网络安全实验教程(完整版)

单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,单击此处编辑母版标题样式,实验,1-1,互联网信息搜索和,DNS,服务攻击与防范,目录,一,.,实验目的,二,.,实验原理,三,.,实验环境,四,.,实验内容,五,.,实验报告要求,一,.,实验目的,一,.,实验目的,通过对,whois,和,Google Hack,的使用，使读者理解和掌握利用网络搜索敏感信息；通过学习,DNS,服务攻击原理的了解，更深刻的理解,DNS,服务攻击和防护。,二,.,实验原理,Whois,Whois,是,Internet,上提供的一种查找个人电话号码,E-mail,信箱、常用的邮箱、相关域名等信息的一种服务,二,.,实验原理,Google Hack,随着搜索引擎的不断发展，利用搜索引擎可以轻松查到各种信息。但是过于强大的搜索机器人有时会把保密信息也提交给数据库保存，从而暴露个人秘密信息。,Google Hack,就是一个搜索敏感信息的工具。例如利用一些简单的语法就能搜索到一些重要的密码文件。,二,.,实验原理,DNS,服务攻击原理,DNS,（,Domain Name System,）即域名系统，是一种分布式的、层次型的、客户机,/,服务器式的数据库管理系统。它实现了将域名翻译为,IP,地址的功能。,域名解析需要专门的域名解析服务器来进行，整个过程是通过,DNS,系统自动完成的。,二,.,实验原理,域名解析的工作原理及其步骤是：,第一步：用户提出域名解析请求，并将该域名发送给本地的,DNS,域名服务器。,第二步：当本地的,DNS,域名服务器收到请求后，就先查询本地的缓存，如果有该域名对应的,IP,地址，则本地的,DNS,域名服务器就直接把查询的结果返回给用户。,第三步：如果本地的缓存中没有该纪录，则本地,DNS,域名服务器就直接把请求发给根,DNS,域名服务器，然后根,DNS,域名服务器再返回给本地,DNS,域名服务器一个所查询域,(,根的子域，如,CN),的主域名服务器的,IP,地址。,二,.,实验原理,第四步：本地服务器再向上一步骤中所返回的主域名,DNS,服务器发送请求，收到该请求的主域名,DNS,服务器查询其缓存，返回与此请求所对应的记录或相关的下级域名服务器,IP,地址。本地域名服务器将返回的结果保存到缓存。,第五步：重复第四步，直到找到正确的纪录。,第六步：本地域名服务器把返回的结果保存到缓存，以备下一次使用，同时还将结果返回给客户机。,二,.,实验原理,DNS,服务攻击的基本原理,在域名解析过程中，如果提交给某个域名服务器的域名解析请求数据包被截获，然后将一个虚假的,IP,地址作为应答信息返回给请求者。这时，用户就会连接这个假的,IP,地址，从而使用户被欺骗。,三,.,实验环境,三,.,实验环境,局域网内的两台运行,windows 2000/XP,的计算机，通过网络连接并且可以上,Internet,。,四,.,实验内容,（,1,）为了加深对,whois,域名查询服务的了解，自己找一些域名进行查询。,可以访问,http:/,/,，利用,CNNIC,对其,CN,域名信息查询的,WHOIS,服务，来查询某些域名或,IP,的信息,四,.,实验内容,（,2,）,Google Hack,的具体应用,可以利用“,index of”,来查找开放目录浏览的站点,可以用,Google,来搜索一些具有缺陷的站点,利用,allintitle:“index,of /admin”,（不包括括号）会列出所有开放 “,admin”,目录浏览权限的,WEB,站点链接列表,四,.,实验内容,（,3,）,DNS,服务攻击,200.20.20.100,上的,DNS,请求者向,DNS,服务器,200.20.20.1,发来请求，要求查,域名所对应的,IP,地址。此时，,DNS,的攻击者就要伪造,DNS,服务器的响应数据包，响应给,DNS,请求者一个假的,IP,地址。,五,.,实验报告要求,（,1,）通过,whois,域名查询网站，输入相关域名或者,IP,，记录并分析,whois,域名查询的结果，提交实验报告。,（,2,）通过学习原理，了解了,Google Hack,的使用方法，同时采用,Google Hack,技术查询某些感兴趣的结果，进行截图纪录，提交报告。,（,3,）学习了,DNS,攻击的原理后，编程实现实验内容中的第（,3,）部分,DNS,欺骗攻击，并找出防范,DNS,攻击的方法，提交实验报告。,实验,1-2,网络服务和端口的扫描,目录,一,.,实验目的,二,.,实验原理,三,.,实验环境,四,.,实验内容,五,.,实验报告要求,一,.,实验目的,通过,ping,等命令了解目标主机的可访问性。,通过使用网络扫描软件，了解目标主机端口和服务的开放情况，从而进一步获取系统信息，找出系统安全漏洞。,通过本次实验，读者可以了解到端口与服务开放的风险，增强在网络安全防护方面的意识。,二,.,实验原理,二,.,实验原理,常用扫描探测命令：,ping,、,tracert,扫描工具：,Superscan,和,Nmap,二,.,实验原理,1. Ping,以及,tracert,ping,ping,命令首先,会构建一个固定格式的,ICMP,请求数据包,echo request,发给远端计算机,远端计算机收到后，构造,一个,ICMP,应答包,echo reply,，发送,回本机。,本机收到应答包后，即可判断出目的主机是否开机，并根据发送包和应答包携带的时间信息计算出网络延迟。,二,.,实验原理,1. Ping,以及,tracert,tracert,源主机将构造并,向目标,主机,发送不同,TTL,值的,ICMP,请求,数据包，,t,racert,诊断程序,根据,ICMP,的回应数据包来,确定到目标所采取的路由。