第6章特洛伊木马
6.7 实验
6.7.1 远程控制型木马的使用
1. 实验目的
熟悉利用远程控制型木马进行网络入侵的基本步骤,分析冰河木马的工作原理,掌握常见木马的清除方法,学会使用冰河陷阱。
2. 实验内容与要求
(1) 实验按2人一组方式组织,各自实验主机作为对方的控制目标。
(1) 使用冰河客户端G_Client.exe对冰河服务器程序G_Server.exe进行配置,然后感染局域网中的某台主机。
(3) 在感染冰河木马的主机上进行检查,判断对木马的配置是否生效;主要检查项包括:木马的监听端口是否为所设置的端口;木马的安装路径是否为所设置的路径;木马进程在进程列表中所显示的名称是否与设置相符;如果为木马设置了访问口令,是否必须通过设定的口令才能够对木马实施远程控制。
(4) 在感染主机上验证冰河的文件关联功能,将木马主程序删除,打开关联的文件类型,查看木马主程序是否会被恢复。
(5) 使用冰河客户端对感染冰河的主机实施远程控制,在感染主机上执行限制系统功能(如远程关机、远程重启计算机、锁定鼠标、锁定系统热键、锁定注册表等)、远程文件操作(创建、上传、下载、复制、删除文件或目录)以及注册表操作(对主键的浏览、增删、复制、重命名和对键值的读写操作等)。
(6)采用手工方法删除冰河木马,主要步骤包括:①检查系统文件,删除C:\Windows\system下的Kernel32.exe和Sysexplr.exe文件。②如果冰河木马启用开机自启动,那么会在注册表项HKEY_LOCAL_MACHINE/software/microsoft/windows/ CurrentVersion/Run中扎根。检查该注册表项,如果服务器程序的名称为KERNEL32.EXE,则存在键值C:/windows/system/Kernel32.exe,删除该键值。③检查注册表项HKEY_LOCAL_MACHINE/software/microsoft/windows/ CurrentVersion/Runservices,如果存在键值C:/windows/system/Kernel32.exe的,也要删除。④如果木马设置了与文件相关联,例如与文本文件相关联,需要修改注册表HKEY_CLASSES_ROOT/txtfile/shell/open/command 下的默认值,由感染木马后的值:C: /windows/system/Sysexplr.exe %1改为正常情况下的值:C:/windows/notepad.exe %1,即可恢复TXT文件关联功能。完成以上步骤后,依据端口和进程判断木马是否清除。
(7) 使用冰河陷阱清除冰河木马,在此基础上,利用冰河陷阱的伪装功能来诱捕入侵者。运行冰河陷阱后,使主机系统完全模拟真正的冰河服务器程序对攻击者的控制命令进行响应,使攻击者认为感染机器仍处于他的控制之下,进而观察攻击者在主机上所进行的攻击操作。
3. 实验环境
(1) 实验室环境,所有主机需禁用杀毒软件。
(2) 冰河木马客户端程序G_Client.exe,冰河木马服务器程序G_Server.exe,冰河陷阱。
6.7.2 编程实现键盘记录功能
1. 实验目的
掌握木马的键盘记录功能的编程实现技术。
2. 实验内容与要求
(1) 调试6.2.6节给出的keylogger.py程序。
(2) 运行keylogger.py程序。
(3) 修改Windows用户口令,观察keylogger.py 程序的记录结果。
(4) 所有结果均需截图,并写入实验报告中。
3. 实验环境
(1) 实验室环境,实验用机的操作系统为Windows,并安装Python开发环以及Python 第三方库PyHook。
(2) 6.2.6节keylogger.py源程序。
6.7.3 编程实现截屏功能
1. 实验目的
掌握木马的截屏功能的编程实现技术。
2. 实验内容与要求
(1) 调试6.2.6节给出的screenshot.py程序。
(2) 运行screenshot.py程序。
(3) 打开C盘根目录下的screen.bmp,观察结果。
(4) 修改screenshot.py,以实现实验者自定功能。
(5) 所有结果均需截图,并写入实验报告中。
3. 实验环境
(1) 实验室环境,实验用机的操作系统为Windows,并安装Python开发环境以及Python 第三方库PyWin32。
(2) 6.2.6节screenshot.py源程序。
实验报告模板
【实验目的】(简要描述实验目的) 采用免杀、混淆等技术的恶意代码有可能突破安全软件的防护而运行在目标主机中。即使用户感受到系统出现异常,但是仅仅通过杀毒软件等也无法检测与根除恶意代码,此时需要用户凭借其它系统工具和对操作系统的了解对恶意代码手工查杀。本实验假设在已经确定木马进程的前提下,要求学生借助进程检测和注册表检测等系统工具,终止木马进程运行,消除木马程序造成的影响,从而实现手工查杀恶意代码的过程。 【实验结果及分析】(需要有结果截图) 一、恶意代码手工查杀实验 1、虚拟机快照 为防止虚拟机破坏后无法恢复,应先将干净的虚拟机进行快照设置。点击菜单“虚拟机”“快照”“拍摄快照”,创建一个干净的虚拟机快照。 2.创建被感染的系统环境 由于恶意代码采用了免杀技术,因此能够成功绕过防病毒等安全软件检测,等用户感到系统异常时,通常恶意代码已经在主机系统内加载运行。为了尽量模拟一个逼真的用户环境,我们在搭建好的虚拟机中运行木马宿主程序 “radar0.exe”。运行完后,可以看见,“radar0.exe”自动删除。
3.木马进程的定位 用户对系统的熟悉程度决定了发现系统异常继而查找恶意代码的早晚。在本例中,明显可以感受到系统运行速度变慢,打开任务管理器,可以观察到有一个“陌生”的进程(非系统进程或安装软件进程)“wdfmgr.exe”占用CPU比率很高。 为了确定该进程为木马进程,可以通过查找该进程的静态属性如创建时间、
