校园网上网帐号被盗事件的分析与防范
发布:admin | 发布时间: 2010年1月13日 校园网给学校的师生员工带来便利的同时,也产生了上网帐号的安全问题。近期我们接到投诉上网账号被他人占用的事件数量呈上升趋势,经过分析上网记录数据,可能还存在更多用户在毫不知情的情况下帐号被人盗用的情况。我校的上网帐号采用实名制,上网认证采用NAT+LDAP方式,访问校外网时要安装安全证书,还要在专用的客户端输入帐号名和密码。上网帐号为何频繁被盗呢?
1、账号被盗事件
五月中的一天晚上,有一位教师电话求助其帐号被占用,无法上网。我们迅速展开核查,发现帐号仍在线,使用者的IP和网卡MAC地址被锁定。利用校园网端口管理系统,根据该MAC地址,查找交换机端口,查找宿舍上网端口,学生宿舍姓名,初步认定一学生正非法使用该帐号上网。由于正值夜晚,值班网管员在后台系统踢掉该非法使用者后,让教师重新更改了密码,暂时没有再追查下去。
第二天上班之后,我们通过用户日志数据库,查询了该教师帐号的上网记录历史,发现该帐号于近期有被学生宿舍网段的IP地址使用的异常记录,又查询该IP使用的计算机MAC地址和交换机端口,证实一学生之前已有非法使用过该教师账号。
之后几天我们加强监控,争取抓现场。通过端口管理系统,监测到的路由器MAC-IP变化记录显示,一台计算机对同网段其它计算机进行Arp欺骗攻击,该网段就是账号被盗教师所在单位的网段,攻击者MAC地址被锁定在公共机房。这时该单位另一位教师举报上网帐号被占用,经查证占用帐号的计算机就是那台Arp攻击的计算机,我们当即到该公共机房,找到了该计算机,当场抓到正在非法使用上网账号的学生,看到管理人员过来,该学生马上关闭计算机的电源,开始还百般抵赖,我们当时认真检查了计算机,在充足的证据面前,他才承认自己盗用别人的帐号。
上网帐号不仅是校园网的个人身份ID,还要按月交上网费。这种恶意盗号行为侵害了他人的利益,扰乱了校园网的正常运行,影响严重,经学校相关部门建议,受害人向公安机关报了案。公安机关经过立案调查和取证,根据《广东省计算机信息系统安全保护条例》第四十一条规定,给盗用账号学生以警告和罚款的行政处罚。
2、帐号被盗事件的分析
盗账号者使用了Arp欺骗等常用工具软件:
第一步:盗取者在计算机上安装Sniffer、WireShark之类的网络抓包软件;
第二步:监控网络上的Arp包,获得同网段计算机的MAC地址和IP地址;
第三步:利用Arp软件工具发送Arp欺骗,冒充成网关或者其他计算机;
第四步:其它计算机被欺骗后会把发向网关的数据包发给盗用者的计算机,或者网关受骗后把发向其它计算机的数据包发给攻击者;
第五步:盗取者用Sniffer监听网络数据包,从中获取别人的账号和密码。
如果上网账号使用者设置的密码太简单,或登录时未使用安全认证,盗取者截获数据报后,通过协议过滤或者目的地址过滤,加上一些数据报分析就能获得别人的上网帐号和密码。
3、防范措施
针对盗用校园网帐号的情况,我们采取了以下技术措施加以防范:
(1)加强对整个校园网Arp攻击的监控,目前在后台能够及时准确地获得Arp攻击者的MAC-IP信息,能够根据网络端口数据对应到上网地点和人,但是公共机房由于管理问题无法根据MAC地址对应到人,这可能也是盗号者把地点选在公共机房的原因。
(2)校园网结构复杂,许多部门自己加装交换机和集线器,自己拉线,增加了网络管理的难度,对这部分网络端口进行登记普查。
(3)计划尝试在客户端和网关双向绑定MAC-IP,从而防止和杜绝Arp攻击。
(4)加强公共机房的管理,要求安装杀毒软件、Arp防火墙、以及各种权限控制软件,使得学生无法安装运行抓包软件和黑客工具,特别要推行公共场所上网登记措施。
另外,要不断加强所有用户的安全教育,帮助提高他们自身的安全意识,不定期发布安全提示:
(1)对操作系统和应用软件安装最新的漏洞补丁程序,使用校园网内自动更新服务。
(2)确保安装了主流的防病毒软件,并使防病毒软件版本和病毒库保持为最新。
(3)建议启用Windows系统自带的防火墙,慎用远程桌面、文件共享和FTP等服务,一旦使用,要设置安全的用户名和口令等措施来限制远程用户的访问权限。
(4)离开个人电脑时启用屏幕锁定功能,长时间不用时关闭主机电源,使用公用电脑后立即注销个人登录账号、删除个人信息。
(5)定期备份电脑重要数据,确保在系统崩溃时或硬盘故障时, 数据可以及时恢复。
(6)谨慎使用“记住密码”的功能,建议密码设置不少于8位的有字母、数字和符号组成的没有规律的密码,并每月修改一次。
(7)避免借用账号给他人使用,不要在网上公开透露您的邮箱和个人信息,不点击陌生E-mail或QQ等即时通讯软件传送过来的网址,不打开来历不明的附件。
(8)下载软件到官方站点或大型站点,警惕网络下载陷阱和广告诱惑,不浏览不健康网站,远离易感染木马和病毒的不良网站。
(9)发现电脑系统遭入侵或账号被盗时,立即保护好信息现场,联系学校有关部门处理,重大事件可报告公安机关,协助有关部门开展调查取证工作。
文章如转载,请注明转载自:http://www.5iadmin.com/post/21.html
- 相关文章:
- 1.求助
- 我们学校的校园网只要输入账号密码就可以上网,并且是一个账号可以在每一台机子上网,但不能多个机子同时上~只能一台机子上~!请问这属于这样的方式?(ip是静态的)
还有账号被盗后可以查到使用账号的机子信息吗?
如ip什么的?
知道他的ip可以知道他的账号吗?
谢谢哈~ - 2012-4-7 13:10:30 回复该留言
发表评论
◎欢迎参与讨论,请在这里发表您的看法、交流您的观点。