信息管理与信息系统专业技能训练报告.docx
《信息管理与信息系统专业技能训练报告.docx》由会员分享,可在线阅读,更多相关《信息管理与信息系统专业技能训练报告.docx(11页珍藏版)》请在冰豆网上搜索。
信息管理与信息系统专业技能训练报告
信息管理与信息系统专业
技能训练报告
题目:
信息安全技能训练
学生XX:
指导教师:
黄立明
系(院)别:
工商管理学院
专业、班级:
信息管理与信息系统1301、1302
完成时间:
2016年6月16日
技能训练一:
病毒防护
概述
金山毒霸杀毒防护软件的应用练习
金山毒霸:
查毒速度快,同时配置网络安全防火墙,集中管理多种防火墙功能与安全助手,全面拦截网页浏览、电子、下载、聊天、局域网、光盘、软盘等各种病毒入侵通道。
安装与设置
1.安装与设置简单易操作
病毒查杀与防护点击开始扫描进行快速扫描(省时)或全盘扫描。
效果综述:
国产杀软在我的使用过程中感觉金山最好用。
杀毒效果还不错(国内病毒)占用内存小杀毒速度快,尤其是里面的金山清理助手是感觉最方便的,你可以查下在国际VB测试中国产杀软金山是首个连续获得认证的。
不过一点金山在查杀国外病毒时不如卡巴等国外杀软,不过在中国比较好用。
2.病毒查杀与防护
可以满足日常各种电脑查杀与防护
3.效果综述
金山毒霸是金山网络旗下研发的云安全智扫反病毒软件。
融合了启发式搜索、代码分析、虚拟机查毒等经业界证明成熟可靠的反病毒技术,使其在查杀病毒种类、查杀病毒速度、未知病毒防治等多方面达到先进水平,同时金山毒霸具有病毒防火墙实时监控、压缩文件查毒、查杀电子病毒等多项先进的功能。
功能全面,使用便捷。
4.问题与解决办法
不连接网络时,病毒库与在线分析无法升级使用。
方法:
连接网络。
5.建议与思考
优点:
强大的病毒查杀能力和监控能力
缺点:
程序界面有些混乱,但是新版的界面还是很合理的
技能训练二:
网络扫描
概述Nmap软件的应用练习
1.Nmap网络扫描软件的安装与设置
2.网络扫描
sP Ping扫描:
用于了解网络上有哪些主机是开放的,nmap可以通过对指定的IP地址发送ICMP的echo request信息包来确定,有回应的主机就是开放的。
现选择IP地址段为10.110.38.200-230 扫描结果如下
可见在31个IP地址中有12主机是开放的
3.效果综述
优点:
系统中的任何用户都有权利使用这个调用;如果对每个目标端口以线性的方式扫描,将会花费相当长的时间,但如果同时打开多个套接字,就能加速扫描。
缺点:
很容易被发现,目标计算机的logs文件会显示一连串连接和连接出错的消息,并且能很快的将它关闭。
4.建议与思考
怎样可以防御黑客的 Nmap 扫描?
步骤一,GuestXX禁用。
有很多入侵都是通过这个XX进一步获得管理员密码或者权限的。
如果不想把自己的计算机给别人当玩具,那还是禁止的好。
打开控制面板,双击“用户和密码”,选择“高级”选项卡。
单击“高级”按钮,弹出本地用户和组窗口。
在GuestXX上面点击右键,选择属性,在“常规”页中选中“XX已停用”。
步骤二,停止共享。
Windows 2000安装好之后,系统会创建一些隐藏的共享。
点击开始→运行→cmd,然后在命令行方式下键入命令“net share”就可以查看它们。
网上有很多关于IPC入侵的文章,都利用了默认共享连接。
要禁止这些共享,打开管理工具→计算机管理→共享文件夹→共享,在相应的共享文件夹上按右键,点“停止共享”就行了。
步骤三,尽量关闭不必要的服务,如Terminal Services、IIS(如果你没有用自己的机器作Web服务器的话)、RAS(远程访问服务)等。
还有一个挺烦人的Messenger服务也要关掉,否则总有人用消息服务发来网络广告。
打开管理工具→计算机管理→服务和应用程序→服务,看见没用的就关掉。
步骤四,禁止建立空连接。
在默认的情况下,任何用户都可以通过空连接连上服务器,枚举XX并猜测密码。
我们必须禁止建立空连接,方法有以下两种:
(1)修改注册表:
HKEY_Local_MachineSystemCurrent-ControlSetControlLSA下,将DWORD值RestrictAnonymous的键值改成1。
(2)修改Windows 2000的本地安全策略:
设置“本地安全策略→本地策略→选项”中的RestrictAnonymous(匿名连接的额外限制)为“不容许枚举SAM账号和共享”。