,T,racert,程序首,先发送,TTL,为,1,的,请求,数据包，,该包经过第一个路由设备后,TTL,减,1,为,0,，第一个路由设备就将给源主机发回,“,ICMP,已超时”,的消息,源主机的,tracert,命令通过该消息中的,IP,信息就获得了第一个路由设备的,IP,在随后的每次发送过程将,TTL,依次,递增,1,，直到目标响应或,TTL,达到最大值，从而确定,从源主机到目的主机中间的,路由。,二,.,实验原理,2,端口扫描的原理,扫描的过程就是向,目标主机的端口,发送请求数据包，希望建立“连接”，根据目标主机的回应判断其端口是否开放。,通过扫描判断目标主机端口是否打开的一个最简单的方法，是利用,TCP,协议的三次握手机制。,只要和目标主机的端口能建立,TCP,的三次握手，说明目标主机的端口是开的，反之则没有打开。,二,.,实验原理,2,端口扫描的原理,三次握手,二,.,实验原理,第一,次握手,：,主机,A,的某个端口,向主机,B,的,某个端口,发出,TCP,连接请求,数据包,，其,TCP,包头,的,标志位设置为,SYN=1,，,ACK=0,，同时选择一个序号,x,，表明在后面传送数据时的第一个数据字节的序号是,x,，这个过程称为第一次握手。,第二次,握手,：,主机,B,的,相应端口,收到连接请求,数据包,后，如,端口是开放的,，则发回确认,数据包,。在确认,数据包,中,，,TCP,包头的标志位设置为,SYN=1,，,ACK=1,，确认序号为,x+1,，同时,B,主机也会生成,一个,自己的,序号,y,，这个过程称为第二次握手。,第三次,握手,：,主机,A,收到此,数据包,后，还要向,B,给出确认,数据包，其,TCP,包头的标志位设置为,ACK=1,，其确认序号为,y+1,，这个过程称为第三次握手。,二,.,实验原理,3,扫描分类,1,）全,TCP,连接,这种扫描方法使用三次握手，与目标计算机建立标准的,TCP,连接。,攻击者首先向目的端口发送一个,SYN,数据包，如果收到来自该端口的,SYN/ACK,数据包，就可以判定该端口是开放的；然后攻击者再发送一个,ACK,数据包（参见图,1-2-1,）。,如果目标端口是关闭的，攻击者就会收到一个直接返回的,RST/ACK,数据包,二,.,实验原理,2,）半打开式扫描（,SYN,扫描）,在这种扫描技术中，扫描主机,同样,向目标计算机的指定端口发送,SYN,数据,包,，表示,希望,建立连接。,a,当端口开放时，目标,计算机回应,SYN/ACK,数据包，这和全,TCP,连接扫描类似。但是,扫描主机,接着发,送一个,RST,=1,的数据包,给目标主机，,RST,数据包将对,TCP,连接进行重置，目标计算机因为没有接到相应,ACK,数据包，,从而,不会建立,三次握手,。,b,如果端口是关闭的，则按照,TCP,协议中端口未开规则处理，由目标主机发送,RST/ACK,数据包给扫描主机，此时,TCP,连接依然没有建立。,扫描主机根据目标计算机的回应数据包是,SYN/ACK,数据包，还是,RST/ACK,数据包即可判断端口是否打开。,二,.,实验原理,3,）,秘密,扫描,这种方法的优点在于没有涉及,TCP,连接的部分，所以比前,2,种都要安全，所以也被称做秘密扫描；缺点就是不够准确，不能完全识别开放的端口。,FIN,标记扫描,攻击者,发送一个,FIN=1,的,TCP,报文到,目标主机：,端口,关闭时，,该报文会被丢掉，并返回一个,RST,报文。,端口开放时,，该报文只是简单的丢掉，不会返回任何回应。,三,.,实验环境,三,.,实验环境,两台运行,windows 2000/XP/2003,的计算机，通过网络连接。使用,Superscan,和,nmap,作为练习工具。,四,.,实验内容,1 Ping,以及,Tracert,四,.,实验内容,1 Ping,以及,Tracert,四,.,实验内容,2,使用,Superscan,进行扫描,填写目标,IP,点击箭头,目标主机列表,点击开始扫描,四,.,实验内容,2,使用,Superscan,进行扫描,选择,Data+ICMP,选择直接连接,目标,UDP,端口,目标,TCP,端口,四,.,实验内容,2,使用,Superscan,进行扫描,简单结果,日志,查看详细结果,四,.,实验内容,3,Nmap,Nmap,命令格式一般为：,Nmap,Scan,Type(s,) Options ,比如要扫描一个,IP,地址为,192.168.1.250,，使用的命令为：,nmap,sP,PI 192.168.1.250,四,.,实验内容,3,Nmap,四,.,实验内容,4,网络扫描的防范,配置软件或者硬件防火墙，就能有效防范外网的网络扫描。,配置,NAT,服务器，可有效隐藏内网的主机信息，防范对内网的扫描,五,.,实验报告要求,(1),熟悉使用,ping,和,tracert,，设置不同参数进行实验并记录结果。,(2),安装,Superscan,，并对另一台主机进行扫描，记录扫描步骤和结果。,(3),安装,Nmap,，熟悉其命令行操作，扫描主机的,TCP,端口、,UDP,端口以及其操作系统和支持的服务，记录扫描步骤和结果。,(4),使用,Windows,自带的安全工具或安装防火墙尝试关闭某个指定端口（如,139,、,21,、,23,、,3389,等端口），以防止端口扫描，查看扫描结果，记录步骤和结果。,实验,1-3,综合漏洞扫描和探测,目录,一,.,实验目的,二,.,实验原理,三,.,实验环境,四,.,实验内容,五,.,实验报告要求,一,.,实验目的,一,.,实验目的,通过使用综合漏洞扫描工具，扫描系统的漏洞并给出安全性评估报告，加深对各种网络和系统漏洞的理解。