局域网-网络安全常见问题与故障

《局域网-网络安全常见问题与故障》由会员分享，可在线阅读，更多相关《局域网-网络安全常见问题与故障（12页珍藏版）》请在金锄头文库上搜索。

1、局域网方案与故障速查手册第1节 网络安全方案279本6.2 网络安全常见问题与故障6.2.1 防杀病毒注意 Windows 安装顺序局域网采用代理服务器接入 I n t e r n e t 。奇怪的是，服务器安装完成后，很快就会感染病毒，从而导致运行速度变慢，性能大幅下降。请问，应当如何 处理？答：在安装过程中，有两个顺序一定要注意。一是接入网络的顺序。WindowsServer2003 安装时有一个漏洞，当用户输入 Administrator 密码后，系统就建立了 Ad min$ 的共享，但是，此时并没有使用刚刚输入的密码来保护，而且这种情况将一直持续到再次启动。在此期间，任何人都可以通过

2、A d m i n$进入本地计算机。同时，安装完成后，各种服务都将自动运行，此时各种漏洞都没有被修补，很容易被入侵的。因此，在完全安装并配置好 W i n d o w sServer2003 之前，暂时不要设置网络连接，禁止将计算机连接至网络。二是系统补丁的安装顺序。系统 补 丁 应 当 在 所 有 应 用 程 序 都 安 装 完 成 之 后 再 进行 ， 因 为 补 丁 程 序 往 往 要 替 换 或 修 改 某 些 系 统 文件。如果先安装系统补丁再安装应用程序，有可能导致补丁文件被原漏洞文件覆盖，从而又打开原来的漏洞。例如，IIS 的 HotFix 要求每次更改 IIS 组件后都要重新

3、安装。“口令”蠕虫病毒网络借助路由器实现 I nt er n et 连接，然而，最近频繁遭遇“口令”蠕虫病毒攻击，导致局域网近于瘫痪。请问，应当如何处理？答： “口令”蠕虫病毒主要攻击 N T 平台，通过扫描 Windows2000/XP 的 445 端口，进行共享会话猜测管理员系统口令。如果猜测到口令，则蠕虫建立管理会话，用 p se xe c .e xe 程序通过共享上传蠕虫文件，在被感染的主机上，在注册表中 S o f t w a r e MicrosoftWindowsCurrentVersionRun 设置启动项，以便病毒能够在系统启动的时候加载运行。蠕虫会在主机上开启 VNC 后门

4、，该后门开启 580 0 和 590 0 端口，进行远程控制。蠕虫开启扫描进程，对随机生成的 I P 地址进行扫描来传播感染其他主机。建议购置网络 防火墙 ，从而过 滤蠕虫 病毒 使用的 端口号 。如果没有充裕的资金，也可以在路由器上设置访问列表，实现端口过滤。第 1 步进入全局配置模式Switch#configureterminal第 2 步定义扩展 IP 访问列表，取值范围为 10 0199 或 2000 2699。Switch(config)#access-listaccess-list-numberdeny|permit protocolsourcesource-wildcardope

5、ratorportdestinationdestination-wildcardoperatorport或 者access-listaccess-list-numberdeny|permitprotocolanyoperatorportanyoperatorport或 者access-listaccess-list-numberdeny|permitprotocolhostsourceoperatorporthostdestinationoperatorportprotocol 欲过滤的协议，如 IP、TCP、UDP、ICMP等。默认过滤所有协议，若欲根据特殊协议进行报文过滤，需指定协议。de

6、stinationdestination-wildcard 目的地址和通配符屏蔽码。operator 端口操作符，在协议类型为 TCP 或 UDP时支持端口比较，支持的比较操作有：等于（e q ） 、大于（gt） 、小于（lt） 、不等于（neq）或介于（range） ；如果操作符为 r a n g e ，则后面需要跟两个端口。P o r t 端口号，可以用几种不同方法指定。可以指定数字或使用一个可识别的助记符。例如，可以使用 80 或 http 指定超文本传输协议，使用 21 或 ftp 指定文件 传输协 议。若网络 因此蠕 虫病 毒发生 异常，可在防火墙或者路由器上作相应端口的过滤。acc