步骤五,如果开放了Web服务,还需要对IIS服务进行安全配置:
(1) 更改Web服务主目录。
右键单击“默认Web站点→属性→主目录→本地路径”,将“本地路径”指向其他目录。
(2) 删除原默认安装的Inetpub目录。
(3) 删除以下虚拟目录:
_vti_bin、IISSamples、Scripts、IIShelp、IISAdmin、IIShelp、MSADC。
(4) 删除不必要的IIS扩展名映射。
方法是:
右键单击“默认Web站点→属性→主目录→配置”,打开应用程序窗口,去掉不必要的应用程序映射。
如不用到其他映射,只保留.asp、.asa即可。
(5) 备份IIS配置。
可使用IIS的备份功能,将设定好的IIS配置全部备份下来,这样就可以随时恢复IIS的安全配置。
最后,选择一款实用的防火墙。
比如Network ICE Corporation公司出品的Black ICE。
且将微软的补丁打全。
技能训练三:
黑客攻击
1.黑客攻击软件的安装与设置(以学习为目的,不用于XX勾当)
第一步:
配置木马服务端
我们以“黑洞”木马为例。
运行“黑洞”木马的Client.exe文件,进入Client.exe的主界面后,点击“文件→创建DLL插入版本服务端程序”。
进入服务端程序的创建界面后,首先勾选“Win NT/2000/XP/2003下隐藏服务端文件、注册表、进程和服务”,然后切换到“连接选项”标签,在“主机”一栏中填入本机的公网IP地址,端口可以保持默认的“2007”。
最后在“连接密码”处填入用来连接对方的密码,例如123456。
设置完成后点击“生成”按钮,将木马服务端保存为muma.exe。
第二步:
生成网页木马
既然是挂马,那当然缺不了网页木马了。
这里我们用“MS07-33网马生成器”为例。
运行“MS07-33网马生成器”,在“网马地址”文本框中输入木马所在路径,由于等会我们要自行架设服务, 所以这里应该填入“:
//192.168.0.2/muma.exe“,其中192.168.0.2是本机在局域网中的IP地址。
点击“生成网马”按钮即可生成网马hackll.htm
第三步:
开启本机服务
要让局域网中的其他主机能够访问到我们的网马,就要开启本机的服务。
下载baby web server,这是一款简单的Web服务器软件,下载后直接运行,在其主界面中点击“服务→设置”。
将“网页目录”设置为网页木马所在的地方,例如C盘根目录“C:
\“。
点“确定”回主界面,然后再点“Start”按钮开启本机的服务。
将木马服务端和网页木马放到C盘根目录。
第四步:
局域网挂马
最后该请我们的主角出场了,就是上文中提到的小工具,这个工具叫zxARPs,是一个通过ARP欺骗实现局域网挂马的工具。
在使用zxARPs前我们要安装WinPcap,它是网络底层驱动包,没有它zxARPs就运行不了。
安装好后将zxARPs放到任意目录,然后运行“命令提示符”,进入zxARPs所在的目录,然后输入命令:
zxARPs.exe -idx 0 -ip 192.168.0.1-192.168.0.255 -port 80 -insert ""。
回车后挂马就成功了。
从现在开始,局域网中的用户无论访问什么,都会运行我们的网页木马,因为zxARPs在用户打开网页的同时已经将挂马代码插入到正常网页中了。
ARP欺骗可以实现多种攻击效果,本文介绍ARP欺骗挂马的只是其中的一种攻击方式,此外还有信息嗅探,主机网络限制等攻击方法。
可见,ARP欺骗是局域网的头号大敌。
因此我们在平时的安全防X中,不仅要做好本机的安全工作,还要对局域网的安全作一定的防御,这样才能更安全地使用电脑。
2.攻击工程与解决办法
2.1死亡之Ping(Ping of death)攻击
由于在早期的阶段,路由器对包的最大大小是有限制的,许多操作系统TCP/IP栈规定ICMP包的大小限制在64KB以内。
在对ICMP数据包的标题头进行读取之后,是根据该标题头里包含的信息来为有效载荷生成缓冲区。
当大小超过64KB的ICMP包,就会出现内存分配错误,导致TCP/IP堆栈崩溃,从而使接受方计算机宕机。
这就是这种“死亡之Ping”攻击的原理所在。
根据这一攻击原理,黑客们只需不断地通过Ping命令向攻击目标发送超过64KB的数据包,就可使目标计算机的TCP/IP堆栈崩溃,致使接受方宕机。
对于一些大的IP数据包,往往需要对其进行拆分传送,这是为了迎合链路层的MTU(最大传输单元)的要求。
