終端安全解決方案

終端安全解決方案第一局部、終端問題的處理方法一、首先需要查到攻擊源：1、物理查看方法，查看網(wǎng)卡顯示燈。定這臺終端有問題；定這臺終端有問題；2、終端查看連接狀態(tài)的方法，查看終端開放的端口，協(xié)議等。DOSnetstat-an查看連接狀態(tài)，查看是否有特別端口開放，是否有特別的連接等，通過端口開放，是否有特別的連接等，通過arp-a查看arp表，主要看網(wǎng)關(guān)和已經(jīng)終端的MACarp-d刪除錯誤IPMACshare查看一下共享信息，無用文件共享關(guān)閉。netstat查看一下共享信息，無用文件共享關(guān)閉。netstat-rn查看終端的路由信息是否正常，而ipconfig/all看一下網(wǎng)卡啟用狀態(tài)，一般需要將無用的和虛擬的網(wǎng)正常，而ipconfig/all看一下網(wǎng)卡啟用狀態(tài)，一般需要將無用的和虛擬的網(wǎng)卡禁用?？ń谩＝?。有用連接中的相關(guān)無用效勞關(guān)閉掉，尤其是“QOS數(shù)據(jù)包打算”常常導(dǎo)致系統(tǒng)消滅問題。在測試時可僅保存“mircosofe客戶端”和“internet協(xié)議TCP/IP下；3、承受sniffer或ethtool這樣的抓包工具查看攻擊，一般發(fā)包比較多的為攻擊源。sniffer你直接看流量的圖，哪個終端與效勞器的直連線最高說明發(fā)起的攻擊最多。而ethtool一般直接查看arp協(xié)議，點協(xié)議排序就可以，一般有問題的機(jī)器不停的問我是誰這樣相關(guān)的信息；4、查看終端補(bǔ)丁安裝狀況，一般需要確認(rèn)相關(guān)操作系統(tǒng)安全補(bǔ)丁均已經(jīng)正常安裝，并查一下相關(guān)主要的應(yīng)用軟件是否也需要進(jìn)展補(bǔ)丁安裝或程序的版本升級，一般升到最的穩(wěn)定安裝版本，不要升級測試版本；5、承受任務(wù)治理器和安全衛(wèi)士360等工具查看效勞器和終端當(dāng)前應(yīng)用程序的運行狀況，無用的相關(guān)應(yīng)用程序進(jìn)展關(guān)閉，同時查看IE的相關(guān)設(shè)置是否IE二、確定問題后進(jìn)展查殺：1、物理上方法一般承受2層交換機(jī)端口進(jìn)展綁定的方式進(jìn)展終端的IPMAC2、將二層交換機(jī)向三層交換機(jī)進(jìn)展會聚連接，并在三層交換機(jī)上進(jìn)展2、將二層交換機(jī)向三層交換機(jī)進(jìn)展會聚連接，并在三層交換機(jī)上進(jìn)展終端終端IP和MAC綁定。在初始的狀況下，假設(shè)哪個終端的MAC地址快速網(wǎng)關(guān)或替IPMACarp表的去除；表的去除；3360刪除，效勞的關(guān)閉和IE的清理等，或承受兵刃或紅葉等安全套件進(jìn)展清理，但兵刃和紅葉中多是黑客的攻擊軟件需要保持其自身的安全性，防止前面驅(qū)虎，后面引狼；4、終端軟件重安裝也是比較快捷的方式，但是要留意簡版的操作系統(tǒng)和低版本的應(yīng)用軟件均在先天就存在致命的漏洞。建議選擇正版或全版和整合的操作系統(tǒng)，在補(bǔ)丁安裝完成前不要接入到網(wǎng)絡(luò)中，并且留意安裝軟件自身的安全，應(yīng)用軟件可以逐步進(jìn)展安裝，但安裝一個要確保其補(bǔ)丁升級完成。這個工作在前期預(yù)備需要相當(dāng)長的時間，但是這個是保證終端可用性的前提，肯定要重視。三、系統(tǒng)運行保護(hù)：1360arparp啟用，其原理一般是核查終端的arp表，定期進(jìn)展刷并制止arp表的修訂，終端病毒防護(hù)軟件的安裝和定期升級也是必要的前提；2、操作系統(tǒng)補(bǔ)丁和應(yīng)用軟件定期安裝；3、終端IP和MAC統(tǒng)計和更，并準(zhǔn)時在二層交換機(jī)進(jìn)展端口綁定，三IPMAC4、也可承受終端準(zhǔn)入的系統(tǒng)來掌握終端必要系統(tǒng)補(bǔ)丁和應(yīng)用程序的統(tǒng)一升級；圍的監(jiān)控和安全大事查證。