信息管理與信息系統專業(yè)技能訓練報告

技能訓練報告題 目：信息安全技能訓練學生XX：指導教師：黃立明系（院）別：工商管理學院專業(yè)、班級：信息管理與信息系統1301、1302完成時間：2016年6月16日技能訓練一：病毒防護概述金山毒霸殺毒防護軟件的應用練習金山毒霸:查毒速度快，同時配置網絡安全防火墻，集中管理多種防火墻功能與安全助手，全面攔截網頁瀏覽、電子、下載、聊天、局域網、光盤、軟盤等各種病毒入侵通道。安裝與設置安裝與設置簡單易操作病毒查殺與防護點擊開始掃描進行快速掃描（省時）或全盤掃描。效果綜述：國產殺軟在我的使用過程中感覺金山最好用。殺毒效果還不錯（國內病毒）占用內存小殺毒速度快，尤其是里面的金山清理助手是感覺最方便的，你可以查下在國際VB測試中國產殺軟金山是首個連續(xù)獲得認證的。不過一點金山在查殺國外病毒時不如卡巴等國外殺軟，不過在中國比較好用。病毒查殺與防護可以滿足日常各種電腦查殺與防護效果綜述金山毒霸是金山網絡旗下研發(fā)的云安全智掃反病毒軟件。融合了啟發(fā)式搜索、代碼分析、虛擬機查毒等經業(yè)界證明成熟可靠的反病毒技術，使其在查殺病毒種類、查殺病毒速度、未知病毒防治等多方面達到先進水平，同時金山毒霸具有病毒防火墻實時監(jiān)控、壓縮文件查毒、查殺電子病毒等多項先進的功能。功能全面，使用便捷。問題與解決辦法不連接網絡時，病毒庫與在線分析無法升級使用。方法：連接網絡。建議與思考優(yōu)點：強大的病毒查殺能力和監(jiān)控能力缺點：程序界面有些混亂，但是新版的界面還是很合理的技能訓練二：網絡掃描概述Nmap軟件的應用練習Nmap網絡掃描軟件的安裝與設置Licens^eAgreement-JalxlPleasereviewthelicensetermsbeforeinstallingPJmap,Licens^eAgreement-JalxlPleasereviewthelicensetermsbeforeinstallingPJmap,PressPajeDe鉤ntos&atherestoftheagreemerit.COPVINS??Describesthetermsunder腳hith祜d^tributed.AcopyaFtheGftJUCPl.isapperudedbothisfile，IMWTANTMMAPLICEM5ETERMSTheMmapSecurityScanner站(亡)1996-2009Insetlire.ComLLUNmapisatearegisteredtr^d&markofInsecure..ComLLC.Thisprogram憧freesoftware;youmayredfctribut?and/wmodiFyitunderHietermsoftheGfJUGeneralPublicLicenseaspublishedt>ytheFreeSoftwareFoundation;Versicn2withthedarificationsdnetexceptkm^describedbelow.This^uar-antee^yourrighttoMe”modiFy』andredistritmteIfyouacceptthetermsoftheagreerneritjclickIA^grec(□continue.Youmustacceptthea^reemenil:toinstallNmap.hlulfeoftIn貝:剖 v2.希 IAgreeI 匚aricel!■&pSetap_jrjxjChooseInstallLocalionChocsbtheFolderinwhichtoinstallNmap.SetupMlinstaiNmapintheFolk附ngFolder,ToinstallinadifferentfolderjckkBrowseandselectanotherfolder.Cicklnstalt)o^tarttheinstallation.ErftiA>S&.ErftiA>S&...