开发公司、大小等,以及通过对该进程强制终止是否重启等现象综合判断。在本例中,“Wdfmgr.exe”为木马radar.exe运行后新派生的木马进程。 4.记录程序行为 打开工具“ProcMon.exe”,为其新增过滤规则“Process Name”“is”“wdfmgr.exe”,然后开始监控。点击“Add”将过滤规则加入,可以看到ProcMon开始监控“wdfmgr.exe”进程的行为。需要注意的是,有时为了保证观察到的行为完备性,会先启动ProcMon工具,然后再启动被监控进程。 为了分别观察该进程对文件系统和注册表的操作,点击菜单 “Tools”“File Summary”,观察对文件系统的修改。
交换机的基本配置 一、实验目的 1.掌握交换机命令行各种操作模式及其相互切换。 2.掌握交换机的全局配置。 3.掌握交换机端口的基本配置。 4.掌握交换机配置的查看方法。 二、实验设备 S2126G交换机一台,PC机两台,直连线一条。 三、技术原理 交换机是一种基于MAC地址识别,能完成封装、转发数据包功能的网络设备。交换机可以学习MAC地址,并把其存放在内部地址表中,通过在数据包的始发者和目标接收者之间建立临时的交换路径,使数据包直接由源地址到达目的地址。 交换机有以下四种命令行操作模式: 1.用户模式,提示符为switch>,这是进入交换机后得到的第一个模式,该模式下可以查看交换机的软硬件版本信息,并进行简单的测试。用户模式下输入enable即可进入下面的特权模式。 2.特权模式,提示符为switch#,这是由用户模式进入的下一个模式,该模式下可以对交换机的配置文件进行管理和查看。特权模式下输入configue terminal即可进入下面的全局配置模式。 3.全局配置模式,提示符为switch(config)#,属于特权模式的下一级模式,该模式下可以配置交换机的全局性参数(如主机名、登陆信息等)。全局模式下输入类似interface fastethernet 0/5即可进入下面的端口模式。 4.端口模式,提示符为switch(config-if)#,属于全局模式的下一级模式,该模式下可以对交换机的端口进行参数配置。 可以通过exit命令退回到当前模式的上一级操作模式,通过end命令从特权模式以下级别直接返回到特权模式。 交换机的端口速率参数有10(10Mbit/s)、100(100Mbit/s)、auto(自适应)等三种选择,默认是auto。端口工作模式有full(全双工)、half(半双工)、auo(自适应) 等三种选择,默认是auto。 四、实验步骤 1.按图1-1将PC机通过串口(Com)连接到交换机Switch的控制(Console)端口,通过网卡(NIC)连接到交换机的F0/1端口。 图1-1
/*=================================================== * 基于winpcap的多线程SYN Flood攻击源代码 * 运行平台:WinXP,Win2k3,WinVista,Win2k8,Win7 * 编译环境:VC6.0 + winpcap SDK *====================================================*/ #define WIN32_LEAN_AND_MEAN #define _WSPIAPI_COUNTOF #include
HUNAN UNIVERSITY 课程实习报告 题目:网络攻防 学生姓名李佳 学生学号201308060228 专业班级保密1301班 指导老师钱鹏飞老师 完成日期2016/1/3 完成实验总数:13 具体实验:1.综合扫描 2.使用 Microsoft 基线安全分析器
3.DNS 溢出实验 4. 堆溢出实验 5.配置Windows系统安全评估 6.Windows 系统帐户安全评估 7.弱口令破解 8.邮件明文窃听 9.网络APR攻击 10.Windows_Server_IP安全配置 11.Tomcat管理用户弱口令攻击 12.木马灰鸽子防护 13.ping扫描 1.综合扫描 X-scan 采用多线程方式对指定IP地址段(或单机)进行安全漏洞检测,支持插件功能,提供了图形界面和命令行两种操作方式,扫描内容包括:远程操作系统类型及版本,标准端口状态及端口BANNER信息,SNMP信息,CGI漏洞,IIS漏洞,RPC漏洞,SSL漏洞,SQL-SERVER、FTP-SERVER、SMTP-SERVER、POP3-SERVER、NT-SERVER弱口令用户,NT服务器NETBIOS信息、
注册表信息等。 2.使用 Microsoft 基线安全分析器 MBSA:安全基线是一个信息系统的最小安全保证, 即该信息系统最基本需要满足的安全要求。信息系统安全往往需要在安全付出成本与所能够承受的安全风险之间进行平衡, 而安全基线正是这个平衡的合理的分界线。不满足系统最基本的安全需求, 也就无法承受由此带来的安全风险, 而非基本安全需求的满足同样会带来超额安全成本的付出, 所以构造信息系统安全基线己经成为系统安全工程的首要步骤, 同时也是进行安全评估、解决信息系统安全性问题的先决条件。微软基线安全分析器可对系统扫描后将生成一份检测报告,该报告将列举系统中存在的所有漏洞和弱点。 3.DNS 溢出实验 DNS溢出DNS 的设计被发现可攻击的漏洞,攻击者可透过伪装 DNS 主要服务器的方式,引导使用者进入恶意网页,以钓鱼方式取得信息,或者植入恶意程序。 MS06‐041:DNS 解析中的漏洞可能允许远程代码执行。 Microsoft Windows 是微软发布的非常流行的操作系统。 Microsoft Windows DNS 服务器的 RPC 接口在处理畸形请求时存在栈溢出漏洞,远程攻击者可能利用此漏洞获取服务器的管理权限。