圍的監(jiān)控和安全大事查證。一、終端中毒前的防護(hù)1、在終端重做系統(tǒng)接入網(wǎng)絡(luò)之前肯定要把操作系統(tǒng)的補(bǔ)丁打好到終端中毒之后再打補(bǔ)丁就來不及了。到終端中毒之后再打補(bǔ)丁就來不及了。2、接入網(wǎng)絡(luò)的終端肯定做到每一臺終端都要裝趨勢防病毒軟件。一臺都不能漏掉。假設(shè)漏掉了一臺，就相當(dāng)于操作系統(tǒng)的一個漏洞一樣，由于趨勢防病毒軟件留意的是防范，將病毒拒之門外。所以每一臺終端都要裝趨勢殺毒軟件也是很重要的一個環(huán)節(jié)。3、前兩點都做到的狀況下，每一個終端的操作者要有良好的使用習(xí)慣。不掃瞄不良網(wǎng)站，不要去點擊一些廣告等哄騙性的頁面。下載的時候要去正規(guī)的網(wǎng)站下載，使用的軟件盡量用正版的。安裝軟件的時候盡量不要安裝在C軟件也會有漏洞，木馬病毒會通過軟件漏洞入侵操作系統(tǒng)從而導(dǎo)致終端中毒。在安裝軟件的過程中，軟件本身會捆綁一些其它工具，假設(shè)安裝的軟件不是在正規(guī)網(wǎng)站下載的，那么很有可能捆綁的東西里會帶有一些病毒木馬等危害終端?；蛘邜阂獯鄹腎E不要始終下一步點到底。4、移動介質(zhì)在使用的過程當(dāng)中要做好檢查防止病毒集中移動介質(zhì)，例如:優(yōu)盤、軟盤、光盤、移動硬盤等移動設(shè)備，在使用的過程移動介質(zhì)，例如:優(yōu)盤、軟盤、光盤、移動硬盤等移動設(shè)備，在使用的過程中要做好備份、檢查工作，防止病毒集中。中要做好備份、檢查工作，防止病毒集中。5、要把不需要的系統(tǒng)共享關(guān)閉，還有Windows自動播放關(guān)閉。二、終端中毒后的處理1、當(dāng)前終端中病毒的途徑有以下幾種：通過執(zhí)行嵌入在網(wǎng)頁通過執(zhí)行嵌入在網(wǎng)頁HTML超文本標(biāo)記語言內(nèi)的JavaApplet小應(yīng)用程序，量直接影響病毒傳播的速度，網(wǎng)頁的掃瞄量宏觀上是隨著時間的增加而增加的。的電腦上的u盤病毒趁機(jī)植入u很大的便利。、共享：局域網(wǎng)是由相互連接的一組計算機(jī)組成的，這是數(shù)據(jù)共享和播、郵件:病毒制作者將病毒放在電子郵件的附件中寄給受害者，引誘受害者翻開電子郵件附件而傳染病毒,或?qū)⒉《局苯臃旁陔娮余]件內(nèi)寄給受害者，誘使受害者閱讀電子郵件而傳染病毒。、漏洞型病毒:因此即使你沒有運行非法軟件沒有翻開郵件掃瞄只要你連接到網(wǎng)絡(luò)中,漏洞型病毒就會利用操作系統(tǒng)的漏洞進(jìn)入你的計算機(jī)如沖擊波和震蕩波?！?〕、間諜軟件：是一種惡意程序，能夠附著〔捆綁〕在軟件安裝包、共〔6〕、間諜軟件：是一種惡意程序，能夠附著〔捆綁〕在軟件安裝包、共享文件、可執(zhí)行圖像以及各種可執(zhí)行文件當(dāng)中并能趁機(jī)潛入用戶的系統(tǒng),它能跟蹤用戶的上網(wǎng)習(xí)慣，更換用戶主頁，竊取用戶的密碼及其他個人隱私信息。〔7〕、中毒的一些表現(xiàn)我們怎樣知道電腦中病毒了呢?其實電腦中毒跟人生病一樣，總會有一些明word一些征兆。2、中毒診斷CPUCPU的利100%95%?！?〕、查看windows當(dāng)前啟動的效勞項，由“掌握面板”的“治理工具”里翻開“效勞”看右欄狀態(tài)為“啟動”啟動類別為“自動”項的行;一般而言，正常的windows效勞，根本上是有描述內(nèi)容的(少數(shù)被駭客或蠕蟲病毒偽造的除外)，此時雙擊翻開認(rèn)為有問題的效勞項查看其屬性里的可執(zhí)行文件的路徑和名稱，假設(shè)其名稱和路徑為C: winntsystem32explored.exe，計算機(jī)中招。