《网络安全实验教程(完整版).ppt》由会员分享,可在线阅读,更多相关《网络安全实验教程(完整版).ppt(216页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、网络安全实验教程(完整版)Still waters run deep.流静水深流静水深,人静心深人静心深 Where there is life,there is hope。有生命必有希望。有生命必有希望目录目录v一.实验目的v二.实验原理v三.实验环境v四.实验内容v五.实验报告要求一一.实验目的实验目的v一.实验目的通过对通过对whois和和Google Hack的使用,使读者的使用,使读者理解和掌握利用网络搜索敏感信息;通过学习理解和掌握利用网络搜索敏感信息;通过学习DNS服务攻击原理的了解,更深刻的理解服务攻击原理的了解,更深刻的理解DNS服务攻击和防护。服务攻击和防护。二二.实验原理
2、实验原理vWhoisWhois是是Internet上提供的一种查找个人电话上提供的一种查找个人电话号码号码,E-mail信箱、常用的邮箱、相关域名等信信箱、常用的邮箱、相关域名等信息的一种服务息的一种服务 二二.实验原理实验原理vGoogle Hack随着搜索引擎的不断发展,利用搜索引擎可以随着搜索引擎的不断发展,利用搜索引擎可以轻松查到各种信息。但是过于强大的搜索机器轻松查到各种信息。但是过于强大的搜索机器人有时会把保密信息也提交给数据库保存,从人有时会把保密信息也提交给数据库保存,从而暴露个人秘密信息。而暴露个人秘密信息。Google Hack就是一个就是一个搜索敏感信息的工具。例如利用一
3、些简单的语搜索敏感信息的工具。例如利用一些简单的语法就能搜索到一些重要的密码文件。法就能搜索到一些重要的密码文件。二二.实验原理实验原理vDNS服务攻击原理DNS(Domain Name System)即域名系统,)即域名系统,是一种分布式的、层次型的、客户机是一种分布式的、层次型的、客户机/服务器式服务器式的数据库管理系统。它实现了将域名翻译为的数据库管理系统。它实现了将域名翻译为IP地址的功能。地址的功能。域名解析需要专门的域名解析服务器来进行,域名解析需要专门的域名解析服务器来进行,整个过程是通过整个过程是通过DNS系统自动完成的。系统自动完成的。二二.实验原理实验原理域名解析的工作原理
4、及其步骤是:域名解析的工作原理及其步骤是:第一步:用户提出域名解析请求,并将该域名发送给本地的DNS域名服务器。第二步:当本地的DNS域名服务器收到请求后,就先查询本地的缓存,如果有该域名对应的IP地址,则本地的DNS域名服务器就直接把查询的结果返回给用户。第三步:如果本地的缓存中没有该纪录,则本地DNS域名服务器就直接把请求发给根DNS域名服务器,然后根DNS域名服务器再返回给本地DNS域名服务器一个所查询域(根的子域,如CN)的主域名服务器的IP地址。二二.实验原理实验原理第四步:本地服务器再向上一步骤中所返回的主域名DNS服务器发送请求,收到该请求的主域名DNS服务器查询其缓存,返回与此
5、请求所对应的记录或相关的下级域名服务器IP地址。本地域名服务器将返回的结果保存到缓存。第五步:重复第四步,直到找到正确的纪录。第六步:本地域名服务器把返回的结果保存到缓存,以备下一次使用,同时还将结果返回给客户机。二二.实验原理实验原理vDNS服务攻击的基本原理在域名解析过程中,如果提交给某个域名服务在域名解析过程中,如果提交给某个域名服务器的域名解析请求数据包被截获,然后将一个器的域名解析请求数据包被截获,然后将一个虚假的虚假的IP地址作为应答信息返回给请求者。这地址作为应答信息返回给请求者。这时,用户就会连接这个假的时,用户就会连接这个假的IP地址,从而使用地址,从而使用户被欺骗。户被欺骗
6、。三三.实验环境实验环境v三.实验环境局域网内的两台运行局域网内的两台运行windows 2000/XP的计算的计算机,通过网络连接并且可以上机,通过网络连接并且可以上Internet。四四.实验内容实验内容v(1)为了加深对whois域名查询服务的了解,自己找一些域名进行查询。可以访问可以访问http:/ 四四.实验内容实验内容v(2)Google Hack的具体应用可以利用可以利用“index of”来查找开放目录浏览的站来查找开放目录浏览的站点点可以用可以用Google来搜索一些具有缺陷的站点来搜索一些具有缺陷的站点 利用利用allintitle:“index of/admin”(不包(
