谁是最坚固的防线──对11款个人网络安全软件产品的攻击试验

评测与市场

电脑报评测实验室

网络的安全问题一向是大家关注的焦点,以往大家习惯性地将黑客与网络危害划上等号。然而今年在网络危害中表现更为突出的却是四处泛滥的邮件病毒、木马程序、恶意代码、黑客工具等“危险分子”。宽带网的普及让每台计算机的通讯变得更加方便,但同时也方便了这些“危险分子”横行上网。这些“危险分子”在网络上的攻击变得迅速、广泛且不可预测,以至于让许多上网的计算机在一瞬间就变成了被攻击的对象。
面对网络危机四伏,电脑报、大众网络报的测试人员联手开始了一项难度和工作量都极大的试验工作──我们将对市面上流行的11款个人网络安全软件产品进行攻击试验。我们的攻击试验分为7大方面共10个项目。每款产品在试验中的表现如何?哪款产品能作为个人计算机的坚实后盾?你该如何选择个人网络安全软件产品?在此,我们将为你进行解答。

试验环境

硬件环境

CPU:奔4 1.2GB
内存:256MB
硬盘:IBM 40GB/7200转
网络环境:100M局域网

软件环境

操作系统:Win98 SE和Win2000 Professional
注:本次攻击试验是在我们临时搭建的100M局域网环境内进行的,试验时局域网和公共网完全断开连接,对试验之外的计算机没有任何影响。

说明:

在这次攻击试验中,为了试验各款产品对网络安全的防范能力,我们非常关注恶意攻击发起后,各款产品的“报警提示”和“安全日志记录”。一旦发现被恶意攻击,保护我们安全的产品应该及时出现报警,提示用户有不安全的因素存在了。是否有“记录安全日志”也是安全软件的一项非常重要的能力,因为我们能在里面清楚地看到各种恶意攻击究竟来自于什么地方(它能记录攻击者的IP地址),以什么形式攻击的。这样有助于我们有的放矢地进行防范,甚至对攻击者进行反追踪,找出幕后的黑手。所以是否有“报警提示”和是否有“记录安全日志”成为我们试验的极其重要的环节。
试验完毕后,我们以常规方式删除了所有试验的软件,并彻底格式化了试验主机的硬盘,重新安装系统后,再用查杀病毒软件进行了检查,确保完全安全!

试验清单

本次攻击试验所选择的个人网络安全软件产品的具体情况如(图1)(上表按试验时间先后排序):

图1
图1

试验是怎样进行的

《电脑报》和《大众网络报》联合寄出《攻击试验邀请函》后,各大厂商踊跃地参与使我们收集到了11款个人网络安全软件(包括网上的共享安全软件),规模是前所未有的。而且许多知晓此次试验的朋友也都主动地发来了自己拟定的试验内容和标准。
本次攻击试验我们选择了“木马攻击”、“恶意代码攻击”、“病毒邮件攻击”、“炸弹攻击”、“QQ攻击”、“端口扫描”、“洪水攻击”7个方面的常见网络攻击手段进行了试验,当然,这和整个网络安全涵盖的所有危害相比还有一定的片面性。不过,我们认为这些攻击手段在如今的网络中是最为流行,危害性也是最大的,而且攻击性还在加强。所以本次攻击试验,我们旨在验证各款个人网络安全软件是否会向智能的综合防范能力的方向发展,因为在复杂的网络环境下,安全产品将不再只是单纯消极地“杀”,该如何未雨绸缪综合防范才是用户和安全厂商真正需要注重的问题。
我们在Win98 SE和Win2000 Professional两个试验平台上对这11款个人网络安全软件进行7个大方面共10个项目的攻击试验,我们根据对个人用户的危害程度不同,将7个大方面分为3种不同层次进行攻击试验:甲类攻击试验是如今网络中最为普遍、危害最严重的网络攻击,包括“木马攻击”、“恶意代码攻击”和“邮件病毒攻击”;乙类攻击试验,包括“炸弹攻击”和“QQ攻击”,这些是次重要;丙类攻击试验,包括“端口扫描”和“洪水攻击”。

试验主要数据说明:

由于是分3种不同层次的网络安全级别进行试验的,所以我们在看最后的试验数据的时候应该依据如下的方法进行比较查看:
1.以“甲类攻击试验”的数据为基础,它在全部试验环节中应占60%的比重;
2.在“甲类攻击试验”数据的基础上,查看“乙类攻击试验”数据,该部分在全部试验环节中应占25%的比重;
3.在“甲类攻击试验”数据和“乙类攻击试验”数据基础上,再查看“丙类攻击试验”数据,该部分在全部试验环节中应占15%的比重。

