计算机专业实习报告7篇
实习一结束学校就会需要我们递交实习总结报告,实习报告是对我们实习工作的总结,可以帮助我们发现自身不足!下面给大家分享计算机专业实习报告7篇通用,欢迎阅读!
计算机专业实习报告篇1
一、调查时间:
9月2号—11月2号
二、调查形式:
通过听课、上课与学生零距离接触交流沟通、与任课教师交流沟通、调查学校计算机房及网络配置情况。
三、调查对象:
____________小学信息技术学科教学相关的人员(教师、学生)。
四、调查目的:
目前在大部分中小学学校已经应用了信息技术,但是每个学校的应用程度不同,我想通过调查来了解我所实习的学校对信息技术的应用程度。
五、调查内容
(一)涉及人群
信息技术应用涉及人群有信息技术管理小组和信息技术应用人员。
信息技术管理小组是由校长负责的,副校长是组长,还有5位信息技术专职教师,其中3位专职教师负责教学教研,2位负责电化教育、硬件维护和网络维护。
信息技术应用人员:教师、学生、家长。教师可以正确应用信息技术来上课,教师、学生能够通过学校中心机房的高速光钎接入因特网进行资源下载机各方面的学习。家长可观摩学校的多媒体设备,学校联系教师和家长都是通过网络平台来联系。
(二)信息技术师资队伍建设
我校现有信息技术教师5名;教师的专业技能(教学技能、网络技术、课件制作、指导学科教师、常用软件的使用等)掌握情况良好。其中有的教师在教研方面曾获得全国信息技术特等奖、在省市县比赛出类拨萃,在个人能力方面曾获国家能力比赛一等奖并积极开发多媒体软件,多次获得县市奖,拍摄录像课被收入了省教育资源网来共享资源等等;有的教师获省课堂教学评比一等奖,全国公开课电优展示活动评选一等奖等等。
(三)教师信息技术水平情况
教师信息技术水平一般,不过多数教师能简单的制作课件、上网、收发邮件。
(四)信息技术教学课程开设情况
学校3~6年级开设信息技术课程,共9个班,每个班每周1节,上机操作。除了 正常正常开课之外,还开设了信息技术兴趣班,主要教动画、ps、网页。
(五)硬件设备
为了保证正常的信息技术课程的教学,一些设施的投入是必备的。学校有1个中心 机房(内有服务器7台)、4个机房(200台电脑)、一个电子阅览室(内有60台电脑)、2个大型多媒体教室、54个多媒体教室(内有电子白板)、大型室外电子屏一套、多媒体采集设备(专业摄像机。照相机、采音设备)、安全监控设备。
每个老师配有一个笔记本电脑,方便信息化教学。硬件维护除了专业的两个教室外,学校还请了校外专门的电脑维修公司来维修电脑。
(六)软件设备
学校有网络报修系统、体质健康标准管理系统、录播系统、教师申报系统、学生档案系统、教育资源网、专业网站12个、电子图书馆网站1个(内部访问)。
(七)学生上课概况
3~5年级的学生上课主要是由教师讲授、学生自学教材来完成课堂任务。6年级的学生主要是自己来操作,遇到不懂的问题再问老师来完成课堂任务。
六、综合分析
(三)学生情况分析
这里的学生从三年级正式开始接受系统化信息技术教学,绝大部分学生对电脑很感兴趣,课堂参与非常积极,尤其喜欢利用网络进行各方面的学习,能按时完成作业。上课都是可以上网的,不过学生从来不上网玩游戏,都是按时完成作业,非常的好学。
在调查中, 部分学生对我公开表示他们对信息技术学习的兴趣,想认真学好信息技术这门课程,更好的使用网络,让网络资源服务于学习。不过仍有小部分学生不明白学习信息技术的用处,而且不明白为什么要学习信息技术,进而排斥计算机的学习,老师如果不能和学生进行及时的沟通,以了解学生的真实想法,便不能在教学中更好地开展工作。在这个信息时代,学好信息技术还是有不少好处的,也是当代青年的一门必修课。毕竟以后踏入社会后,计算机已经在生活的方方面面都有所应用,学会使用计算机是少不了的。另外,学校还开设了兴趣班,对信息技术感兴趣的学生可以学习ps、网页、动画等。
(二)教师情况分析
因为这里的信息技术教师分工不是很明确,有的信息技术教师专门负责教学教研 ,但是有的除了负责计算机维修及网络管理外还担任了别的科目教师。而机房计算机的管理与维护,包括硬件系统的维护和系统软件的应用和基本维护,管理与维护一般是由专门的信息技术教师直接负责,不过学校也从校外请了专门的维修公司,部分硬件的维护工作由电脑公司等专业人士完成,这样职责明确,便于管理,从而提高了工作效率。
这里其他教师信息技术水平一般,不过多数教师能简单的制作课件、上网、收发邮件。
(一)硬件设备情况分析