天融信攻防演练平台&安全实验室建设方案 北京天融信科技有限公司 2013-04-19
目录 第1章综述 (4) 第2章实验室需求分析 (5) 2.1人才需求 (5) 2.2攻防需求 (5) 2.3研究需求 (5) 第3章实验室概述 (6) 3.1实验室网络结构 (6) 3.2实验室典型配置 (6) 第4章攻防演练系统系统介绍 (8) 4.1攻防演练系统系统概述 (8) 4.2攻防演练系统系统体系 (9) 第5章信息安全演练平台介绍 (10) 5.1应急响应流程 (10) 5.2演练事件 (11) 5.3.1信息篡改事件 (11) 5.3.2拒绝服务 (13) 5.3.3DNS劫持 (14) 5.3.4恶意代码 (15) 第6章信息安全研究实验室介绍 (18) 6.1渗透平台 (18) 6.2靶机平台 (19) 6.3监控平台 (20) 第7章方案优势和特点 (22) 7.1实验室优势 (22) 7.2实验室特点 (23) 7.3安全研究能力 (23) 7.4培训服务及认证 (24)
第8章电子政务网站检测案例.................................................................................... 错误!未定义书签。第9章实验室建设建议.. (26) 9.1实验室建设步骤 (26) 9.2实验室设备清单 (27)
第1章综述 为满足电信、军工、航天、网监、教育等行业对信息安全人才培养、攻防演练、安全研究等需求,北京天融信科技有限公司基于虚拟化技术开发了安全实训系统,并以此系统为核心打造了信息安全实验室。以下是系统主要特点: ?通过虚拟化模板快速模拟真实系统环境 通过融合虚拟网络和真实物理网络,简单拖拽即可快速搭建模拟业务系统环境,并在拓扑及配置出现问题时,方便快速恢复。 ?通过监控平台可实时观察测试情况 可通过实训系统监控平台、在线或远程的方式对所模拟的网络测试环境进行监控。 ?多种虚拟化主机和网络模板 ?网络拓扑所见即所得拖拽模式 ?和真实的网络可互通 ?整体测试环境可快速恢复 ?监控主机服务、进程及资源状态 ?监控网络协议 ?定义和捕获攻击行为 ?针对攻击行为报警
1. 实验报告如有雷同,雷同各方当次实验成绩均以0分计。 在规定时间内未上交实验报告的,不得以其他方式补交,当次成绩按0分计。 3.实验报告文件以PDF 格式提交。 口令攻击实验 【实验目的】 通过密码破解工具的使用,了解账号口令的安全性,掌握安全口令设置原则,以保护账号口令的安全。 【实验原理】 有关系统用户账号密码口令的破解主要是基于密码匹配的破解方法,最基本的方法有两个,即穷举法和字典法。穷举法就是效率最低的办法,将字符或数字按照穷举的规则生成口令字符串,进行遍历尝试。在口令密码稍微复杂的情况下,穷举法的破解速度很低。字典法相对来说效率较高,它用口令字典中事先定义的常用字符去尝试匹配口令。 口令字典是一个很大的文本文件,可以通过自己编辑或者由字典工具生成,里面包含了单词或者数字的组合。如果密码就是一个单词或者是简单的数字组合那么破解者就可以很轻易的破解密码。目前常见的密码破解和审核工具有很多种,例如破解Windows 平台口令的L0phtCrack 、 WMICracker 、SMBCrack 、CNIPC NT 弱口令终结者以及商用的工具:Elcomsoft 公司的 Adanced NT Security Explorer 和Proactive Windows Security Explorer 、Winternals 的Locksmith 等,用于Unix 平台的有John the Ripper 等。本实验主要通过L0phtCrack 的使用,了解用户口令的安全性。 【实验要求】 1.请指出Windows 7的口令保护文件存于哪个路径? 2.下载口令破解软件L0phtCrack(简写为LC ,6.0以上版本),简述其工作原理,并熟悉其用法。 3.请描述“字典攻击”的含义。 4.在主机内用命令行命令(net user )建立用户名“test ”,密码分别陆续设置为空密码、“123123”、“security ”、“974a3K%n_4$Fr1#”进行测试,在Win7能破解这些口令吗?如果能,比较这些口令的破解时间,能得出什么结论?如果不能,请说明原因。 5.下载并安装WinPE(Windows PreInstallation Environment ,Windows 预安装环境),复制出硬盘中的SAM 文件,将文件导入LC 破解,写出步骤和结果,回答4的“如果能”提问。 6.根据实验分析,请提出增加密码口令安全性的方法和策略。 【实验过程】 1.Windows 7的口令保护文件存于系统盘下Windows\System32\config 中,其名为SAM