试验全过程

1.甲类攻击试验

(1)木马攻击
试验软件:冰河(8.0BETA2)和广外女生(1.53A)。
我们判断的惟一标准是:被保护的计算机系统是否被木马软件远程控制。
(试验平台:Win98SE)(图2)

图2
图2

(试验平台:Win2000 Professional)(图3)
图3
图3

注:“A”表示:根本不允许木马服务器端运行;“B”表示:点击木马服务器端,有报警提示;“C”表示:远程连接时有报警提示;“D”表示:不能防范木马攻击;“N/A”表示:不具备此项试验功能。
(2)恶意代码攻击
用一个可修改默认首页的恶意网站试验(由于考虑到防止恶意网址的传播,所以在此隐去具体网址)。
我们判断能否通过试验的惟一标准是:发现恶意代码是否会主动出现报警提示。
(试验平台:Win98SE)(图4)
图4
图4

(试验平台:Win2000 Professional)(图5)
图5
图5

注:“A”表示:发现恶意代码即报警提示,且IE默认首页不会被修改;“B”表示:发现恶意代码即报警提示,但是IE默认首页被修改;“C”表示:没有任何报警提示,IE默认首页被修改;“N/A”表示:不具备此项试验功能。
(3)邮件病毒攻击
试验邮件病毒:我的晚会“MY PARTY”邮件病毒。
针对这项攻击试验,我们判断能否通过试验的惟一标准是:软件产品是否会对此邮件病毒进行报警提示。
(试验平台:Win98SE)(图6)
图6
图6

(试验平台:Win2000 Professional)(图7)
图7
图7

注:“A”表示:有报警提示,且阻止运行带毒附件;“B”表示:是在运行带毒附件时才有报警提示;“C”表示:运行附件后没有任何报警提示;“N/A”表示:不具备此项试验功能。

2.乙类攻击试验

(1)炸弹攻击
试验软件:IGMPNuke(V1.0)。
针对这项攻击试验,我们判断能否通过试验的惟一标准是:系统是否出现异常情况,如蓝屏死机、自动重新启动等(注:由于IGMP攻击对 Win2000 Professional系统无明显效果,我们这里就以产品是否拦截IGMP攻击,是否有报警和记录安全日志为试验标准)。
(试验平台:Win98SE)(图8)

图8
图8

(试验平台:Win2000 Professional)(图9)
图9
图9

注:“A”表示:成功拦截,且有明显的报警提示和记录安全日志;“B”表示:成功拦截,但报警提示和安全日志其中之一不齐全;“C”表示:成功拦截,但没有任何报警提示和安全日志;“D”表示:不能防范炸弹攻击;“N/A”表示:不具备此项试验功能。
(2)QQ攻击
试验软件:QQKill (1.03版)和QQall。
针对这项攻击试验,我们判断能否通过试验的惟一标准是:QQ是否会被关闭。
(试验平台:Win98SE)(图10)
图10
图10

(试验平台:Win2000 Professional)(图11)
图11
图11

注:“A”表示:QQ未被关闭,且有明显的报警提示和记录安全日志;“B”表示:QQ未被关闭,但报警提示和安全日志其中之一不齐全;“C”表示:QQ未被关闭,但没有任何报警提示和安全日志;“D”表示:不能防范QQ攻击;“N/A”表示:不具备此项试验功能。

3.丙类攻击试验

(1)端口扫描
试验软件:Nmap(2.54BETA3.0)和X-scan(V1.3)。
针对这项攻击试验,我们判断能否通过试验的惟一标准是:是否能得到扫描结果。
(试验平台:Win98SE)(图12)

图12
图12

(试验平台:Win2000 Professional)(图13)
图13
图13

注:“A”表示:没有任何扫描结果,且有明显的报警提示和记录安全日志;“B”表示:没有任何扫描结果,但报警提示和安全日志其中之一不齐全;“C”表示:没有任何扫描结果,没有任何报警提示和安全日志;“D”表示:不能防范端口扫描;“N/A”表示:不具备此项试验功能。
(2)洪水攻击
试验软件:U.DPFlood(2.00)。
针对这项攻击试验,我们判断能否通过试验的惟一标准是:遭受大量UDP数据包的洪水攻击后,系统是否会出现异常现象。
(试验平台:Win98SE)(图14)
图14
图14