,二,.,实验原理,二,.,实验原理,综合漏洞扫描和探测工具是一种自动检测系统和网络安全性弱点的工具。,扫描时扫描器向目标主机发送包含某一漏洞项特征码的数据包，观察主机的响应，如果响应和安全漏洞库中漏洞的特征匹配，则判断漏洞存在。最后，根据检测结果向使用者提供一份详尽的安全性分析报告。,三,.,实验环境,三,.,实验环境,两台运行,windows 2000/XP,的计算机，通过网络连接。其中一台安装,Nessus,3.0,版,四,.,实验内容,四,.,实验内容,本节实验以,Nessus,为例，介绍综合漏洞扫描和探测工具。,四,.,实验内容,四,.,实验内容,格式范例,地址簿,文件导入,填写主机,四,.,实验内容,四,.,实验内容,四,.,实验内容,四,.,实验内容,四,.,实验内容,四,.,实验内容,四,.,实验内容,四,.,实验内容,四,.,实验内容,四,.,实验内容,大部分,Windows,操作系统,都存在该漏洞。它是由于,Microsoft SMB,中存在远程缓冲区溢出漏洞,引起的，当,用于验证某些入站的畸形,SMB,报文时存在问题,时,，盲目信任客户端提交的数据，,并,使用那些数据执行内存拷贝相关的操作，,入侵者就,可以利用这个漏洞对服务器进行拒绝服务攻击或执行任意指令。,微软针对该漏洞已经发布了最新的补丁，可以去相关网站下载，或者关闭,445,端口。,五,.,实验报告要求,(1),安装并使用,nessus,进行扫描并查看扫描结果，了解各种漏洞的原理和可能造成的危害，根据提示下载相关补丁，修补后再次扫描，对比扫描结果并提交报告。,(2),安装或启动一款防火墙，关闭扫描结果中相关端口后再次进行扫描，对比结果并提交报告。,实验,1-4,协议分析和网络嗅探,目录,一,.,实验目的,二,.,实验原理,三,.,实验环境,四,.,实验内容,五,.,实验报告要求,一,.,实验目的,一,.,实验目的,理解,TCP/IP,协议中多种协议的数据结构、会话连接建立和终止的过程、,TCP,序列号、应答序号的变化规律。,通过实验了解,FTP,、,HTTP,等协议明文传输的特性，以建立安全意识，防止,FTP,、,HTTP,等协议由于传输明文密码造成的泄密。,二,.,实验原理,二,.,实验原理,1,网络嗅探的原理,Sniffer,即网络,嗅探器,，是一种威胁性极大的被动,检测攻击,工具。使用这种工具，可以监视网络的状态、数据流动情况以及网络上传输的信息。,当信息以明文的形式在网络上传输时，便可以使用,网络监听,的方式来进行,嗅探,攻击。将网络接口设置在监听模式，便可以将网上传输的信息截获。,黑客,常常用它来截获用户的,口令,管理员则可以使用,Sniffer,分析网络性能和故障,二,.,实验原理,二,.,实验原理,2,网络嗅探的防范,如何有效发现并防范,Sniffer,工具的监控和嗅探呢。首先，检查网络中是否存在下述情况，其原因可能就是网络中有,Sniffer,工具正在运行。,一是,网络丢包率非常高,。,二是,网络带宽出现反常,现象。,二,.,实验原理,二,.,实验原理,Sniffer,嗅探的防范,通过使用加密软硬件设备，实现对传输数据的加密，从而保护传输数据的安全性,VPN,、,SSL,、,SSH,等加密手段可有效防范,sniffer,的嗅探。,利用网络设备的物理或者逻辑隔离的手段，可以避免信息的泄密,利用交换机的,VLAN,功能，实现,VLAN,间的逻辑隔离，,三,.,实验环境,三,.,实验环境,两台运行,windows 2000/XP,的计算机，通过,HUB,相连组成局域网，其中一台安装,Sniffer Pro,软件。,四,.,实验内容,1 sniffer,的使用,sniffer,主界面,四,.,实验内容,1 sniffer,的使用,Host Table,中按照,IP,显示流量信息,四,.,实验内容,1 sniffer,的使用,Traffic Map,四,.,实验内容,2 FTP,口令的嗅探过程,四,.,实验内容,2 FTP,口令的嗅探过程,TCP,三次握手,用户名,密码,报文解码,捕获的报文,十六进制内容,四,.,实验内容,3 HTTP,口令的嗅探过程,四,.,实验内容,3 HTTP,口令的嗅探过程,五,.,实验报告要求,(1),将两台主机连接在一个,HUB,上，其中一台主机使用,Telnet,登录另一台主机，在任一台主机上按照,sniffer,网络嗅探工具进行登录口令嗅探，把口令嗅探步骤以及嗅探到的重要信息进行记录。,(2),在,HTTP,协议的实验中获取的数据过于庞大，不利于分析，可以对,Define Filter,中的,Data Pattern,进行设置来获取更准确的数据包，请自己查看帮助或查找资料进行相应设置，只捕获含有用户名或口令等关键字的数据包，记录相关步骤和结果。,实验,2,1,诱骗性攻击,目录,一,.,实验目的,二,.,实验原理,三,.,实验环境,四,.,实验内容,五,.,实验报告要求,一,.,实验目的,一,.,实验目的,本实验介绍了目前主要的网络诱骗手段和原理，了解网络诱骗攻击的常用方法，从而使读者提高对网络诱骗攻击的防范意识。,二,.,实验原理,二,.,实验原理,1,诱骗性攻击原理,所谓诱骗性攻击，是指通过伪造的或合成的具有较高迷惑性的信息，诱发被攻击者主动触发恶意代码，或者骗取被攻击者的敏感信息，实现入侵系统或获取敏感信息的目的。,二,.,实验原理,二,.,实验原理,2,诱骗性攻击分类,第一类是被称作“网络钓鱼”的攻击形式。,第二类则通过直接的交流完成诱骗攻击过程。,第三类是通过网站挂马完成诱骗攻击。,二,.,实验原理,二,.,实验原理,网站挂马的主要技术手段有以下几种：,1,）框架挂马,框架挂马主要是在网页代码中加入隐蔽的框架，并能够通过该框架运行远程木马。