实验五、TCP 协议分析实验报告 序号:姓名:学号:成绩 1.实验目的: 理解TCP报文首部格式和字段的作用,TCP连接的建立和释放过程,TCP数据传输过程中编号与确认的过程。 2.实验环境: 连网环境,可以是局域网,也可以是连入Internet的单机。 3.实验步骤: (1)启动Etherel协议分析软件,并开始抓包。 (2)启动某个基于TCP的应用程序,例如连接某个FTP站点,或通过浏览器访问某个网页。 (3)等出现浏览的网页后停止数据包的捕获。 (4)出现协议分析界面,将filter 一栏填入tcp,则只显示TCP协议信息,通过此信息,可以看到TCP连接的三次握手过程和协商的初始的序列号,数据传输过程以及拆除连接的相应信息。 4.实验分析,回答下列问题 打开捕获文件tcp-ethereal-trace-1,通过捕获的数据包分析TCP建立连接的三次握手的过程,并将TCP建立连接过程中的三个报文填写下来。 字段名称第一条报文第二条报文第三条报文 报文序号 6 7 8 Sequence Number 0 0 1 Acknowedgement Numbber 0 1 1 ACK 0 1 1 SYN 1 1 0 (1)TCP建立连接时的三个报文,其报文首部与其他TCP报文有什么不同? TCP在建立连接时的三个报文,在报文首部比别的报文多了OPTION的字段 (2)报文首部的OPTION字段的作用是什么?值为多少? 至少一字节的可变长字段,标识哪个选项有效。如果没有选项,这个字节等于0。说明选项的结束。这个字节等于1,表示无需再有操作 它的值为至少一个字节的可变长字段的长度。 (3)分析TCP数据传输阶段的前8个报文,将报文信息填入到表中 报文序号报文种类 (发送/确 认)序号字段确认号字 段 数据长度被确认报 文序号 9 确认 1 764 436 8
《TCP/IP协议栈重点协议的攻击实验》 实验报告 一、实验目的: 1)网络层攻击 ①IP源地址欺骗(Netwag 41) ②ARP缓存欺骗(Netwag 33) ③ICMP重定向攻击(Netwag 86) 2)传输层攻击 ①SYN flood攻击(Netwag 76) ②TCP RST攻击(Netwag 78) ③TCP Ack攻击(Netwag 79) 二、实验环境: 操作系统:Windows10 运行环境:校园网 实验软件:netwag、wireshark 三、实验步骤: 1)IP源地址欺骗(Netwag 41): ①打开Netwag软件找到41: 首先打开Netwag软件,然后找到41:Spoof Ip4Icmp4 packet,点击进入。
②设置Ping数据包发送方*(源)IP地址,和接收方(目标)地址: ③打开wireshark软件,开始抓包,然后点击Netwag的Generate 然后再点 Run it: 先用原来的本机真实IP地址测试是否能抓到ping命令包,截图中显示可以正常抓包。
④把源IP地址改变为【192.168.110.119】然后Generate → Run it: 从截图中可以发现抓到了ARP数据包,数据包内容为请求谁是 【192.168.110.119】然后接下来就是ping命令的ICMP数据包。并且发现发送给【5.6.7.8】的源IP变为【192.168.110.119】,成功欺骗目标ip为5.6.7.8 的目标。 2)ARP缓存欺骗(Netwag 33): ①找到Netwag中的33号,点击进入: 首先打开Netwag软件,点击33号,进入配置界面,选择网卡为【Eth0】,源物理地址为【00:23:24:61:13:54】目标物理【00:23:24:61:2d:86】,发送ARP 回复数据包,以及设置ARP数据包中,物理地址和ip地址,本机ip为 【10.131.10.110】而这里伪装为【10.131.10.109】。
多线程Web服务器 1实验目的: 用JA V A语言开发一个多线程的WEB服务器,它能并行服务于多个请求。发送网页文件,让网页文件能够通过在URL中制定端口号来被浏览器使用。 2实验代码及截图 class ConnectionThread extends Thread { Socket client; int counter; public ConnectionThread(Socket cl,int c) { client = cl; counter = c;
} public void run() // 线程体 { try { String destIP=client.getInetAddress().toString(); // 客户机IP地址 int destport=client.getPort(); // 客户机端口号 System.out.println("Connection "+counter+":connected to "+destIP+" on port "+destport+"."); PrintStream outstream=new PrintStream(client.getOutputStream()); DataInputStream instream=new DataInputStream(client.getInputStream()); String inline=instream.readLine(); // 读取Web浏览器提交的请求信息 System.out.println("Received:"+inline); if (getrequest(inline)) { // 如果是GET请求 String filename=getfilename(inline); File file=new File(filename); if (file.exists()) { // 若文件存在,则将文件送给Web 浏览器 System.out.println(filename+" requested."); outstream.println("HTTP/1.0 200 OK"); outstream.println("MIME_version:1.0"); outstream.println("Content_Type:text/html"); int len=(int)file.length(); outstream.println("Content_Length:"+len); outstream.println(""); sendfile(outstream,file); // 发送文件 outstream.flush(); } else { // 文件不存在时 String notfound="
