校园网上网帐号被盗事件的分析与防范

发布:admin | 发布时间: 2010年1月13日

校园网给学校的师生员工带来便利的同时，也产生了上网帐号的安全问题。近期我们接到投诉上网账号被他人占用的事件数量呈上升趋势，经过分析上网记录数据，可能还存在更多用户在毫不知情的情况下帐号被人盗用的情况。我校的上网帐号采用实名制，上网认证采用NAT+LDAP方式，访问校外网时要安装安全证书，还要在专用的客户端输入帐号名和密码。上网帐号为何频繁被盗呢？
1、账号被盗事件
五月中的一天晚上，有一位教师电话求助其帐号被占用，无法上网。我们迅速展开核查，发现帐号仍在线，使用者的IP和网卡MAC地址被锁定。利用校园网端口管理系统，根据该MAC地址，查找交换机端口，查找宿舍上网端口，学生宿舍姓名，初步认定一学生正非法使用该帐号上网。由于正值夜晚，值班网管员在后台系统踢掉该非法使用者后，让教师重新更改了密码，暂时没有再追查下去。

第二天上班之后，我们通过用户日志数据库，查询了该教师帐号的上网记录历史，发现该帐号于近期有被学生宿舍网段的IP地址使用的异常记录，又查询该IP使用的计算机MAC地址和交换机端口，证实一学生之前已有非法使用过该教师账号。

之后几天我们加强监控，争取抓现场。通过端口管理系统，监测到的路由器MAC-IP变化记录显示，一台计算机对同网段其它计算机进行Arp欺骗攻击，该网段就是账号被盗教师所在单位的网段，攻击者MAC地址被锁定在公共机房。这时该单位另一位教师举报上网帐号被占用，经查证占用帐号的计算机就是那台Arp攻击的计算机，我们当即到该公共机房，找到了该计算机，当场抓到正在非法使用上网账号的学生，看到管理人员过来，该学生马上关闭计算机的电源，开始还百般抵赖，我们当时认真检查了计算机，在充足的证据面前，他才承认自己盗用别人的帐号。

上网帐号不仅是校园网的个人身份ID，还要按月交上网费。这种恶意盗号行为侵害了他人的利益，扰乱了校园网的正常运行，影响严重，经学校相关部门建议，受害人向公安机关报了案。公安机关经过立案调查和取证，根据《广东省计算机信息系统安全保护条例》第四十一条规定，给盗用账号学生以警告和罚款的行政处罚。
2、帐号被盗事件的分析
盗账号者使用了Arp欺骗等常用工具软件：
第一步：盗取者在计算机上安装Sniffer、WireShark之类的网络抓包软件；
第二步：监控网络上的Arp包，获得同网段计算机的MAC地址和IP地址；
第三步：利用Arp软件工具发送Arp欺骗，冒充成网关或者其他计算机；
第四步：其它计算机被欺骗后会把发向网关的数据包发给盗用者的计算机，或者网关受骗后把发向其它计算机的数据包发给攻击者；
第五步：盗取者用Sniffer监听网络数据包，从中获取别人的账号和密码。
如果上网账号使用者设置的密码太简单，或登录时未使用安全认证，盗取者截获数据报后，通过协议过滤或者目的地址过滤，加上一些数据报分析就能获得别人的上网帐号和密码。
3、防范措施
针对盗用校园网帐号的情况，我们采取了以下技术措施加以防范：
（1）加强对整个校园网Arp攻击的监控，目前在后台能够及时准确地获得Arp攻击者的MAC-IP信息，能够根据网络端口数据对应到上网地点和人，但是公共机房由于管理问题无法根据MAC地址对应到人，这可能也是盗号者把地点选在公共机房的原因。
（2）校园网结构复杂，许多部门自己加装交换机和集线器，自己拉线，增加了网络管理的难度，对这部分网络端口进行登记普查。
（3）计划尝试在客户端和网关双向绑定MAC-IP，从而防止和杜绝Arp攻击。
（4）加强公共机房的管理，要求安装杀毒软件、Arp防火墙、以及各种权限控制软件，使得学生无法安装运行抓包软件和黑客工具，特别要推行公共场所上网登记措施。

另外，要不断加强所有用户的安全教育，帮助提高他们自身的安全意识，不定期发布安全提示：

　（1）对操作系统和应用软件安装最新的漏洞补丁程序，使用校园网内自动更新服务。
　（2）确保安装了主流的防病毒软件，并使防病毒软件版本和病毒库保持为最新。
　（3）建议启用Windows系统自带的防火墙，慎用远程桌面、文件共享和FTP等服务，一旦使用，要设置安全的用户名和口令等措施来限制远程用户的访问权限。
　（4）离开个人电脑时启用屏幕锁定功能，长时间不用时关闭主机电源，使用公用电脑后立即注销个人登录账号、删除个人信息。
　（5）定期备份电脑重要数据，确保在系统崩溃时或硬盘故障时, 数据可以及时恢复。
　（6）谨慎使用“记住密码”的功能，建议密码设置不少于8位的有字母、数字和符号组成的没有规律的密码，并每月修改一次。
    （7）避免借用账号给他人使用，不要在网上公开透露您的邮箱和个人信息，不点击陌生E-mail或QQ等即时通讯软件传送过来的网址，不打开来历不明的附件。
    （8）下载软件到官方站点或大型站点，警惕网络下载陷阱和广告诱惑，不浏览不健康网站，远离易感染木马和病毒的不良网站。
    （9）发现电脑系统遭入侵或账号被盗时，立即保护好信息现场，联系学校有关部门处理，重大事件可报告公安机关，协助有关部门开展调查取证工作。

文章如转载，请注明转载自：http://www.5iadmin.com/post/21.html

标签:

校园网上网帐号

后一篇：« BBSXP论坛手工得到用户md5密码的方法

前一篇：打印系统服务也玩新花样 »

发布:admin | 分类:网络安全 | 评论:1 | 引用:0 | 浏览: | TrackBack引用地址

1.求助
我们学校的校园网只要输入账号密码就可以上网，并且是一个账号可以在每一台机子上网，但不能多个机子同时上~只能一台机子上~！请问这属于这样的方式？（ip是静态的）
还有账号被盗后可以查到使用账号的机子信息吗？
如ip什么的？
知道他的ip可以知道他的账号吗？
谢谢哈~
2012-4-7 13:10:30 回复该留言