实验一网络安全动态

绥化学院信息工程学院《信息安全技术》实验报告实验名称：实验一网络安全动态姓名：王强学号：201452702班级：计算机科学与技术一班指导教师：齐丽丽实验日期：2016.8.26信息工程学院计算机科学与技术专业2014级信息安全技术实验报告实验一：网络安全动态一、实验目的：了解当前网络安全的最新安全动态与安全指南二、实验内容：了解安全知识了解安全认证了解最新的安全动态了解最新的安全弱点了解最新的安全产品了解网络安全威胁三、实验要求：在上述实验内容中任选2-3项，写出不少于2000字的实验报告。四、实验学时：2学时五、实验步骤：通过调研及参考资料，写出一份和网络安全相关的报告。选择进入各实验内容。六、实验报告页面设置版面页边距上3.5cm、下2.4cm、左2.7cm、右2.0cm，装订线在左侧0.5cm的位置，页眉1.5cm，页脚1.6cm。正文采用小四号宋体字，1.5倍行距，标准字符间距。信息工程学院计算机科学与技术专业2014级信息安全技术实验报告网络安全威胁北京，2016年赛门铁克公司发布第21期《互联网安全威胁报告》，揭示当前网络罪犯的组织化转型——通过采取企业实践并建立专业的犯罪业务来提高对企业和消费者的攻击效率。全新的专业性网络攻击正在覆盖整个攻击者生态系统，不仅进一步扩大针对企业和消费者的威胁范围，同时助推在线犯罪的增长。赛门铁克大中华区安全解决方案技术部、安全产品、安全咨询服务技术总监罗少辉表示：“当前，高级犯罪攻击组织开始仿效国家级水平的攻击者。这些攻击组织拥有广泛的资源和高技术成员，使他们的攻击效率非常高。这些攻击者不仅能够在工作日对企业进行攻击，还能够利用周末和节假日发动攻击。赛门铁克发现，一些级别低的攻击者甚至能够通过创建呼叫中心，来提高欺诈活动的影响范围。”高级的专业网络犯罪组织往往最先利用零日漏洞进行攻击，或将漏洞在开放市场上出售给级别低的攻击者从而获得暴利。赛门铁克发布的最新报告中指出，在2015年内发现的零日漏洞是上一年的2倍，数量高达54个，与2014年相比增长125%，再创历史新高，这再次证明了零日漏洞在暴利的目标性攻击活动中扮演着重要的角色。与此同时，恶意软件也正在以惊人的速度增长，在2015年，赛门铁克共发现4.3亿个新型恶意软件变体，这证明了专业网络罪犯正在利用庞大的资源，尝试破坏企业防御并进入企业网络。数据泄露正在不断地对企业造成无法预估的威胁影响。在2015年，大型企业平均受到三次以上的攻击。赛门铁克发现，去年大型数据泄露事件达到创纪录的9起，公开报道的单次最大数据泄露事件造成了1.91亿条信息记录的泄露。虽然已公开的身份泄露数量高达4.29亿，但是选择不公开所丢失记录数量的企业增加了85%。赛门铁克保守估计，如果计入未报告的信息泄露数量，实际泄露的个人记录量将超过5亿条。网络诈骗者通过卑劣的手段，让用户不得不主动进行联系来支付赎金随着网络生活日渐频繁，越来越多的攻击者利用现实和数字世界的交互来牟取利益。在2015年，赛门铁克看到许多过去的诈骗形式‘重现江湖’，例如，网络罪犯利用虚假‘技术支持’的诈骗方式在去年增长了200%。但与过去不同的是，诈骗罪犯如今通过向智能手机和类似设备发送虚假的警告消息，使用户主动致电给攻击者所运行的呼叫中心，从而上当购买虚假的服务。随着攻击者不断变换攻击手段，企业和消费者应该采取多种方法来实现安全防护。赛门铁克网络安全建议：对于企业：(1)部署安全解决方案：用户应该部署高级威胁智能解决方案，及时发现入侵信号并做出快速响应。(2)采用强大的安全态势：部署多层端点安全防护、网络安全防护、加密、强大且有效的身份验证，采用拥有高信誉的技术。赛门铁克建议企业用户与托管安全服务提供商合作，增强IT团队的防御能力。(3)为最坏的情况做好准备：事件管理可以确保用户的安全框架得到优化，并具备可测量和可重复性，以及帮助用户吸取教训，从而改善安全态势。赛门铁克建议企业用户考虑与第三方专家开展长期合作，从而强化危机管理。