网络安全攻防实验室 建设方案 XXXX信息科学与工程学院 2020/2/28
目录 第一章网络安全人才需求 (3) 1.1网络安全现状 (3) 1.2国家正式颁布五级安全等级保护制度 (3) 1.3网络安全技术人才需求猛增 (4) 第二章网络安全技术教学存在的问题 (4) 2.1网络安全实验室的建设误区 (4) 2.2缺乏网络安全的师资力量 (4) 2.3缺乏实用性强的安全教材 (5) 第三章安全攻防实验室特点 (5) 3.1安全攻防实验室简介 (5) 第四章安全攻防实验室方案 (6) 4.1安全攻防实验室设备选型 (6) 4.1.1 传统安全设备 (6) 4.1.2 安全沙盒——使实验室具有攻防教学功能的独特产品 (6) 4.2安全攻防实验室拓扑图 (8) 4.3安全攻防实验室课程体系 (9) 4.3.1 初级DCNSA网络安全管理员课程 (9) 4.3.2 中级DCNSE网络安全工程师课程 (10) 4.4高级安全攻防实验室实验项目 (12) 4.4.1基本实验 (12) 4.4.1扩展实验 (14) 第七章网络实验室布局设计 (25) 7.1 实验室布局平面图 (25) 7.2 实验室布局效果图 (25) 7.3 机柜摆放位置的选择 (26)
第一章网络安全人才需求 1.1网络安全现状 信息技术飞速发展,各行各业对信息系统的依赖程度越来越高,建立持续、稳定、安全的网络是保障用户业务发展的前提。 近年来,安全问题却日益严重:病毒、木马、黑客攻击、网络钓鱼、DDOS 等安全威胁层出不穷,而且技术越来越复杂,病毒、木马及黑客技术等融合造成了网络安全的巨大危机。 用户都已经认识到了安全的重要性。纷纷采用防火墙、加密、身份认证、访问控制,备份等保护手段来保护信息系统的安全。 但是网络安全的技术支持以及安全管理人才极度缺乏。 1.2国家正式颁布五级安全等级保护制度 2007年7月24日,公安部、国家保密局、国家密码管理局、国务院信息工作办公室正式上线颁布了信息安全等级保护规定,信息安全等级保护管理办法及实施指南,颁布了《信息安全等级保护管理办法》、《信息系统安全等级保护定级指南》、《信息安全技术信息系统安全等级保护实施指南》、《信息安全技术信息系统安全等级保护基本要求》等办法。 办法明确规定,信息系统的安全保护等级分为五级,不同等级的信息系统应具备的基本安全保护能力如下: 第一级安全保护能力:应能够防护系统免受来自个人的、拥有很少资源的威胁源发起的恶意攻击、一般的自然灾难、以及其他相当危害程度的威胁所造成的关键资源损害,在系统遭到损害后,能够恢复部分功能。 第二级安全保护能力:应能够防护系统免受来自外部小型组织的、拥有少量资源的威胁源发起的恶意攻击、一般的自然灾难、以及其他相当危害程度的威胁所造成的重要资源损害,能够发现重要的安全漏洞和安全事件,在系统遭到损害后,能够在一段时间内恢复部分功能。 第三级安全保护能力:应能够在统一安全策略下防护系统免受来自外部有组织的团体、拥有较为丰富资源的威胁源发起的恶意攻击、较为严重的自然灾难、以及其他相当危害程度的威胁所造成的主要资源损害,能够发现安全漏洞和安全事件,在系统遭到损害后,能够较快恢复绝大部分功能。 第四级安全保护能力:应能够在统一安全策略下防护系统免受来自国家级别的、敌对组织的、拥有丰富资源的威胁源发起的恶意攻击、严重的自然灾难、以及其他相当危害程度
中南大学 网络安全 实验报告 学生姓名代巍 指导教师张士庚 学院信息科学与工程学院 专业班级信安1201班 学号 0909121615 完成时间 2014年12月15日
目录实验一 CA证书与SSL连接 实验二 WIFI钓鱼 实验三 SQL注入攻击 实验四配置和管理主机防火墙
实验一 CA证书与SSL连接 一.实验目的 通过申请、安装数字证书,掌握使用SSL建立安全通信通道的方法。 掌握在Windows Server 2003 下独立根CA 的安装和使用。 使用WEB 方式申请证书和安装证书。 建立SSL 网站。 分析SSL 网站的数据包特点。 二.实验原理 SSL协议的工作原理、数字证书的原理 在访问Web 站点时,如果没有较强的安全措施,用户访问的数据是可以使用网络工具捕获并分析出来的。在Web 站点的身份验证中,有一种基本身份验证,要求用户访问输入 用户名和密码时,是以明文形式发送密码的,蓄意破坏安全性的人可以使用协议分析程序破 译出用户名和密码。那我们该如果避免呢?可利用SSL 通信协议,在Web 服务器上启用安 全通道以实现高安全性。 SSL 协议位于TCP/IP 协议与各种应用层协议之间,为数据通讯提供安全支持。SSL 协议可分为两层: SSL 记录协议(SSL Record Protocol):它建立在可靠的传输协议(如TCP) 之上,为高层协议提供数据封装、压缩、加密等基本功能的支持。SSL 握手协议(SSL Handshake Protocol):它建立在SSL 记录协议之上,用于在实际的数据传输开始前,通讯双 方进行身份认证、协商加密算法、交换加密密钥等。每一个Windows Server 2003 证书颁发 机构都有可供用户和管理员使用的网页。
西安电子科技大学 本科生实验报告 姓名:王东林 学院:计算机科学院 专业:信息安全 班级:13级本科班 实验课程名称:网络攻击与防御 实验日期:2015年10月15日 指导教师及职称:金涛 实验成绩: 开课时间: 2016-2017 学年第一学期
