《2022年网络安全课程设计报告- .pdf》由会员分享,可在线阅读,更多相关《2022年网络安全课程设计报告- .pdf(36页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、网络安全课程设计实验报告班级:信息安全三班学号:0905030326姓名:指导老师:完成时间: 2012 年 9 月 20 日名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 1 页,共 36 页 - - - - - - - - - 目录第一部分常规实验实验一 Windows 基本常用网络命令3 实验二 网络扫描与监听( NetBScanner )11 第二部分编程与设计任务一 漏洞入侵15 任务二 UDP 和 Dos攻击与防范 21 任务三 木马的攻击与防范28 总结 36 参考文献
2、36 名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 2 页,共 36 页 - - - - - - - - - 、 实验一Windows 基本常用网络命令一、实验目的1、了解或掌握一些网络常用命令2、掌握 Ping、IPConfig 、Arp、Netstat 、Net、Tracert 、Nslookup、At 等命令、参数及意义3、能应用上述命令进行网络连通、网络状态、网络配置等查看网络问题二、实验原理(此处只详述本人于课程设计中用的较多的Ping 和 Netstat命令)1、Pin
3、g 命令的使用技巧 Ping 是个使用频率极高的实用程序,用于确定本地主机是否能与另一台主机交换(发送与接受)数据包。Ping 是一个测试程序,如果Ping 运行正确,我们大体上就可以排除网络访问层、网卡、MODEM的输入输出线路、电缆和路由器等存在的故障, 从而减小为问题的范围。 也因此,网络安全扫描技术中就包括有Ping 扫射。2、Netstat命令的使用技巧 Netstat用于显示与 IP、TCP 、UDP 和 ICMP协议相关的统计数据, 一般用于检验本机各端口的网络连接情况。 如果你的计算机有时候接收到的数据报导致出错数据或故障,你不必感到奇怪,TCP/IP 可以容许这些类型的错误,
4、并能够自动重发数据报。但如果累计的出错情况数目占到所接收的IP 数据报相当大的百分比,或者它的数目正迅速增加, 那么你就应该使用Netstat查一查为什么会出现这些情况了。三、实验过程与步骤1、Ping 命令、参数及意义(仅部分详细解释)名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 3 页,共 36 页 - - - - - - - - - ping ip地址或主机号:显示 4 个回显包后停止 ping 。 (缺省的)ping ip地址或主机号 -t :对如 10.129.4.22
5、这个 IP 地址不断地发送ICMP 数据包,可查看网络是否连通。要中途查看并继续发送数据包,按control+Break键;要停止发送数据包,按control+c键。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 4 页,共 36 页 - - - - - - - - - ping ip 地址或主机号 -n count : 显示 count 个回显包后停止 ping 。( count可以根据你的需要任意指定)ping -a ip地址:将 ip 地址有对应的主机号表示出来,并显示 3 个
6、回显包后停止 ping 。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 5 页,共 36 页 - - - - - - - - - 2、Netstat命令、参数及意义netstat s:按照各个协议分别显示其统计数据。如果某应用程序(如Web浏览器)运行速度比较慢, 或者不能显示 Web页之类的数据, 那么就可以用本选项来查看一下所显示的信息。 需要仔细查看统计数据的各行, 找到出错的关键字,进而确定问题所在。名师资料总结 - - -精品资料欢迎下载 - - - - - - - -
7、- - - - - - - - - - 名师精心整理 - - - - - - - 第 6 页,共 36 页 - - - - - - - - - 名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 7 页,共 36 页 - - - - - - - - - netstat e:用于显示关于以太网的统计数据。它列出的项目包括传送的数据报的总字节数、单播的数量、广播的数量、丢弃(删除)数、错误数和未知协议的数量。 这些统计数据既有发送的数据报数量,也有接收的数据报数量。 这个选项可以用来统计一些