如果用户没有打上该木马所利用系统漏洞的补丁，那么该木马将下载安装到用户的系统中。,二,.,实验原理,二,.,实验原理,框架挂马主要有以下几种形式：,直接加载框架代码：就是将上述的框架的代码直接加入到网站的页面中。,js,文件挂马：将框架代码写入,javascript,（,js,）文件中,js,加密挂马：在,js,文件挂马的基础上，对远程的,js,代码进行了,js,编码，起到一定的隐蔽作用，但是该方法只对,IE,浏览器有效,.,框架嵌套挂马：通过在框架中多层次的嵌套框架代码，最终将框架远程执行的地址目标指向木马所在地址，这种挂马方式的隐蔽性更高。,二,.,实验原理,二,.,实验原理,2,）,body,挂马,通过,Html,文件的,body,标记进行挂马。木马的运行仍然是通过对远程木马的调用。,在,body,中直接加入远程代码。,b,）隐蔽挂马,c,）资源挂马,二,.,实验原理,二,.,实验原理,3,）伪装挂马,所谓伪装挂马，就是在某些特定的位置嵌入木马的运行代码。,图片伪装：在图片打开之前，执行了一个写有木马地址的框架。,调用伪装：调用某个链接之后，又运行了一个框架，打开了框架内包含的“木马地址”。,c,）欺骗伪装,:,页面中伪装加载某个广泛使用的可信网址的地址链接，但点击后，实际上连接到的却是一个载有木马的网页。,二,.,实验原理,二,.,实验原理,3,诱骗性攻击案例,案例一：利用邮件的“网络钓鱼”,某人的个人邮箱收到了自称是“中国工商银行的安全警报”的邮件，邮件中通知他由于他的账号在网上银行登陆输入错误密码次数过多，可能账号和密码被不法分子盗用，故临时冻结他的账户，要他尽快点击,，登陆中国工商银行金融,E,通道修改密码。,二,.,实验原理,二,.,实验原理,案例二：直接交流的诱骗攻击,14:20:47,客户服务：尊敬的用户,您好,:,现特举行幸运用户的评选活动,经过随机抽选,您的游戏账户已经被选中为幸运用户号码,.,恭喜您,!,您可以获得本公司送出的奖品,.,请您接收到此消息后联系客服工作人员的,QQ:422801957,联系领取您所获得的奖品。,三,.,实验环境,三,.,实验环境,两台运行,windows 2000/XP/2003/vista,的计算机，通过网络连接。使用,QQ,作为即时聊天工具，“默默,QQ,大盗”作为木马程序，用“免杀捆绑工具”将木马与一般文件进行捆绑。,四,.,实验内容,四,.,实验内容,1,木马的欺骗功能,四,.,实验内容,四,.,实验内容,2“,免杀捆绑工具”的使用,四,.,实验内容,四,.,实验内容,3,木马的清理,QQ,木马采用的是线程注入技术，在,explorer.exe,和,svchost.exe,两个进程中注入线程，起到守护进程的双保险作用。,木马程序是位于,C:WINDOWSsystem32,目录下,SysYH.bak,的文件。,该木马的启动项被设置在了注册表的,HKEY_CLASSES_ROOTCLSID91B1E846-2BEF-4345-8848-7699C7C9935FInProcServer32,目录的“默认”键下，该键值被设置成了“,C:WINDOWSsystem32SysYH.bak”,，实现了开机的自动启动。,四,.,实验内容,四,.,实验内容,3,木马的清理,五,.,实验报告要求,了解并收集常见的欺骗性攻击手段，并整理成实验报告，提高对欺骗性攻击的防范意识。,网络安全实验教程实验,2-2,目录,一,.,实验目的,二,.,实验原理,三,.,实验环境,四,.,实验内容,五,.,实验报告要求,一,.,实验目的,一,.,实验目的,通过本实验对,DoS/DDoS,攻击的深入介绍和实验操作，了解,DoS/DDoS,攻击的原理和危害，并且具体掌握利用,TCP,、,UDP,、,ICMP,等协议的,DoS/DDoS,攻击原理。了解针对,DoS/DDoS,攻击的防范措施和手段。,二,.,实验原理,二,.,实验原理,拒绝服务攻击是一种很有效的攻击技术，通过协议的安全缺陷或者系统安全漏洞，对目标主机进行网络攻击，最终使其资源耗尽而无法响应正常的服务请求，即对外表现为拒绝提供服务。,二,.,实验原理,二,.,实验原理,1,DoS,攻击,DoS,是拒绝服务（,Denial of Service,）的简称。这种攻击行为的攻击对象是目标主机，目的就是使目标主机的资源耗尽使其无法提供正常对外服务。,二,.,实验原理,二,.,实验原理,DoS,攻击通过两种方式实现,一种方式是利用目标主机存在的网络协议或者操作系统漏洞,另一种方式就是发送大量的数据包，耗尽目标主机的网络和系统资源,二,.,实验原理,二,.,实验原理,DoS,攻击按照攻击所使用的网络协议来划分，主要分为以下几类的攻击方式：,1,）,IP,层协议,ICMP,和,IGMP,洪水攻击、,smurf,攻击,2,）,TCP,协议,TCP,协议本身就具有一定的安全缺陷，,TCP,的三次握手过程就存在缺陷。,SYN-Flood,攻击和,Land,攻击就是利用握手过程，来完成拒绝服务攻击的。,二,.,实验原理,二,.,实验原理,SYN-Flood,攻击,SYN-Flood,攻击的第一步，是由攻击者向目标主机发出第一次,SYN,握手请求数据包，但攻击者伪造了此数据包的源,IP,为不存在或者网络不可达的一个,IP,。,目标主机收到第一次握手的,SYN,请求后，会自动向客户端回复,SYN+ACK,的第二次握手，并等待第三次握手返回的响应数据包。,因为攻击者伪造的源,IP,不存在或者网络不可达，所以肯定没有第三次握手的响应数据包，目标主机此时就要“傻”等一段时间之后才丢弃这个未完成的连接，而等待的系统进程或者线程要占用一定的,CPU,资源和内存资源。