课堂多媒体教学改变了传统教学“粉笔+黑板”的方式,在多媒体教室配置一定的多媒体教学设备(视频展示台、计算机、数字投影仪、大屏幕等),教学中采用多媒体方式,集文本、图形、图像、声音、动画、视频于一体,实现图文并茂、声画并举,甚至模拟虚拟现实创设课堂教学情景。在这里,学校对于信息技术比较重视,对于学校的多媒体设备投入的资金还是比较大的,因此这里的多媒体设备还是比较齐全的,学校有2个大型多媒体教室、54个多媒体教室(内有电子白板)。对于硬件维修维修,学校也从校外请了专门的维修公司,部分硬件的维护工作由电脑公司等专业人士完成。
七、改进建议
(一)提高教师信息技术应用能力
随着多媒体技术的广泛应用,各学科对信息技术的要求将越来越高,提高全体学生、教职工的信息素养,关系到课程改革所涉及的诸多问题,所以,进一步普及信息技术和全面提高教师的信息素养就是极待解决的问题,因为现阶段很多任课教师仍然依赖于信息技术教师。由于小学教师在传统的教育中一直采用黑板、粉笔教学,对计算机的了解不是很深入,因此教师应努力提高自己的信息技术应用能力,更好的利用现有的资源实现信息技术与教学的有效整合。
首先学校可开展信息技术技能培训,为各学科建设和发展提供最基本的平台,使各学科教师能够充分开展计算机辅助教学,使抽象的概念生动形象;枯燥的事物或过程描述通过计算机模拟展示,让教学极富情趣;危险的、不可模拟的实验,通过计算机模拟,可以体会到身临其境的真实感。其次学校可以以“校本培训”为依托,可开展校内教师信息技术比赛、信息技术交流会,促进教师信息技术应用能力,大力推广借助信息技术展开的教学。在以后各种教育教学改革浪潮中,信息技术将直接扮演着重要的、不可缺少的角色。
(二)设立专门的信息技术部门
学校有的信息技术教师除了负责计算机维修及网络管理外还担任了别的科目教师,这样给教师造成一定的工作压力,造成负面影响。学校设有教务处、宿管科、后勤处、学工部等,设立这样部门可以更加方便管理学校。同样,如果设立专门的信息技术部门,大家分工明确,各司其职,这样可以便于管理,方便交流,也可以提高工作效率。
计算机专业实习报告篇2
一场学业生涯即将结束,从幼儿园到现在大学,从一名小屁孩到现在长大成人,十几年的学业生涯现在就要结束了,我是计算机应用技术专业的,当时我在选择自己专业的时候也是看到了这个专业的就业前景,再三决断才选择的专业,在__软件学院的这三年的专业技能学习中,我基本掌握了自己这三年的学到的专业知识,虽说自己成了这三年的学习任务前段时间也完成了毕业论文跟毕业答辩,但是这些都是理论不能够体现我的专业技能掌握程度,学生毕业后为了更好的对自己专业掌握程度进行一个鉴定,都是要去外面单位实习的,不仅加强了自己专业技能的掌握程度,也丰富了学生的社会经验跟阅历,在当初一些企业校招的时候,我选择了一家我专业对口的公司,并且通过了面试,这家公司是一家成立没多久正在成长期的小公司,我的职位是ui网页设计,我在这家公司进行了为期_个月的顶岗实习:
一、实习目的
通过在专业对口的公司顶岗实习,对自己大学三年的专业技能学习与课程学习做一个全面的考核。
二、实行时间
20__年_月_日-20__年_月_日
三、实习公司
__公司
四、实习地点
__省__市__区_路___号
五、实习岗位
网页设计
六、实习内容
我的专业学的很杂,有__的学习、有__的学习,也有__等等,我们专业是可以从事很多职业的,我在__网页设计公司是一名平面设计员,在公司的这_个月中,我工作努力,爱岗敬业。
刚来的公司的时候会进行半个月的培训,对于实习只有_个月来硕半个月的培训已经是占据了很长一段时间了,在培训初期都是跟我讲公司的一些发展路线,跟岗位的一些深入了解,在后期的话,主要还是对我们专业技能的培训加深,因为在学校学到的专业知识,其实很大一部份已经不适用于工作当中了,当然不是完全没有用了,对于务实打好基础还是非常重要的了,记得在这家公司,我一开始培训的时候用到的开发软件都跟平时上课用到的版本不同,虽然是同一个软件,但是在一开始接触的时候并不是很习惯,我自己研究了好几天才适应下来,培训当中我当然是受益匪浅了,这些知识是非常珍贵的,是试用语工作当中这是第一部分的培训。
第二部分的正式上岗,期初只是给我们分配一些简单的工作一开始我还很纳闷,因为这些工作太简单可完全是一个稍微懂点的人都会,但是后来我错了,这只是个开始而已,公司只是让我们适应一下平时工作的气氛,原来是我想多了,在后面的工作当中遇到的难题可真是很多,不断的去寻求解决方式,不断的去发现新的问题,在这种状态下我们工作的_个月,也是这_个月的实践工作造就了我,在这_个月实习中我还是比较艰难的完成了顶岗实习的内容。
七、总结
在这短短几个月的实习当中,在自己工作岗位,我发现了自身的不足之处,比如说工作当中对于__的实际运用还是不够熟练,还有一些网站的设计缺乏想象,这些在未来我都会加紧学习,的收获就是在工作当中不断的发现问题,然后去解决它,这真的是一种享受!