实验题目网络攻击与防御小组合作否 姓名王东林班级13级信息安全本科班学号201383030115 一、实验目的 1.了解网络连通测试的方法和工作原理。 2.掌握ping命令的用法。 3.了解网络扫描技术的基本原理。 4.掌握xscan工具的使用方法和各项功能。 5.通过使用xscan工具,对网络中的主机安全漏洞信息等进行探测。 6.掌握针对网络扫描技术的防御方法。 7.了解路由的概念和工作原理。 8.掌握探测路由的工具的使用方法和各项功能,如tracert等。 9.通过使用tracert工具,对网络中的路由信息等进行探测,学会排查网络故 障。 10.了解网络扫描技术的基本原理。 11.掌握nmap工具的使用方法和各项功能。 12.通过使用nmap工具,对网络中的主机信息等进行探测。 13.掌握针对网络扫描技术的防御方法。 14.掌握Linux帐号口令破解技术的基本原理、常用方法及相关工具 15.掌握如何有效防范类似攻击的方法和措施 16.掌握帐号口令破解技术的基本原理、常用方法及相关工具 17.掌握如何有效防范类似攻击的方法和措施 18.掌握帐号口令破解技术的基本原理、常用方法及相关工具 19.掌握如何有效防范类似攻击的方法和措施
二.实验环境 1、实验环境 1)本实验需要用到靶机服务器,实验网络环境如图1所示。 靶机服务器配置为Windows2000 Server,安装了IIS服务组件,并允许FTP匿名登录。由于未打任何补丁,存在各种网络安全漏洞。在靶机服务器上安装有虚拟机。该虚拟机同样是Windows2000 Professional系统,但进行了主机加固。做好了安全防范措施,因此几乎不存在安全漏洞。 2)学生首先在实验主机上利用Xscan扫描靶机服务器P3上的漏洞,扫描结束发现大量漏洞之后用相同方法扫描靶机服务器上的虚拟机P4。由于该靶机服务器上的虚拟机是安装了各种补丁和进行了主机加固的,因此几乎没有漏洞。在对比明显的实验结果中可见,做好安全防护措施的靶机服务器虚拟机上的漏洞比未做任何安全措施的靶机服务器少了很多,从而加强学生的网络安全意识。实验网络拓扑如图1。 三. 实验内容与步棸 Ping命令是一种TCP/IP实用工具,在DOS和UNIX系统下都有此命令。它将您的计算机与目标服务器间传输一个数据包,再要求对方返回一个同样大小的数据包来确定两台网络机器是否连接相通。 1.在命令提示符窗口中输入:ping。了解该命令的详细参数说明。
网络攻击与防范实验报告 姓名:_ ___ 学号:__ 所在班级: 实验名称:缓冲区溢出实验实验日期:2014 年11 月9 日指导老师:张玉清实验评分: 验收评语: 实验目的: 1、掌握缓冲区溢出的原理 2、掌握常用的缓冲区溢出方法 3、理解缓冲区溢出的危害性 4、掌握防范和避免缓冲区溢出攻击的方法 实验环境: 主机系统:Windows8 x64位 虚拟机系统:Windows XP(SP3)(IP:192.168.137.128) 溢出对象:war-ftpd 1.65 调试工具:CDB(Debugging Tools for Windows); 开发环境:Visual Studio 2013 开发语言:C语言 缓冲区溢出原理: 在metasploit中搜索war-ftp可以发现war-ftpd1.65在windows下有以下漏洞username overflow,也就是在用户使用user username这个指令时,如果username 过长就会发生缓冲区溢出。 计算机在调用函数function(arg1,…,argm)时,函数栈的布局如图1所示,首先将函数的实参从右往左依次压栈,即argm,…,arg1。然后将函数返回地址RET压栈。这时EBP 指向当前函数的基地址,ESP指向栈顶,将此时的EBP压栈,然后ESP的值赋给EBP,这样EBP就指向新的函数栈的基地址。调用函数后,再将局部变量依次压栈,这时ESP始终指向栈顶。 另外还有一个EIP寄存器,EIP中存放的是下一个要执行的指令的地址,程序崩溃时EIP的值就是RET。通过构造特殊的字符串,即两两都不相同的字符串,我们可以根据EIP 的值定位RET的位置。 知道了RET的位置以后,我们只要在RET这个位置放上我们想要执行的跳转指令就可以实现跳转。为了方便我们找一个系统中现成的指令jmp esp来实现跳转。jmp esp指令在内存中的通用地址是0x7ffa4512,可以通过CDB的U 7ffa4512来确定该地址中存放的是否为jmp esp。 jmp esp将EIP指向了esp指向的位置,我们用定位RET的办法同样定位ESP指向的位置,然后用shellcode替换这块字符串,这样计算机就会执行shellcode,从而实现攻击。 当然,我们还可以用其他的指令,如jmp esi,同样得到jmp esi指令在系统内存中的地址,以及esi指向的内存,我们就可以执行shellcode。也可以使用多次跳转。
云南大学软件学院 实验报告 课程:计算机网络原理实验任课教师:刘春花,刘宇 姓名:学号:专业:成绩: 实验六、TCP 协议分析实验报告 序号:姓名:学号:成绩 1.实验目的: 理解TCP报文首部格式和字段的作用,TCP连接的建立和释放过程,TCP数据传输过程中编号与确认的过程。 2.实验环境: 连网环境,可以是局域网,也可以是连入Internet的单机。 3.实验步骤: (1)启动Etherel协议分析软件,并开始抓包。 (2)启动某个基于TCP的应用程序,例如连接某个FTP站点,或通过浏览器访问某个网页。 (3)等出现浏览的网页后停止数据包的捕获。 (4)出现协议分析界面,将filter 一栏填入tcp,则只显示TCP协议信息,通过此信息,可以看到TCP连接的三次握手过程和协商的初始的序列号,数据传输过程以及拆除连接的相应信息。 4.实验分析,回答下列问题 打开捕获文件tcp-ethereal-trace-1,通过捕获的数据包分析TCP建立连接的三次握手的过程,并将TCP建立连接过程中的三个报文填写下来。 (1)TCP建立连接时的三个报文,其报文首部与其他TCP报文有什么不同? 答:会有SYN信息和OPTION字段 (2)报文首部的OPTION字段的作用是什么?值为多少?