7、不包括括号)会列出所有开放括括号)会列出所有开放“admin”目录浏览目录浏览权限的权限的WEB站点链接列表站点链接列表 四四.实验内容实验内容v(3)DNS服务攻击200.20.20.100上的上的DNS请求者向请求者向DNS服务器服务器200.20.20.1发来请求,要求查发来请求,要求查域名所对应的域名所对应的IP地址。此时,地址。此时,DNS的攻击者就的攻击者就要伪造要伪造DNS服务器的响应数据包,响应给服务器的响应数据包,响应给DNS请求者一个假的请求者一个假的IP地址。地址。五五.实验报告要求实验报告要求(1)通过)通过whois域名查询网站,输入相关域名域名查询网站,输入相关域名
8、或者或者IP,记录并分析,记录并分析whois域名查询的结果,域名查询的结果,提交实验报告。提交实验报告。(2)通过学习原理,了解了)通过学习原理,了解了Google Hack的的使用方法,同时采用使用方法,同时采用Google Hack技术查询某技术查询某些感兴趣的结果,进行截图纪录,提交报告。些感兴趣的结果,进行截图纪录,提交报告。(3)学习了)学习了DNS攻击的原理后,编程实现实攻击的原理后,编程实现实验内容中的第(验内容中的第(3)部分)部分DNS欺骗攻击,并找欺骗攻击,并找出防范出防范DNS攻击的方法,提交实验报告。攻击的方法,提交实验报告。实验实验1-2 1-2 网络服务和端口的扫
9、描网络服务和端口的扫描目录目录v一.实验目的v二.实验原理v三.实验环境v四.实验内容v五.实验报告要求一一.实验目的实验目的v通过ping等命令了解目标主机的可访问性。v通过使用网络扫描软件,了解目标主机端口和服务的开放情况,从而进一步获取系统信息,找出系统安全漏洞。v通过本次实验,读者可以了解到端口与服务开放的风险,增强在网络安全防护方面的意识。二二.实验原理实验原理v二.实验原理常用扫描探测命令:常用扫描探测命令:ping、tracert扫描工具:扫描工具:Superscan和和Nmap二二.实验原理实验原理v1.Ping以及tracert pingping命令首先会构建一个固定格式的I
10、CMP请求数据包echo request,发给远端计算机 远端计算机收到后,构造一个ICMP应答包echo reply,发送回本机。本机收到应答包后,即可判断出目的主机是否开机,并根据发送包和应答包携带的时间信息计算出网络延迟。二二.实验原理实验原理v1.Ping以及tracert tracert源主机将构造并向目标主机发送不同TTL值的ICMP请求数据包,tracert诊断程序根据ICMP的回应数据包来确定到目标所采取的路由。Tracert程序首先发送 TTL 为1的请求数据包,该包经过第一个路由设备后TTL减1为0,第一个路由设备就将给源主机发回“ICMP已超时”的消息源主机的tracer
11、t命令通过该消息中的IP信息就获得了第一个路由设备的IP在随后的每次发送过程将TTL依次递增1,直到目标响应或TTL达到最大值,从而确定从源主机到目的主机中间的路由。二二.实验原理实验原理v2 端口扫描的原理扫描的过程就是向扫描的过程就是向目标主机的端口发送请求数目标主机的端口发送请求数据包,希望建立据包,希望建立“连接连接”,根据目标主机的回,根据目标主机的回应判断其端口是否开放。应判断其端口是否开放。通过扫描判断目标主机端口是否打开的一个最通过扫描判断目标主机端口是否打开的一个最简单的方法,是利用简单的方法,是利用TCP协议的三次握手机制。协议的三次握手机制。只要和目标主机的端口能建立只要
12、和目标主机的端口能建立TCP的三次握手,的三次握手,说明目标主机的端口是开的,反之则没有打开。说明目标主机的端口是开的,反之则没有打开。二二.实验原理实验原理v2 端口扫描的原理三次握手三次握手二二.实验原理实验原理第一次握手:第一次握手:主机A的某个端口向主机B的某个端口发出TCP连接请求数据包,其TCP包头的标志位设置为SYN=1,ACK=0,同时选择一个序号x,表明在后面传送数据时的第一个数据字节的序号是x,这个过程称为第一次握手。第二次握手:第二次握手:主机B的相应端口收到连接请求数据包后,如端口是开放的,则发回确认数据包。在确认数据包中,TCP包头的标志位设置为SYN=1,ACK=1