计算机专业实习报告篇3
怀着激动却又紧张的心情踏进信通中心的那天起,我已经在新的工作岗位上实习了三个多月。在这短暂而漫长的三个多月中,我开始熟悉工作环境、工作流程,同时也体会着电力工作者的责任与辛酸。在这难忘的三个多月里,在单位领导们的关心和照顾下,在师傅们的关怀和帮助下,自己的思想、工作、学习等各方面都取得了长足进步,个人综合素质也得到了一定的提高,现将本人这三个多月来的工作情况作简要总结。
第一天去信通中心网络班实习,心里不可避免的有些疑惑:不知师傅们怎么样,应该怎么去做呀,要去干些什么呢等等吧!
踏进办公室,只见几个陌生的脸孔。我微笑着和他们打招呼。从那天起,我养成了一个习惯,每天早上见到他们都要微笑的说声:“师傅们早”,那是我心底真诚的问候。我总觉得,经常有一些细微的东西容易被我们忽略,比如轻轻的一声问候,但它却表达了对同事对朋友的尊重关心,也让他人感觉到被重视与关心。仅仅几天的时间,我就和师傅们打成一片,很好的跟他们交流沟通学习。他们把我当朋友也愿意指导我,愿意分配给我任务。
我对网络布线,电脑硬件安装,交换机、路由器的设置,网络故障排除,工作原理应用比较感兴趣,所以师傅就让我协同他们完成单位的网络安装与检修工作。如城东、城西、城南、城北、城中供电公司网络故障检修与维护以及西川、北川供电营业站网络故障检修等,直接或间接地保证了西宁电力网络的正常运行和使用,在这方面的工作中,真正学到了计算机教科书上所没有或真正用到了课本上的知识,巩固了旧知识,掌握了新知识,这才真正体现了知识的真正价值,学以致用。此外呢,康师傅还带我去巡视下设的几个营业厅,使我对工作环境有了更深的了解。
通过师傅的耐心指导,我算是真正稿明白了网络布线,交换机、路由器的设置。有些平常在书本上仅仅是获得感性的认识在这里真正的实践了,才算是真正的掌握了,也让我认识到了自己的不足,告诫自己,不管做什么,切记眼高手低,要善于钻研。
通过这段时间的实习,我熟练并实践了一些基本的电脑操作知识,如网络知识,操作系统知识等,更重要的是,我学会了如何与他人相处。在实习的过程中,我发现平时学习的知识与实践环节所用到的有一定的差距,往往你掌握甚至自认为熟练的技术在实践环节中往往出问题,书本上的知识只提供方法的借鉴,实践中自己必须摸索出适合具体工作的方法,这一切都离不开钻研精神与勤学好问的精神。在人与人相处的过程中我收获更大,首先要谦虚谨慎,不能自以为是,认为自己懂得很多,而仅仅埋头苦干,不向他人请教,工作不但是实践与应用的过程,同时也是学习的过程,我们必须加强与他人的沟通学习,以便获得与他人的交流,获得彼此的信任。其次,要努力形成良好的工作氛围,毕竟融洽的工作氛围有利于提高工作效率。
师傅们一丝不苟的工作作风和忘我的奉献精神深深打动和影响着我,使我终身收益。他们不仅为我营造了宽松的实习环境,传授给我工作经验,指引我进入工作环境,而且教导我务实上进,为人正直。在这段时间的实习过程中,我的每一步成长都凝聚着师傅的心血,在此,谨向师傅们致以万分诚挚的感激和深深的敬意!