亡FilwdMniaD5pacerequired;50.0M&5p可匚mavail^bl^:5.6<aENiillsoftInstallSystemv2.4S<BackInstall匚<BackInstall匚sncel網絡掃描sPPing掃描：用于了解網絡上有哪些主機是開放的，nmap可以通過對指定的IP地址發(fā)送ICMP的echorequest信息包來確定，有回應的主機就是開放的現選擇IP地址段為00-230掃描結果如下的現選擇IP地址段為00-230掃描結果如下爐5祕LpMiMip-sP10vLIB.3&B20(4-230(httii：/zinsBcuriT.or?>dt2011-11-0321：37中國標準時罔Appearstob*up+1￡：92：21：D8<Unknnun>appearstobeup+00:2200；1D；72：41；?7j3B<Wiatn?n>appearstobeup+90:16：36：99：F2：33<QuantaComputef>弭*NBB "be紅p+胸舊呂溥GA欲陽許J<UnknaiM>>3^-211appearstobeup.<San^>Appearstobeup□0U：1E：EC：85323：7D<Conp?LInfcrnAtion<kunr^n>CO.3appear?tobeup*InftirA^tion<kun&h*n>CO.〉33.215appears(aheup.??：26^E：87：57：5S<Unkn?wn>39^217appearstobeup+00：E1：04：ie：?i：5P<Unknovn>3S?22Gappearstobeup?90^26?3639.229appearstobeup.HW：1E：C9：H9:AC：KA39*330appearsb*up*90：27：13：B4：D7：2D<Unknawn>IUrtinyNnctt>4.53outACAdtlretiaost19.110fiCAddressOEt10.110ACAdrtre^to吐1乩狎0ACAddrcj*ostIB.110ACAddressnstACAddressie.118ACAilrfrc?$os(.10,MiaACAddre￡￡osttH.llHACAddressostIB.110ACAddrtiSfost10.110AC口”匸10.tl0raCAdrik-<±4*nnftpdone:31IPaddresses(12tnstsup>scAlinedin7.574seconds可見在31個IP地址中有12主機是開放的效果綜述優(yōu)點：系統中的任何用戶都有權利使用這個調用；如果對每個目標端口以線性的方式掃描，將會花費相當長的時間，但如果同時打開多個套接字，就能加速掃描。缺點：很容易被發(fā)現，目標計算機的logs文件會顯示一連串連接和連接出錯的消息，并且能很快的將它關閉。建議與思考怎樣可以防御黑客的Nmap掃描？步驟一，GuestXX禁用。有很多入侵都是通過這個XX進一步獲得管理員密碼或者權限的。如果不想把自己的計算機給別人當玩具，那還是禁止的好。打開控制面板，雙擊“用戶和密碼”，選擇“高級”選項卡。單擊“高級”按鈕，彈出本地用戶和組窗口。在GuestXX上面點擊右鍵，選擇屬性，在“常規(guī)”頁中選中“XX已停用”。步驟二，停止共享.Windows2000安裝好之后，系統會創(chuàng)建一些隱藏的共享。點擊開始f運行fcmd，然后在命令行方式下鍵入命令“netshare”就可以查看它們。網上有很多關于IPC入侵的文章，都利用了默認共享連接。要禁止這些共享，打開管理工具f計算機管理f共享文件夾f共享，在相應的共享文件夾上按右鍵，點“停止共享”就行了。 步驟三，盡量關閉不必要的服務，如TerminalServices、IIS(如果你沒有用自己的機器作Web服務器的話)、RAS(遠程訪問服務)等。還有一個挺煩人的Messenger服務也要關掉，否則總有人用消息服務發(fā)來網絡廣告。打開管理工具f計算機管理f服務和應用程序f服務，看見沒用的就關掉。