下载文档原格式
网络安全实验总结5篇篇1一、引言随着信息技术的迅猛发展,网络安全问题日益受到重视。
为了提升自身对网络安全的理解和掌握,我们进行了一系列网络安全实验。
本文将对这些实验进行全面总结,旨在分析实验过程、总结实验成果,并提炼出对未来工作的启示。
二、实验过程1. 实验准备在实验开始前,我们进行了充分的准备工作。
首先,我们设计了一套全面的实验方案,明确了实验的目标、内容和方法。
其次,我们搭建了实验环境,包括配置了相应的网络设备、安装了必要的软件工具等。
最后,我们对参与实验的人员进行了培训,确保他们能够熟练掌握实验所需的技能和知识。
2. 实验实施在实验过程中,我们严格按照实验方案进行操作。
首先,我们对网络系统进行了全面的漏洞扫描,以发现潜在的安全隐患。
其次,我们针对发现的漏洞进行了详细的分析和评估,确定了漏洞的严重程度和可能带来的影响。
然后,我们根据漏洞分析的结果,制定了相应的修复方案,并对网络系统进行了及时的修复和加固。
此外,我们还进行了网络攻击模拟实验。
通过模拟常见的网络攻击场景,如暴力破解、SQL注入等,我们验证了网络系统的安全防护能力。
在模拟攻击过程中,我们发现了一些安全防护的不足之处,并及时进行了改进和优化。
三、实验成果通过本次网络安全实验,我们取得了以下成果:1. 提升了网络安全防护能力。
通过对网络系统的全面漏洞扫描和修复加固,我们显著提高了网络系统的安全性。
同时,通过模拟攻击实验,我们也发现了安全防护的不足之处,并进行了相应的改进和优化。
2. 增强了团队成员的网络安全意识。
通过实验前的培训和实验过程中的讨论与交流,团队成员对网络安全的重要性有了更深刻的认识,并掌握了一定的网络安全技能和知识。
3. 为未来的网络安全工作提供了有益的参考。
本次实验不仅提升了我们的网络安全防护能力还为我们提供了宝贵的实践经验为未来的网络安全工作奠定了坚实的基础。
四、启示与建议通过本次网络安全实验我们得到了以下启示和建议:1. 网络安全需要持续关注和重视。
网络安全基础实验报告实验目的:本实验旨在通过实践操作,掌握网络安全基础知识和技能,并了解并实践常见的网络安全攻防技术。
实验材料:1. 一台计算机2. 一台网络服务器3. 一台防火墙设备实验过程:1. 建立实验环境:将计算机、网络服务器和防火墙设备连接至同一局域网络中。
2. 实施攻击:使用计算机对网络服务器发起常见的网络攻击,如端口扫描、ARP欺骗、DDoS攻击等。
3. 监控防御:观察防火墙设备对攻击行为的识别和阻断情况,并分析攻击者的攻击手法和目的。
4. 实施防御:根据攻击行为和攻击者的目的,调整防火墙设备的配置,加强对网络服务器的防护能力,确保网络安全。
5. 检测恢复:使用网络安全检测工具对网络服务器进行检测,验证防火墙配置的有效性。
6. 总结分析:根据实验结果和经验,总结网络安全攻防的基本原则和技巧,并提出改进建议。
实验结果:1. 攻击行为识别和阻断情况良好,网络服务器受到的攻击次数明显减少。
2. 防火墙配置调整有效,网络服务器的安全性得到显著提升。
3. 防火墙检测工具显示网络服务器的安全性良好,未发现异常情况。
实验结论:通过本实验,成功掌握了网络安全基础知识和技能,并了解了常见的网络安全攻防技术。
通过合理配置防火墙设备,可以有效地防止网络攻击并维护网络安全。
改进建议:1. 进一步学习和研究网络安全领域的最新技术和攻防策略,及时更新防火墙设备的配置。
2. 定期进行网络安全演练和实践,提高网络安全防护意识和应急响应能力。
3. 加强对网络服务器的监控和日志管理,及时发现和处理安全事件。
4. 定期与网络安全专家进行交流和合作,共同提高网络安全防护水平。
第1篇一、引言随着互联网技术的飞速发展,网络安全问题日益突出,已成为影响社会稳定和国家安全的重要因素。