实习是一个短暂的过程,我学到了很多,不仅仅是知识还有能力与意识。
计算机专业实习报告篇4
“纸上得来终觉浅,绝知此事要躬行。”在短暂的实习过程中,我深深的感觉到自己所学知识的肤浅和在实际运用中的专业知识的匮乏,刚开始的一段时间里,对一些工作感到无从下手,茫然不知所措,这让我感到非常的难过。在学校总以为自己学的不错,一旦接触到实际,才发现自己知道的是多么少,这时才真正领悟到“学无止境”的含义。在实习期间我做了一番调查,这个调查是针对我实习学校的情况和实习学校计算机教学情况。通过调查研究,我对当下计算机教学的状况有了初步的了解,为我以后在教学过程中转变教学方式提供了借鉴。
调查的具体目标和方法
(一)具体目标:
1、从实习学校的情况探究现今乡镇小学信息技术教学的现状。2、从教师的角度探究现今小学信息技术的发展现状。3、从学生的心理角度探究现今信心技术教学该往何处去。
(二)调查方法抽样调查:以我实习的五年级信息技术教师为主要调查对象,调查对象为我的指导老师。
(三)调查结果:
1、从实习学校的情况探究现今乡镇小学信息技术教学的现状。首先是对实习学校有初步的了解,对学校的基本情况和基本作息有所了解。我简单介绍一下我的实习单位。兰山区半程镇永太小学筹建于20__年,建成于20__年,座落于半程镇永太庄村后。它的前身是“费县汪沟镇石沟小学”,座落于半程镇西石沟村后。20__年随驻地乜村一起划归兰山区半程镇管辖。20__年迁入新校后更名为“永太小学”。 几年来在“以人为本,提高质量,全面实施素质教育”的办学方针的指导下。全面落实《课程方案》,坚持学生的全面发展,倡导个性发展,教学质量稳步提高。在历年的村级小学年终综合督导评估中,我校始终居于本镇各村小前列。20__年11月被评为市级“规范化学校”。 学校教师用微机24台,学生用微机40台。由于我所实习的这所学校不是重点小学,所以设备不是很好,机器都是旧的。所以只能演示一些基本的软件。
2、从教师的角度探究现今小学信息技术的发展现状。我发现全校的信息技术老师只有三个,其中有两个是综合老师,并不是专业的计算机专业毕业。所以老师的操作能力并不算太高,这令人有些担忧。
3、从学生的心理角度探究现今信心技术教学该往何处去。现在的小学生已经完全离不开网络了。但真正的把计算机及网络用在有用的地方的很少。所以,在今后的教学过程中不仅仅只交给学生技术,还要教他们怎样正确的利用计算机。
总结:一个月的实习生活让我获益匪浅,并让我爱上了教师这一光荣职业。实习,不仅仅是我人生中一段珍贵的记忆,更是我另一段人生的起点。我深切的认识到人民教师的崇高职责,更深刻地体会到当一名好教师的不易。我一定不断学习,争取克服自身的缺点,不断完善自身,为真正走上工作岗位做好准备。
计算机专业实习报告篇5
一、实习目的
1、加强巩固理论知识,培养发现问题并运用所学知识分析问题和解决问题的能力。
2、锻炼自己,培养工作能力、适应社会能力和自我管理的能力。
3、了解实习单位计算机的应用情况、需求情况和发展方向及前景。
4、亲身参与单位工作事项,认识工作的的具体流程。
5、通过实习来认识自己,发现不足,提前做好自己的职业规划。
二、实习过程和收获
这次毕业实习是做网络管理员,以日常的计算机日常的软硬件维护为主,兼顾单位内部服务器和网络的维护,通过两个月的实习,学到了很多。局域网在构建和使用时,难免出现这样那样的故障。排除故障、优化系统,是管理局域网最基本的工作。从网络设备的使用配置、排除故障、优化性能等几个关键技术出发,简单归纳了一些局域网维护及优化的经验和技巧。计算机网络管理在各个企事业单位占据着越来越重要的地位,网络管理的工作也变的复杂广泛,所以我们光有课本上的理论知识是不够的,必须在工作中不断的学习,不断的实践,从学习和事件中积累经验,这样才能有所提高,同时对于即将走向社会的我们要能以最好的心态和最快的适应速度去适应社会环境,熟悉了网络的日常维护工作以及网络常见故障与排除,了解了局域网络的大体结构和组建方式,对网络安全管理有了初步的了解和认识,能进行初级的网络安全攻防操作,为步入社会打下了基础。
学生参加实习可以巩固所学的知识,还能够理论联系实际。提醒大家,在写计算机实习报告的时候,要写出自己的主要工作内容,并且要写出自己的体会。
计算机专业实习报告篇6
在大学里,我一直在不断的努力,我相信我可以做的更好的,可是一直以来我没有很大的进步,我好像进入了瓶颈期。我学习的是计算机技术专业,现实的情况是,只有计算机技术十分好,在社会上才可以做的更好,我需要更多的经历和实践来参加我的专业,那样我才可以做的更好!