步驟四，禁止建立空連接。在默認的情況下，任何用戶都可以通過空連接連上服務器，枚舉XX并猜測密碼。我們必須禁止建立空連接，方法有以下兩種：(1)修改注冊表：HKEY_Local_MachineSystemCurrent-ControlSetControlLSA下，將DWORD值RestrictAnonymous的鍵值改成1。修改Windows2000的本地安全策略：設置“本地安全策略f本地策略f選項”中的RestrietAnonymous(匿名連接的額外限制)為“不容許枚舉SAM賬號和共享”。步驟五，如果開放了Web服務，還需要對IIS服務進行安全配置：更改Web服務主目錄。右鍵單擊“默認Web站點f屬性f主目錄f本地路徑”，將“本地路徑”指向其他目錄。刪除原默認安裝的Inetpub目錄。刪除以下虛擬目錄:_vti_bin、IISSamples、Scripts、IIShelp、IISAdmin、IIShelp、MSADC。刪除不必要的IIS擴展名映射。方法是：右鍵單擊“默認Web站點f屬性f主目錄f配置”，打開應用程序窗口，去掉不必要的應用程序映射。如不用到其他映射，只保留.asp、.asa即可。備份IIS配置。可使用IIS的備份功能，將設定好的IIS配置全部備份下來，這樣就可以隨時恢復IIS的安全配置。最后，選擇一款實用的防火墻。比如NetworkICECorporation公司出品的BlackICE。且將微軟的補丁打全。技能訓練三：黑客攻擊1?黑客攻擊軟件的安裝與設置(以學習為目的，不用于XX勾當)第一步：配置木馬服務端我們以“黑洞”木馬為例。運行“黑洞”木馬的Client.exe文件，進入Client.exe的主界面后，點擊“文件f創(chuàng)建DLL插入版本服務端程序”。進入服務端程序的創(chuàng)建界面后，首先勾選“WinNT/2000/XP/2003下隱藏服務端文件、注冊表、進程和服務”，然后切換到“連接選項”標簽，在“主機”一欄中填入本機的公網IP地址，端口可以保持默認的“2007”。最后在“連接密碼”處填入用來連接對方的密碼，例如123456。設置完成后點擊“生成”按鈕，將木馬服務端保存為muma.exe。第二步：生成網頁木馬既然是掛馬，那當然缺不了網頁木馬了。這里我們用“MS07-33網馬生成器”為例。運行“MS07-33網馬生成器”，在“網馬地址”文本框中輸入木馬所在路徑，由于等會我們要自行架設服務，所以這里應該填入“：///muma.exe“，其中是本機在局域網中的IP地址。點擊“生成網馬”按鈕即可生成網馬hackll.htm第三步：開啟本機服務要讓局域網中的其他主機能夠訪問到我們的網馬，就要開啟本機的服務。下載babywebserver，這是一款簡單的Web服務器軟件，下載后直接運行，在其主界面中點擊“服務f設置”。 將“網頁目錄”設置為網頁木馬所在的地方，例如C盤根目錄“C：\“。點“確定”回主界面，然后再點“Start”按鈕開啟本機的服務。將木馬服務端和網頁木馬放到C盤根目錄。第四步：局域網掛馬最后該請我們的主角出場了，就是上文中提到的小工具，這個工具叫zxARPs，是一個通過ARP欺騙實現局域網掛馬的工具。在使用zxARPs前我們要安裝WinPcap，它是網絡底層驅動包，沒有它zxARPs就運行不了。安裝好后將zxARPs放到任意目錄，然后運行“命令提示符”，進入zxARPs所在的目錄，然后輸入命令：zxARPs.exe-idx0-ip-55-port80-insert""?；剀嚭髵祚R就成功了。 從現在開始，局域網中的用戶無論訪問什么，都會運行我們的網頁木馬，因為zxARPs在用戶打開網頁的同時已經將掛馬代碼插入到正常網頁中了。ARP欺騙可以實現多種攻擊效果，本文介紹ARP欺騙掛馬的只是其中的一種攻擊方式，此外還有信息嗅探，主機網絡限制等攻擊方法?？梢?，ARP欺騙是局域網的頭號大敵。因此我們在平時的安全防X中，不僅要做好本機的安全工作，還要對局域網的安全作一定的防御，這樣才能更安全地使用電腦。