比如,一个6000字节的IP包,在MTU为2000的链路上传输的时候,就需要分成三个IP包。
在IP报头中有一个偏移字段和一个拆分标志(MF)。
如果MF标志设置为1,则表面这个IP包是一个大IP包的片断,其中偏移字段指出了这个片断在整个IP包中的位置。
例如,对一个6000字节的IP包进行拆分(MTU为2000),则三个片断中偏移字段的值依次为:
0,2000,4000。
这样接收端在全部接收完IP数据包后,就可以根据这些信息重新组装这几个分次接收的拆分IP包。
在这里就又一个安全漏洞可以利用了,就是如果黑客们在截取IP数据包后,把偏移字段设置成不正确的值,这样接收端在收后这些分拆的数据包后就不能按数据包中的偏移字段值正确重合这些拆分的数据包,但接收端会不断偿试,这样就可能致使目标计算朵操作系统因资源耗尽而崩溃。
泪滴攻击利用修改在TCP/IP堆栈实现XX任IP碎片中的包的标题头所包含的信息来实现自己的攻击。
IP分段含有指示该分段所包含的是原包的哪一段的信息,某些操作系统(如SP4以前的Windows NT 4.0)的TCP/IP在收到含有重叠偏移的伪造分段时将崩溃,不过新的操作系统已基本上能自己抵御这种攻击了。
防御方法:
尽可能采用最新的操作系统,或者在防火墙上设置分段重组功能,由防火墙先接收到同一原包中的所有拆分数据包,然后完成重组工作,而不是直接转发。
因为防火墙上可以设置当出现重叠字段时所采取的规则。
2.3 TCP SYN洪水(TCP SYN Flood)攻击
TCP/IP栈只能等待有限数量ACK(应答)消息,因为每台计算机用于创建TCP/IP连接的内存缓冲区都是非常有限的。
如果这一缓冲区充满了等待响应的初始信息,则该计算机就会对接下来的连接停止响应,直到缓冲区里的连接超时。
TCP SYN洪水攻击正是利用了这一系统漏洞来实施攻击的。
攻击者利用伪造的IP地址向目标发出多个连接(SYN)请求。
目标系统在接收到请求后发送确认信息,并等待回答。
由于黑客们发送请示的IP地址是伪造的,所以确认信息也不会到达任何计算机,当然也就不会有任何计算机为此确认信息作出应答了。
而在没有接收到应答之前,目标计算机系统是不会主动放弃的,继续会在缓冲区中保持相应连接信息,一直等待。
当达到一定数量的等待连接后,缓区部内存资源耗尽,从而开始拒绝接收任何其他连接请求,当然也包括本来属于正常应用的请求,这就是黑客们的最终目的。
防御方法:
在防火墙上过滤来自同一主机的后续连接。
不过“SYN洪水攻击”还是非常令人担忧的,由于此类攻击并不寻求响应,所以无法从一个简单高容量的传输中鉴别出来。
防火墙的具体抵御TCP SYN洪水攻击的方法将在防火墙的使用手册中有详细介绍。
2.4 Land攻击
这类攻击中的数据包源地址和目标地址是相同的,当操作系统接收到这类数据包时,不知道该如何处理,或者循环发送和接收该数据包,以此来消耗大量的系统资源,从而有可能造成系统崩溃或死机等现象。
防御方法:
这类攻击的检测方法相对来说比较容易,因为它可以直接从判断网络数据包的源地址和目标地址是否相同得出是否属于攻击行为。
反攻击的方法当然是适当地配置防火墙设备或包过滤路由器的包过滤规则。
并对这种攻击进行审计,记录事件发生的时间,源主机和目标主机的MAC地址和IP地址,从而可以有效地分析并跟踪攻击者的来源。
2.5 Smurf 攻击
这是一种由有趣的卡通人物而得名的拒绝服务攻击。
Smurf攻击利用多数路由器中具有同时向许多计算机广播请求的功能。
攻击者伪造一个合法的IP地址,然后由网络上所有的路由器广播要求向受攻 击计算机地址做出回答的请求。
由于这些数据包表面上看是来自已知地址的合法请求,因此网络中的所有系统向这个地址做出回答,最终结果可导致该网络的所有主机都对此ICMP应答请求作出答复,导致网络阻塞,这也就达到了黑客们追求的目的了。
这种Smurf 攻击比起前面介绍的“Ping of Death”洪水的流量高出一至两个数量级,更容易攻击成功。
还有些新型的Smurf攻击,将源地址改为第三方的受害者(不再采用伪装的IP地址),最终导致第三方雪崩。
防御方法:
关闭外部路由器或防火墙的广播地址特性,并在防火墙上设置规则,丢弃掉ICMP协议类型数据包。
2.6 Fraggle攻击
Fraggle攻击只是对Smurf攻击作了简单的修改,使用的是UDP协议应答消息,而不再是ICMP协议了(因为黑客们清楚UDP协议更加不易被用户全部禁止)。