,当攻击者发出大量伪造的,SYN,数据包时，目标主机将自动回应大量的第二次握手的数据包，形成大量“半开连接”，消耗非常多的系统资源直至资源耗尽，从而导致对正常用户的“服务请求无法响应”。,二,.,实验原理,二,.,实验原理,3,）,UDP,协议,针对采用,UDP,协议的应用服务器，也可以伪造大量,UDP,请求数据包，请求服务器提供服务从而耗尽服务器的资源。,例如针对,DNS,服务器的,UDP,洪水攻击，就是生成大量需要解析的域名，并伪造目标端口为,53,端口的,UDP,数据包，发给,DNS,服务器要求进行域名解析耗尽,DNS,服务器的资源,二,.,实验原理,二,.,实验原理,4,）应用层协议攻击,通过发送大量应用层的请求数据包，耗尽应用服务器的资源也能造成拒绝服务的效果。,例如利用代理服务器对,web,服务器发起大量的,HTTP Get,请求，如果目标服务器是动态,web,服务器，大量的,HTTP Get,请求主要是请求查询动态页面，这些请求会给后台的数据库服务器造成极大负载直至无法正常响应，从而使正常用户的访问也无法进行了。,二,.,实验原理,二,.,实验原理,2,DDoS,攻击,DDoS,是分布式拒绝服务（,Distribute,DoS,）攻击的简称。,攻击者可将其控制的分布于各地的大量计算机统一协调起来，向目标计算机发起,DoS,攻击。,二,.,实验原理,二,.,实验原理,二,.,实验原理,二,.,实验原理,2,DDoS,攻击,DDoS,攻击由攻击者、主控端（,master,）、代理端（,zombie,）,3,部分组成。,攻击者是整个,DDoS,攻击的发起源头，它在攻击之前已经取得了多台主控端主机的控制权，主控端主机分别控制着代理端主机。,二,.,实验原理,二,.,实验原理,3,DoS/DDoS,攻击的防御措施,有效防范,DoS/DDoS,攻击的关键主要是识别出异常的攻击数据包并过滤掉。,1,）静态和动态的,DDoS,过滤器,2,）反欺骗技术,3,）异常识别,4,）协议分析,5,）速率限制,二,.,实验原理,二,.,实验原理,3,DoS/DDoS,攻击的防御措施,对于一般用户可以通过下面的技术手段进行综合防范：,1,）增强系统的安全性,2,）利用防火墙、路由器等网络和网络安全设备加固网络的安全性，关闭服务器的非开放服务端口,3,）配置专门防范,DoS/DDoS,攻击的,DDoS,防火墙,4,）强化路由器等网络设备的访问控制,5,）加强与,ISP,的合作，当发现攻击现象时，与,ISP,协商实施严格的路由访问控制策略，以保护带宽资源和内部网络。,三,.,实验环境,三,.,实验环境,多台运行,windows 2000/XP/2003,操作系统的计算机，通过网络连接。,四,.,实验内容,四,.,实验内容,1 SYN-Flood,攻击,四,.,实验内容,四,.,实验内容,1 SYN-Flood,攻击,四,.,实验内容,四,.,实验内容,1 SYN-Flood,攻击,四,.,实验内容,四,.,实验内容,2 UDP-Flood,攻击,四,.,实验内容,四,.,实验内容,2 UDP-Flood,攻击,四,.,实验内容,四,.,实验内容,3,DDoS,攻击,四,.,实验内容,四,.,实验内容,4,DDoS,防火墙对,DDoS,攻击的防范,有条件的机构可以通过部署专用,DDoS,防火墙防范,DoS/DDoS,攻击。在被攻击的应用服务器前串联接入,DDoS,防火墙，或者在内外网之间串联接入,DDoS,防火墙，可以实现对,DDoS,攻击的有效防范，保障应用服务器和内网计算机的安全。,五,.,实验报告要求,1,）使用一台装有,Super,DDoS,的主机对另一台主机进行,DDoS,攻击，事先要通过扫描软件获取该目标主机的端口开放情况。攻击前，两台主机同时打开任务管理器查看性能变化，同时启动,Sniffer,进行抓包，通过分析两者性能和数据包抓包结果分析攻击的原理。,2,）使用一台装有,DDoS,个人版的主机对另一台主机进行,DDoS,攻击。攻击前，两台主机同时打开任务管理器查看两台主机性能的变化，同时启动,Sniffer,进行抓包，通过性能的变化和数据包抓包结果分析攻击的原理。,实验,2,3,欺骗攻击技术,ARP,欺骗,目录,一,.,实验目的,二,.,实验原理,三,.,实验环境,四,.,实验内容,五,.,实验报告要求,一,.,实验目的,一,.,实验目的,通过本次实验，理解,ARP,协议的工作原理，了解,ARP,欺骗攻击的原理和防范措施，理解两种,ARP,欺骗软件的欺骗过程，及它们分别所造成的危害。,二,.,实验原理,二,.,实验原理,1 ARP,协议,ARP,协议是地址解析协议（,Address Resolution Protocol,）的简称。通过,ARP,协议可进行地址解析来获取目标主机,MAC,地址。,源主机首先在局域网中广播,ARP request,数据包，询问目标,IP,地址的,MAC,地址，其他主机收到此广播包后都不响应，只有,IP,地址对应的那台目标主机会响应,ARP reply,数据包，告诉源主机自己的,MAC,地址。目标主机的,MAC,地址通过,ARP,协议获取后，会将,IP,地址和其,MAC,地址对应起来保存在源主机的,ARP,缓存表中,二,.,实验原理,二,.,实验原理,ARP,欺骗原理,ARP,欺骗的原理，就是通过发送欺骗性的,ARP,数据包，致使接收者收到欺骗性的,ARP,数据包后，更新其,ARP,缓存表，从而建立错误的,IP,与,MAC,地址的对应关系。,ARP,欺骗主要分为两种,一种是伪装成主机的欺骗,另一种是伪装成网关的欺骗,二,.,实验原理,二,.,实验原理,伪装成主机的欺骗,A,想要与,B,进行直接的通信，而,C,想要窃取,A,所发给,B,的内容。