有一種狀況是“掌握面板”打不開或者是全部里面的圖標(biāo)跑到左邊中間有一縱向的滾動條，而右邊為空白，再雙擊添加/刪除程序或治理工具，窗體內(nèi)是空的，這是病毒文件winhlpp32.exe發(fā)作的特性。序與windows一起啟動。主要看Hkey_Local_MachineSoftwareMicroSoftWindowsCurrentVersionRun和后面幾個RunOnceWindowsXp運行行msconfig也起一樣的作用。隨著閱歷的積存，你可以輕易的推斷病毒的啟動項?！?〕、取消隱蔽屬性，查看系統(tǒng)文件夾winnt(windows)system32,假設(shè)打后，可以對圖標(biāo)按類型排序看有沒有流行病毒的執(zhí)行文件存在順便查一下文件夾Tasks,wins,drivers.目前有的病毒執(zhí)行文件就藏身于此; driversetc下的文件hosts是病毒寵愛篡改的對象它原來只有700字節(jié)左右被篡改后就成了1Kb以上這是造成一般網(wǎng)站能訪問而安全廠商網(wǎng)站不能訪問、著名殺毒軟件不能升級的緣由所在?！?〕、由殺毒軟件推斷是否中毒，假設(shè)中毒，殺毒軟件會被病毒程序自動終止，并且手動升級失敗。3、中毒之后如何處理〔1〕、在注冊表里刪除隨系統(tǒng)啟動的非法程序，然后在注冊表中搜尋全部〔1〕、在注冊表里刪除隨系統(tǒng)啟動的非法程序，然后在注冊表中搜尋全部該鍵值，刪除之。當(dāng)成系統(tǒng)服務(wù)啟動的病毒程序，會該鍵值，刪除之。當(dāng)成系統(tǒng)服務(wù)啟動的病毒程序，會在在Hkey_Local_MachineSystemControlSet001services和〔2〕、停頓有問題的效勞，改自動為制止?！?〕、停頓有問題的效勞，改自動為制止。〔3〕〔3〕、假設(shè)文件system32driversetchosts被篡改，恢復(fù)它，即只剩下一行有效值“127.0.0.1localhost”,其余的行刪除。再把行有效值“127.0.0.1localhost”,其余的行刪除。再把host設(shè)置成只讀。動，又可以對動，又可以對Windows升級打補(bǔ)丁和對殺毒軟件升級。〔5〕、搜尋病毒的執(zhí)行文件，手動消滅之?！?〕、搜尋病毒的執(zhí)行文件，手動消滅之?！?〕〔6〕Windows〔7〕〔7〕remoteregistryservice。、第6步完成后用殺毒軟件對系統(tǒng)進(jìn)展全面的掃描，剿滅漏網(wǎng)之魚。、上步完成后，重啟計算機(jī)，完成全部操作。4、下面介紹兩種常見的緊急狀況處理方法〔1〕、ARP①、1ARPARP，全稱AddressResolutionProtocol，中文名為地址解析協(xié)議，它工作在數(shù)據(jù)鏈路層，在本層和硬件接口聯(lián)系，同時對上層供給效勞。IP32IP48位以太網(wǎng)地址傳輸以太網(wǎng)數(shù)據(jù)包。因此，必需把IP目的地址轉(zhuǎn)換成以太網(wǎng)目的機(jī)的MACMAC地址是如何獲得的呢？它就是通過地址解析協(xié)議證通信的順當(dāng)進(jìn)展。②、ARP首先，每臺主機(jī)都會在自己的ARPARPIPIPMAC﹐就直接將ARPARPIPARPIPMACIPARPIPMAC個ARPIPMACARPARPARP例如：MAC:AA-AA-AA-AA-AA-AAMAC:BB-BB-BB-BB-BB-BB依據(jù)上面的所講的原理，我們簡潔說明這個過程：AB，ABAARP〔192.168.10.2，請告知192.168.10.1〕，當(dāng)BAARP〔192.168.10.2BB-BB-BB-BB-BB-BB〕。③、哄騙原理假設(shè)一個網(wǎng)絡(luò)環(huán)境中，網(wǎng)內(nèi)有三臺主機(jī)，分別為主機(jī)A、B、C。主機(jī)具體信息如下描述：MAC:AA-AA-AA-AA-AA-AAMAC:BB-BB-BB-BB-BB-BBMAC:CC-CC-CC-CC-CC-CC正常狀況下ACBAARPBB-BB-BB-BB-BB-BB〔CMACCC-CC-CC-CC-CC-CC，這里被偽造了〕。