簡析高校網絡攻擊及網站防篡改解決方案

摘要：隨著高校教育信息化的不斷深入開展，高校的網絡安全問題日益突出，許多高校網站遭受到不同程度的篡改。文章針對高校網絡存在的上述問題，提出了相應的安全防范措施和解決方案。

關鍵詞：高校；網絡攻擊；網站防篡改；Barracuda-NC應用防火墻

高校典型網絡攻擊及防范措施

隨著網絡病毒攻擊原理以及方法的不斷變化，病毒攻擊仍然是最嚴峻的網絡安全問題。下面分析一些典型的病毒攻擊和防范措施。

（一）ARP木馬病毒

當局域網內某臺主機運行ARP木馬病毒程序時，會欺騙局域網內所有主機和路由器，迫使局域網所有主機的ARP地址表的網關MAC地址更新為該主機的MAC地址，導致所有局域網內上網的計算機的數據首先通過該計算機再轉發出去，用戶原來直接通過路由器上網現在轉由通過該主機上網，切換的時候用戶會斷線一次。由于ARP木馬病毒發作的時候會發出大量的數據包導致局域網通訊擁塞以及其自身處理能力的限制，用戶會感覺上網速度越來越慢。當ARP木馬病毒停止運行時，用戶會恢復從路由器上網，切換過程中用戶會再斷線一次。ARP木馬病毒會導致整個局域網運行不穩定，時斷時通。

ARP木馬病毒防范措施：可以借助NBTSCAN工具來檢測局域網內所有主機真實的IP與MAC地址對應表，在網絡不穩定狀況下，以arp-a命令查看主機的ARP緩存表，此時網關IP對應的MAC地址為感染病毒主機的MAC地址，通過“Nbtscan-r 192.168.1.1/24”掃描192.168.1.1/24網段查看所有主機真實IP和MAC地址表，從而根據IP確定感染病毒主機。也可以通過SNIFFER或者IRIS偵聽工具進行抓取異常數據包，發現感染病毒主機。另外，用戶還可以采用雙向綁定的方法來防止ARP欺騙，在計算機上綁定正確的網關IP地址和網關接口MAC地址，在正常情況下，通過arp-a命令獲取網關IP地址和網關接口的MAC地址，編寫一個批處理文件farp.bat內容如下：

@echo off

arp-d（清零ARP緩存地址表）

arp-s 192.168.1.254 00-22-aa-00-22-aa（綁定正確網關IP和MAC地址）

把批處理放置到“開始—程序—啟動”項中，使之隨計算機重起自動運行，以避免ARP病毒的欺騙。

（二）蠕蟲病毒

w32.Blaster蠕蟲病毒w32.Blaster是一種利用DCOM RPC漏洞進行傳播的蠕蟲病毒，傳播能力很強，其通過TCP/135進行探索發現存在漏洞的系統，一旦攻擊成功，通過TCP/4444端口進行遠程命令控制，最后通過在受感染的計算機的UDP/69端口建立tftp服務器進行上傳“蠕蟲”自己的二進制代碼程序Msblast.exe對加以控制與破壞。該蠕蟲病毒傳播時破壞了系統的核心進程svchost.exe，會導致系統RPC服務停止。因此，可能引起其他服務（如IIS）不能正常工作，出現比如拷貝、粘貼功能不工作，無法進入網站頁面鏈接等現象，嚴重時可能造成反復重新啟動和系統崩潰。

w32.Nachi.Worm蠕蟲病毒w32.Nachi.Worm蠕蟲病毒利用Microsoft Windows DCOM RPC接口遠程緩沖區溢出漏洞和Microsoft Windows 2000 WebDAV遠程緩沖區溢出漏洞進行傳播。如果該蠕蟲病毒發現被感染的機器上有“沖擊波蠕蟲”，則殺掉“沖擊波蠕蟲”，并為系統打上補丁程序，但由于程序運行上下文的限制，很多系統不能被打上補丁，并被導致反復重新啟動。該蠕蟲病毒感染機器后，會產生大量長度為92字節的ICMP報文，從而嚴重影響網絡性能。

w32.sasser蠕蟲病毒w32.sasser蠕蟲病毒利用了本地安全驗證子系統（Local Security Authority Subsystem，LSASS）里的一個緩沖區溢出錯誤，從而使得攻擊者能夠取得被感染系統的控制權。該病毒會利用TCP端口5554架設一個FTP服務器。同時，它使用TCP端口5554隨機搜索Internet的網段，尋找其他沒有修補LSASS錯誤的Windows 2000和Windows XP系統。震蕩波病毒會發起128個線程來掃描隨機的IP地址，并連續偵聽從TCP端口1068開始的各個端口。該蠕蟲病毒會使計算機運行緩慢、網絡堵塞并讓系統不停的進行倒計時重啟。