我开始到青岛__计算机有限公司郑州办事处技术服务部实习。在部门领导和同事的指导帮助下,我慢慢了解了公司的组织机构、经营状况及管理体制,以及技术服务部的基本业务,并学到了许多计算机维护知识。
__集团是以__集团公司为投资母体组建的国内大型专业电子信息产业集团。创业三十多年,从最初的青岛无线电二厂,到青岛电视机厂、__电器公司,发展成为国内著名的大型高新技术企业集团。
公司的服务承诺是:
在设有__计算机维修服务站的地区实行三日内修复的服务。
全国联保,计算机出现故障时,用户可凭《品质保证书》在最近的__公司最近的各级__维修部以及各个授权维修中心获得维护服务。
终身维护,为彻底解决顾客的后顾之忧,对于超过保修期的__计算机,由用户和任何一家维修中心(站)签订协议,则可享受终生维护。
免费维修,在计算机不见保修期内且在正常使用下的故障,免收部件的成本费用和维修费用,超过保修期,免收服务费,只收成本费。
保修期的第一年内,正常使用过程中的计算机出现故障时,只需播打__计算机公司设在该区的服务热线,即可预约时间,并且在预约时间享受免费上门服务。
刚开始实习时,办公室的同事给了我一些有关部门运营和计算机维护的公司的规章制度,
让我对公司运营情况和计算机维护——特别是系统维护有了一定的认识,真正体会到了一个重量级国家级企业单位对人事的重视,理解了我技术服务部的电脑维护工作虽然是企业部门运营的一个小侧面,但关系到企业在广大市民心目中的形象,关系到企业参与全国范围的计算机销售竞争的魄力及品牌亲和力。
在这一段时间里,我不仅很好地运用了所学的专业知识,而且还学到了很多在学校学不到的实用的待人处世之道,阔大了知识面,也丰富了社会实践经历,为我即将踏入社会奠定了很好的基础。
十分感谢青岛__计算机公司,感谢技术服务部给我这样一个宝贵的实习机会,在我完成这个计算机实习报告的同时,也让我对社会、对工作、对学习都有了更深一步的理解和认识,为我即将走上工作岗位增添了信心,让我在大学生活中留下了美好一页!
在不断的成长中,我相信我可以做的更好,只是时间的关系,我还没有得到更多的经历来参加实习,我相信在不远的将来,我就可以做的更好,这是毋庸置疑的。一直以来我都十分的努力,现在我的实践才开始上路,我相信在不远的将来,我就可以做的更好了,我会一直不断的努力下去的!
计算机专业实习报告篇7
一、工作内容
这学期跟李锡捷老师实习,参加的工作项目是信息安全组,因为平时较其它三位组员多接触UNI_-Like的环境,因此成为本组组长并协助联络事情。我们期初一开始便有正式的case接手,是一个韩国的骇客教育机构Hackerslab委托翻译他们的一份骇客教材。
对于这方面,我们四人虽然很有兴趣,但是相关的技术背景都还嫌不够,因此做起来并不是很轻松,最常遇到的问题就是专业名词的查询与翻译,常常会有不知如何是好的窘境发生,幸好系上的学长大多能提供我们一些查询的方向,大部分的问题到最后还是能顺利完成,这样初期的翻译工作大约持续了一个多月后暂时结束。对外的case完成后,我们继续朝着信息安全相关的方向研究,主要是针对两个程序进行改进工作,一个为测试系统漏洞的Nessus,一个为侦测入侵系统Snort,至此小组里再以两人一组细分为Nessus组跟Snort组,各自进行测试工作。我所分配的是Nessus组,这是一种可以用来测试服务器有哪些网络漏洞的程序,由于采用Plug-ins的方式安装,因此可以随时安插新漏洞的测试Plug-ins,加上Nessus总部的CVS机制,只要你的Nessus系统有定期CVS更新,就能保持最新的完整漏洞测试。
在业界杂志的评比里Nessus的评价甚至超越许多商用软件(Nessus是免费的),但是他有个小缺点,就是有关漏洞测试报告的部分作的并不是十分完整,每支漏洞的测试回报完整与否,取决于Plug-ins作者是否有在写作Plug-ins加上完整的叙述与解决方案,问题是大部分的Plug-ins都只有程序代码,并没有对叙述及解决方式作批注说明,因此即使在使用Nessus测出系统的安全漏洞后,使用者必须在到网络上搜寻解决方法,这样作实在不是很便利,因此老师希望我们能对于Nessus的测试回报部分作改良,写出一个报告阅读程序,结合庞大的信息安全信息,让使用者能在检测出漏洞的同时,直接取得相关的信息和解决方案,便利系统管理者在改善本身系统安全的时效性。
二、学习
Free Hackers Zone这学期最早接触的学习环境,应该要算Hackerslab提供的一个骇客练习用工作站Free Hacker Zone。这是一台用Linu_架起来的工作站,里面分将使用者分作level0到level14,每取得下依个等级的使用者权限,都有一个相对应的系统漏洞需要去_,训练使用者在实作中了解骇客_系统的方法,我一面翻该组织的FAQ,一面尝试错误,让我一路攻到level10,其中学习到的手法包括了使用者权限设定,寻找特定权限的档案,利用系统分隔符来欺骗系统,溢位攻击等等,然而在前进level11时,因为该漏洞必须自韩国本地进行_,因此只好作罢,没能进一步继续。不过这个经验对于后来翻译Hackerslab的文件有的不少的助益!