攻擊工程與解決辦法2.1死亡之Ping(Pingofdeath)攻擊由于在早期的階段，路由器對包的最大大小是有限制的，許多操作系統TCP/IP棧規(guī)定ICMP包的大小限制在64KB以內。在對ICMP數據包的標題頭進行讀取之后，是根據該標題頭里包含的信息來為有效載荷生成緩沖區(qū)。當大小超過64KB的ICMP包，就會出現內存分配錯誤，導致TCP/IP堆棧崩潰，從而使接受方計算機宕機。這就是這種“死亡之Ping”攻擊的原理所在。根據這一攻擊原理，黑客們只需不斷地通過Ping命令向攻擊目標發(fā)送超過64KB的數據包，就可使目標計算機的TCP/IP堆棧崩潰，致使接受方宕機。對于一些大的IP數據包，往往需要對其進行拆分傳送，這是為了迎合鏈路層的MTU（最大傳輸單元）的要求。比如，一個6000字節(jié)的IP包，在MTU為2000的鏈路上傳輸的時候，就需要分成三個IP包。在IP報頭中有一個偏移字段和一個拆分標志（MF）。如果MF標志設置為1,則表面這個IP包是一個大IP包的片斷，其中偏移字段指出了這個片斷在整個IP包中的位置。例如，對一個6000字節(jié)的IP包進行拆分（MTU為2000），則三個片斷中偏移字段的值依次為：0,2000,4000。這樣接收端在全部接收完IP數據包后，就可以根據這些信息重新組裝這幾個分次接收的拆分IP包。在這里就又一個安全漏洞可以利用了，就是如果黑客們在截取IP數據包后，把偏移字段設置成不正確的值，這樣接收端在收后這些分拆的數據包后就不能按數據包中的偏移字段值正確重合這些拆分的數據包，但接收端會不斷償試，這樣就可能致使目標計算朵操作系統因資源耗盡而崩潰。淚滴攻擊利用修改在TCP/IP堆棧實現XX任IP碎片中的包的標題頭所包含的信息來實現自己的攻擊。IP分段含有指示該分段所包含的是原包的哪一段的信息，某些操作系統（如SP4以前的WindowsNT4.0）的TCP/IP在收到含有重疊偏移的偽造分段時將崩潰，不過新的操作系統已基本上能自己抵御這種攻擊了。防御方法：盡可能采用最新的操作系統，或者在防火墻上設置分段重組功能，由防火墻先接收到同一原包中的所有拆分數據包，然后完成重組工作，而不是直接轉發(fā)。因為防火墻上可以設置當出現重疊字段時所采取的規(guī)則。TCPSYN洪水（TCPSYNFlood）攻擊TCP/IP棧只能等待有限數量ACK（應答）消息，因為每臺計算機用于創(chuàng)建TCP/IP連接的內存緩沖區(qū)都是非常有限的。如果這一緩沖區(qū)充滿了等待響應的初始信息，則該計算機就會對接下來的連接停止響應，直到緩沖區(qū)里的連接超時。TCPSYN洪水攻擊正是利用了這一系統漏洞來實施攻擊的。攻擊者利用偽造的IP地址向目標發(fā)出多個連接（SYN）請求。目標系統在接收到請求后發(fā)送確認信息，并等待回答。由于黑客們發(fā)送請示的IP地址是偽造的，所以確認信息也不會到達任何計算機，當然也就不會有任何計算機為此確認信息作出應答了。而在沒有接收到應答之前，目標計算機系統是不會主動放棄的，繼續(xù)會在緩沖區(qū)中保持相應連接信息，一直等待。當達到一定數量的等待連接后，緩區(qū)部內存資源耗盡，從而開始拒絕接收任何其他連接請求，當然也包括本來屬于正常應用的請求，這就是黑客們的最終目的。防御方法：在防火墻上過濾來自同一主機的后續(xù)連接。不過“SYN洪水攻擊”還是非常令人擔憂的，由于此類攻擊并不尋求響應，所以無法從一個簡單高容量的傳輸中鑒別出來。防火墻的具體抵御TCPSYN洪水攻擊的方法將在防火墻的使用手冊中有詳細介紹。Land攻擊這類攻擊中的數據包源地址和目標地址是相同的，當操作系統接收到這類數據包時，不知道該如何處理，或者循環(huán)發(fā)送和接收該數據包，以此來消耗大量的系統資源，從而有可能造成系統崩潰或死機等現象。防御方法：這類攻擊的檢測方法相對來說比較容易，因為它可以直接從判斷網絡數據包的源地址和目標地址是否相同得出是否屬于攻擊行為。反攻擊的方法當然是適當地配置防火墻設備或包過濾路由器的包過濾規(guī)則。