网络安全技术应用电子教案课件

单元2网络病毒和恶意软件的清除与防御单元学习目标 知识目标1了解ARP病毒的工作原理2掌握ARP病毒的常用防御方法3了解网络蠕虫病毒的工作原理4掌握蠕虫病毒的清除和预防的方法5了解恶意软件的工作原理6掌握恶意软件的清除方法7掌握网络版查毒软件的工作原理单元学习目标能力目标1具备利用软件和硬件的配置防御ARP病毒的能力2具备根据故障现象诊断ARP病毒攻击的能力3具备利用杀毒软件清除蠕虫病毒的能力4具备利用软件清除恶意软件的能力5具备网络版杀毒软件的安装和部署的能力6具备在域环境下部署杀毒软件的能力 情感态度价值观 1培养认真细致的工作态度2逐步形成网络安全的主动防御意识单元学习内容随着计算机网络技术的普及及发展，信息对人们来说越来越重要，同时信息面临的威胁也越来越大，计算机网络的安全已成为用户普遍关注的问题，而病毒是计算机系统中最常见的安全威胁。病毒一旦发作，轻则破坏文件，损害系统，重则造成网络瘫痪；恶意软件、黑客程序等破坏性程序也层出不穷，这也给攻击者攻击系统网络、窃取数据提供了便利。操作系统的安全策略设定能很好地保证计算机的安全，但并不能完全防止病毒和恶意软件的入侵，并且随着掌上型移动工具的广泛使用，尤其是WAP的应用日益广泛，病毒对手机和无线网络的威胁越来越大，因此用户一方面要掌握当前计算机病毒的防范和清除工作，另一方面要加强对未来病毒发展趋势的研究，保证网络信息安全。任务1 常见病毒的清除与防御活动1 认识ARP病毒【任务描述】通过学习，小齐对于在公司网络管理中遇到的一些小问题基本都能自己排除，但是最近公司的许多计算机莫名奇妙地掉线，公司的网速变得非常慢，这个事情让小齐花费了大量的精力，最近他终于搞明白了，原来是ARP病毒在作怪。【任务分析】通过模拟ARP攻击，了解ARP病毒的原理、病毒发作时候的典型现象，掌握基本操作命令来判断是否存在ARP病毒攻击并找出病毒源。任务1 常见病毒的清除与防御活动1 认识ARP病毒【任务实战】步骤1 搭建ARP攻击的模拟环境。利用一台2层交换机（本任务以神州数码3950交换机为例，也可以运行虚拟机完成）和3台PC组成。按图2-1所示拓扑结构图连接设备，并保证网络的连通性。步骤2 在PC-A上安装模拟ARP攻击软件，并运行攻击软件。有很多基于ARP攻击原理的软件，如网络剪刀手、网络执法官，还有许多基于ARP攻击原理的网管软件。本节以长角牛网络监控机为例，长角牛网络监控机可以从网上下载。（1）下载长角牛网络监控机并按照系统提示进行安装。任务1 常见病毒的清除与防御活动1 认识ARP病毒（2）启动长角牛网络监控机，弹出选择网卡和监控范围的对话框。单击“添加/修改”按钮，在下面就会出现添加的监控范围，监控范围为192.168.1.1.192.168.1.254。（3）添加完监控范围后单击“确定”按钮，进入软件的主页面。因为本例使用的是试用版，要2min后才可以使用。此时在软件主页面上显示的是扫描的结果：MAC地址、IP地址、组/主机/用户。我们特别留意主机192.168.1.3的MAC地址为00-0C-29-E1-FC-C2，后面要用到。任务1 常见病毒的清除与防御活动1 认识ARP病毒（4）2min后，就可以进行攻击了，选择要攻击的主机，右击弹出菜单，选择用户权限设置，本任务以选择192.168.1.2为例。在“设置权限”区域选择“禁止用户，发现该用户上线即管理”，在“管理方式”区域选择“断开与所有主机TCP/IP连接”，最后单击“保存”按钮，就完成了对目标主机的攻击。步骤3 判断ARP攻击。（1）测试网络的连通性，在被攻击主机192.168.1.2通过ping工具测试到192.168.1.3这台主机的连通性。任务1 常见病毒的清除与防御活动1 认识ARP病毒2）利用命令查看ARP缓存来判断是否存在ARP攻击或者ARP病毒。通过观察对比发现：192.168.1.3真实的MAC地址为00-0C-29-E1-FC-C2，而在被攻击主机的ARP缓存中的MAC地址却变成了00-0C-29-8C-91-AF。