蠕蟲病毒防范措施：用戶首先要保證計算機系統的不斷更新，高校可建立微軟的WSUS系統保證用戶計算機系統的及時快速升級，另外用戶必須安裝可持續升級的殺毒軟件，沒有及時升級殺毒軟件也是同樣危險的，高校網絡管理部門出臺相應安全政策以及保證對用戶定時的安全培訓也是相當重要的。用戶本地計算機可采取些輔助措施保護計算機系統的安全，如本地硬盤克隆、局域網硬盤克隆技術等。

高校網站防篡改解決方案

很多網絡管理者認為，在網絡中部署多層的防火墻、入侵檢測系統（IDS）、入侵防御系統（IPS）等設備，就可以保障網絡的安全性，就能全面立體地防護Web應用了，但是為何基于WEB應用的攻擊事件仍然不斷發生？其根本的原因在于傳統的網絡安全設備對于應用層的攻擊防范，作用十分有限。目前的防火墻大多是工作在網絡層，通過對網絡層的數據過濾（基于TCP/IP報文頭部的ACL）實現訪問控制的功能，通過防火墻保證內部網絡不會被外部網絡非法接入，而應用層攻擊的特征在網絡層上是無法檢測出來的。IDS、IPS通過使用深度包檢測技術檢查網絡數據中的應用層流量，和攻擊特征庫進行匹配，從而識別出已知的網絡攻擊，達到對應用層攻擊的防護。但是對于未知攻擊，以及通過靈活編碼和報文分割來實現的應用層攻擊，IDS和IPS同樣不能實現有效的防護。

Web應用防火墻的出現解決了這方面的難題，應用防火墻通過執行應用會話內部的請求來處理應用層，它專門保護Web應用通信流和所有相關的應用資源免受利用Web協議或應用程序漏洞發動的攻擊。應用防火墻可以阻止將應用行為用于惡意目的的瀏覽器和HTTP攻擊，一些強大的應用防火墻甚至能夠模擬代理成為網站服務器接受應用交付，形象地來說相當于給原網站加上了一個安全的絕緣外殼。

下面以當前使用比較普遍的Barracuda-NC應用防火墻來為例，說明應用防火墻是如何保護網站防止被惡意注入和篡改。

網絡架構和部署：雙臂代理模式雙臂代理模式是Web應用防火墻部署中的最佳模式。這個模式也是拓撲過程中推薦的模式，能夠提供最佳的安全性能。在此模式中，所有的數據端口都將被開啟；端口eth1是對外的，直接面向因特網端口；端口eth2面向內部，將會和內部的設備（交換機等）進行連接。管理端口可以被分配到另一個網段，建議將管理數據和實際流量分離，避免二者的沖突。

網絡實現（1）前端端口和后端端口位于不同的網段，所有外部客戶將會和應用虛擬IP地址進行連接，此虛擬IP將會和前端端口（eth1）進行綁定。（2）客戶的連接將會在設備上終止，進行安全檢查和過濾。（3）合法的流量將會由后端端口（eth2）建立新的連接到負載均衡設備。（4）負載均衡進行流量的負載。（5）雙臂代理模式可以開啟所有的安全功能。

工作特點：基于應用層的檢測，同時又擁有基于狀態的網絡防火墻的優勢（1）對應用數據錄入完整檢查、HTTP包頭重寫、強制HTTP協議合規化，杜絕各種利用協議漏洞的攻擊和權限提升。（２）預期數據的完整知識，防止各種形式的SQL命令注入，跨站式腳本攻擊。（３）實時策略生成及執行，根據您的應用程序定義相應的保護策略，無縫地砌合用戶的應用程序，不會造成任何應用失真。

網站全面隱身Barracuda-NC應用防火墻對外部訪問網站隱身，可以隱藏真實的Web服務器類型、應用服務器類型、操作系統、版本號、版本更新程度、已知安全漏洞、真實IP地址、內部工作站信息，讓黑客看不見、摸不著、探測不到，自然也無從猜測分析和攻擊。同時，它還能識別各種爬行探測程序，只允許正常的搜索引擎爬蟲進入，抵御黑客爬行程序于門外，讓想通過探測確定攻擊目標的黑客徹底無門。

參考文獻：

[1]李大友，邱建霞．計算機網絡（第二版）[M]．北京：清華大學出版社，2003.9

[2]徐敬東，張建忠．計算機網絡[M]．北京：清華大學出版社，2002.

[3]william stallings．高速網絡與互聯網——性能與服務質量（第二版）[M]．北京：電子工業出版社，2003．

[4]鐘小平，張金石．網絡服務器配置與應用（第二版）[M]．北京：人民郵電出版社，2004.

作者簡介：

張衛華（1978—），男，江西南昌人，江西科技師范學院專科部計算機系助教，研究方向為計算機科學及教育。

（本欄責任編輯：謝良才）