这时，,C,可以向,A,发送欺骗性的,ARP,数据包，声称,B,的,MAC,地址已经变为,CC-CC-CC-CC-CC-CC,。这样在,A,的,ARP,缓存表中将建立,192.168.1.2,和,CC-CC-CC-CC-CC-CC,的,IP,地址与,MAC,地址的对应关系。于是,A,发给,B,的所有内容将发送至,C,的网卡。,C,在收到并阅读了,A,发给,B,的内容之后，为了不被通信双方发现，可以将数据内容再发给,B,。,二,.,实验原理,二,.,实验原理,伪装成网关的欺骗,如果局域网内的主机,C,中了,ARP,病毒，,C,想截获,A,发出的消息内容，,C,就需要向,A,发送欺骗性的,ARP,包，声称网关的,MAC,地址改成,C,的,MAC,地址了，这样,A,再给网关转发数据包时，数据包就转给了病毒主机,C,，病毒主机,C,获得了,A,的通信内容后，再将数据包转给真正的网关,二,.,实验原理,二,.,实验原理,3ARP,欺骗的防范,可以通过,IDS,或者,Antiarp,等查找,ARP,欺骗的工具检测网络内的,ARP,欺骗攻击，然后定位,ARP,病毒主机，清除,ARP,病毒来彻底解决网络内的,ARP,欺骗行为,可以通过,MAC,地址与,IP,地址的双向绑定，使,ARP,欺骗不再发挥作用。,三,.,实验环境,三,.,实验环境,至少两台运行,windows 2000/XP/2003,的计算机，通过网络连接，并且在网络环境中配置有路由器。,四,.,实验内容,四,.,实验内容,1,NetFuke,四,.,实验内容,四,.,实验内容,1,NetFuke,四,.,实验内容,四,.,实验内容,1,NetFuke,四,.,实验内容,四,.,实验内容,2 ARP,欺骗的防范,针对,ARP,的欺骗攻击，比较有效的防范方法就是将,IP,与,MAC,地址进行静态绑定。,四,.,实验内容,四,.,实验内容,2 ARP,欺骗的防范,针对,ARP,的欺骗攻击，比较有效的防范方法就是将,IP,与,MAC,地址进行静态绑定。,下面通过绑定前和绑定后进行对比实验，了解防止,ARP,欺骗的方法。,四,.,实验内容,四,.,实验内容,2 ARP,欺骗的防范,四,.,实验内容,四,.,实验内容,2 ARP,欺骗的防范,五,.,实验报告要求,1,）利用,NetFuke,对局域网内的主机进行单向或者双向欺骗，然后通过,sniffer,嗅探工具抓包分析通信过程，验证,NetFuke,成功的对两台主机进行了欺骗。,2,）编辑批处理文件，实现开机启动时自动实现,IP,和,MAC,的静态绑定，防范,ARP,欺骗攻击。,实验,2-4,木马攻击与防范,目录,一,.,实验目的,二,.,实验原理,三,.,实验环境,四,.,实验内容,五,.,实验报告要求,一,.,实验目的,一,.,实验目的,通过对木马的练习，使读者理解和掌握木马传播和运行的机制；通过手动删除木马，掌握检查木马和删除木马的技巧，学会防御木马的相关知识，加深对木马的安全防范意识。,二,.,实验原理,二,.,实验原理,1,木马的特性,伪装性,隐藏性,破坏性,窃密性,二,.,实验原理,二,.,实验原理,2,木马的入侵途径,捆绑欺骗,利用网页脚本入侵,利用漏洞入侵,和病毒协作入侵,二,.,实验原理,二,.,实验原理,3,木马的种类,第一代木马，主要是在,UNIX,环境中通过命令行界面实现远程控制。,第二代木马，具有图形控制界面，可以进行密码窃取、远程控制，例如,BO2000,和冰河木马。,第三代木马，通过端口反弹技术，可以穿透硬件防火墙，例如灰鸽子木马，但木马进程外联黑客时会被软件防火墙阻挡。,二,.,实验原理,二,.,实验原理,3,木马的种类,第四代木马通过线程插入技术隐藏在系统进程或者应用进程中，实现木马运行时没有进程，比如广外男生木马。第四代木马可以实现对硬件和软件防火墙的穿透。,第五代木马在隐藏方面比第四代木马又进行了进一步提升，它普遍采用了,rootkit,技术，通过,rootkit,技术实现木马运行,二,.,实验原理,二,.,实验原理,4,木马的连接方式,一般木马都采用,C/S,运行模式，它分为两部分，即客户端和服务器端木马程序。黑客安装木马的客户端，同时诱骗用户安装木马的服务器端。,木马的传统连接方式,第一代和第二代木马均采用传统的连接方式，即由木马的客户端程序主动连接服务器端程序。,二,.,实验原理,二,.,实验原理,木马的反弹端口技术,二,.,实验原理,二,.,实验原理,木马的反弹端口技术,二,.,实验原理,二,.,实验原理,5,木马的隐藏技术,线程插入技术,这种技术把木马程序做为一个线程，把自身插入其他应用程序的地址空间。而这个被插入的应用程序对于系统来说，是一个正常的程序，这样，就达到了彻底隐藏的效果。,RootKit,技术,RootKit,是一种隐藏技术，它使得恶意程序可以逃避操作系统标准诊断程序的查找。,二,.,实验原理,二,.,实验原理,6,木马的检测,木马的远程控制功能要实现，必须通过执行一段代码来实现。为此，木马采用的技术再新，也会在操作系统中留下痕迹。如果能够对系统中的文件、注册表做全面的监控，可以实现发现和清除各种木马的目的。,三,.,实验环境,三,.,实验环境,两台运行,windows 2000/XP/2003,的计算机，通过网络连接。通过配置“灰鸽子”木马，了解木马工作原理并实现对木马的检测和查杀。,四,.,实验内容,四,.,实验内容,1,灰鸽子介绍,灰鸽子是,国内近,年来危害非常严重的一种木马程序。