并對這種攻擊進行審計，記錄事件發(fā)生的時間，源主機和目標主機的MAC地址和IP地址，從而可以有效地分析并跟蹤攻擊者的來源。Smurf攻擊這是一種由有趣的卡通人物而得名的拒絕服務攻擊。Smurf攻擊利用多數路由器中具有同時向許多計算機廣播請求的功能。攻擊者偽造一個合法的IP地址,然后由網絡上所有的路由器廣播要求向受攻擊計算機地址做出回答的請求。由于這些數據包表面上看是來自已知地址的合法請求，因此網絡中的所有系統向這個地址做出回答，最終結果可導致該網絡的所有主機都對此ICMP應答請求作出答復，導致網絡阻塞，這也就達到了黑客們追求的目的了。這種Smurf攻擊比起前面介紹的“PingofDeath”洪水的流量高出一至兩個數量級，更容易攻擊成功。還有些新型的Smurf攻擊，將源地址改為第三方的受害者（不再采用偽裝的IP地址），最終導致第三方雪崩。防御方法：關閉外部路由器或防火墻的廣播地址特性，并在防火墻上設置規(guī)則，丟棄掉ICMP協議類型數據包。Fraggle攻擊Fraggle攻擊只是對Smurf攻擊作了簡單的修改，使用的是UDP協議應答消息，而不再是ICMP協議了（因為黑客們清楚UDP協議更加不易被用戶全部禁止）。同時Fraggle攻擊使用了特定的端口（通常為7號端口，但也有許多使用其他端口實施Fraggle攻擊的），攻擊與Smurf攻擊基本類似，不再贅述。防御方法：關閉外部路由器或防火墻的廣播地址特性。在防火墻上過濾掉UDP報文，或者屏蔽掉一些常被黑客們用來進行Fraggle攻擊的端口。效果綜述利用黑客技術針對不同漏洞進行攻擊效果明顯建議與思考和一切科學技術一樣，黑客技術的好壞取決于使用它的人。計算機系統和網絡漏洞的不斷發(fā)現促使產品開發(fā)商修補產品的安全缺陷，同時也使他們在設計時更加注意安全。研究過黑客技術的管理員會把他的系統和網絡配置得更安全。如果沒有那些公布重大漏洞發(fā)現并提出修補建議的黑客，Internet不可能象今天這樣讓人們受益，也不會有今天這么強壯（相對于以前而言）。技能訓練四：防火墻概述防火墻（Firewall），也稱防護墻，它是一種位于內部網絡與外部網絡之間的網絡安全系統。一項信息安全的防護系統，依照特定的規(guī)則，允許或是限制傳輸的數據通過。天網防火墻軟件的安裝與設置雙擊安裝程序，進行安裝安裝后進入設置向導

ugr朝在SvidCm*!c-1ler同L詁韌貳沖4blwv4 鼻ugr朝在SvidCm*!c-1ler同L詁韌貳沖4blwv4 鼻JU｛訃艸『耳Vftfiw>QSpoolerSuhSy*t?i*Apt?同崛1￡11料M-0Kfl0G#n*iicHartPr&eerrforVin32Service：QFF1LiirvVkKittfl.ES “1 1EuBfklTTNbd4￡\ir^ftn32\??rvic*ri.u*Mr"就cm捌t養(yǎng)筑的巌務和住礙朕:t-i￡| [下r] [ ]防火墻軟件的應用局域網地址設置，防火墻將會以這個地址來區(qū)分局域網或者是INTERNET的IP來源管理權限設置，它有效地防止未授權用戶隨意改動設置、退出防火墻等入侵檢測設置，開啟此功能，當防火墻檢測到可疑的數據包時防火墻會彈出入侵檢測提示窗口，并將遠端主機IP顯示于列表中效果綜述強化安全策略，有效地記錄Internet上的活動。限制暴露用戶點。防能夠隔開網絡中一個網段與另一個網段。這樣，能夠防止影響一個網段的問題通過整個網絡傳播。防火墻是一個安全策略的檢查站。所有進出的信息都必須通過防火墻，防火墻便成為安全問題的檢查點，使可疑的訪問被拒絕于門外。問題與解決辦法目前學校使用一臺老舊的DCN防火墻，由于防火墻的年代久遠，性能嚴重下降，已經無法承載校園日益復雜的網絡安全任務，也無法面對日異月新的安全問題。解決方法：Fortinet的FortiGate防火墻符合企業(yè)需求，具備系統擴充性、可靠性與高性能的表現。Fortinet系列產品提供了高級安全防護功能包括防病毒、IPS、反垃圾、Web過濾等。建議