8、基本的网络流量。netstat r :显示关于路由表的信息,类似于使用route print命令时看到的 信息。除了显示有效路由外,还显示当前有效的连接。netstat a:显示一个所有的有效连接信息列表,包括已建立的连接(ESTABLISHED) ,也包括监听连接请求(LISTENING )的那些连接,断开连接(CLOSE_WAIT)或者处于联机等待状态的(TIME_WAIT )等。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 8 页,共 36 页 - - - - - - - -
9、 - netstat n:显示所有已建立的有效连接。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 9 页,共 36 页 - - - - - - - - - 四、分析与结论一下为本人在实验操作过程碰到或想到的并于最后通过请教同学或网上查询等的方法解决了的一些问题:1) 一台接入 Internet 的主机出现无法访问的情况,怎样诊断原因?答:先试着测下本机是否和网关之间联通性正常。现在在主机cmd 下输入ping 127.0.01 如果不能得到回复说明你的pc 没有装 tcp/ip 或
10、是坏掉了,在网上另下一个安装下。如果回复正常的可以继续以下操作:还是在cmd 命令行下ipconfig/all ,查看到本机 ip 情况,然后找到 dhcp 、gateway(网关)的 ip地址,然后在 cmd 中输入命令: ping .(此处为查看得到的dhcp、gateway的 ip 地址) 。如果是得到正常回复,并有ttl值,说明正常,则可能是网关路由与外部的故障。 如果不能得到正常回复, 则说明你的主机到网关路由之间线路有故障。2) 假如已经通过缓冲区溢出攻击获得一台主机的shell , 怎样将木马程序运行起来?答:缓冲区溢出是一种相当普遍的缺陷,也是一种非常危险的缺陷, 在各种系统软
11、件、应用软件中广泛存在。 缓冲区溢出可以导致程序运行失败、系统死机等后果。如果攻击者利用缓冲区溢出使计算机执行预设的非法程序,则可能获得系统特权,执行各种非法操作。缓冲区溢出攻击的基本原理是向缓冲区中写入超长的、预设的内容,导致缓冲区溢出,覆盖其他正常的程序或数据,然后让计算机转去运行这行预设的程序, 达到执行非法操作、 实现攻击的目的。 运行木马的步骤:计划任务、 VS 脚本、自动运行、开机运行等。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 10 页,共 36 页 - - -
12、- - - - - - 实验二网络扫描和监听一、实验目的网络扫描是对整个目标网络或单台主机进行全面、快速、准确的获取信息的必要手段。 通过网络扫描发现对方, 获取对方的信息是进行网络攻防的前提。该实验使学生了解网络扫描的内容,通过主机漏洞扫描发现目标主机存在的漏洞,通过端口扫描发现目标主机的开放端口和服务,通过操作系统类型扫描判断目标主机的操作系统类型。通过该实验,了解网络扫描的作用,掌握主机漏洞扫描、端口扫描、操作系统类型扫描软件的使用的方法, 能够通过网络扫描发现对方的信息和是否存在漏洞。要求能够综合使用以上的方法来获取目标主机的信息。而网络监听可以获知被监听用户的敏感信息。通过实验了解网
13、络监听的实现原理,掌握网络监听软件的使用方法, 以及对网络中可能存在的嗅探结点进行判断的原理。掌握网络监听工具的安装、 使用,能够发现监听数据中的有价值信息,了解网络中是否存在嗅探结点的判断方法及其使用。二、实验要求基本要求了解网络扫描的作用,掌握主机漏洞扫描、端口扫描、操作系统类型扫描软件的使用的方法,能够通过网络扫描发现对方的信息和是否存在漏洞。掌握网络监听工具的安装、 使用,能够发现监听数据中的有价值信息等。提高要求能够对网络中可能存在的嗅探结点进行判断的方法及工具使用等。三、过程与步骤1)下载网络扫描软件NetBScanner 和网络监听工具Ethereal 以及 Nmap 和WinP
14、cap 驱动安装包并安装。2)打开 NetBScanner。3)点击其中绿色的开始按钮,软件自动开始对地址在同一域中的目标主机或目标网络的扫描。4)不久,NerBScanner 中的停止按钮会变红并扫描完毕,就可以得到同一域中所有目标主机的扫描结果, 结果界面中包括有所有有关目标主机的IP Address(主机 IP 地址) 、Computer Name (主机名)、Workgroup(工作组)、MAC Address(主机物理地址) 、Network Adapter Company (网络适配器公司)和Master Browser(主浏览器) 等信息, 由此可看出所有有关目标主机的开放端口和