13、,确认序号为x+1,同时B主机也会生成一个自己的序号y,这个过程称为第二次握手。第三次握手:第三次握手:主机A收到此数据包后,还要向B给出确认数据包,其TCP包头的标志位设置为ACK=1,其确认序号为y+1,这个过程称为第三次握手。二二.实验原理实验原理v3 扫描分类1)全)全TCP连接连接这种扫描方法使用三次握手,与目标计算机建立标准的TCP连接。攻击者首先向目的端口发送一个SYN数据包,如果收到来自该端口的SYN/ACK数据包,就可以判定该端口是开放的;然后攻击者再发送一个ACK数据包(参见图1-2-1)。如果目标端口是关闭的,攻击者就会收到一个直接返回的RST/ACK数据包 二二.实验原
14、理实验原理2)半打开式扫描()半打开式扫描(SYN扫描)扫描)在这种扫描技术中,扫描主机同样向目标计算机的指定端口发送SYN数据包,表示希望建立连接。a当端口开放时,目标计算机回应当端口开放时,目标计算机回应SYN/ACK数据包,这数据包,这和全和全TCP连接扫描类似。但是扫描主机接着发送一个连接扫描类似。但是扫描主机接着发送一个RST=1的数据包的数据包给目标主机,给目标主机,RST数据包将对数据包将对TCP连接进连接进行重置,目标计算机因为没有接到相应行重置,目标计算机因为没有接到相应ACK数据包,从而数据包,从而不会建立三次握手。不会建立三次握手。b如果端口是关闭的,则按照如果端口是关闭
15、的,则按照TCP协议中端口未开规则协议中端口未开规则处理,由目标主机发送处理,由目标主机发送RST/ACK数据包给扫描主机,此数据包给扫描主机,此时时TCP连接依然没有建立。连接依然没有建立。扫描主机根据目标计算机的回应数据包是SYN/ACK数据包,还是RST/ACK数据包即可判断端口是否打开。二二.实验原理实验原理3)秘密扫描)秘密扫描这种方法的优点在于没有涉及TCP连接的部分,所以比前2种都要安全,所以也被称做秘密扫描;缺点就是不够准确,不能完全识别开放的端口。FIN标记扫描攻击者攻击者发送一个发送一个FIN=1FIN=1的的TCPTCP报文到目标主机:报文到目标主机:端口关闭时,该报文会
16、被丢掉,并返回一个端口关闭时,该报文会被丢掉,并返回一个RSTRST报文。报文。端口开放时,该报文只是简单的丢掉,不会返端口开放时,该报文只是简单的丢掉,不会返回任何回应。回任何回应。三三.实验环境实验环境v三.实验环境两台运行两台运行windows 2000/XP/2003的计算机,的计算机,通过网络连接。使用通过网络连接。使用Superscan和和nmap作为作为练习工具。练习工具。四四.实验内容实验内容v1 Ping以及Tracert 四四.实验内容实验内容v1 Ping以及Tracert 四四.实验内容实验内容2 使用使用Superscan进行扫描进行扫描 填写目标IP点击箭头目 标
17、主机列表点 击 开 始扫描四四.实验内容实验内容2 使用使用Superscan进行扫描进行扫描 选择Data+ICMP选择直接连接目标UDP端口目标TCP端口四四.实验内容实验内容2 使用使用Superscan进行扫描进行扫描 简单结果日志查看详细结果四四.实验内容实验内容3 Nmap Nmap命令格式一般为:Nmap Scan Type(s)Options 比如要扫描一个IP地址为192.168.1.250,使用的命令为:nmap sP PI 192.168.1.250 四四.实验内容实验内容3 Nmap 四四.实验内容实验内容4 网络扫描的防范网络扫描的防范 配置软件或者硬件防火墙,就能有
18、效防范外网的网络扫描。配置NAT服务器,可有效隐藏内网的主机信息,防范对内网的扫描五五.实验报告要求实验报告要求(1)熟悉使用熟悉使用ping和和tracert,设置不同参数进行实验,设置不同参数进行实验并记录结果。并记录结果。(2)安装安装Superscan,并对另一台主机进行扫描,记录,并对另一台主机进行扫描,记录扫描步骤和结果。扫描步骤和结果。(3)安装安装Nmap,熟悉其命令行操作,扫描主机的,熟悉其命令行操作,扫描主机的TCP端口、端口、UDP端口以及其操作系统和支持的服务,记录端口以及其操作系统和支持的服务,记录扫描步骤和结果。扫描步骤和结果。(4)使用使用Windows自带的安全