答:作用为:表明本端所能接收的最大长度的报文段。 值为 8byte (3)分析TCP数据传输阶段的前8个报文,将报文信息填入到表中 数据传送阶段第一个报文的序号字段值是否等于连接建立时第三个报文的序号? 答:数据传送阶段第一个报文的序号字段值等于连接建立时第三个报文的序号,都为1 (4)捕获一个拆除TCP连接的数据包,附上捕获截图,主要要包含拆除连接的数据包部分,分析TCP释放连接的过程,选择TCP释放连接过程当中的四个报文,将报文信息填在下表。
XXX学校信息安全实验室 设计方案 北京网御星云信息技术有限公司 2014-03-30
目录 一、概述................................................................................................ - 3 - 二、设计目的........................................................................................... - 4 - 三、总体架构........................................................................................... - 4 - 3.1、所需软硬件................................................................................ - 5 - 3.2、培训 ......................................................................................... - 6 - 3.3、实验教材................................................................................... - 6 - 3.4、产品报价................................................................................... - 6 - 四、实验和演练........................................................................................ - 6 - 4.1、网御安全综合网关技术实验.......................................................... - 6 - 4.2、网御入侵检测技术实验 ................................................................ - 7 - 4.3、网御漏洞扫描系统实验 ................................................................ - 7 -
网络入侵实验报告 学号:0867010077 姓名:*** 一.实验目的: 1、了解基本的网络攻击原理和攻击的主要步骤; 2、掌握网络攻击的一般思路; 3、了解ARP攻击的主要原理和过程; 二.实验原理: ARP攻击就是通过伪造IP地址和MAC地址实现ARP欺骗,能够在网络中产生大量的ARP通信量使网络阻塞,攻击者只要持续不断的发出伪造的ARP响应包就能更改目标主机ARP缓存中的IP-MAC条目,造成网络中断或中间人攻击。 ARP攻击主要是存在于局域网网络中,局域网中若有一台计算机感染ARP木马,则感染该ARP木马的系统将会试图通过“ARP欺骗”手段截获所在网络内其它计算机的通信信息,并因此造成网内其它计算机的通信故障。 某机器A要向主机B发送报文,会查询本地的ARP缓存表,找到B的IP地址对应的MAC地址后,就会进行数据传输。如果未找到,则A广播一个ARP请求报文(携带主机A的IP地址Ia——物理地址Pa),请求IP地址为Ib的主机B回答物理地址Pb。网上所有主机包括B都收到ARP请求,但只有主机B识别自己的IP地址,于是向A主机发回一个ARP响应报文。其中就包含有B的MAC地址,A接收到B的应答后,就会更新本地的ARP缓存。接着使用这个MAC地址发送数据(由网卡附加MAC 地址)。因此,本地高速缓存的这个ARP表是本地网络流通的基础,而且这个缓存是动态的。 本实验的主要目的是在局域网内,实施ARP攻击,使局域网的网关失去作用,导致局域网内部主机无法与外网通信。 三.实验环境:windows XP操作系统,Iris抓包软件
四.实验步骤: 1,安装Iris,第一次运行Iris后会出现一个要你对适配器的选择的界面,点击适配器类型,点击确定就可以了: 如图1-1; 图1-1
重庆交通大学 实验报告 班级:电子信息专业级班学号: 姓名: 实验项目名称:计算机网络原理实验实验项目性质:设计性(验证性)实验所属课程:计算机网络 实验室(中心):软件实验室 指导教师: 实验完成时间: 2016 年 6 月 29