15、服务。下图是扫描结果的部分内容。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 11 页,共 36 页 - - - - - - - - - 5)安装好 WinPcap_4_0_beta3和 Ethereal等软件。6)打开软件,开始抓包。选“ Caputer-option”进入下一界面,默认设置直接点确定,软件开始抓包,出现如下界面:名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - -
16、- 第 12 页,共 36 页 - - - - - - - - - 7)一小会时间后点击“ stop ”停止抓包。8)获取不同抓包类型,解析如下图:名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 13 页,共 36 页 - - - - - - - - - 四、分析与结论以下是本人于实验过程中所思考的问题:1、网络扫描与网络监听的区别与比较?答:网络扫描:如果你对目标机进行网络扫描是指扫描出该机所有已经打开或者可用的端口以便于攻击或者查看是否打开某些不允许开启的软件所以 如果你是网络管
17、理员你可以对网络进行扫描如果发现有的机子的某个端口打开,而该端口是某个限制使用的下载工具使用的端口那么你就可以知道该机上使用了该软件。网络监听: 是指你目标已经明确对某端口进行监听可以及时发现端口打开或者关闭,一般如果你给别人植入木马后便会使用监听如果成功则你监听对象的某个你要使用的端口变会被打开这个时侯用网络监听便很方便了。2、端口漏洞分析:我们发现被扫描主机及自己主机开放的端口,有些开放的端口是极其不安全的, 若是对被扫描主机的漏洞进行攻击,或于自己主机的开放端口上做好防护, 就达到了我们扫描的目的。 下面列举部分端口极其可能存在的威胁如下:端口 21:FTP端口,攻击者可能利用用户名和密
18、码过于简单,甚至可以匿名登录的漏洞登录到目标主机上,并上传木马或者病毒而控制目标主机。端口 23:Telnet 端口,如果目标主机开放23 端口,但用户名和密码过于简单,攻击者破解后就可以登录主机并查看任何信息,甚至控制目标主机。端口 80:HTTP端口,此端口开放没有太大的危险,但如果目标主机有SQL注入的漏洞,攻击者就可能利用端口80 进行攻击。端口 139:NETBIOS 会话服务段开口,主要用于提供Windows文件和打印机共享以及 Unix 中的 Samda服务。 139 端口可以被攻击者利用,建立IPC 连接入侵目标主机,然后获得目标主机的root 权限并放置木马。端口 443:网
19、页浏览端口,主要用于HTTPS 服务,是提供加密和通过安全端口传输的另一种HTTP 。HTTPS服务一般是通过SSL 来保证安全性的,但是SSL漏洞可能会受到黑客的攻击,比如可以黑掉在线银行系统、盗取信用卡账号等。端口 3389: 这个端口的开放使安装了终端服务和全拼输入法的Windows 2000服务器( sql 之前的版本)存在着远程者很容易的拿到Administrator组权限。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 14 页,共 36 页 - - - - - - -
20、- - 任务一漏洞入侵一、实验目的漏洞是在硬件、软件、协议的具体实现或系统安全策略上存在的缺陷,从而可以是攻击者能够在未授权的情况下访问或破坏系统。而入侵是指在未授权的情况下, 试图存取信息、 处理信息或破坏系统以使系统不可靠、不可用的故意行为。则漏洞入侵就是指攻击者通过硬件、软件、协议的具体实现或系统安全策略上的缺陷在未授权的情况下访问或破坏系统。该实验使学生了解漏洞入侵的内容,必先通过主机漏洞扫描发现目标主机存在的漏洞,在利用这些漏洞来破坏主机或从中窃取有用信息。而网络监听可以获知被监听用户的敏感信息。通过实验了解网络监听的实现原理,掌握网络监听软件的使用方法, 以及对网络中可能存在的嗅探
21、结点进行判断的原理。掌握网络监听工具的安装、使用,能够发现监听数据中的有价值信息,了解网络中是否存在嗅探结点的判断方法及其使用。二、实验要求基本要求了解漏洞入侵的作用,掌握主机漏洞扫描、端口扫描、操作系统类型扫描软件的使用的方法, 能够通过网络漏洞扫描发现对方的信息和是否存在漏洞。掌握网络监听工具的安装、使用,能够发现监听数据中的有价值信息等。提高要求能够对网络中可能存在的嗅探结点进行判断的方法及工具使用和掌握漏洞入侵工具的使用等。三、过程与步骤 1 ) 、下载漏洞入侵需使用的工具- 啊 D注入工具 2) 、打开啊D 注入工具,并在其网址栏中输入:http :/ - - -精品资料欢迎下载 -
