局域网组建与维护教程维护篇214全能培训——局域网组建与维护教程第11章局域网安全维护学习目的掌握局域网安全基础知识学会更新操作系统和安装系统补丁掌握局域网的数据安全本章要点网络安全知识黑客防火墙概述系统更新与补丁课堂讲解通过前面章节的叙述与讲解,终于可以自如的架设各种各样的局域网,并能轻松地接入Internet,享受无尽的网络资源了。但病毒和黑客,使得我们的局域网出现安全危机,稍一疏忽,就会让我们辛苦架设的局域网毁于一旦。下面,我们就来从局域网维护角度入手,讲解常见的网络病毒及防治措施、防火墙的相关知识和运用,最好介绍有关IE高级设置的问题。局域网安全维护21511.1网络安全知识大多数人都知道在Internet上冲浪的时候要注意安全,一方面防止网上病毒的蔓延,另一方面又要防止黑客的攻击,然而对局域网内部的安全隐患却很少看见。事实上,Internet只不过是局域网的一个延伸,在Internet上可能遇到的安全问题在局域网上同样可能遇到。对局域网的安全掉以轻心使非法侵入局域网的病毒得以肆意蔓延,这个问题在对等网中尤为严重,而一些不怀好意的来自局域网内部的攻击更是防不胜防。11.1.1病毒的由来1988年11月2日下午5时1分59秒,美国康奈尔大学的计算机科学系研究生,23岁的莫里斯(Morris)将其编写的蠕虫程序输入计算机网络。几小时后因特网连接严重堵塞。这个网络连接着大学、研究机关的155000台计算机,整个网络全部瘫痪。这件事就像是计算机界的一次大地震,引起了巨大反响,震惊全世界,引起了人们对计算机病毒的恐慌,也使更多的计算机专家重视和致力于计算机病毒研究。从此,“病毒”成为计算机界一个令人恐怖的词语,而病毒“队伍”也不断“发展壮大”。以后的CIH病毒和梅莉莎病毒和前段时间新出现的冲击波、振荡波病毒等部对整个社会带来了重大的损失。11.1.2病毒的分类计算机病毒也是一种应用程序。但它与其他计算机应用程序不同的是,它本身具有破坏性,更重要的是,计算机病毒可以通过自身进行复制,而且这些计算机病毒一般都有很好的隐蔽性,来躲避计算机使用者的注意。而在特定的触发条件下,比如时间或者具体的操作事件等都会导致计算机病毒的发作。病毒的破坏性主要是软件方面的,按照计算机病毒的属性,病毒可以按照如下分类。1、根据病毒的传播介质分类根据病毒的传播媒体,病毒可以划分为网络病毒、文件病毒和引导型病毒。网络病毒通过计算机网络传播感染网络中的可执行文件。文件病毒感染计算机中的文件(如:COM,BAT,EXE,DOC等文件),并通过这些文件的使用不断地复制自身,以摧毁整个系统。引导型病毒感染启动扇区(Boot)和硬盘的系统引导扇区(MBR)。事实上,随着“病毒技术”的不断进步,现在的病毒大多数是这三种情况的综合型。例如,著名的CIH病毒就是一个典型,这个病毒初期通过Internet传播到世界上每一个角落.而216全能培训——局域网组建与维护教程本身又寄生在文件中,在内存调用文件时感染下一个文件,然后损坏引导区,继续向下感染和传播,最终使全球无数的计算机难逃劫难。2、根据病毒的破坏能力分类基本无害型除了传染时减少磁盘的可用空间外,对系统没有其他影响。但对于这样的病毒也不可以掉以轻心,它们的变种往往会大量吞噬掉硬盘空间。基本无危险型这类病毒仅仅是减少内存、显示图像、发出声音。这样的病毒事实上是一个恶作剧的计算机程序,编写者自称这样的程序是跟计算机的使用者开一个玩笑或者以此来证明自己的计算机水平,但它终究是一个病毒,没有人愿意在工作的时候听到或者看到一些令人厌恶的声音或者图像。危险型这类病毒在计算机系统操作中造成严重的错误。无数次的“蓝屏”和“非法操作”最终使计算机系统崩溃。极端危险型这类病毒属于恶性病毒,它们不仅删除程序,破坏数据,清除系统内存区和操作系统中重要的信息,甚至损坏计算机硬件设备,重写BIOS,修改硬盘引导区信息,让你的电脑不停地重新启动等等都是它们的拿手好戏,典型的就是CIH病毒和振荡波病毒。