19、工具或安装防火墙尝试自带的安全工具或安装防火墙尝试关闭某个指定端口(如关闭某个指定端口(如139、21、23、3389等端口),等端口),以防止端口扫描,查看扫描结果,记录步骤和结果。以防止端口扫描,查看扫描结果,记录步骤和结果。实验实验1-3 1-3 综合漏洞扫描和探测综合漏洞扫描和探测目录目录v一.实验目的v二.实验原理v三.实验环境v四.实验内容v五.实验报告要求一一.实验目的实验目的v一.实验目的通过使用综合漏洞扫描工具,扫描系统的漏洞通过使用综合漏洞扫描工具,扫描系统的漏洞并给出安全性评估报告,加深对各种网络和系并给出安全性评估报告,加深对各种网络和系统漏洞的理解。统漏洞的理解。二二
20、.实验原理实验原理v二.实验原理综合漏洞扫描和探测工具是一种自动检测系统综合漏洞扫描和探测工具是一种自动检测系统和网络安全性弱点的工具。和网络安全性弱点的工具。扫描时扫描器向目标主机发送包含某一漏洞项扫描时扫描器向目标主机发送包含某一漏洞项特征码的数据包,观察主机的响应,如果响应特征码的数据包,观察主机的响应,如果响应和安全漏洞库中漏洞的特征匹配,则判断漏洞和安全漏洞库中漏洞的特征匹配,则判断漏洞存在。最后,根据检测结果向使用者提供一份存在。最后,根据检测结果向使用者提供一份详尽的安全性分析报告。详尽的安全性分析报告。三三.实验环境实验环境v三.实验环境两台运行两台运行windows 2000
21、/XP的计算机,通过网的计算机,通过网络连接。其中一台安装络连接。其中一台安装Nessus 3.0版版四四.实验内容实验内容v四.实验内容本节实验以本节实验以Nessus为例,介绍综合漏洞扫描为例,介绍综合漏洞扫描和探测工具。和探测工具。四四.实验内容实验内容v四.实验内容格式范例地址簿文件导入填写主机四四.实验内容实验内容v四.实验内容四四.实验内容实验内容v四.实验内容四四.实验内容实验内容v四.实验内容四四.实验内容实验内容v四.实验内容四四.实验内容实验内容v四.实验内容大部分大部分Windows操作系统都存在该漏洞。它是操作系统都存在该漏洞。它是由于由于Microsoft SMB中存
22、在远程缓冲区溢出漏中存在远程缓冲区溢出漏洞引起的,当用于验证某些入站的畸形洞引起的,当用于验证某些入站的畸形SMB报报文时存在问题时,盲目信任客户端提交的数据,文时存在问题时,盲目信任客户端提交的数据,并使用那些数据执行内存拷贝相关的操作,入并使用那些数据执行内存拷贝相关的操作,入侵者就可以利用这个漏洞对服务器进行拒绝服侵者就可以利用这个漏洞对服务器进行拒绝服务攻击或执行任意指令。务攻击或执行任意指令。微软针对该漏洞已经发布了最新的补丁,可以微软针对该漏洞已经发布了最新的补丁,可以去相关网站下载,或者关闭去相关网站下载,或者关闭445端口。端口。五五.实验报告要求实验报告要求(1)安装并使用安
23、装并使用nessus进行扫描并查看扫描结进行扫描并查看扫描结果,了解各种漏洞的原理和可能造成的危害,果,了解各种漏洞的原理和可能造成的危害,根据提示下载相关补丁,修补后再次扫描,对根据提示下载相关补丁,修补后再次扫描,对比扫描结果并提交报告。比扫描结果并提交报告。(2)安装或启动一款防火墙,关闭扫描结果中安装或启动一款防火墙,关闭扫描结果中相关端口后再次进行扫描,对比结果并提交报相关端口后再次进行扫描,对比结果并提交报告。告。实验实验1-4 1-4 协议分析和网络嗅探协议分析和网络嗅探目录目录v一.实验目的v二.实验原理v三.实验环境v四.实验内容v五.实验报告要求一一.实验目的实验目的v一.
24、实验目的理解理解TCP/IP协议中多种协议的数据结构、会话协议中多种协议的数据结构、会话连接建立和终止的过程、连接建立和终止的过程、TCP序列号、应答序序列号、应答序号的变化规律。号的变化规律。通过实验了解通过实验了解FTP、HTTP等协议明文传输的特等协议明文传输的特性,以建立安全意识,防止性,以建立安全意识,防止FTP、HTTP等协议等协议由于传输明文密码造成的泄密。由于传输明文密码造成的泄密。二二.实验原理实验原理v二.实验原理1 网络嗅探的原理网络嗅探的原理Sniffer即网络嗅探器,是一种威胁性极大的被动检测攻击工具。使用这种工具,可以监视网络的状态、数据流动情况以及网络上传输的信息