7、ess-list110denytcpanyanyeq 445access-list110denytcpanyanyeq5800access-list110denytcpanyanyeq5900access-list 110permitipanyany第 3 步返回特权配置模式。Switch(config)#end第 4 步校验当前设置。第2节 网络安全常见问题与故障局域网方案与故障速查手册第6章 网络安全方案与故障280Switch# show access-lists number第 5 步 保存当前配置。Switch# copy running-config startup-config终

8、端用户可采取如下措施：为 Administrator 设置一个强壮的密码。查看系统进程是否存在 Dvldr32.exe，以确认是否被病毒感染，如果您的系统被感染，那么可以结束该进程，并在正确的目录下删除相应的蠕虫文件和注册表键值，然后重新启动系统。重新启动机器。如无必需，建议关闭 58 00 、5 90 0 端口。A S P 服务经常不能访问我们小区的服务器用的是 W n d o w s 2 0 0 3 IIS+CGI，有 Web、FTP 等服务，最近几天 ASP 服务经常不能访问，就像找不到网页一样，用瑞星杀毒时找到几种病毒：Trojan.LMir.Whboy.d、ScrIPt.Homepa

9、ge.d、Trojan.LMir.Howa、Worm.Netsky.b.enc，估计可能是这几种病毒的影响，于是就全盘杀毒，杀完毒后重新启动系统恢复正常，可是第二天系统又不行了，症状一样，可是用瑞星最新版（1 6 . 1 6 ）杀毒后竟然说没有病毒，那为什么 A S P 又不行了呢？重新启动后就又正常了，原因何在？答：从故障现象上看，主要是感染了冲击波病毒。作为一种蠕虫病毒，在重新启动系统时，其影响不会立即表现，但使用一段时间之后，即开始出现故障 现象。请从网 络中下 载并 安装冲 击波补 丁，即可解决该问题。另外，估计你的服务器没有安装病毒防火墙，也没有及时地升级系统安全补丁。建议及时从 M

10、icrosoft 的站点下载最新的升级包，或者让你的系统自动升级。现在许多病毒特别是里蠕虫病毒，都是利用操作系统的漏洞进行传播的。当系统有漏洞时，就会被自动感染，对于局域网内的计算机更是如此。当需要安装新的操作系统时，建议采用如下 方法：第一，拔掉计算机的网线，格式化，重新安装操作系统，安装 Microsoft 最新的升级包（在一台无病毒的计算机上，从 Microsoft 的站点下载） ，安装防火墙及防病毒软件。第二，插上网线，运行在线升级程序，并启动操作系统的“自动更新”功能。第三，安装相应的服务，如 IIS、FTP 等，上传网站。估计以后就不会出现此类问题了。中了冲击波病毒我最近与宿舍同学

11、用 ADSL+Hub 共享上网(ADSL为虚拟拨号) ，其他两台计算机均没有问题。但我的计算机启动时进程中有一个名为“dl l h o s t ”的程序，且网络应用始终在 1% 左右(约 100 k)，其他两部计算 机就会 掉线 ，我的计 算机也 不能 正常上 网。结束该进程后，一切正常。请问，如何解决?答：这是冲击波 Worm_MSBlast.A 的变种“冲击波杀手”W o r m _ M SB l a s t . D ，同样利用微软的 R P CD C O M 缓冲溢出漏洞攻击，并利用 W i n d o w s I I SWe bD AV 进行传播。解决的方法如下：下载冲击波专杀工具查杀