22、 - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 15 页,共 36 页 - - - - - - - - - 3)、 在搜索结果的第一个框中输入inurl:(asp=数字) 【如 inurl:(asp=3486?)】 ,并现则搜索结果显示的条数为“每页显示100 条” ,其他默认设置,用来批量搜索注入点的语句,如下图:4)、设置完后点“百度一下”出现如图:名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 16 页,共 3
23、6 页 - - - - - - - - - 5)、 将上图地址栏中的地址复制并粘贴到啊D注入工具中的地址栏中, 点击 “扫描注入点”,再点击地址栏右侧的第一个小按钮,之后开始等待, 出现界面如下:名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 17 页,共 36 页 - - - - - - - - - 以下为之后在宿舍再完善部分截图6)、看到扫描出来的“可用注入点”后【难题一:此处是经常会遇到问题的地方,我在输入inurl : (asp=数字)时有尝试过很多不同的数字即注入点,常常在
24、到达这一步后可能扫描出来的“可用注入点”为0,需要耐心多次尝试使用不同的数字做注入点,才能成功】 ,于其中任选一个,用右键放在上面单击“注入连接”,当该注入点出现在嘴上的注入连接框中后,点击该框后的 “检测”按钮【难题二:此处也常常会出现 “这个连接不能 SQL注入,请试别的连接”这也是需要自己耐心的多次尝试的】 ,等待检测表段亮了之后,点击“检测表段”,再度等待至该框中出现如 “vote 、admin、user 、news”等表段后,左键单击 “admin” 选中,点击 “检测字段”, 等待至出现“username、password、id ”等检测字段,在这三个字段的前面方框打上勾,然后单击
25、“检测内容”,继续等待,出现如下图:此时我们检测出了管理员的用户名和密码等这些信息,接下来我们就是要找到他们的后台。7)、点击啊 D注入工具左侧的“管理入口检测”后,啊D地址栏中会出现对应网站地址,在点击该框后面的“检测管理入口”按钮,出现界面如下图:名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 18 页,共 36 页 - - - - - - - - - 四、实验结果检测出来的后台网址,我们用浏览器打开出现了界面如下图:名师资料总结 - - -精品资料欢迎下载 - - - - -
26、- - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 19 页,共 36 页 - - - - - - - - - 输入前面检测到的管理员用户名、密码等信息便登录进去了。接下来上传个ASP木马,这个我没在进行下去了。五、分析与结论啊 D注入工具注入点关键字搜集:inurl:CompHonorBig.asp?id=(等号后面填任意数字)inurl:asp 常州 inurl:Article_Class2.asp? inurl:detail.php? CompHonorBig.asp?id=(括号里填任意数字)inurl:show.asp? 使用啊 D注入工
27、具进行漏洞入侵过程中碰到的问题很多,如无法检测到可用注入点、检测到的可用注入点连接不能SQL注入及选择检测表段时当同类特多的时候不知道选哪个等难题时, 需要的就是耐心和不放弃的态度,这些东西本就需要多次尝试的。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 20 页,共 36 页 - - - - - - - - - 任务二UDP Dos攻击与防范一、实验目的通过联系使用 DoS/DDoS 攻击工具对目标主机进行攻击;理解 DoS/DDoS 攻击的原理和实施过程;掌握检测和防范DoS/
28、DDoS 攻击的措施。二、实验原理DDoS 攻击手段是在传统的DoS攻击基础之上产生的一类攻击方式。单一的DoS攻击一般是采用一对一方式的,它的攻击方法说白了就是单挑,是比谁的机器性能好、 速度快。当攻击目标 CPU 速度低、内存小或者网络带宽小等等各项性能指标不高时, 他的效果是明显的。 但随着计算机处理能力的迅速增长,内存大大增加, CPU 运算能力越来越强大,这使得DoS攻击的困难程度加大了。被攻击者对恶意攻击包的抵抗能力加强的不少。这时候分布式的拒绝服务攻击手段就应运而生了。所谓分布式拒绝服务( DDoS )攻击是指借助于客户 / 服务器技术,将多个计算机联合起来作为攻击平台, 对一个