3、根据病毒特有的算法分类伴随型病毒这一类病毒并不改变文件本身,它们根据算法产生exe文件的伴随体,具有同样的名字和不同的扩展名(COM),例如,XCOPY.EXE的伴随体是XCOPY.COM。病毒把自身写入COM文件并不改变EXE文件,当Dos加载文件时,优先执行伴随体,再由伴随体加载执行原来的EXE文件。“蠕虫”型病毒通过计算机网络传播,不改变文件和资料信息,利用网络从一台机器的内存传播到其他机器的内存,计算网络地址,将自身的病毒通过网络发送。有时它们在系统存在,一般除了内存不占用其他资源。这种病毒的攻击对象主要是网络,其破坏结果往往是使整个网络瘫痪。局域网安全维护217寄生型病毒除了伴随型和“蠕虫”型,其他病毒均可称为寄生型病毒,它们依附在系统的引导扇区或文件中,通过系统的功能进行传播。这种病毒往往并不是立即发作,还有一段潜伏期,在潜伏期内通过各种途径迅速地传染和蔓延,最后通过触发条件发作。综上所述,病毒的分类是一个很模糊的概念。越是高级的病毒,其算法就越复杂,传播途径就越多,破坏力就越强。11.1.3病毒的攻击对象如果计算机已经感染病毒,会出现什么症状呢?不同的症状是病毒攻击了计算机不同的部分造成的,病毒攻击对象以及表现特征有以下几种:1、攻击系统数据区攻击部位包括:硬盘主引导扇区、Boot扇区、FAT表、文件目录。一般来说,攻击系统数据区的病毒是恶性病毒,受损的数据不易恢复。2、攻击文件病毒对文件的攻击方式很多,如删除,改名,替换内容,丢失部分程序代码,内容颠倒,写入时间空白,变碎片,假冒文件,丢失文件簇和丢失数据文件。3、攻击内存内存是计算机的重要资源,也是病毒的主要攻击目标。病毒额外地占用和消耗系统的内存资源,可以导致一些大程序受阻。如占用大量内存,禁止分配内存及蚕食内存。4、干扰系统运行病毒会干扰系统的正常运行,以此作为自己的破坏行为。此类行为也是花样繁多,如不执行命令,干扰内部指令的执行,虚假报警.打不开文件,占用特殊数据区,换现行盘,时钟倒转,重启动,死机,强制游戏和扰乱串并行口。5、占用资源病毒激活时,其内部的时间延迟程序启动。在时钟中纳入了时间的循环计数,迫使计算机空转,计算机速度明显下降。6、扰乱屏幕显示病毒扰乱屏幕显示的方式很多,如字符跌落、环绕、倒置、显示前一屏、光标下跃、滚218全能培训——局域网组建与维护教程屏、抖动、乱写、颜色显示异常和无图标等等。7、键盘病毒干扰键盘操作,如响铃、封锁键盘、换字、抹掉缓存区字符、重复和输入紊乱等等。8、攻击CMOS在机器的CMOS区中,保存着系统的重要数据。例如系统时钟、磁盘类型及内存容量等,有的病毒激活时,能够对CMOS区进行写人动作,破坏系统CMOS中的数据。9、吞噬网络资源最明显的就是“蠕虫”病毒,其明显持征是网络速度变慢,系统反应迟钝。11.1.4几种常见的病毒1、“爱虫”病毒(lovebug)“爱虫”病毒是一种“蠕虫”病毒,前面说过“蠕虫”病毒主要就是通过占用内存和网络资源达到使网络瘫痪的目的。“爱虫”就是个典型的例子,它通过MicrosoftOutlook电子邮件系统传播,邮件的主题为“ILoveYou”,包含一个附件(“Love-Letter-for-you.txt.vbs”)。一旦在MicrosoftOutlook中打开这个附件,系统就会自动复制并向通信簿中的所有电子邮件地址发送这个病毒。用户感染了该病毒后,邮件系统会变慢,并可能导致整个网络系统崩溃,这个病毒对于电子邮件系统具有极大的危险性。这种病毒同时会感染并坏文件名为:*.VBS、*.VBE、*.JS、*.JSEE、*.CSS、*.WSH、*.SCT、*.HTA、*.JPG、*.JPEC、*.PM3和*.MP2等12种数据文件。2、Funlove病毒Win32.Funlove.4099文件型病毒主要针对局域网,如果局域网中的一台计算机感染该病毒,那么Win32.Funlove.4099将感染Windows9X和WindowsNT4.0的Win32PE文件。