25、。当信息以明文的形式在网络上传输时,便可以使用网络监听的方式来进行嗅探攻击。将网络接口设置在监听模式,便可以将网上传输的信息截获。黑客黑客常常用它来截获用户的常常用它来截获用户的口令口令管理员则可以使用管理员则可以使用Sniffer分析网络性能和故障分析网络性能和故障二二.实验原理实验原理v二.实验原理2 网络嗅探的防范网络嗅探的防范如何有效发现并防范Sniffer工具的监控和嗅探呢。首先,检查网络中是否存在下述情况,其原因可能就是网络中有Sniffer工具正在运行。一是一是网络丢包率非常高。网络丢包率非常高。二是网络带宽出现反常现象。二是网络带宽出现反常现象。二二.实验原理实验原理v二.实验
26、原理Sniffer嗅探的防范通过使用加密软硬件设备,实现对传输数据的加通过使用加密软硬件设备,实现对传输数据的加密,从而保护传输数据的安全性密,从而保护传输数据的安全性VPN、SSL、SSH等加密手段可有效防范sniffer的嗅探。利用网络设备的物理或者逻辑隔离的手段,可以利用网络设备的物理或者逻辑隔离的手段,可以避免信息的泄密避免信息的泄密利用交换机的VLAN功能,实现VLAN间的逻辑隔离,三三.实验环境实验环境v三.实验环境两台运行两台运行windows 2000/XP的计算机,通过的计算机,通过HUB相连组成局域网,其中一台安装相连组成局域网,其中一台安装Sniffer Pro软件。软件
27、。四四.实验内容实验内容v1 sniffer的使用 sniffer主界面四四.实验内容实验内容v1 sniffer的使用Host Table中按照IP显示流量信息 四四.实验内容实验内容v1 sniffer的使用Traffic Map 四四.实验内容实验内容v2 FTP口令的嗅探过程 四四.实验内容实验内容v2 FTP口令的嗅探过程TCP三次握手用户名密码报文解码捕获的报文十六进制内容四四.实验内容实验内容v3 HTTP口令的嗅探过程 四四.实验内容实验内容v3 HTTP口令的嗅探过程五五.实验报告要求实验报告要求(1)将两台主机连接在一个将两台主机连接在一个HUB上,其中一台上,其中一台主机
28、使用主机使用Telnet登录另一台主机,在任一台主登录另一台主机,在任一台主机上按照机上按照sniffer网络嗅探工具进行登录口令嗅网络嗅探工具进行登录口令嗅探,把口令嗅探步骤以及嗅探到的重要信息进探,把口令嗅探步骤以及嗅探到的重要信息进行记录。行记录。(2)在在HTTP协议的实验中获取的数据过于庞大,协议的实验中获取的数据过于庞大,不利于分析,可以对不利于分析,可以对Define Filter中的中的Data Pattern进行设置来获取更准确的数据包,请自进行设置来获取更准确的数据包,请自己查看帮助或查找资料进行相应设置,只捕获己查看帮助或查找资料进行相应设置,只捕获含有用户名或口令等关键
29、字的数据包,记录相含有用户名或口令等关键字的数据包,记录相关步骤和结果。关步骤和结果。实验实验2 21 1 诱骗性攻击诱骗性攻击目录目录v一.实验目的v二.实验原理v三.实验环境v四.实验内容v五.实验报告要求一一.实验目的实验目的v一.实验目的本实验介绍了目前主要的网络诱骗手段和原理,本实验介绍了目前主要的网络诱骗手段和原理,了解网络诱骗攻击的常用方法,从而使读者提了解网络诱骗攻击的常用方法,从而使读者提高对网络诱骗攻击的防范意识。高对网络诱骗攻击的防范意识。二二.实验原理实验原理v二.实验原理1诱骗性攻击原理诱骗性攻击原理所谓诱骗性攻击,是指通过伪造的或合成的具有较高迷惑性的信息,诱发被攻
30、击者主动触发恶意代码,或者骗取被攻击者的敏感信息,实现入侵系统或获取敏感信息的目的。二二.实验原理实验原理v二.实验原理2诱骗性攻击分类诱骗性攻击分类第一类是被称作“网络钓鱼”的攻击形式。第二类则通过直接的交流完成诱骗攻击过程。第三类是通过网站挂马完成诱骗攻击。二二.实验原理实验原理v二.实验原理网站挂马的主要技术手段有以下几种:网站挂马的主要技术手段有以下几种:1)框架挂马 框架挂马主要是在网页代码中加入隐蔽的框架,框架挂马主要是在网页代码中加入隐蔽的框架,并能够通过该框架运行远程木马。如果用户没有并能够通过该框架运行远程木马。如果用户没有打上该木马所利用系统漏洞的补丁,那么该木马打上该木马