实验1 控制台网络操作的基本命令 实验目的: 掌握和使用控制台网络操作的基本命令:ipconfig,ping,tracert,arp,dhcp,nslookup,netstat。 实验环境: Windows7,使用命令提示符 实验步骤: ipconfig 使用ipconfig/all查看自己计算机的网络配置,尽可能明白每行的意思。 分析:你和旁边的计算机是否处于同一子网,为什么? Ping 练习ping命令,掌握反馈的意思。 通过ping/?了解ping命令的各种选项并实际使用。 Tracert/pathping 使用tracert或pathping进行路由追踪。 思考为何能进行路由追踪?请实际验证。 Arp 以arp –a命令,查看当前arp缓存,并通过网络获得查看缓存的变化。 以arp –s命令将网关设置为静态arp。 Dhcp 使用ipconfig/release释放自动获取的网络配置,并用ipconfig/renew重新获取,了解DHCP。 如果你不能释放,请思考如何处理。 常用端口号 打开C:\WINDOWS\system32\drivers\etc\services文件,了解常用的端口号分配。 Netstat 练习netstat命令,查看当前的网络连接状况。 Nslookup 练习nslookup命令,进行命令行的DNS解析。 Hosts文件 打开C:\WINDOWS\system32\drivers\etc\hosts文件,思考如何屏蔽浏览网页和观看视频时的广告? 实验内容: ipconfig
面向攻防实战的信息安全实验室建设方案 引言Introduction 为满足军工、航天、网警、电信、教育等行业对信息安全人才培养、攻防演练、安全研究等需求,天融信科技基于虚拟化技术开发了攻防演练系统,并以此系统为核心打造了面向攻防实战的信息安全实验室。 需求分析Needs Analysis 安全研究:以行业信息化、网络安全、为主要出发点、重点研究信息管理和安全应用,建设新技术开发与验证平台,研究信息安全取证、破译、解密等技术。并负责对电子数据证据进行取证和技术鉴定。 安全研究实验室示意图 应急演练:随着信息安全的日益发展,网络新型攻击和病毒形式日益恶化,因此以安全运维、快速响应为目标,以信息网络技术为主要手段,提高在网络空间开展信息监察、预防、提高突发事件的处理能力。
攻防演练实验室示意图 人才培养:近年来,信息技术已在人类的生产生活中发挥至关重要的作用,随之而来的信息安全问题也已成为关系国家安全、经济发展和社会稳定的关键性问题。但由于国专门从事信息安全工作技术人才严重短缺,阻碍了我国信息安全 事业的发展 信息安全实验室示意图 解决方案Solution 天融信基于攻防演练系统和在信息安全技术方面的研究,全力打造出基于安全研究、应急演练、人才培养所需要的信息安全实验室,实验室分为5 个区域:信息安全研究区域、信息安全演练区域、信息安全设备接入区域、竞赛与管理区域和远程接入区域。
实验室网络拓扑结构 信息安全攻防演练系统(Topsec-SP):是通过多台专用信息安全虚拟化设备,虚拟出信息安全所需的场景,例如WEB 攻防平台、应用攻防平台、威胁分析平台、数据挖掘平台、基线扫描平台、漏洞分析平台、木马分析平台等等。同时系统提供相实验指导书和实验环境场景。 信息安全研究平台(Topsec-CP):是通过智能信息安全靶机系统、信息安全智能渗透系统和信息安全监控系统实现红、蓝对战实战。并对实战过程进行监控,实现测试过程和结果动态显示。 实验室设备接入区:是能够满足用户在演练和实战时通过接入特殊设备来完成用户自定义的实验需求,例如UTM、IDS、漏扫、AIX、HP-Unix 等通过虚拟化技术无法完成的设备。 测试、培训、研究和管理区:相关人员通过B/S 做培训、研究和管理所用。 远程接入区:能够满足用户通过远程接入到信息安全实验室,进行7*24 小时的测试和研究。
南京工程学院 实验报告 题目网站钓鱼攻击 课程名称网络与信息安全技术 院(系、部、中心)计算机工程学院 专业网络工程 班级 学生姓名 学号 设计地点信息楼A216 指导教师毛云贵 实验时间 2014年3月20日 实验成绩
一实验目的 1.了解钓鱼攻击的概念和实现原理 2.了解钓鱼网站和正常网站的区别 3.提高抵御钓鱼攻击的能力 二实验环境 Windows,交换网络结构,UltraEdit 三实验原理 3.1.什么是钓鱼网站 网络钓鱼是通过大量发送声称来自于银行或其他知名机构的欺骗性垃圾邮件,意图引诱收信人给出敏感信息(如用户名、口令、帐号ID、ATM PIN码或信用卡详细信息)的一种攻击方式。最典型的网络钓鱼攻击将收信人引诱到一个通过精心设计与目标组织的网站非常相似的钓鱼网站上,并获取收信人在此网站上输入的个人敏感信息,通常这个攻击过程不会让受害者警觉。这些个人信息对黑客们具有非常大的吸引力,因为这些信息使得他们可以假冒受害者进行欺诈性金融交易,从而获得经济利益。受害者经常遭受严重的经济损失或个人信息被窃取。 钓鱼网站通常伪装成为银行网站,窃取访问者提交的账号和密码信息。它一般通过电子邮件传播,此类邮件中包含一个经过伪装的链接,该链接将收件人链接到钓鱼网站。钓鱼网站的页面与真实网站界面完全一致,要求访问者提交账号和密码。一般来说钓鱼网站结构很简单,只是一个或几个页面,URL和真实网站有细微差别,如真实的工行网站为https://www.doczj.com/doc/383841432.html,,针对工行的钓鱼网站则可能为https://www.doczj.com/doc/383841432.html,。 3.2.钓鱼网站的防范措施 1.启用专用域名 现在的网址有好几种,https://www.doczj.com/doc/383841432.html,是一个商业性网站,而https://www.doczj.com/doc/383841432.html,是政府网