放心度过黄金周 假期网络安全攻略
来源:中关村在线 更新时间:2012-04-13

 

    作者: 张齐 

网络安全是一个永久的话题,十一长假期间更需重点防范,因为一些新的病毒和木马会在此时滋生。所以大家在享受着节日喜悦的的同时,也一定要注意做好网络安全工作。从目前网络安全形式看,大体有以下几个方面需要注意。

    一、ARP攻击

    ARP攻击是通过局域网方式上网最容易受到的攻击,并且解决起来非常麻烦。ARP是计算机内的一种协议(ADDRess Resolution Protocol),这种协议的工作模式与DNS非常类似。对于DNS服务器,可以把用户输入的URL转换为具体的IP地址,换句话说URL不过是为了方便用户记忆而设计的,而针对计算机来说最终只识别IP地址。

    同样的,IP地址转换到MAC地址就需要调用ARP协议了。假设目前在一个局域网中,一台计算机需要向某台计算机发出信息通信口号,那么它首先要知道目标对象的MAC地址,由于系统内已经默认将IP地址和MAC地址一一对应起来,所以只要访问到对方的IP地址后,由ARP协议进行解析就可以得到MAC地址了。问题是——如果这个地址没有建立对应,或者对应有问题时,ARP协议如何工作呢?

    此时ARP会在整个网络发送广播,寻找通讯IP地址终端对应的MAC地址,这就好像寻人启示寻找目标一样。当然对于不符合广播条件的终端则作默认应答,而只有真正的终端接受到ARP协议发出的消息后会返回一条信息,告诉它真实的MAC地址,最终完成通信。同时面向新的IP→MAC的对应关系,ARP协议会重新做记录。


放心度过黄金周 假期网络安全攻略

    此外,内网IP欺骗是在ARP攻击另一个变型攻击方式。攻击计算机会伪装成一样的IP,让受攻击的计算机产生IP冲突,无法上网。这种攻击,往往影响的计算机有限,而不是大规模影响。

  内网IP欺骗采用双向绑定方式,可以有效解决。先作好绑定配置的计算机,不会受到后来的伪装计算机的影响。因此,等于一次因应ARP及内网IP欺骗解决。若是采用其它的ARP防制方法,则要采用另行的方法应对。

    如果你想查询目前网络内IP→MAC的对应关系,可以在CMD下输入arp -a命令即可,至于ARP其它参数的使用方法,可以输入arp /?进行查询。

    目前360安全卫士新版发布,增加了ARP防火墙

放心度过黄金周 假期网络安全攻略

二、DOS攻击

    DoS攻击是从发出大量网络包,占用内网带宽或是路由器运算能力来进行攻击。这种攻击对于一般家庭用户来说比较罕见,但我们如果经常去网吧上网,就很可能遭受到这种攻击。

  当网管发现内网很慢,Ping路由掉包,不知是那一台影响时,通常就是受到DoS攻击。很多内网攻击的原因经常是用户安装了外挂软件,变成发出攻击的计算机。有的内网攻击会自行变换IP,让网管更难找出是谁发出的网络包。


放心度过黄金周 假期网络安全攻略

  DoS的另外一种形式是外网攻击。外网攻击是从外部来的攻击,通常发生在使用固定IP的用户。很多网吧因为使用固定IP的光纤,经常成为外网攻击的目标。同时又因为外网攻击常常持续变换IP,也不容易加以阻绝或追查。它的现象是看内网流量很正常,但是上网很慢或上不了;观看路由器的广域网流量,则发现下载的流量被占满,造成宽带接入不顺畅。

  外网流量攻击,可以用联机数加以辅助判断,但是不容易解决。有些地区可以要求ISP更换IP,但经常是几天后攻击又来了。有些用户搭配多条动态IP拨接的ADSL备援,动态IP就较不易成为攻击的目标。外网流量攻击属于犯法行为,可通知ISP配合执法单位追查,但现在看起来效果并不大,另外增配硬件防火墙也是个不错的选择。

三、漏洞

    最近的漏洞不少,包括系统的和软件的。建议用户赶快打好补丁,防止在过节期间遭到意外攻击。

    近日发现通过利用QQ的系统邀请漏洞的新型木马病毒利用QQ向好友列表发送QQ游戏邀请的消息,此类消息极具有诱惑性,一般用户很容易上当,点击接受后,可能会成为下一个感染者。

    相比较大家已经熟悉了的“QQ尾巴”等类似木马病毒,“QQ游戏邀请大盗”可谓“技高一筹”,它的做法非常狡猾,不光是有一些比较有诱惑力、欺骗性的留言诱使用户拨打电话导致电话费损失外;还伪装成QQ系统发出的游戏邀请,欺骗用户点击,且用户无论点击 “接受”或是“拒绝”用户后被木马感染,并存在被大量下载盗号木马的可能。

    由于此木马欺骗手段较高,伪造系统发一起进行游戏的邀请,将极有可能迅速传播,呈爆发的趋势。并且从技术角度分析,此木马采用DLL注入方式,隐藏进程。因此任务管理器中看不到他的进程本身;主要是通过Hook TextOut, ExTextOut等函数,截取屏幕文字输出,伪造程序显示界面,不仅可以很好的欺骗好友,并且还有可能造成屏幕上文字信息的泄露。