31、所利用系统漏洞的补丁,那么该木马将下载安装到用户的系统中。将下载安装到用户的系统中。二二.实验原理实验原理v二.实验原理框架挂马主要有以下几种形式:框架挂马主要有以下几种形式:直接加载框架代码:就是将上述的框架的代码直接加入到网站的页面中。js文件挂马:将框架代码写入javascript(js)文件中 js加密挂马:在js文件挂马的基础上,对远程的js代码进行了js编码,起到一定的隐蔽作用,但是该方法只对IE浏览器有效.框架嵌套挂马:通过在框架中多层次的嵌套框架代码,最终将框架远程执行的地址目标指向木马所在地址,这种挂马方式的隐蔽性更高。二二.实验原理实验原理v二.实验原理2)body挂马通过
32、通过Html文件的文件的body标记进行挂马。木马的运标记进行挂马。木马的运行仍然是通过对远程木马的调用。行仍然是通过对远程木马的调用。在body中直接加入远程代码。b)隐蔽挂马c)资源挂马二二.实验原理实验原理v二.实验原理3)伪装挂马所谓伪装挂马,就是在某些特定的位置嵌入木所谓伪装挂马,就是在某些特定的位置嵌入木马的运行代码。马的运行代码。图片伪装:在图片打开之前,执行了一个写有木马地址的框架。调用伪装:调用某个链接之后,又运行了一个框架,打开了框架内包含的“木马地址”。c)欺骗伪装:页面中伪装加载某个广泛使用的可信网址的地址链接,但点击后,实际上连接到的却是一个载有木马的网页。二二.实验
33、原理实验原理v二.实验原理3诱骗性攻击案例诱骗性攻击案例案例一:利用邮件的“网络钓鱼”某人的个人邮箱收到了自称是某人的个人邮箱收到了自称是“中国工商银行中国工商银行的安全警报的安全警报”的邮件,邮件中通知他由于他的的邮件,邮件中通知他由于他的账号在网上银行登陆输入错误密码次数过多,账号在网上银行登陆输入错误密码次数过多,可能账号和密码被不法分子盗用,故临时冻结可能账号和密码被不法分子盗用,故临时冻结他的账户,要他尽快点击他的账户,要他尽快点击,登陆中国工商银行金,登陆中国工商银行金融融E通道修改密码。通道修改密码。二二.实验原理实验原理v二.实验原理案例二:直接交流的诱骗攻击14:20:47
34、客户服务:尊敬的用户客户服务:尊敬的用户,您好您好:现特现特举行幸运用户的评选活动举行幸运用户的评选活动,经过随机抽选经过随机抽选,您的您的游戏账户已经被选中为幸运用户号码游戏账户已经被选中为幸运用户号码.恭喜您恭喜您!您可以获得本公司送出的奖品您可以获得本公司送出的奖品.请您接收到此消请您接收到此消息后联系客服工作人员的息后联系客服工作人员的QQ:422801957联系联系领取您所获得的奖品。领取您所获得的奖品。三三.实验环境实验环境v三.实验环境两台运行两台运行windows 2000/XP/2003/vista的计算的计算机,通过网络连接。使用机,通过网络连接。使用QQ作为即时聊天工作为
35、即时聊天工具,具,“默默默默QQ大盗大盗”作为木马程序,用作为木马程序,用“免免杀捆绑工具杀捆绑工具”将木马与一般文件进行捆绑。将木马与一般文件进行捆绑。四四.实验内容实验内容v四.实验内容1 木马的欺骗功能木马的欺骗功能 四四.实验内容实验内容v四.实验内容2“免杀捆绑工具免杀捆绑工具”的使用的使用 四四.实验内容实验内容v四.实验内容3木马的清理木马的清理 QQ木马采用的是线程注入技术,在explorer.exe和svchost.exe两个进程中注入线程,起到守护进程的双保险作用。木马程序是位于C:WINDOWSsystem32目录下SysYH.bak的文件。该木马的启动项被设置在了注册表
36、的HKEY_CLASSES_ROOTCLSID91B1E846-2BEF-4345-8848-7699C7C9935FInProcServer32目录的“默认”键下,该键值被设置成了“C:WINDOWSsystem32SysYH.bak”,实现了开机的自动启动。四四.实验内容实验内容v四.实验内容3木马的清理木马的清理五五.实验报告要求实验报告要求了解并收集常见的欺骗性攻击手段,并整理成了解并收集常见的欺骗性攻击手段,并整理成实验报告,提高对欺骗性攻击的防范意识。实验报告,提高对欺骗性攻击的防范意识。网络安全实验教程网络安全实验教程实验实验2-22-2目录目录v一.实验目的v二.实验原理v三.