29、或多个目标发动DoS攻击,从而成倍的提高拒绝服务攻击的威力。三、过程与步骤及结果分析进行 UDP Dos攻击与防范需要下载阿拉丁UDP 洪水攻击器和 Ddoser 攻击器,这两个软件均不需要安装,只需配置便可运行并得以攻击。1、UDP-Flood攻击实践: (它是一种采用 Dos攻击方式的软件,它可以向特定的 IP 地址和端口发送 UDP包) 1 ) 、打开阿拉丁 UDP 洪水攻击器, 在目标 IP 栏于端口栏里填入需要攻击的目标主机 IP 及所使用的端口,如下图: (填入机房局域网内目标主机IP 为10.1.13.340的主机作为攻击对象,通过端口80即 HTTP 端口攻击)2)、选择自己想
30、要的强度,以达到自己想要的效果【难题一:起初我选用的是中等强度,但指示灯一直是红的,后来换成了高强度,指示灯才变绿,就是说高强度时我试验才攻击成功】 ,如下图:名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 21 页,共 36 页 - - - - - - - - - 3) 、 接 下 来 , 在 被 攻 击 的 目 标 主 机 上 打 开 Ethereal抓包 软 件 ,选“Caputer-option”进入下一界面,默认设置直接点确定,软件开始抓包,出现如下界面:【结果分析 】 可
31、以发现计算机受到大量的UDP 数据包,积极秒就接近 10 万个 UDP数据包,与此同时目标机明显变得有点卡了。抓包类型也分析如下图:名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 22 页,共 36 页 - - - - - - - - - 2、DDoSer攻击实践: (它是一个 DDoS 攻击工具,程序运行后自动装入系统,并在以后随系统启动,自动对实现设定好的目标进行攻击)软件分为生成器和DDoS 攻击者程序两部分, 下载安装以后是没有DDoS 攻击者程序的,只有生成器,生成时可以自
32、定义一些设置,如攻击目标的域名后IP地址、端口等。 DDoS 攻击者程序默认的文件名是DDsSer 。Exe,可以在生成时任意改名。 DDoSer攻击程序类似于木马软件的服务器端程序,程序运行后不会显示任何界面, 看上去像没反应一样, 其实它已经将自己复制到系统里面了,并且每次开机将自动运行, 此时可以将考过去的安装程序删除。它运行时唯一会做的是不断的对事先设定好的目标进行攻击。DDoSer使用的攻击手段是SYN Flood方式。1) 、打开 DDoS 攻击者生成器,将目标主机设置为域名为 418-03-8 的主机,通过端口 80 即 HTTP端口攻击,生成器主界面如下:名师资料总结 - -
33、-精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 23 页,共 36 页 - - - - - - - - - 【难题一:在生成前要先进行必要的设置,其中:“目标主机的域名或IP地址” :这里建议使用域名, 因为 IP 地址是经常变换的, 而域名是不会变的。“端口” :就是要攻击的端口,这里指的是TCP端口,因为本软件只能攻击基于TCP的服务。80 就是攻击 HTTP 服务,21 就是攻击 FTP服务,25 就是攻击 SMTP 服务,110 就是攻击 POP3 服务等等。“并发连接线程数”:就是同时并发多少个
34、线程去连接这个指定的端口, 当然此值越大对服务器的压力越大,当然占用本机资源也越大,这里我建议使用默认值:10个线程。 “最大 TCP连接数” :当连接上服务器后,如果立即断开这个连接显然不会对服务器造成什么压力,而是先保持这个连接一段时间, 当本机的连接数大于此值时,就会开始断开以前的连接, 从而保证本机与服务器的连接数不会超过此值。同样,此值越大对服务器的压力越大,当然占用本机资源也越大,同样建议使用默认值:1000个连接。 “注册表启动项键名” :就是在注册表里写入的自己的启动项键名,当然是越隐蔽越好。“服务端程序文件名”:就是在 Windows系统目录里自己的文件名, 同样也是越隐蔽越
35、好。“DDoS 攻击者程序保存为”:就是生成的 DDoS 攻击者程序保存在哪里,它的文件名是什么。】2)、点击“生成”按钮,出现界面如下:名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 24 页,共 36 页 - - - - - - - - - 3) 、确定好配置是正确的,点击“是”按钮,出现如下界面: 4) 、DDoS 攻击者程序生成完毕,攻击者开始攻击,此时打开Ethereall抓包软件,选“ Caputer-option”进入下一界面,默认设置直接点确定,软件开始抓包,出现如下