(试验平台:Win2000 Professional)(图15)
图15
图15

注:“A”表示:没有任何异常反应,且有明显的报警提示和记录安全日志;“B”表示:没有任何异常反应,但报警提示和安全日志其中之一不齐全;“C”表示:没有任何异常反应,没有任何报警提示和安全日志;“D”表示:不能防范洪水攻击;“N/A”表示:不具备此项试验功能。

攻击试验结果综合点评

在本次攻击试验中,我们综合了所有的结果,发现了这样一个现象:现在的个人网络安全软件产品几乎都意识到如今网络中的病毒、木马和黑客给我们造成的破坏是致命的。对付它们已经不再像从前那样单纯地在发现安全问题后才采取相应的解决方法。如何准确实时地防范恶意网络攻击,把各种安全隐患提前清除,已经成为网络安全产品的发展趋势,这也必将给我们所有的网络用户带来一个更加安全的网络环境。
为了方便大家更好地查看试验的结果,下面我们归纳出每款产品的特点,并对它们做一个综合的点评:

1.攻击试验中表现突出的产品

(以下按试验时间先后排序)
《瑞星杀毒软件》2002增强版
综合评价:★★★★☆
完全通过试验项目:木马攻击、恶意代码攻击、邮件病毒攻击、炸弹攻击、洪水攻击
点评:网络综合防范能力突出。(图16)

图16
图16

该安全产品由传统的病毒查杀监控程序和个人网络安全防火墙程序相结合,在我们的试验中,《瑞星杀毒软件》2002增强版能够成功防范病毒木马、恶意代码以及其他网络恶意攻击,只是在端口扫描和QQ远程攻击防范的能力还不尽如人意。
毋庸置疑,瑞星公司在技术水平和市场思路上具有一定的优势,不过面对今后网络安全的日趋复杂化,在不断完善技术的同时,如何让自己的产品更加适合网络安全的发展和个人用户的需求,将是瑞星公司发展的最重要之点,同时也是我们所有用户的期盼之处。
《KV3000杀毒王》
综合评价:★★★★☆
完全通过试验项目:木马攻击、恶意代码攻击、炸弹攻击、邮件病毒攻击
点评:老牌安全技术实力出众(图17)
图17
图17

这款全新的安全产品融合了防范黑客攻击、查杀病毒木马、彻底清除恶意代码骚扰等众多网络安全防护功能。在我们的试验中,该产品在对网络病毒、木马以及恶意代码的防范上表现出雄厚的实力,但在防范洪水攻击、QQ远程攻击时的表现不尽如人意。
在江民科技日渐增强的宣传攻势和自身强有力的技术支持下,我们相信,《KV3000杀毒王》的出现必是KV系列产品的重大转折点。在未来的日子里,KV系列产品势必向防范网络危害的技术大步迈进。而《KV3000杀毒王》也极有可能成为今年网络安全软件市场中举足轻重的产品。
《金山毒霸2002》
综合评价:★★★★
完全通过试验项目:木马攻击、炸弹攻击、端口扫描
点评:适应网络安全的个性需求(图18)
图18
图18

从我们本次试验的《金山毒霸2002》中可以看出,该款个人网络安全软件产品在病毒木马、恶意代码和其他网络恶意攻击试验中都具有一定的防范能力(注:由于《金山毒霸2002》具有的“邮件监控功能”并没有默认打开,所以在病毒邮件攻击试验中它的表现不算太好)。
就总体来看,《金山毒霸2002》具有诸多网络防范功能,已经具备适应未来网络安全发展趋势的条件,如果金山公司能够把更多的时间和精力放到技术的开发和创新上,我们有理由相信,金山毒霸系列产品将在未来的网络安全产品市场上有很好的发展。
《防毒精灵2002》
综合评价:★★★★
完全通过试验项目:邮件病毒攻击、炸弹攻击、端口扫描(Nmap在Win98SE下)、洪水攻击
点评:新近崛起的安全技术实力派。(图19)
图19
图19

该安全产品由病毒实时监控扫描程序和个人网络防火墙程序结合而成,在我们的试验中,《防毒精灵2002》对所有的网络攻击都有防范保护作用。
我们相信,在强大的技术支持下,密切关注市场的发展和用户需求的变化,并配以一定的宣传手段,《防毒精灵2002》以其强大的功能有希望成为今年下半年网络安全业界的一个亮点。
《诺顿网络安全特警》2002中文版
综合评价:★★★★☆
完全通过试验项目:木马攻击、恶意代码攻击、炸弹攻击(Win98SE下)、端口扫描(除Xscan在Win2000 Professional下)、洪水攻击(Win98SE下)
点评:国外个人网络安全软件产品的典型代表。(图20)
图20
图20