37、实验环境v四.实验内容v五.实验报告要求一一.实验目的实验目的v一.实验目的通过本实验对通过本实验对DoS/DDoS攻击的深入介绍和实攻击的深入介绍和实验操作,了解验操作,了解DoS/DDoS攻击的原理和危害,攻击的原理和危害,并且具体掌握利用并且具体掌握利用TCP、UDP、ICMP等协议等协议的的DoS/DDoS攻击原理。了解针对攻击原理。了解针对DoS/DDoS攻击的防范措施和手段。攻击的防范措施和手段。二二.实验原理实验原理v二.实验原理拒绝服务攻击是一种很有效的攻击技术,通过拒绝服务攻击是一种很有效的攻击技术,通过协议的安全缺陷或者系统安全漏洞,对目标主协议的安全缺陷或者系统安全漏洞,
38、对目标主机进行网络攻击,最终使其资源耗尽而无法响机进行网络攻击,最终使其资源耗尽而无法响应正常的服务请求,即对外表现为拒绝提供服应正常的服务请求,即对外表现为拒绝提供服务。务。二二.实验原理实验原理v二.实验原理v1 DoS攻击DoS是拒绝服务(是拒绝服务(Denial of Service)的简称。)的简称。这种攻击行为的攻击对象是目标主机,目的就这种攻击行为的攻击对象是目标主机,目的就是使目标主机的资源耗尽使其无法提供正常对是使目标主机的资源耗尽使其无法提供正常对外服务。外服务。二二.实验原理实验原理v二.实验原理DoS攻击通过两种方式实现攻击通过两种方式实现一种方式是利用目标主机存在的网
39、络协议或者操作系统漏洞另一种方式就是发送大量的数据包,耗尽目标主机的网络和系统资源 二二.实验原理实验原理v二.实验原理DoS攻击按照攻击所使用的网络协议来划分,攻击按照攻击所使用的网络协议来划分,主要分为以下几类的攻击方式:主要分为以下几类的攻击方式:1)IP层协议ICMP和和IGMP洪水攻击、洪水攻击、smurf攻击攻击2)TCP协议TCP协议本身就具有一定的安全缺陷,协议本身就具有一定的安全缺陷,TCP的三的三次握手过程就存在缺陷。次握手过程就存在缺陷。SYN-Flood攻击和攻击和Land攻击就是利用握手过程,来完成拒绝服务攻击就是利用握手过程,来完成拒绝服务攻击的。攻击的。二二.实验
40、原理实验原理v二.实验原理SYN-Flood攻击攻击SYN-Flood攻击的第一步,是由攻击者向目标主机发出第一次SYN握手请求数据包,但攻击者伪造了此数据包的源IP为不存在或者网络不可达的一个IP。目标主机收到第一次握手的SYN请求后,会自动向客户端回复SYN+ACK的第二次握手,并等待第三次握手返回的响应数据包。因为攻击者伪造的源IP不存在或者网络不可达,所以肯定没有第三次握手的响应数据包,目标主机此时就要“傻”等一段时间之后才丢弃这个未完成的连接,而等待的系统进程或者线程要占用一定的CPU资源和内存资源。当攻击者发出大量伪造的SYN数据包时,目标主机将自动回应大量的第二次握手的数据包,形
41、成大量“半开连接”,消耗非常多的系统资源直至资源耗尽,从而导致对正常用户的“服务请求无法响应”。二二.实验原理实验原理v二.实验原理3)UDP协议针对采用针对采用UDP协议的应用服务器,也可以伪造大协议的应用服务器,也可以伪造大量量UDP请求数据包,请求服务器提供服务从而耗请求数据包,请求服务器提供服务从而耗尽服务器的资源。尽服务器的资源。例如针对DNS服务器的UDP洪水攻击,就是生成大量需要解析的域名,并伪造目标端口为53端口的UDP数据包,发给DNS服务器要求进行域名解析耗尽DNS服务器的资源 二二.实验原理实验原理v二.实验原理4)应用层协议攻击通过发送大量应用层的请求数据包,耗尽应用服
42、通过发送大量应用层的请求数据包,耗尽应用服务器的资源也能造成拒绝服务的效果。务器的资源也能造成拒绝服务的效果。例如利用代理服务器对web服务器发起大量的 HTTP Get请求,如果目标服务器是动态web服务器,大量的HTTP Get请求主要是请求查询动态页面,这些请求会给后台的数据库服务器造成极大负载直至无法正常响应,从而使正常用户的访问也无法进行了。二二.实验原理实验原理v二.实验原理2 DDoS攻击攻击DDoS是分布式拒绝服务(Distribute DoS)攻击的简称。攻击者可将其控制的分布于各地的大量计算机统一协调起来,向目标计算机发起DoS攻击。二二.实验原理实验原理v二.实验原理二二
43、.实验原理实验原理v二.实验原理2 DDoS攻击攻击DDoS攻击由攻击者、主控端(master)、代理端(zombie)3部分组成。攻击者是整个DDoS攻击的发起源头,它在攻击之前已经取得了多台主控端主机的控制权,主控端主机分别控制着代理端主机。二二.实验原理实验原理v二.实验原理3 DoS/DDoS攻击的防御措施攻击的防御措施有效防范DoS/DDoS攻击的关键主要是识别出异常的攻击数据包并过滤掉。1)静态和动态的)静态和动态的DDoS过滤器过滤器2)反欺骗技术)反欺骗技术3)异常识别)异常识别4)协议分析)协议分析5)速率限制)速率限制 二二.实验原理实验原理v二.实验原理3 DoS/DDo