(4)提供长期且持续的教育和培训：为所有员工提供模拟培训，建立有关的指南和流程，以保护个人和企业设备上的敏感数据。赛门铁克建议企业用户定期评估内部的调查团队，进行实战演练，确保企业拥有有效对抗网络威胁的必要技能。信息工程学院计算机科学与技术专业2014级信息安全技术实验报告对于消费者：(1)使用强大的密码：为账户设置独特且强大的密码。赛门铁克建议用户每三个月更换一次密码，并且不要重复使用同样的密码。此外，赛门铁克还建议用户使用密码管理器来进一步保护自己的重要信息。(2)在点击前慎重考虑：打开有风险的附件可能会导致将恶意软件安装到系统中。赛门铁克建议用户不要查看、点击或复制来源不明的电子邮件附件。(3)拥有保护意识：与事后解决相比，保持安全防护更加重要。赛门铁克建议用户使用防病毒软件、防火墙、浏览器保护以及可抵御网络威胁的安全防护解决方案。(4)警惕‘恐吓软件’：声称免费、破解或盗版的软件更容易使用户受到恶意软件的攻击。社交工程攻击和勒索软件会让用户误以为自己的电脑受到了攻击，这些恶意程序会建议用户购买无用的软件或要求直接付费以清除威胁。(5)拥有保护个人数据的意识：用户在线分享个人信息十分容易受到社交工程的攻击。赛门铁克建议用户减少在社交网络和其他平台上分享登录信息、出生日期和宠物姓名等个人信息，确保个人数据的安全。总结：随着交付方式的多样化，例如微信支付、比特币等，零日漏洞、网站钓鱼攻击、身份信息泄露、漏洞、dodos攻击、勒索软件增加，而且呈现产业化、升级较快，对于企业安全和个人安全都造成了非常大的威胁！网络安全产品早期的防病毒思想并不盛行，那时候的网民也比较单纯，使用网络防火墙的人也只有少数，所以那时候的入侵者可以算是幸福的，他们只需要一点简单的社会工程学手段就能把木马程序传输给对方执行，这一时期的木马种植手段(如今的普遍称谓为“下马”)基本上不需要牵涉到技术，也许唯一需要的技术就是如何配置和使用一个木马，因为那时候木马也还是个新产物而已。那时候的网民，只能依靠自己的判断和技术，才能免受或摆脱木马之害。因此，当木马技术刚在国内开始的时候，任意一个IP段都有可能存在超过40%的受害计算机开放着大门等待入侵者进攻，可以毫不夸张的说，那时候是木马的第一黄金时期，唯一美中不足的制约条件就是当时的网络速度普遍太慢了。随着时间的流逝，木马技术发展日益成熟，但网民的安全意识也普遍提高，更出现了初期的病毒防火墙概念，这个时期的入侵者必须掌握更高级的社会工程学手段和初期的入侵技术才能让对方受害了，这时期的木马虽然隐蔽性有了相对提高，但仍然是基于客户端寻找连接服务器端的模式。由于出现了病毒防火墙，网民判断和查杀木马的效率大大提高，而且大部分人也知道“人心不古”了，不再轻易接收陌生人给的程序，使得木马不再像上时期那样肆无忌弹的横行，但是因为病毒防火墙是个新兴产物，仍然有相对多的人没有安装使用，以至于许多老旧的木马依然可以横行无忌。再后来，随着网络防火墙技术诞生和病毒防火墙技术的成熟，木马作者被迫紧跟着防病毒厂商的脚步更新他们的作品以避免马儿过早“殉职”，同时由于网络防火墙技术的出现，让计算机与网络之间不再直接，尤其是网络防火墙实现的“拦截外部数据连接请求”与“审核内部程序访问网络请求”的策略，导致大部分木马纷纷失效，这时期的木马逐渐分裂成两个派别:一种依然采用客户端连接服务器端的方式，只是改为了其他传输途径，如E-MAIL、FTP等，或者在内部除掉网络防火墙，以便自己畅通无阻;另一种则改变了入侵的思维，把“客户端连接服务器端”变为“服务器端连接客户端”，再加上一点社会工程学技术，从而突破了网络防火墙的限制，也因此诞生了一种信息工程学院计算机科学与技术专业2014级信息安全技术实验报告新的木马技术--“反弹型”木马。这一时期里，入侵者与受害者之间的战争终于提升到技术级别，若想保护自己，除了安装网络防火墙和病毒防火墙，以及接触网络攻防技术以外别无他法，这个“基础互动”一直保持到今天的XP时代。