为了提高学生的网络安全意识和技能,我校开展了网络安全教学实践。
本报告将详细阐述本次教学实践的过程、成果和反思。
二、教学实践过程1. 教学目标本次教学实践旨在使学生了解网络安全的基本概念、常见威胁、防护措施,提高学生的网络安全意识和自我保护能力。
2. 教学内容(1)网络安全概述:介绍网络安全的基本概念、网络安全的重要性、网络安全的发展历程。
(2)网络安全威胁:讲解常见的网络安全威胁,如病毒、木马、钓鱼网站、网络攻击等。
(3)网络安全防护措施:介绍网络安全防护的基本原则、常见防护措施,如防火墙、杀毒软件、安全浏览等。
(4)网络安全案例分析:分析真实案例,让学生了解网络安全问题的严重性和防范方法。
3. 教学方法(1)讲授法:教师通过讲解网络安全知识,使学生掌握基本概念和防护措施。
(2)案例分析法:通过分析真实案例,让学生了解网络安全问题的严重性和防范方法。
(3)互动式教学:鼓励学生提问、讨论,提高学生的参与度和学习效果。
(4)实践操作:引导学生进行网络安全防护操作,如安装杀毒软件、设置防火墙等。
三、教学成果1. 学生网络安全意识显著提高:通过本次教学实践,学生认识到网络安全的重要性,增强了自我保护意识。
2. 学生网络安全技能得到提升:学生掌握了网络安全防护的基本知识和技能,能够应对常见的网络安全威胁。
3. 学生参与度和学习效果良好:教学过程中,学生积极参与讨论、提问,学习效果显著。
四、反思与改进1. 教学内容应与时俱进:随着网络安全形势的变化,教学内容应及时更新,以适应社会需求。
2. 注重实践操作:在教学中,应增加实践操作环节,让学生在实际操作中掌握网络安全技能。
3. 强化案例教学:通过分析真实案例,让学生了解网络安全问题的严重性和防范方法。
4. 拓展教学资源:充分利用网络资源,丰富教学内容,提高教学质量。
![网络安全实验报告[共五篇]](https://img.taocdn.com/s1/m/1aa839ecd05abe23482fb4daa58da0116c171f0c.png)
网络安全实验报告[共五篇]第一篇:网络安全实验报告实验一:网络扫描实验【实验目的】了解扫描的基本原理,掌握基本方法,最终巩固主机安全【实验内容】1、学习使用Nmap的使用方法2、学习使用漏洞扫描工具【实验环境】1、硬件 PC机一台。
2、系统配置:操作系统windows XP以上。
【实验步骤】1、端口扫描1)解压并安装ipscan15.zip,扫描本局域网内的主机2)解压nmap-4.00-win32.zip,安装WinPcap运行cmd.exe,熟悉nmap命令(详见“Nmap详解.mht”)。
3)试图做以下扫描:扫描局域网内存活主机,扫描某一台主机或某一个网段的开放端口扫描目标主机的操作系统试图使用Nmap的其他扫描方式,伪源地址、隐蔽扫描等2、漏洞扫描解压X-Scan-v3.3-cn.rar,运行程序xscan_gui.exe,将所有模块选择扫描,扫描本机,或局域网内某一台主机的漏洞【实验背景知识】1、扫描及漏洞扫描原理见第四章黑客攻击技术.ppt2、NMAP使用方法扫描器是帮助你了解自己系统的绝佳助手。
象Windows 2K/XP 这样复杂的操作系统支持应用软件打开数百个端口与其他客户程序或服务器通信,端口扫描是检测服务器上运行了哪些服务和应用、向Internet或其他网络开放了哪些联系通道的一种办法,不仅速度快,而且效果也很不错。
Nmap被开发用于允许系统管理员察看一个大的网络系统有哪些主机以及其上运行何种服务。
它支持多种协议的扫描如UDP,TCP connect(),TCP SYN(half open), ftp proxy(bounce attack),Reverse-ident, ICMP(ping sweep), FIN, ACK sweep,Xmas Tree, SYN sweep,1 和Null扫描。