,四,.,实验内容,四,.,实验内容,2“,灰鸽子”,的连接与配置,四,.,实验内容,四,.,实验内容,2“,灰鸽子”,的连接与配置,四,.,实验内容,四,.,实验内容,2“,灰鸽子”,的连接与配置,四,.,实验内容,四,.,实验内容,3,“,灰鸽子”的检测,四,.,实验内容,四,.,实验内容,3,“,灰鸽子”的检测,四,.,实验内容,四,.,实验内容,3,“,灰鸽子”的检测,四,.,实验内容,四,.,实验内容,4,灰鸽子的查杀,五,.,实验报告要求,1,配置采用端口反弹技术的灰鸽子木马，实现木马服务端对动态,IP,客户端的连接，分析其原理和检测查杀方法。,2,收集其它检测工具，对实验中的灰鸽子木马进行检测，提交实验报告。,实验,2-5,熊猫烧香病毒的查杀,目录,一,.,实验目的,二,.,实验原理,三,.,实验环境,四,.,实验内容,五,.,实验报告要求,一,.,实验目的,一,.,实验目的,通过演示熊猫烧香病毒的中毒现象，使读者对病毒的危害有一个直观的代表性认识。通过对熊猫烧香进行清除以及对再次感染进行预防，使读者了解清楚病毒的常用方法，提高警惕性，增强安全防毒意识,二,.,实验原理,二,.,实验原理,1,病毒分类,程序型病毒,引导型病毒,宏病毒,特洛伊木马型程序,有危害的移动编码,网络蠕虫病毒,二,.,实验原理,二,.,实验原理,2,病毒的传播机制,非网络传播机制分析,此类病毒传播方式虽不是主要方式，但也令人防不胜防。主要方式有：,U,盘，移动磁盘等。,网络传播机制分析,目前大多数病毒都带有通过网络手段进行传播的手段，具体的传播机制包括直接发送传播、利用网页和系统漏洞传播等。,二,.,实验原理,二,.,实验原理,1,）直接发送传播,A,.,利用即时消息软件传播,B.,利用电子邮件传播,2,）利用网页启动,A,利用网页脚本,B,域名欺骗,C,电子书,(CHM),木马,D,利用,HTML,文件重定向,3,）,利用系统漏洞,二,.,实验原理,二,.,实验原理,3,熊猫烧香病毒介绍,熊猫烧香病毒是威金病毒的变种，短时间内在网络中疯狂肆虐，造成了巨大危害。,威金病毒是,Windows,系统中的一种复合型蠕虫病毒，它包括了可执行文件感染、局域网传播、自动下载其它恶意软件等功能，危害性非常大。,三,.,实验环境,三,.,实验环境,一台运行,Window 2000/xp/2003 server,的计算机，熊猫烧香病毒样本，各种熊猫烧香专杀工具。（为谨慎起见，强烈建议本实验在虚拟机中完成）,四,.,实验内容,四,.,实验内容,1,观察熊猫烧香病毒的中毒症状,四,.,实验内容,四,.,实验内容,1,观察熊猫烧香病毒的中毒症状,四,.,实验内容,四,.,实验内容,1,观察熊猫烧香病毒的中毒症状,四,.,实验内容,四,.,实验内容,1,观察熊猫烧香病毒的中毒症状,四,.,实验内容,四,.,实验内容,1,观察熊猫烧香病毒的中毒症状,四,.,实验内容,四,.,实验内容,2,熊猫烧香的清除,四,.,实验内容,四,.,实验内容,2,熊猫烧香的清除,四,.,实验内容,四,.,实验内容,2,熊猫烧香的清除,四,.,实验内容,四,.,实验内容,2,熊猫烧香的清除,四,.,实验内容,四,.,实验内容,3,病毒的防范,）安装高效的杀毒软件，并及时对病毒库进行升级，定期扫描系统。,）使用安全的浏览器并进行正确的安全配置。,）打开陌生文件（包括邮件的附件）之前，先进行查毒扫描。,）从右键打开盘等移动设备，关闭系统自动播放功能。,）定期检查注册表中的敏感项，看是否有可疑自启动项和服务出现。,）及时为操作系统安装安全补丁。,五,.,实验报告要求,(1),了解熊猫烧香其它变种的症状，比较不同变种查杀方法上的异同。,(2),详细了解操作系统的各种安全相关属性，思考如果不用任何第三方安全软件，仅通过设置系统本身的安全机制能否有效预防和清除病毒。,Q & A,谢谢！,实验,3-1,口令的破解与截获,目录,一,.,实验目的,二,.,实验原理,三,.,实验环境,四,.,实验内容,五,.,实验报告要求,一,.,实验目的,一,.,实验目的,通过采用暴力破解、网络嗅探等方式来进行口令破解，一方面使读者了解这些攻击方式的原理以及各自的特点和适用环境；另一方面可以使读者了解本地口令的安全设置策略，掌握如何提高口令的安全性以对抗这些口令破解攻击方法。,二,.,实验原理,二,.,实验原理,1. windows,中口令认证机制,LanManager,NTLM,NTLMv2,Kerberos V5,二,.,实验原理,2.,口令的破解方式,键盘截获破解,暴力攻击破解,字典攻击破解,网络嗅探截获,二,.,实验原理,二,.,实验原理,3.,口令破解的防范,LM,认证机制是最不安全的机制 ，,NTLM,安全性要高些，而,NTLMv2,的安全性最高，但并不是,windows,的,xp,、,2003,等版本采用的就是最安全的口令认证机制，,windows,操作系统中为了保持和以前版本的兼容性，默认对三种口令认证机制都支持，因此一个口令在,SAM,中就以这三种加密形式存在。,二,.,实验原理,为了提高口令的安全性，在设置口令时也需要让口令满足一些安全策略，具体包括：,至少包含,8,个字符（获得最高的安全性，至少,15,个字符）,大小写字母、数字和符号的组合,不包含姓名、用户名或者常用单词,不与其他人共享,定期更换密码,三,.,实验环境,一台,windows2000/xp/2003/vista,计算机，上面需要安装口令破解工具,Cain,。一张包含,ERD Commander,的启动光盘，以及一台装有,ftp,服务端的服务器，服务器操作系统版本不限。,四,.,实验内容,1.,使用,ERD Commander,重置管理员密码,1-1.,ERD Commander,介绍,ERD Commander,是一款功能非常强的操作系统管理修复软件，以启动盘方式先于操作系统加载，可以实现修复操作系统、更改管理员密码等特殊功能，同时也可以在其虚拟的,win32,内核中进行一些,windows,的常规操作，例如修改注册表、进行网络管理等等。