同时Fraggle攻击使用了特定的端口(通常为7号端口,但也有许多使用其他端口实施Fraggle攻击的),攻击与Smurf攻击基本类似,不再赘述。
防御方法:
关闭外部路由器或防火墙的广播地址特性。
在防火墙上过滤掉UDP报文,或者屏蔽掉一些常被黑客们用来进行Fraggle攻击的端口。
3.效果综述
利用黑客技术针对不同漏洞进行攻击效果明显
4.建议与思考
和一切科学技术一样,黑客技术的好坏取决于使用它的人。
计算机系统和网络漏洞的不断发现促使产品开发商修补产品的安全缺陷,同时也使他们在设计时更加注意安全。
研究过黑客技术的管理员会把他的系统和网络配置得更安全。
如果没有那些公布重大漏洞发现并提出修补建议的黑客,Internet不可能象今天这样让人们受益,也不会有今天这么强壮(相对于以前而言)。
技能训练四:
防火墙
概述防火墙(Firewall),也称防护墙,它是一种位于内部网络与外部网络之间的网络安全系统。
一项信息安全的防护系统,依照特定的规则,允许或是限制传输的数据通过。
1.天网防火墙软件的安装与设置
双击安装程序,进行安装
安装后进入设置向导
2.防火墙软件的应用
局域网地址设置,防火墙将会以这个地址来区分局域网或者是INTERNET的IP来源
管理权限设置,它有效地防止未授权用户随意改动设置、退出防火墙等
入侵检测设置,开启此功能,当防火墙检测到可疑的数据包时防火墙会弹出入侵检测提示窗口,并将远端主机IP显示于列表中
3.效果综述
强化安全策略,有效地记录Internet上的活动。
限制暴露用户点。
防能够隔开网络中一个网段与另一个网段。
这样,能够防止影响一个网段的问题通过整个网络传播。
防火墙是一个安全策略的检查站。
所有进出的信息都必须通过防火墙,防火墙便成为安全问题的检查点,使可疑的访问被拒绝于门外。
4.问题与解决办法
目前学校使用一台老旧的DCN防火墙,由于防火墙的年代久远,性能严重下降,已经无法承载校园日益复杂的网络安全任务,也无法面对日异月新的安全问题。
解决方法:
Fortinet的FortiGate防火墙符合企业需求,具备系统扩充性、可靠性与高性能的表现。
Fortinet系列产品提供了高级安全防护功能包括防病毒、IPS、反垃圾、Web过滤等。
5.建议与思考
重视个人与公司防火墙安全,购买使用安全的防火墙软件与服务。
不同的用户对于防火墙产品的需求不完全相同,不能按照同一个标准要求,例如电信用户比较看重防火墙产品的通讯能力,对于界面和接口,以与产品可靠性具有很高的要求,有些用户对于防火墙的速度比较偏重,而有些用户则要求防火墙具有非常好的安全防护策略。
因此,防火墙产品并不是功能越全越好,性能越出色越好,要根据用户的需求进行设计。
目前,很多国产的防火墙产品仍然在强调单一的性能或者“状态检测”的功能,实际上,这基本上是3年前的技术,如今,防火墙产品的挑战在于如何更好的识别应用,与用户的应用系统很好的结合,提供更强的安全防护。
在这个基础上,未来的防火墙产品竞争将更多体现在成本制造方面的竞争。
技能训练五:
入侵检测
概述
入侵检测就是对入侵行为的发觉。
他通过对计算机网络或计算机系统中若干关键点收集信息并对其进行分析,从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。
1.Avast!
入侵检测软件的安装与设置
Avast!
杀毒软件提供免费的家庭版本,无需付费即可获得全面的安全防护。
Avast!
官方:
:
//avast
2.入侵与检测
3.效果综述
是对防火墙与其有益的补充,入侵检测系统能使在入侵攻击对系统发生危害前,检测到入侵攻击,并利用报警与防护系统驱逐入侵攻击。
在入侵攻击过程中,能减少入侵攻击所造成的损失。
在被入侵攻击后,收集入侵攻击的相关信息,作为防X系统的知识,添加入知识库内,增强系统的防X能力,避免系统再次受到入侵。
入侵检测被认为是防火墙之后的第二道安全闸门,在不影响网络性能的情况下能对网络进行监听,大大提高了网络的安全性。
4.问题与解决办法
安装完成后没有重启,结果软件无法正常工作。
解决方法:
重启。
5.建议与思考
计算机数据库一旦遭到骇客的非法入侵,那么就会引起很大的社会损害,无论是企业还是个人的隐私都将受到偷窥。
因此,就当今而言,加强计算机数据库入侵检测技术是至关重要的,它除了可以确保计算机的数据安全,还能避免病毒的入侵。
批阅意见
教师评语
成绩
成绩:
指导教师签字
年月日
升级会员 