一、木马的检测和清除
1)查看开放端口
2)查看和恢复win.ini和system.ini系统配置文件
3)查看启动程序和删除可疑的启动程序的配置文件
4)查看系统进程并停止可疑的系统进程
5)查看和还原注册表
6)使用杀毒软件和木马检测工具检测和清除木马
二、ARP欺骗的防范
1)不要把网络的安全信任关系仅建立在IP基础上或者Mac基础上,而要把这个关系建立在IP+Mac基础上
2)设置静态的Mac地址到IP地址对应表,不要让主机刷新设定好的转换表
3)除非很有必要,否则停用ARP,将ARP作为永久条目保存在对应表中
4)使用proxy代理IP的传输
5)使用硬件屏蔽主机,设置好路由,确保IP地址能够到达合法的路径
6)管理员要定期轮询,检查主机上的ARP缓存
7)使用防火墙连续监控网络
三、蠕虫与病毒的区别
| 比较对象 | 蠕虫 | 病毒 |
| 存在形式 | 独立程序 | 寄生 |
| 触发机制 | 自动执行 | 用户激活 |
| 复制方式 | 复制自身 | 插入宿主程序 |
| 搜索机制 | 扫描网络IP | 扫面本地文件系统 |
| 破坏对象 | 网络 | 本地文件系统 |
| 用户参与 | 不需要 | 需要 |
四、无线网络面临的安全威胁
身份假冒、通信侦听、信息篡改、密码攻击、隐私获取、设备丢失、非授权访问、拒绝服务攻击、流量分析
五、【例1】
如果图中的FTP服务器中的内容极其敏感,需要严格限制授权终端下载FTP服务器中的文件操作,绝不允许删除或修改FTP服务器中的文件,如何通过设置和配置入侵检测系统做到这点?
(1)网络入侵检测系统设置位置如图12.5所示。这样设置网络入侵检测系统的目的是使网络入侵检测系统只用于检测对FTP服务器实施的攻击
(2)网络入侵检测系统设置配置的安全策略如表所示,源IP地址范围严格限制了授权终端范围。服务FTP GET只允许与下载文件的操作过程有关的信息交换过程正常进行。加载已经发现的与攻击FTP服务器有关的所有攻击特征。
|
规 则 编 号 |
源 IP 地 址 |
目 的 IP 地 址 |
服务 |
攻 击 特 征 库 |
动 作 |
|
1 |
192.1.1.1/32 |
192.2.7.7/32 |
FTP GET |
FTP-严重 |
源IP阻塞 |
|
FTP-中等 |
源IP阻塞 |
||||
|
FTP-轻度 |
源IP阻塞 |