36、界面:【结果分析】此时会看到抓包类型如下图:名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 25 页,共 36 页 - - - - - - - - - 同时,在主机上运行DDoSer.exe 后,418-03-8 这台主机就成了攻击者的代理服务器,主机会自动发送大量的半连接SYN请求,在命令提示符下输入netstat来查看网络状态,如下图:名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - -
37、 - - 第 26 页,共 36 页 - - - - - - - - - 可以看到,主机自动的向目标服务器发起了大量的SYN 请求,这说明主机开始利用 SYN Flood 攻击目标了。通过上面对 DoS/DDoS 攻击原理的研究与几个软件的使用可知,如果发现本地计算机的网络通信量突然急剧增加,超过平常的极限值, 就要提高警惕, 检测是否遭受 DoS/DDoS 的攻击。四、分析与结论对于 DDoS 攻击的防范包括:对于Smurf 类型 DDoS 攻击的防范,对于 SYN类型 DDoS 攻击的防范。通过翻看书本,查阅资料,回忆上课内容,对DoS攻击以及 DDoS攻击的攻击原理有了一定的把握,能够比
38、较清楚的对其工作原理进行描述,了解其攻击工作机制;对TCP/IP 协议下的网络安全形势有了一定了解。而对于 DDoS 攻击的防范也进行了一些了解, 能做到自己不会成为被控制的傀儡机,保护自己所在局域网不会有人发起Smurf 攻击, 以及如果作为网络管理员该如何应对 DDoS 攻击。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 27 页,共 36 页 - - - - - - - - - 任务三木马的攻击与防范一、实验目的通过对木马的练习,使读者理解和掌握木马传播和运行的机制;通过手动
39、删除木马,掌握检查木马和删除木马的技巧,学会防御木马的相关知识, 加深对木马的安全防范意识。二、实验原理一般木马都采用 c/s 运行模式,原理是,木马服务器程序在主机目标上执行后,一般会打开一个默认端口进行监听,当客户端主动提出链接请求, 服务器的木马就会自动运行,来应答客服端的请求,从而建立连接。三、过程与步骤及结果 (实验是后面别处做的,所以可能IP 不一样)1、攻击 1 ) 、把冰河木马植入虚拟机, 并运行。入侵目标主机, 首先运行 G_Client.exe ,扫描主机。从上图可以看出,搜索结果中,每个IP 前都是 ERR 。地址前面的“ ERR : ”表示这台计算机无法控制。所以,为了
40、能够控制该计算机,我们就必须要让其感染冰河木马。2)、远程连接:使用Dos命令, net use ipipc$, 如下图所示:名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 28 页,共 36 页 - - - - - - - - - 3)、磁盘映射:本实验将目标主机的C盘映射为本地主机上的X盘,如下图所示:名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 29 页,共 36
41、页 - - - - - - - - - 将本地主机上的G_Server.exe 拷贝到目标主机的磁盘中,并使其自动运行。如下图所示:上图中,目标主机的C盘中没有 G_Server.exe 程序存在。4) 、此时,目标主机的C盘中已存在冰河的G_Server.exe 程序,使用 Dos命令添加启动事件,如下图所示:名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 30 页,共 36 页 - - - - - - - - - 首先,获取目标主机上的系统时间,然后根据该时间设置启动事件。此时,
42、在目标主机的Dos界面下,使用 at 命令,可看到 : 下图为设定事件到达之前(即G_Server.exe 执行之前)的注册表信息,可以看到在注册表下的:HKEY_LOCAL_MACHINESofwareWindowsCurrentVersionRun ,其默认值并无任何值。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 31 页,共 36 页 - - - - - - - - - 当目标主机的系统时间到达设定时间之后,G_Server.exe程序自动启动,且无任何提示。从上图可以看到