    大家可以下载“QQ游戏邀请大盗”专杀工具,防止有心者利用这个QQ漏洞(点击下载)。

    另外,一个微软鼠标指针的漏洞现身互联网,同时利用此漏洞的攻击代码已在国内互联网中广泛传播。由于微软目前还没有推出相关的补丁, 所以危险程度相当高。当用户访问这些嵌入了恶意代码的网页,恶意程序将被自动下载到用户的IE临时目录并得到执行。

放心度过黄金周 假期网络安全攻略

  目前受影响的系统包括:

  Microsoft Windows XP Service Pack 2
  Microsoft Windows Server 2003 Service Pack 1
  Microsoft Internet Explorer 6 for Windows XP Service Pack 2
  Microsoft Internet Explorer 6 for Windows Server 2003 SP1
  Microsoft Windows Internet Explorer 7 for Windows XP SP2
  Microsoft Windows Internet Explorer 7 for Windows Server 2003 SP1

    请大家及时更新系统补丁,避免黑客利用漏洞窃取个人信息。

  四、钓鱼网站

    国庆期间肯定少不了消费,网上买东西,和别人交易这些过程中都有可能被骗。利用社会工程学理论,一些钓鱼网站也越来越多。网络钓鱼(Phishing)实际上是攻击者利用欺骗性的电子邮件和伪造的 Web 站点来进行网络诈骗活动,受骗者往往会泄露自己的私人资料,如信用卡号、银行卡账户、身份证号等内容。诈骗者通常会将自己伪装成网络银行、在线零售商和信用卡公司等可信的品牌,骗取用户的私人信息。

    比如一些假的银行网站,当用户输入账号和密码时,网站后台程序就会偷偷记录下来,达到骗取的目的。


放心度过黄金周 假期网络安全攻略

放心度过黄金周 假期网络安全攻略

    防备网络钓鱼方法:

  不要在网上留下可以证明自己身份的任何资料,包括手机号码、身份证号、银行卡号码等。

  不要把自己的隐私资料通过网络传输,包括银行卡号码、身份证号、电子商务网站账户等资料不要通过QQ 、msn 、Email 等软件传播,这些途径往往可能被黑客利用来进行诈骗。

  不要相信网上流传的消息,除非得到权威途径的证明。如网络论坛、新闻组、 QQ 等往往有人发布谣言,伺机窃取用户的身份资料等。

  不要在网站注册时透露自己的真实资料。例如住址、住宅电话、手机号码、自己使用的银行账户、自己经常去的消费场所等。骗子们可能利用这些资料去欺骗你的朋友。

  如果涉及到金钱交易、商业合同、工作安排等重大事项,不要仅仅通过网络完成,有心计的骗子们可能通过这些途径了解用户的资料,伺机进行诈骗。

  不要轻易相信通过电子邮件、网络论坛等发布的中奖信息、促销信息等,除非得到另外途径的证明。正规公司一般不会通过电子邮件给用户发送中奖信息和促销信息,而骗子们往往喜欢这样进行诈骗。 

五、病毒

    最近以下一些病毒非常猖獗,用户需要及时升级病毒库进行防范,尤其是部分木马变种的出现,最好采用主动防御软件进行限制。

    "Auto之盗110684"(Win32.PSWTroj.QQPass.110684) 

    威胁级别:★
   
  1.病毒生成的文件:
  %ProgramFiles%\Internet Explorer\Plugins\SysWin64.jmp
  %ProgramFiles%\Internet Explorer\Plugins\WinSys64.sys

   "关键字查杀器"(Win32.Hack.Unknown.23430)  

    威胁级别:★
   
    1.病毒在系统盘下的 system32 文件夹下生成两个带壳的病毒文件。

    2.病毒结束客户计算机上的包含以下关键字的安全软件:
 
    天网防火墙
    Symantec
    金山
    江民
    瑞星
    木马克星

    3.枚举客户计算机上的窗口,查找含有以下关键字或类名的窗口:(盗取)
 
    软键盘
    Button
    Edit
    Text
    号码
    帐号
    用户
    Tencent QQ
    登录
    TUCButton

    4.病毒会打开 %SystemRoot%\system32\wdata32.dll 并向文件写入数据。

    "AV终结者219648"(Win32.Troj.Agent.219648)  

    威胁级别:★★

    1.复制自身至
%sys32dir%\
%sys32dir%\.jxh

    2.修改注册表,禁用用户使用cmd命令提示符

    3.注入进程,尝试关闭带以下关键字的杀毒软件或安全工具

    Smallfrogs
    Kingsoft Antivirus
    Kingsoft Antispyware
    TrojanDetector
    Micropoint
    Kingsoft
    wopticlean
    360safe
    ......

    4.尝试连接远程服务器获取修改hosts文件的列表

    5.通过删除相关注册表项导致无法正常进入安全模式

    "木马下载器hf"(Win32.Troj.Inituser.hf.19182)  

    威胁级别:★★
 
     1.在任务管理去器中看到有一个进程注入到svchost.exe系统进程中,是wow.ico。从字面上可以了解到,会与大型网络游戏《魔兽世界》进行相关病毒操作的进程。

    2.使用隐蔽软件扫描,可以发现已经有众多盗号木马已被下载,他们分别是:
 
    cmdbcs盗号木马
    异常的Autorun.inf
    可疑的Run启动项B
    SysWin(Troj)
    RAVXXMON(Troj)
    SysWin
    visinQQ盗号者

    3.打开各盘符,可以发现有两个隐藏属性的auto病毒,分别是:AutoRun.inf和inituser.exe.当用户在双击鼠标左键打开时,病毒即会触发。