當(dāng)ABARPARP〔A了〕，這時BCBCARPIPIPBB-BB-BB-BB-BB-BBARP〔C〕，BA。這樣主機(jī)ACB，ACBB們之間說的什么：〕ARP留意：一般狀況下，ARP哄騙的某一方應(yīng)當(dāng)是網(wǎng)關(guān)。④、常用的防護(hù)方法ARPIPMACARPARP法。首先：靜態(tài)綁定IPMAC綁定。ARPARPIPMAC雙向綁定才比較保險。方法：IPMAC–sIPMAC例如：“arp–s192.168.10.1AA-AA-AA-AA-AA-AA”。假設(shè)設(shè)置成功會在PC上面通過執(zhí)行arp-a可以看到相關(guān)的提示：InternetAddressPhysicalAddressTypeAA-AA-AA-AA-AA-AAstatic(靜態(tài))InternetAddressPhysicalAddressType192.168.10.1AA-AA-AA-AA-AA-AAdynamic(動態(tài))說明：對于網(wǎng)絡(luò)中有很多主機(jī)，500，1000在綁定，雖然也可以做一個批處理文件，但是還是比較麻煩的！其次：使用ARP防護(hù)軟件目前關(guān)于ARPARP工具主要是ARPAntiarpARPARP俺使用了該工具，它有5個功能：A.IP/MAC卡。IP/MACIPMACARPIPMAC明這里的表格里面沒有相應(yīng)的數(shù)據(jù)。B.ARPIPIPIP。(補(bǔ)充)“ARP“Time”：覺察問題時的時間；MAC；“Repeat”：欺詐信息發(fā)送的次數(shù)；“ARPinfo”：是指發(fā)送哄騙信息的具體內(nèi)容.如下面例子：timesenderRepeatARPinfo22:22:22192.168.1.221433192.168.1.1isat00:0e:03:22:02:e8192.168.1.22：192.168.1.1MAC00:0e:03:22:02:e8。IP內(nèi)網(wǎng)的ARPIPMAC，IPMAC100％的準(zhǔn)確。全部請不要以暴力解決某些問題。C.主動維護(hù)在網(wǎng)絡(luò)內(nèi)不停的播送制定的IP的正確的MAC地址?！爸贫ňS護(hù)對象”的表格里面就是設(shè)置需要保護(hù)的IP。發(fā)包頻率就是每秒發(fā)送多少個正確的包給網(wǎng)絡(luò)內(nèi)全部機(jī)器。猛烈建議盡量少的播送IPIPARPARPARPD.E.抓包類似于網(wǎng)絡(luò)分析軟件的抓包，保存格式是.cap。、Antiarp這個軟件界面比較簡潔，以下為我收集該軟件的使用方法。IP［獵取網(wǎng)關(guān)地址］MACARPMACMACIPMACIPARPIPAntiARPSniffer下：MACMACMACIpconfig/all，MACMAC將不再會顯示地址沖突。MAC用本地網(wǎng)卡然后再啟用網(wǎng)卡。再次：具有ARP防護(hù)功能的路由器ARPARP正意義上的攻擊，是不能解決的。ARPARP大多數(shù)路由器都會在很短時間內(nèi)不停播送自己的正確ARP信息，使受騙的主機(jī)回ARP，1秒有個幾百上千的)，它是不斷的發(fā)起ARP哄騙包來阻擋內(nèi)網(wǎng)機(jī)器上網(wǎng)，即使路由器不斷播送正確的包也會被他大量的錯誤信息給漂浮。ARP信息??？假設(shè)攻1500ARPARP會造成肯定的影響。〔2WORM_DOWNAD處理方法安環(huán)境有弱點而在短時間內(nèi)造成嚴(yán)峻的損害WORM_DOWNADWORM_DOWNAD具有以下幾種特性：①透過MS08-067的系統(tǒng)弱點攻擊計算機(jī)排程中增工作工程產(chǎn)生病毒檔案USB②②URLMS08-067次攻擊。③治理者賬戶密碼沒有定期更，沒有規(guī)定密碼簡單度WORM_DOWNADGh