显然在缓存中的是一个错误的IP地址和MAC地址的对应关系，由此就判断出这是一个典型的ARP攻击。任务1 常见病毒的清除与防御活动2 ARP病毒的防范【任务描述】小齐搞明白公司局域网内有了ARP病毒后，从网上找了很多解决方案，但是方法太多，看得小齐眼花缭乱，不知道选择哪个办法好。【任务分析】可以通过在每一台计算机都安装软件的方法，也可以通过对ARP防御功能的交换机进行设置来防御。任务1 常见病毒的清除与防御活动2 ARP病毒的防范【任务实战】方法1：静态绑定IP和MAC地址。最常用的方法就是做IP和MAC静态绑定，在网内把主机和网关都做IP和MAC绑定。欺骗是通过ARP的动态实时更新规则欺骗内网机器，所以我们把ARP全部设置为静态就可以解决对内网PC的欺骗，同时在网关也要进行IP和MAC的静态绑定，这样双向绑定才比较保险。对每台主机进行IP和MAC地址静态绑定。通过命令，arp-s可以实现“arps IP MAC地址”。例如，在CMD窗口模式下输入如下命令：arp s 192.168.10.1 AA-AA-AA-AA-AA-AA任务1 常见病毒的清除与防御活动2 ARP病毒的防范如果设置成功会在PC上面通过执行 arp-a看到相关的提示：Internet Address Physical Address Type 192.168.10.1 AA-AA-AA-AA-AA-AA static（静态）一般不绑定，在动态的情况下看到的是：Internet Address Physical Address Type 192.168.10.1 AA-AA-AA-AA-AA-AA dynamic（动态）对于网络中有很多主机，500台，1000台，如果每一台都去做静态绑定，工作量是非常大的，而且这种静态绑定，在计算机每次重启后，都必须重新绑定，虽然也可以做一个批处理文件，但是还是比较麻烦的。任务1 常见病毒的清除与防御活动2 ARP病毒的防范方法2：使用ARP防护软件。目前市场上关于ARP类的防护软件比较多，大家使用比较常用的ARP工具主要是彩影ARP防火墙、360安全卫士防火墙等。它们除了本身可以检测出ARP攻击外，还能对其进行防护。防护的工作原理是使用一定频率向网络广播正确的ARP信息，以彩影ARP防火墙为例。彩影ARP防火墙的下载地址为http:/。它的安装步骤也非常简单，在此只特别说明一点，就是彩影ARP防火墙的高级设置。选择“工具”“高级参数设置”“防御”，“主动防御”区域中“始终启用”最好不要启用，一旦需要启用，防御速度数值设置为2。任务1 常见病毒的清除与防御活动2 ARP病毒的防范方法3：使用可防御ARP攻击的交换机。防御ARP网络病毒和攻击，最有效的方法是在接入层交换机进行设置，随着网络设备功能的不断发展，很多2层交换机都具备了一定的防御ARP攻击的能力，本文以神州数码2层交换机3950为例进行设置（如实验室设备不同，请参看产品手册及官方文档）。AM功能。AM（Access Management）又称为访问管理，它利用收到数据报文的信息（源IP 地址或源IP+源MAC）与配置硬件地址池（AM pool）相比较，如果找到则转发，反之丢弃。AM pool是一个地址列表，每一个地址表项对应于一个用户。每一个地址表项包括了地址信息及其对应的端口。地址信息可以有两种：IP地址（IP pool），定该端口上用户的源IP地址信息；MAC-IP地址（MAC-IP pool），定该端口上用户的源MAC 地址和源IP 地址信息。当AM激活的时候，AM模块会拒绝所有的IP报文通过（只允许IP地址池内的源地址成员通过）。任务1 常见病毒的清除与防御活动2 ARP病毒的防范可以在交换机端口创建一个MAC+IP 地址绑定，放到地址池中。当端口下联主机发送的IP报文（包含ARP报文）中，所含的源IP源MAC不符合地址池中的绑定关系，此报文就被丢弃。