12、蠕虫病毒。金山毒霸的冲击波专杀工具下载地址为：http:/ R P C 漏洞补丁。使用最新版杀毒工具和防火墙。需要注意的是，该进程不一定就都是病毒，因为这也是系统进程 DCOM DLL Host。在查杀蠕虫病毒后再出现该进程是正常的。病毒问题导致网络突然时断时续公司采用网通的 DD N 上网。以前用的很好，但是 ， 上 周 五 突 然 出 现 了 网 络 时 断 时 续 的 现象。周六和周日公司上网的人很少，网络工作恢复正常。周一上 班后，发现网 络断断 续续 非常频 繁，W e b 无法 览，Q Q 信息也无法发送。代理服务器安装双网卡，使用 SyGa te 实现连接共享。打开 Sy Ga

13、te主窗口查看时，发现 In ter ne t 网络速度很慢，基本不到 1k/s，网络流量为 0k/s。偶尔连接速度勉强可以的时候，丢包现象非常严重。重启 S y Ga t e 后，网内的 Internet 访问仅仅可以好 20 秒左右。后来更换了代理服务器，并启用了 Windows 内置的 ICS，结果该计算机不到 5 分钟就死机了！下班的时候，换回了原来的那台代理服务器，结果公司 8 台开着的计算机工作都正常，网速也很快。请问，这是什么原因？应当如何 解决？答：导致该故障的原因是网络内的计算机感染了蠕虫病毒，向网络发送了大量的广播包，从而占用了大量的网络带宽和计算机处理性能，从而导致网络拥

14、塞和系统死机。先将少量计算机连接到网络，执行 Windows Update，升级最新系统安全补丁。重复操作，直至为所有计算机都安装安全补丁。然后，在每一台计算机上安装并启用病毒防火墙，升级至最新病毒库，并进行病毒查杀。刚装系统就感染刚刚安装的 Windows XP 系统，在安装了一些应用程序并重新启动计算机后，再次连接 Internet时，就显示连接已失败错误。可是，在刚装完系统时还是可以登录呀。请问，应当如何解决？答：如果你的计算机在局域网内，并且你的计算机在装好后就连接到网络上（不管是局域网，还是 Internet） ，在你系统装好后的不长时间，就已经被局域网方案与故障速查手册第1节 网络

15、安全方案281感染。对于 Windows XP 系统，建议使用如下的方法安装，拔掉网线，格式化系统分区，重新安装系统，安装网卡驱动，启用 Windows XP 内置的防火墙、安装系统安全补丁，然后插上网线，在线执行 WindowsUpdate 升级，之后重新启动，再安装应用程序。这样安装系统后，就不会有问题了。中了冲击波后，要全网打补丁自从冲击波之后，学校的网络变得龟速一般（不知道网管是不是在睡觉） 。 览网页速度慢还可以忍受，也符合逻辑，但局域网打 C S 怎么会卡呢？按道理学校网络慢只会影响出口带宽，局域网内部传输应该不会受这么大的影响。请问，有无改良办法 ？答：中了冲击波病毒的计算机，会

16、反复向整个网络广播，这样严重影响整个网络的速度，导致整个网络不能正常工作。同时，由于计算机会处理网络内的所有广播包，所以，随着广播的增加，计算机性能也会大幅下降。解决的方法最好是关闭交换机，为所有的计算机升级系统安全补丁，安装病毒防火墙并杀毒。系统提示服务器没有设置事务处理想在一个网络里做两台服务器，一个 C S 服务器，一个电影服务器。为什么在 C S 服务器的“网上邻居”可以看到整个局域网的资源，而在电影服务器中却什么也看不到，而且打开还很慢？系统提示无法访问 Workgroup，服务器没有设置事务处理。但是，可以 Ping 通。两台服务器全部采用 Windows 2000Se rve r，并且安装为独立服务器。答：右击任务栏并在快捷菜单中选择“任务管理器” ，选择“进程 ”选项卡 ，如果看 到一个 名为“wuamgrd.exe”的进程，则表明系统感染了“w32.spybot.worm”病毒。该病毒借助