,四,.,实验内容,ERD Commander,启动后的主界面,四,.,实验内容,ERD Commander,中和系统安全相关的功能介绍 ：,LockSmith,Event Log,File Sharing,System Compare,System Restore,四,.,实验内容,1-2.,使用,LockSmith,重置口令,四,.,实验内容,1-3.,本地口令破解的防范,由此可见，如果让攻击者有近距离接触到计算机，那么在操作系统中就是设置复杂度很高的口令也可以被轻易破解。所以为了加强计算机中信息的保密性，我们不仅需要设置复杂的帐户口令来防止机器的权限盗用，还需要通过设置,Bios,口令，通过制定管理制度以及通过设置物理隔绝措施等手段，限制无关人员接触关键的计算机，来进一步提高计算机的安全性。这就将安全从技术角度扩展到了管理角度，通过制定严格和健全管理制度和管理策略来保障信息系统的安全。,四,.,实验内容,2.,使用,Cain,破解本地口令,2-1.,Cain,软件介绍,Cain,是,Oxid,制作的一款非常专业的信息破解工具，在信息安全相关工作中有着非常广泛的使用。其提供的破解功能非常齐全，包括本机口令破解、加密口令解码、网络嗅探、无线数据捕获等多种功能，在口令破解方面支持字典攻击、暴力破解、密码分析等多种攻击方式,四,.,实验内容,Cain,主要功能,Decoders,Sniffer,Cracker,四,.,实验内容,2-2.,本地口令的暴力破解,导入本机系统存储的哈希值,四,.,实验内容,获取本机帐户名和哈希值,四,.,实验内容,口令破解窗口,四,.,实验内容,暴力破解成功获得管理员口令,四,.,实验内容,口令破解实时状态,四,.,实验内容,2-3.,本地口令的字典攻击,通过前一个实验我们发现使用暴力破解手段来破解长口令是非常耗时的，而对于某些将常用单词做为口令的用户，采取字典攻击的方式可以大大提高口令破解的效率。,四,.,实验内容,Cain,自带的字典文件,四,.,实验内容,接着重复上面的步骤，在,Cracker,功能模块内将之前的口令破解记录,remove all,，然后重新导入用户名和口令的,hash,值，在帐户,Administrator,上点击右键,-Dictionary Attack-NTLM hashes,，弹出字典攻击功能的对话框 。,四,.,实验内容,字典攻击对话框,四,.,实验内容,使用字典攻击成功破解口令,四,.,实验内容,3.,增强口令的安全性,上面实验中介绍了,cain,的口令破解功能，除此之外还有多种口令破解工具采用字典破解或者暴力破解方法，威胁口令的安全。,设置不保存,LM,的口令加密值,五,.,实验报告要求,按照口令安全策略配置口令，再采用,cain,进行口令破解，分析破解的效果及其原因。,在,windows,操作系统中启用“网络安全：不要在下次更改密码时存储,LAN Manager,的,Hash,值”，再给用户设置简单的口令，尝试用,cain,的,LM hashes,和,NTLM hashes,两种方式进行破解，分析破解的结果并解释原因。,实验,3-2,系统安全漏洞的攻击与防范,目录,一,.,实验目的,二,.,实验原理,三,.,实验环境,四,.,实验内容,五,.,实验报告要求,一,.,实验目的,本次实验通过从扫描漏洞到利用漏洞的整个攻击过程，可以使读者掌握一些漏洞扫描软件的使用，通过对漏扫结果的分析能增强读者对系统安全漏洞的认识，并采用措施弥补自身系统的漏洞。此外，可以让读者了解多种漏洞利用攻击技术，逐步了解黑客从扫描漏洞到攻陷主机的整个过程，然后思考和学习如何对系统服务进行安全的配置以抵抗此类攻击。,二,.,实验原理,1.,漏洞的定义,漏洞也叫脆弱性,(Vulnerability),，是计算机系统在硬件、软件、协议的具体实现或系统安全策略上存在的缺陷或者不足。,漏洞会影响到很大范围的软硬件设备，包括作系统本身及其支撑软件，网络客户和服务器软件，网络路由器和安全防火墙等。这些不同的软硬件设备中都可能存在不同的安全漏洞问题。,二,.,实验原理,2.,漏洞的特点,漏洞的危害性,影响的广泛性,漏洞的长久性,漏洞的隐蔽性,二,.,实验原理,3.,漏洞的分类,输入验证错误,(Input Validation Error),缓冲区溢出,(Buffer Overflow),设计错误,(Design Error),意外情况处置错误,(Exceptional Condition Handling Error),访问验证错误,(Access Validation Error),配置错误,(Configuration Error),二,.,实验原理,4.,缓冲区溢出漏洞的原理,缓冲区溢出漏洞的产生原理可以概括为：由于字符串处理函数（,gets,，,strcpy,等等）没有对数组越界加以监视和限制，利用字符数组写越界，覆盖堆栈中老元素的值，就可以修改返回地址，在成功的将返回地址修改为恶意软件的返回地址，则程序的执行权限就转移给了恶意软件，最终因为缓冲区溢出造成恶意软件被执行。,二,.,实验原理,5.,漏洞对系统服务安全性的危害,系统所提供的服务的实际上是由系统程序和应用程序实现的，其中必然存在各种潜在的安全漏洞，这些漏洞会对系统服务的安全性造成影响。,二,.,实验原理,6.,漏洞攻击的防范,规范代码写法，加强程序验证,通过操作系统使得缓冲区不可执行，从而阻止攻击者植入攻击代码,利用编译器的边界检查来实现缓冲区的保护,在程序指针失效前进行完整性检查,三,.,实验环境,两台运行,windows2000/XP,的计算机，所处同一局域网内。使用流光和,N