2.HackersLab教材翻译经过这段暖身后,我们正式接下Hackerslab文件翻译的工作,我负责的是Sniff(监听)与网页安全两份教材。在以太网络上,只要是同一个lan上的机器,都能收到在lan上传送的封包,系统核心会进行比对,如果该封包是属于自己的就继续处理,如果不是就忽略掉,而sniffing原理就是改变最后的步骤,将所有经过的封包,不管是否属于自己,全部抓进来记录。Sniffing的正面意义应该是用于处理观察网络流量状况,一旦网络出现异常时,可以藉由Sniffing来观察有哪些异常封包,帮助排除异常状况。至于窃取传送中的使用者账号跟密码,则是cracker的行为,这并非Sniffing的本意。对于区网内要如何避免被Sniff,最简单是在该区网内使用switch hub。
跟hub不同的是,hub会将接收到的封包向所有连接的host传送出去,但switch本身具有MAC路由表的功能,可以记得哪一个MAC地址要从哪一个连接埠送出去,因此不会让不相关的host收到该封包,大大减少了被Sniff撷取封包的机会。另外一种作法是对于传送的封包均作加密处理,这样就算被他人撷取到封包,对方也很难将封包解密而还原成原本的样字加以解读。常见的加密方式例如: SSL(Secure Socket Layer)、PGP (Pretty Good Privacy)、SSH (Secure Shell)、VPN (Virtual Private Network)等等。Sniff完最重要的工作是分析抓到的封包,因此这里对于各种通讯协议的封包意义大致讲解过一遍,例如该封包的来源与目的地,长度,数据内容,CRC检查码等等。另外一个章节是有关网页安全,包含了浏览器跟服务器两部分,这里大多是讲述理论性质的部分。首先是有关网页服务器,对于crack的问题,最重要的还是管理者(administrator)的认知问题,只要对系统的安全性随时保持警觉,绝对能防止crack事件的发生。目前有关网络上的服务应用虽然对于ftp或e-mail,都有许多独立的应用程序可以利用(如cute-ftp或outlook),但现在一般上网的使用者,仍有许多的机会直接使用网页来对ftp做存取跟收发e-mail,此外还有许许多多功能,也都被整合在网页浏览中,当网页服务器要兼任的服务越多,也就提供了更多让cracker入侵的机会,这是发展网页功能的同时必须付出的代价,因此,身为一个网页服务器的管理员,有责任负起保护自己服务器使用者的权益,对于安全性一定要随时保持高度的警觉性。尤其随着电子商务的`发展,网页扮演的角色越来越吃重,在往夜间传递使用者信息的机会越来越多,更增加了安全性的顾虑,然而使用者多半对于这方面安全性问题不够警觉(甚至不了解严重性),只要有cracker使用一些恶意或欺骗的applet或scripts,就有可能将使用者的信息窃取到手,也可以自远程将使用者的计算机加以控制甚至令其当机,使用者对于浏览网页时的安全比必须要比过去更加留意。常见的网页攻击模式包括:溢位攻击(buffer overflow) :顾名思义, 就是利用 buffer overflow 的原理达成目的的......比如, 一个数组只有 100 bytes, 但我喂给它 200 bytes 的数据,于是这个数组装不下这些数据, 造成了 overflow......为什么 overflow 会有 security hole 呢?首先, overflow 发生时, 多出来的数据会盖到其它变量上,相信这一点大家早就知道了。问题是, 为什么数据盖到其它变量上时, 顶多使程序执行错误,会严重到出现 security 的问题吗? 这时, 好玩的事情就发生了.......当我们呼叫一个 function 时, 以汇编语言的观点,会将 return address 堆入 stack 中。如果这个 function 宣告了一些 local 变量,那进入这个 function 之后, 会在 stack 中再空出一块区域给这些 local 变量,当要从这个 function return 回去时, 就把这些在 stack 中的 local 变数清掉。现在好了, buffer overflow security hole 就是在这里发生了......