配置命令示例如下。举例：激活AM并允许交接口4上源IP为192.1.1.2、源MAC是00-01-10-22-33-10 的用户通过。Switch（Config）#am enableSwitch（Config）#interface Ethernet 0/0/4Switch（Config-Ethernet0/0/4）#am portSwitch（Config-Ethernet0/0/4）#am mac-ip-pool 00-01-10-22-33-10 192.1.1.2功能优点：配置简单，除了可以防御ARP攻击，还可以防御IP扫描等攻击。适用于信息点不多、规模不大的静态地址环境下。功能缺点：需要占用交换机ACL资源，网络管理员配置量大，终端移动性差。任务1 常见病毒的清除与防御活动2 ARP病毒的防范 ARP Guard功能。基本原理就是利用交换机的过滤表项，检测从端口输入的所有ARP报文，如果ARP 报文的源IP地址是受到保护的IP地址，就直接丢弃报文，不再转发。举例：在端口Ethernet0/0/1 启动配置ARP Guard 地址192.168.1.1（设为网关地址）。Switch（Config）#interface Ethernet0/0/1Switch（Config-Ethernet 0/0/1）#arp-guard ip 192.168.1.1端口Ethernet0/0/1发出的仿冒网关ARP报文都会被丢弃，所以ARP Guard 功能常用于保护网关不被攻击。功能优点：配置简单，适用于ARP仿冒网关攻击防护快速部署。功能缺点：ARP Guard需要占用芯片FFP 表项资源，交换机每端口配置数量有限。任务1 常见病毒的清除与防御活动2 ARP病毒的防范 端口ARP限速。神州数码系列交换机防ARP 扫描的整体思路是若发现网段内存在具有ARP 扫描特征的主机或端口，就切断攻击源头，保障网络的安全。有两种方式来防ARP 扫描：基于端口和基于IP。基于端口的ARP扫描会计算一段时间内从某个端口接收到的ARP 报文的数量，若超过了预先设定的阈值，则会关闭此端口。基于IP的ARP扫描则计算一段时间内从网段内某IP收到的ARP报文的数量，若超过了预先设置的阈值，则禁止来自此IP的任何流量，而不是关闭与此IP相连的端口。此两种防ARP扫描功能可以同时启用。端口或IP被禁掉后，可以通过自动恢复功能自动恢复其状态。任务1 常见病毒的清除与防御活动2 ARP病毒的防范举例：在交换机的端口启动ARP报文限速功能。Switch（Config）#anti-arpscan enable/激活Anti-arpscanSwitch（Config）#anti-arpscan port-based threshold 10/设置每个端口每秒的ARP报文上限Switch（Config）#anti-arpscan ip-based threshold 10/设置每个IP每秒的ARP报文上限Switch（Config）#anti-arpscan recovery enable/开启防网段扫描自动恢复功能Switch（Config）#anti-arpscan recovery time 90 /设置自动恢复的时间为90s功能优点：全局激活，无须在端口模式下配置，配置简单。功能缺点：不能杜绝虚假ARP报文，只是适用于对ARP扫描或者Flood攻击防御，建议和交换机其他功能一起使用。任务1 常见病毒的清除与防御活动2 ARP病毒的防范【任务拓展】一、理论题1ARP病毒攻击的原理是什么？2ARP病毒攻击有哪些典型现象？二、实训1下载长角牛网络监控机软件搭建ARP攻击环境。2进行IP和MAC地址绑定来阻止ARP攻击。3利用防ARP攻击软件进行防御。4利用现有设备并查看设备手册进行ARP攻击的防护。任务1 常见病毒的清除与防御活动3 网络蠕虫病毒的清除与防御【任务描述】2007年肆虐网络的“熊猫烧香”病毒使数以百万