44、S攻击的防御措施攻击的防御措施对于一般用户可以通过下面的技术手段进行综合防范:1)增强系统的安全性)增强系统的安全性2)利用防火墙、路由器等网络和网络安全设备)利用防火墙、路由器等网络和网络安全设备加固网络的安全性,关闭服务器的非开放服务端加固网络的安全性,关闭服务器的非开放服务端口口3)配置专门防范)配置专门防范DoS/DDoS攻击的攻击的DDoS防火防火墙墙4)强化路由器等网络设备的访问控制)强化路由器等网络设备的访问控制5)加强与)加强与ISP的合作,当发现攻击现象时,与的合作,当发现攻击现象时,与ISP协商实施严格的路由访问控制策略,以保护协商实施严格的路由访问控制策略,以保护带宽资源
45、和内部网络。带宽资源和内部网络。三三.实验环境实验环境v三.实验环境多台运行多台运行windows 2000/XP/2003操作系统的操作系统的计算机,通过网络连接。计算机,通过网络连接。四四.实验内容实验内容v四.实验内容1 SYN-Flood攻击攻击 四四.实验内容实验内容v四.实验内容1 SYN-Flood攻击攻击 四四.实验内容实验内容v四.实验内容1 SYN-Flood攻击攻击 四四.实验内容实验内容v四.实验内容2 UDP-Flood攻击攻击 四四.实验内容实验内容v四.实验内容2 UDP-Flood攻击攻击 四四.实验内容实验内容v四.实验内容3 DDoS攻击攻击 四四.实验内容
46、实验内容v四.实验内容4 DDoS防火墙对防火墙对DDoS攻击的防范攻击的防范有条件的机构可以通过部署专用DDoS防火墙防范DoS/DDoS攻击。在被攻击的应用服务器前串联接入DDoS防火墙,或者在内外网之间串联接入DDoS防火墙,可以实现对DDoS攻击的有效防范,保障应用服务器和内网计算机的安全。五五.实验报告要求实验报告要求1)使用一台装有)使用一台装有Super DDoS的主机对另一的主机对另一台主机进行台主机进行DDoS攻击,事先要通过扫描软件攻击,事先要通过扫描软件获取该目标主机的端口开放情况。攻击前,两获取该目标主机的端口开放情况。攻击前,两台主机同时打开任务管理器查看性能变化,同
47、台主机同时打开任务管理器查看性能变化,同时启动时启动Sniffer进行抓包,通过分析两者性能和进行抓包,通过分析两者性能和数据包抓包结果分析攻击的原理。数据包抓包结果分析攻击的原理。2)使用一台装有)使用一台装有DDoS个人版的主机对另一个人版的主机对另一台主机进行台主机进行DDoS攻击。攻击前,两台主机同攻击。攻击前,两台主机同时打开任务管理器查看两台主机性能的变化,时打开任务管理器查看两台主机性能的变化,同时启动同时启动Sniffer进行抓包,通过性能的变化和进行抓包,通过性能的变化和数据包抓包结果分析攻击的原理。数据包抓包结果分析攻击的原理。实验实验2 23 3 欺骗攻击技术欺骗攻击技术
48、ARPARP欺骗欺骗 目录目录v一.实验目的v二.实验原理v三.实验环境v四.实验内容v五.实验报告要求一一.实验目的实验目的v一.实验目的通过本次实验,理解通过本次实验,理解ARP协议的工作原理,了协议的工作原理,了解解ARP欺骗攻击的原理和防范措施,理解两种欺骗攻击的原理和防范措施,理解两种ARP欺骗软件的欺骗过程,及它们分别所造成欺骗软件的欺骗过程,及它们分别所造成的危害。的危害。二二.实验原理实验原理v二.实验原理1 ARP协议协议 ARP协议是地址解析协议(Address Resolution Protocol)的简称。通过ARP协议可进行地址解析来获取目标主机MAC地址。源主机首先
49、在局域网中广播ARP request数据包,询问目标IP地址的MAC地址,其他主机收到此广播包后都不响应,只有IP地址对应的那台目标主机会响应ARP reply数据包,告诉源主机自己的MAC地址。目标主机的MAC地址通过ARP协议获取后,会将IP地址和其MAC地址对应起来保存在源主机的ARP缓存表中 二二.实验原理实验原理v二.实验原理ARP欺骗原理欺骗原理ARP欺骗的原理,就是通过发送欺骗性的ARP数据包,致使接收者收到欺骗性的ARP数据包后,更新其ARP缓存表,从而建立错误的IP与MAC地址的对应关系。ARP欺骗主要分为两种一种是伪装成主机的欺骗一种是伪装成主机的欺骗另一种是伪装成网关的欺
50、骗另一种是伪装成网关的欺骗 二二.实验原理实验原理v二.实验原理伪装成主机的欺骗伪装成主机的欺骗A想要与B进行直接的通信,而C想要窃取A所发给B的内容。这时,C可以向A发送欺骗性的ARP数据包,声称B的MAC地址已经变为CC-CC-CC-CC-CC-CC。这样在A的ARP缓存表中将建立192.168.1.2和CC-CC-CC-CC-CC-CC的IP地址与MAC地址的对应关系。于是A发给B的所有内容将发送至C的网卡。C在收到并阅读了A发给B的内容之后,为了不被通信双方发现,可以将数据内容再发给B。二二.实验原理实验原理v二.实验原理伪装成网关的欺骗伪装成网关的欺骗如果局域网内的主机C中了ARP病