网络负载比较重,是“冲击波”病毒的典
型表现。请用最新的杀毒软件检查网络中的每一台
计算机,并安装W i ndows 2000/XP冲击波补丁。
6.2.2 预防网络攻击
关闭信使服务
计算机经常弹出一个名为“信使服务”的窗
口,广播各种各样的信息,令人不胜其烦。另
外,有时也会受到“Win32 QLExp.Worm”攻击。请问,
应当如何处理?
答:信使服务是Windows 2000和Windows XP下
内置的消息传输功能,用于发送和接收由系统管理
员或A l e r t e r服务所发送消息的服务。现在,该服务
被一些恶意用户用来发布广告,传输垃圾信息。可
以采用以下操作禁用该服务。
依次打开“开始”→“运行”,键入“s e r v i c e s.
m s c”并回车。在“服务”窗口右侧栏中到
“M e s s e n g e r”服务,右击该服务并在快捷菜单中选择
属性,在“启动类型”下拉列表中选择“手动”,并
单击“停止”按钮即可。
“Win32,QLExp.Worm”是一个蠕虫病毒,需要安
装杀毒软件并升级至最新病毒库才能查杀该病毒。
建议安装并启用病毒防火墙,运行Windows Update安
装最新系统安全补丁。
拒绝P i n g在哪里设置
网络用户都是使用x xx.x x x.x xx.1作为默认网
关,这个I P地址是可以路由的,不是内部私
有I P。以前测试网络的连通性时,都是P in g这个网关。
电信更换新设备后,这个网关就P i n g不通了。但是,
所有网络设置都没变动,上网也都正常。是不是有
什么设置可以防止P i n g?如果有,这个设置是在哪
里?
答:由于频繁地采用大包的P i n g命令,不仅会
导致网络拥塞、降低传输效率,而且还可以导致路
由器和服务器的机。所以,为了避免恶意的网络
攻击,现在许多网络都不再允许Pi n g测试。对Pi n g的
过滤,既可以在防火墙上设置,也可以在路由器上
设置。无论在哪里设置,都是创建一个访问列表,然
后,设置禁止使用ICMP协议。Wi ndows XP计算机也
可以通过启用内置In t e rn e t防火墙拒绝Pi ng。
控制虚拟终端访问
默认状态下,用户可以通过网络中的任何一
台计算机登录到交换机或路由器,只要能够
猜得到用户名和密码,就可以随意设置网络设备。
请问,应当如何解决这个问题?
答:将访问列表应用于虚拟终端线路上,可以
使得拥有特定I P地址的用户才有权访问网络设备,
建立Te lnet会话。
Router(config)#access-list access-lis -number
permit ip-address
Router(config)#line vty 0 4
Router(config-line)#access-class access-class-
number in
网络访问安全
由于公司内保存有大量敏感数据,所以,对
网络的访问安全非常重视。以前采用划分
版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。
发表评论