到了XP时代，网络速度有了质的飞跃，黑客攻防战更是越来越多的浮上水面，因为系统变了，一个专门为网络应用而诞生的操作系统，必定会存在与网络有关的缺陷。没错，WinXP相对于Win9x的弱点就是它的网络漏洞太多了，无论是利用MIME漏洞传播的信件木马，还是通过LSASS溢出而放下的木马，都能在XP系统上分到一块肉。你也许会说，Win9x同样有许多漏洞，但是为什么它没有XP的烦恼?这是因为Win9x的网络功能太弱了，几乎没有什么系统组件需要依靠网络运行!所以现在的用户，除了使用网络防火墙和病毒防火墙把自己包裹得严严实实以外，还要三天两头去微软的系统更新站点安装各种漏洞修复程序……特洛伊木马造成的危害可能是非常惊人的，由于它具有远程控制机器以及捕获屏幕、键击、音频、视频的能力，所以其危害程度要远远超过普通的病毒和蠕虫。深入了解特洛伊木马的运行原理，在此基础上采取正确的防卫措施，只有这样才能有效减少特洛伊木马带来的危害。由ARP欺骗攻击探讨当前网络的安全缺陷。虽然目前防火墙是保护网络免遭黑客攻击的有效手段，但明显存在着不足：①对内部网络发起的攻击无法阻止；②可以阻断外部攻击而无法消灭攻击来源；③做nat转换后，由于防火墙本身性能和并发连接数的限制，容易导致出口成为网络瓶颈，形成网络拥塞；④对于网络中新生的攻击行为，如果未做出相应策略的设置，则无法防范；⑤对于利用系统后门、蠕虫病毒以及获得用户授权等一切拥有合法开放端口掩护的攻击行为将无法防范。为了弥补防火墙存在的不足，许多网络管理者应用入侵检测来提高网络的安全性和抵御攻击的能力。入侵检测系统：（1）入侵检测就是对入侵的网络行为进行检测，通过收集和分析计算机网络中的信息，检查网络中是否存在违反安全策略规定的行为或者是被攻击的痕迹。如果发现有入侵行为的迹象，检测系统可以自动进行记录或生成报告，甚至能够根据所制定策略自动采取应对措施，断开入侵来源并向网络管理者报警。入侵检测系统（ids）按照收集数据来源的不同一般可以分为三大类：①由多个部件组成，分布于内部网络的各个部分的分布式入侵检测系统。②依靠网络上的数据包作为分析、监控数据源的基于网络型入侵检测系统。③安装在网段内的某台计算机上，以系统的应用程序日志和审计日志为数据源主机型入侵检测系统。（2）虽然入侵检测系统以不同的形式安装于内部网络的各个不同的位置，但由于采集数据源的限制，对arp病毒形式的攻击行为却反应迟钝。入侵检测系统一般部署在主干网络或者明确要监控的网段之中，而一个内部网络往往有很多个独立的网段；由于财力的限制，网络管理者一般都不能在每个网络中部署用于数据采集的监控计算机。一旦未部署的网段中arp欺骗阻塞了本网段与外界的正常通讯，入侵检测系统无法采集到完整的数据信息而不能迅速准确的作出反应。除此以外，现有的各种入侵检测系统还存在着一些共同的缺陷，如；较高的误报率，无关紧要的报警过于频繁；系统产品对不同的网络或网络中的变化反应迟钝，适信息工程学院计算机科学与技术专业2014级信息安全技术实验报告应能力较低；系统产品报告的专业性太强，需要管理者、使用者有比较高深的网络专业知识；对用于处理信息的设备在硬件上有较高的要求，在大型局域网络中检测系统受自身处理速度的限制，容易发生故障无法对网络进行实时监测。入侵防御系统：（1）入侵防御系统（ips）是针对入侵检测系统（ids）所存在的不足，借用网络防火墙的部分原理而建立的。入侵防御系统有效的结合了入侵检测技术和防火墙原理；不但能检测入侵的发生，而且通过一些有效的响应方式来终止入侵行为；从而形成了一种新型的、混合的、具有一定深度的入侵防范技术。入侵防御系统（ips）按照应用方式的不同一般可以分为三大类：①基于主机的入侵防御系统hips：是一种驻留在服务器、工作站等独立系统中的安全管理程序。这些程序可以对流入和流出特定系统的数据包进行检查，监控应用程序和操作系统的行为，保护系统不会被恶意修改和攻击。②基于网络的入侵防御系统nips：