如果有某个 function 宣告了一个 local array, 如: int func() { int i, j, k; char buf[16]; struct abc ___, __y, __z; . . .}这样就很明显了, 如果在这个 function 内有了 bug, 忘记去控制数据喂给 buf 的长度,当数据喂长一点, 就可以盖到这个function 的 return address指到自己所喂进去的 code 上 这时, function 执行完毕, 要 return 时, 它就不会 return 到原来呼叫它的地方, 而会 “return” 到我所喂进去的那些 code,这么一来入侵者就可以为所欲为了! Denial of Service ( DoS ,阻断服务攻击) :所谓阻断服务攻击,是攻击者利用受害者的操作系统、网络应用程序(服务)或网络通讯协议的漏洞来攻击受害者,促使目标主机的系统或服务发生瘫痪的情况,可能造成系统资源耗尽、引响正常联机品质、网络频宽被占满、网络应用程序(服务)停止运作、系统当机等情形,使正当的使用者无法正常使用该主机所提供的服务。另一种情况是系统管理者为了测试目的尝试对自己主机展开攻击,测试操作系统或是网络应用程序(服务)中是否含有可能被攻击的漏洞存在。像立骇科技(HackersLab)的入侵测试(Penetration Test)、卫道科技的网络安全漏空扫瞄仪(NAI CyberCop Scanner)都可针对企业内的操作系统、网络甚至数据库做健康检查,其它DoS的攻击都是不合法的,而且动机通常出自恶意。Distributed Denial of Service(DDoS,分布式阻断服务攻击):所谓分布式阻断服务攻击,是运用在于受害者的系统资源、网络频宽条件都比攻击者来的好,如果攻击者想一对一的攻击被害者,可能会失败甚至导致自己的系统或网络瘫痪,所以采取一对多的攻击方式,攻击者先在一些防备较弱的主机中种植攻击程序。随后攻击者对各主机中的的攻击程序发出攻击命令,要求对目标主机发出庞大数量且多种的封包,庞大的数据量会瘫痪目标主机而使得无法正常提供服务。
DDoS不但可以提高成功率,还可以缩短攻击的时间及减少被发现的机会。※以目前骇客的行径而言,大多比较倾向于使用威力强大的DDoS攻击,尤其是针对规模大的网站时。 CGI : 一种让网页执行外部程序的一种接口,正因为如此,只要权限或设定有问题,或程序编写有问题,很容易成为cracker入侵系统的快捷方式。自动目录列表 : 取得网页跟目录下的档案列表将使得cracker清楚知道该网站结构,很容易便能发觉后门所在甚至下载有问题的程序代码回去_分析,对于入侵更为容易使用者认证的攻击 : 利用一账号文件跟密码字典文件的配合,强制通过网页认证的一种手法。
NessusNessus官方网站,目前最新释出的版本为1.0.8,是一种用来侦测网络服务器或工作站的网络漏洞的工具。这套侦测系统是Client-Server的方式运作,服务器端包括了使用者账号的管理以及各种漏洞测试的Plug-ins,而Client则利用服务器端所提供的各种Plug-ins来测试工作站或服务器并产生报告,报告的格式包括了HTML、_ML、NSR(Nessus本身的存档格式) 、T_T、TE_(LaTe_格式)。其Plug-ins自有一套语法叫做NASL(Nessus Attack Scripts Language),可以自订对特定的连接埠进行封包测试,藉以判断是否为漏洞(早期使用C语言来作为Plug-ins的语法,但以被淘汰) 一、安装安装的方式分为Server跟Client两部分。首先Server必须安装在UNI_环境下,(已试过FreeBSD : ports安装 跟Linu_ : rpm安装)这部分没有什么问题,装下去就对了,接下来必须安装Plug-ins(若是不装Plug-ins,Nessus什么也不会测),Plug-ins可以选择一个一个下载后拷到指定目录即可,不过正确的作法应该是使用CVS的方式来维护更新Plug-ins的版本。