43、,HKEY_LOCAL_MACHINESofwareMicrosoftWindowsCurrentVersionRun的 默认值发生了改变。变成了: C:WINDOWSSYSTEMKenel32.exe这就说明冰河木马安装成功,拥有G_Client.exe的计算机都可以对此计算机进行控制了。此时,再次使用 G_Client.exe搜索计算机,可得结果如下图所示:从搜索结果可以看到, 我们刚安装了冰河木马的计算机的IP 地址前变成了“OK ” ,而不是之前的“ ERR ” 。下面对该计算机进行连接控制:名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - -
44、- - - - - 名师精心整理 - - - - - - - 第 32 页,共 36 页 - - - - - - - - - 难题一:上图显示,连接失败了,为什么呢?因为冰河木马是访问口令的,且不同的版本的访问口令不尽相同,本实验中,我们使用的是冰河V2.2 版,其访问口令是 05181977,当我们在访问口令一栏输入该口令(或右击“文件管理器”中的该 IP, “修改口令”) ,并点击应用,即可连接成功。连接成功了,我们就可以在“命令控制台”下对该计算机进行相关的控制操作了。2、防范与清除冰河当冰河的 G_SErver.exe 这个服务端程序在计算机上运行时,它不会有任何提 示 , 而 是 在
45、windows/system下 建 立 应 用 程 序 “ kernel32.exe” 和“Sysexplr.exe ” 。若试图手工删除,“Sysexplr.exe ”可以删除,但是删除“kernel32.exe ”时提示“无法删除 kernel32.exe:指定文件正在被 windows 使用” ,按下“Ctrl+Alt+Del”时也不可能找到“ kernel32.exe ” ,先不管它,重新启动系统,一查找,“Sysexplr.exe ”一定会又出来的。可以在纯DOS 模式下手工删除掉这两个文件。再次重新启动,你猜发生了什么?再也进不去Windows系统了。重装系统后,再次运行G_Ser
46、ver.exe 这个服务端程序,在“开始”“运行”中输入“regedit”打开注册表,在HKEY_LOCAL_MACHINESoftwareMicrosoftWindows CurrentVersionRun下面发现=C:WINDOWSSYSTEMKernel32.exe 的存在,说明它是每次启动自动执行的。下图为卸载冰河木马前的注册表信息:名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 33 页,共 36 页 - - - - - - - - - 卸载清除:1、远程把被攻击者机器上的
47、冰河木马卸载掉。步骤如下图:2、木马删除。步骤如下:名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 34 页,共 36 页 - - - - - - - - - 下图为清除冰河木马之后的注册表信息:名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 35 页,共 36 页 - - - - - - - - - 四、总结分析(包括问题和解决方法、心得体会、应用网络安全原理对实验中的现
48、象与问题进行解释等)对于计算机木马的概念,我们都还局限在很窄的层面,通过对冰河木马的学习并使用它完成本次实验, 认识到木马是怎样侵入到我们的计算机并获得所需要的信息的。本次实验,我们是利用 IPC$漏洞进行攻击的。 不过,事实上,仅仅使用 IPC$漏洞扫描器并不太容易找到存在漏洞可供植入病毒的主机,通过其他途径(下载运行隐藏病毒文件)更容易使远程主机中木马病毒。对木马病毒的防护建议:1、及时下载系统补丁,修补系统漏洞。2、提高防范意识,不要打开陌生人的可以邮件和附件,其中可能隐藏病毒。3、如果电脑出现无故重启、桌面异常、速度变慢等情况,注意检查是否已中病毒。4、使用杀毒软件和防火墙,配置好运行
49、规则。参考文献:1网络技术 M. 北京:高等教育出版社, 2004:58-64 2罗跃川 .计算机网络技术及应用 M. 北京:航空工业出版社,2001:34-63 3天极网 .拒绝服务攻击完全解析 EB/OL. 4郑彬.黑客攻防与入门进阶 .第 1 版 北京/清华大学出版社,2010年。5刘建伟、张卫东安全网络实验教程第 1 版北京 清华大学出版社,2007年。6崔宝江,周亚建等信息安全试验指导第一版北京国防工业出版社 2005年名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 36 页,共 36 页 - - - - - - - - -