如.exe、.scr和.ocx文件。当该病毒首次运行时,会在系统System目录下生成一个名为Flcss.Exe的文件,然后感染所有的.exe、.scr和.ocx文件,而且Explorer.exe也会在NT系统重新启动后被感染。这个病毒还会修改Ntoskrnl.exe和Ntldr等NT系统文件,并通过这种方式实现在系统重启动后拥有NT系统的所有通道。局域网安全维护2193、CIH病毒图11-1CIH病毒文件臭名昭著的CIH病毒相信很多人都知道,其破坏力之强令任何一个计算机使用者都为之咋舌。首先,CIH病毒将感染Windows9X及在Windows9X下运行的后缀名为*.exe,*.com、*.vxd,*.vxe的应用程序,自解压文件、压缩文件和压缩包中的这4种后缀名的程序也会受到感染,拷贝到硬盘上压缩名为CAB中的压缩文件中的Windows98以及备份包中的Windows98文件均会受到感染,也就是说,CIH病毒会毁坏掉磁盘上的所有系统文件;其次,CIH病毒会感染硬盘上的所有逻辑驱动器.以硬盘中2048个扇区为单位,从硬盘主引导区开始依次向硬盘中写入垃圾数据,直到硬盘中数据被全部破坏为之,最坏的情况是硬盘所有数据(含全部逻辑盘数据)均被破杯;然而.这都没有什么,更为可怕的是CIH病毒还会破坏主板上的BIOS,使CMOS的参数回到出厂时的设置,假如用户的CMOS是FlashRom型的,那么主板将会报废。对于硬盘数据的恢复用一些查毒工具基本就可以做到,而破坏的BIOS则比较难恢复,一般来说都要先下载主板BIOS,然后重刷BIOS。具体的刷BIOS步骤这里就不详细叙述了,请参考《全能培训——电脑组装与维护教程》一书相关章节。4、YAI病毒YAI(YouAndI)是第一个国内编写的大规模流行的“黑客”病毒,它是由重庆的一位叫杜江的大学生编写的,YAI(backdoor)属于文件型病毒,通过各种存储介质和因特网传播,主要以右键附件的形式传递。在YAI(backdoor)病毒感染Windows系统的可执行文件并执行了染毒文件后,系统没有任何特殊现象,即在毫无征兆的情况下能够将病毒激活,使之侵入系统。当染毒文件*.exe被运行后,会在当前目录下生成*.TMP和*.TMP.YAI两个文件,同时此病毒自动搜索系统内的可执行文件,并将这些可执行文件感染。220全能培训——局域网组建与维护教程5、“圣诞节”病毒“圣诞节”病毒也是一种极度恶性病毒,它不但能删除计算机上的文件,而且通过破坏计算机的FLASHBIOS,使其完全瘫痪。在破坏FLASHBIOS时,该病毒的作者使用了与CIH病毒一样的手法——这种病毒能感染Windows95,Windows98及WindowsNT,这种病毒在12月25日发作。目前的杀毒软件基本上都可以查杀这种病毒。11.1.5防毒措施在前面已经介绍了计算机中病毒的各种特征表现,如果计算机出现了这些表现就不得不怀疑系统已经中毒,这时候需要用专业的查毒工具检查系统,通过检查,如果计算机已经感染了病毒,则要尽快进行杀毒。因此,在平时就要准备一个专业的杀毒软件,例如SymantecAntivirus等。检查文件时,不要以为只有*.exe、*.com等可执行文件会感染病毒,就忽略了其他文件,事实上一些宏病毒就潜伏在*.doc文件中,而且通过一些特别技术,*.txt文件也可以感染病毒.因此必须对硬盘上的所有文件进行检查。检查完硬盘上的所有文件还必须对硬盘的引导扇区进行检查,一些隐藏在硬盘引导扇区的病毒是最容易被人遗忘的。要使计算机时刻保持正常状态,对病毒的预防是首要的。不要用盗版光盘,在这些光盘中经常带有大量的病毒,已经成为传播计算机病毒的—个重要途径。在因持网上下载软件时,应该到一些知名的网站去下载,一些来历不明的软件很可能就携带了病毒。下载后也不要忘了用查毒软件查毒。对重要的数据和硬盘引导区等进行备份,以防不测。图11-