在我们的试验中,该产品除了能防范木马病毒和恶意代码外,还对端口扫描、洪水攻击等具有一定的防范能力,只是尚不能防范QQ攻击。
在试验中,我们还发现该产品在设计中还存在一些不足,如Win2000下报警功能有一定缺陷,软件还不是很符合中国人的使用习惯等,不过我们相信,赛门铁克诺顿作为一款国际知名产品,在市场和技术上都有它的优势,只要更加深入地研究安全软件的发展,注重技术的创新,赛门铁克诺顿系列产品必将站稳中国市场,成为个人网络安全产品中的主力军。

2.攻击试验的其他产品

(以下按试验时间先后排序)
PC-GUARD(发烧版)
综合评价:★★★☆
完全通过试验项目:无(图21)

图21
图21

在我们的试验中,PC-GUARD除了在木马攻击(主要是广外女生的防范上)和炸弹攻击防范上能力不足以外,其他方面都有一定的防范保护功能,只是中规中矩,让人感觉没有什么特别突出、十分抢眼的地方。
《天网防火墙》个人版
综合评价:★★★
完全通过试验项目:炸弹攻击、端口扫描(图22)
图22
图22

在试验中,《天网防火墙》个人版除了在端口扫描和炸弹攻击等传统IP防火墙功能上有所建树以外,在其余的各种试验面前表现得非常不好,不是不具备该项功能,就是根本不起防范保护作用。
由此我们可以看出,一款功能单一的安全产品,是不适应用户的要求和未来网络安全市场的。所以,像《天网防火墙》个人版这样一款现在说来还算不错的国产“纯” IP防火墙,想要在未来有更大的发展的话,就必须明确未来网络安全的发展趋势,从而完善产品本身,争取在网络安全的各个方面都有突出表现。
Sygate Personal Firewall (Pro5.0)
综合评价:★★★
完全通过试验项目:炸弹攻击、洪水攻击(图23)
图23
图23

Sygate Personal Firewall在我们的试验中的表现非常一般。因为我们要求的是一个综合防范网络安全能力的体现,Sygate Personal Firewall虽然在防范端口扫描、洪水攻击、炸弹攻击等方面非常不错,但是在其他项的防范上就显得“单薄”很多,甚至根本就不具备防范能力,我们很明显地看出Sygate Personal Firewall还只是停留在“纯”IP防火墙的概念上,并不是一款真正能适应未来网络发展要求的安全产品。
McAfee Firewall(版本3.02.1029.0)
综合评价:★★★☆
完全通过试验项目:炸弹攻击(Win2000 Professional下)、洪水攻击(图24)
图24
图24

McAfee Firewall作为一个防火墙产品,在我们这次试验中对端口扫描、洪水攻击、恶意代码、木马攻击,当其他众多产品在QQ攻击下“摔跤”而它都有着良好的防范能力。不过,让人感到非常遗憾的是,该产品并没有在网络病毒防范上有所突破,还是局限在传统的防火墙软件的套路里,完善技术、增强功能,是我们对这款产品的期望,如果还能考虑到国内用户的使用习惯和针对国产病毒木马作出更有效的反应,我们相信,这款产品在未来的安全市场将牢牢站稳脚跟的。
BlackICE(版本3.5.cbfE)
综合评价:★★★
完全通过试验项目:炸弹攻击(Win98SE下)、端口扫描、洪水攻击(Win2000 Professional下)(图25)
图25
图25

在我们试验后,这款颇受赞誉的安全产品并没有给我们留下什么深刻的印象,只是知道它不具备恶意代码的防范功能,在其他如QQ攻击、炸弹攻击、洪水攻击上也表现得让人疑惑(不同平台表现不一样)。不过该产品能在防范网络病毒上有一定的功能,倒是让我们感觉不错。拿掉头顶的光环,努力地完善技术,增强对网络各个安全防范的能力和力度,将是该产品今后发展的必经之路。
ZoneAlarm(版本2.6.362)
综合评价:★★★☆
完全通过试验项目:炸弹攻击、QQ攻击、端口扫描、洪水攻击(图26)
图26
图26

在我们的试验中,ZoneAlarm的表现的确让我们吃惊,端口扫描、洪水攻击、炸弹攻击、木马攻击、QQ攻击等,它在防范保护方面都做得相当不错。不过让人十分遗憾的是,ZoneAlarm是否忘记了还有恶意代码这样的网络中最危险的敌人,而且该产品对网络病毒邮件的攻击也是无能为力的。