CVS系统又分作CURRENT跟STABLE两种,STABLE版本但讲究稳定,许多新释出的Plug-ins并没有包括在里面,而CURRENT虽然有最新的Plug-ins,但测试不见得稳定正确,有可能将你的受测工作站或服务器损害,因此要使用那个版本请自行斟酌。安装方式如下:1. 设定环境变量$ e_port CVSROOT=":pserver:anonymous@cvs.nessus.org:/usr/local/cvs"2. 登入CVS系统 密码为 “ anon” ,只有第一次登入会需要密码,以后会自动记载你系统的某一个地方$ cvs login3-1. 如果要抓取Nessus程序STABLE版本$ cvs -z3 checkout -rNESSUS_1_0 nessus-libraries $ cvs -z3 checkout -rNESSUS_1_0 libnasl $ cvs -z3 checkout -rNESSUS_1_0 nessus-core $ cvs -z3 checkout -rNESSUS_1_0 nessus-plugins 3-2. 如果要抓取Nessus程序CURRENT版本$ cvs -z3 checkout nessus-libraries $ cvs -z3 checkout libnasl $ cvs -z3 checkout nessus-core $ cvs -z3 checkout nessus-plugins4. 以后要检查更新部分时只要打$ cvs -z3 -P nessus-libraries $ cvs -z3 -P libnasl $ cvs -z3 -P nessus-core $ cvs -z3 -P nessus-plugins完成!!Nessus是一套强大的漏洞测试工具,但是对于他产生的报告不够完整是它的一大致命伤,目前他所采行的方法是把漏洞报告及修补漏洞的方法写死在Plug-ins里,但并不是每一个Plug-ins撰写者都有写上修补方式这部分的说明,因此我们的目的是写一个Report Reader来读取Nessus所产生的报告并自动补上漏洞相关的网址(报告格式为HTML或_ML),补强的方式是连结CERT的搜寻器来产生,目前遇到的问题在于我们要选择哪一种语法来写这支Report Reader的程序(VB除外),也使我们的研究主题由Nessus暂时转到了程序语言的部分,因此Nessus暂时在此打住4.Scripts Language 截至目前为止,我们尝试过的语言Tcl、Perl、Python都是属于Scripting Languages,他们跟C或JAVA这种system programming languages有很大的差异。SL 会有一组派得上用场的组件 (component) ,用别的语言写成。SL 不会从头开始,而是结合已经写好的组件。比方说,Tcl 跟 Visual Basic 可以用来管理使用者接口组件,而 Uni_ shell script 可以把组件当作 "filter" ,来组成一条 "生产线" ,制造所要的信息。 SL 可以用来扩展已经存在组件的功能,而很少用来发展复杂的数据结构、算法。这些东西应该由组件提供。因此,SL 常被称为 "黏接语言" 或者 "系统整合语言"。为了简化组合组件的工作,SL通常没有型态。所有东西看起来,用起来都一样,也可以交换着用。比方说,在Tcl 或 VB 中,同一个变量既能存字符串,又能存整数。而程序代码跟数据可以互通,因此能够在线产生新程序。由此可以看到SL 对于文字数据的处理蛮擅长的。V像这样无型态的语言更容易结合组件。因为它并不对 "东西该如何使用" 做任何限制。
组件会怎么用,搞不好连原先的设计者都不清楚。换句话说,组件的使用是有弹性的,不同状况下有不同用法。对于Scripts Language有点概念以后,我们决定选取Perl跟Python两方面进行,以Tk模块作图形化接口,正在钻研当中,目前以Perl/Tk较有进度(简清岱主打)(因为有花钱买书…没钱:~~ ),Python相关书籍也将入手,目前找到的文件教学,主要都以数学运算的应用为例子(Python的数学函式支持很丰富,一进Python的console下就可以当成一台超强的计算器来用了),近程阶段目标是写出图形化的小算盘出来。
目前语言学习部分到此为止 三、自我评估及心得感想 对于这学期的实习成果,自己感觉并不是很满意,因为一开始的Hackerslab最近产生新的问题,必须要整份重弄,令人感到有点恐惧。再者,由Nessus延伸出来的Scripts Language学习,也是没有突破性的进度,最近即将面对的新挑战---PDA程序设计比赛,更因为各种原因而迟迟没犯法开始进行进一步的讨论与动作,整体来说,给自己打50的不及格分数… 感想方面,真的觉得专业实习压力比课业还来得大,尤其是每个礼拜都会有的meeting,看到大家每次meeting都跟上衣次比有所进步的样子,就更感到压力,总觉得自己还要在多学习才不会被别人赶过去。 四、对系上的建议 以往听学长姐的经验,对于专业实习期望颇高,总觉得能因为专业实习对于自己的实力大大提升,但是这一届校内专业实习的人数超越以往,
而就我所认识的校内实习同学们,大多数都是虚晃一学期,因此建议对校内实习的人数能有所限制,另外,对于郭姐对实习相关的讯息一而再再而三的提醒表示感谢!