可以从SCAN TYPES一节中察看相关细节。
Nmap还提供一些实用功能如通过tcp/ip来甄别操作系统类型、秘密扫描、动态延迟和重发、平行扫描、通过并行的PING侦测下属的主机、欺骗扫描、端口过滤探测、直接的RPC扫描、分布扫描、灵活的目标选择以及端口的描述。
网络安全管理实验报告一、实验背景在当前数字化信息社会中,网络安全问题日益突出,各种网络攻击和数据泄漏事件频频发生,给个人、组织和国家的信息安全带来了严重威胁。
因此,网络安全管理变得尤为重要。
本次实验旨在通过模拟网络攻击和应对,探讨网络安全管理的方法和策略。
二、实验环境在实验中,我们搭建了一个包含服务器、防火墙、网络入侵检测系统(IDS)和网络安全管理系统的网络环境。
通过设置虚拟机和网络设备来模拟实际网络环境,以便进行实验操作和分析。
三、实验过程1. 模拟网络攻击:我们首先对网络环境进行了弱密码攻击、端口扫描和拒绝服务(DDoS)攻击等常见攻击手段的模拟,以测试网络设备和系统的弱点和稳定性。
2. 防火墙配置:针对模拟攻击中暴露的安全漏洞,我们设置了防火墙规则来限制网络流量,防止恶意攻击和未经授权的访问。
3. IDS监测:网络入侵检测系统负责监控网络流量,识别异常行为和潜在的攻击,及时发出警报并记录相应日志。
4. 安全策略优化:通过对实验过程中的攻击和防御数据进行分析,我们调整和优化了网络安全管理策略,提高了网络的整体安全性。
四、实验结果经过一系列的实验操作和分析,我们成功防护了模拟攻击,并取得了以下成果:1. 防火墙有效拦截了弱密码攻击和DDoS攻击,并在攻击行为发生时及时进行阻断处理,确保了网络的正常运行。
2. IDS系统准确地识别了入侵行为,并发出了警报通知管理员,使其能够及时采取应对措施,防止进一步的损失。
3. 通过对安全策略的优化和调整,网络整体的安全性得到了提升,防御效果显著。
五、实验总结通过本次网络安全管理实验,我们深刻认识到网络安全对于信息社会的重要性,也更加明确了网络安全管理的重要性和复杂性。
在未来的工作中,我们将继续学习和研究网络安全领域的知识,不断提升网络安全管理能力,为网络安全事业做出贡献。
综上所述,本次网络安全管理实验取得了一定的成果,但也暴露了一些不足之处。
我们将持续学习和改进,不断提升网络安全管理水平,为建设安全可靠的网络环境而努力奋斗。
网络安全实验报告一、实验目的:1.学习和掌握常见的网络攻击方式和防御方法。
2.增强对网络安全的意识和知识。
3.熟悉和操作网络安全工具。
4.提高实验操作能力和分析问题的能力。
二、实验环境:本实验使用的软硬件环境如下:1. 操作系统:Windows 10、Ubuntu 18.04.1 LTS。
2. 虚拟机软件:VMware Workstation 15 Pro。
3. 网络安全工具:Wireshark、Nmap、Metasploit、Kali Linux等。
三、实验内容:1. 网络嗅探实验:使用Wireshark工具嗅探网络数据包,分析其中的攻击行为,例如ARP欺骗、密码抓取等。
2. 端口扫描实验:使用Nmap工具对指定主机进行端口扫描,探测开放的服务和漏洞。
3. Metasploit实验:使用Metasploit工具进行系统渗透。
例如使用exploit模块攻击未安装安全补丁的目标主机,获取目标系统的权限。
4. DDOS攻击实验:使用Kali Linux工具进行DDOS攻击,测试目标主机的防御能力。
四、实验结果及分析:1. 网络嗅探实验:通过Wireshark工具分析网络数据包,发现有ARP欺骗行为。
针对这一问题,我们可以通过ARP防火墙来防止ARP欺骗攻击。
2. 端口扫描实验:使用Nmap工具扫描目标主机,发现其中有几个端口是开放的,可能存在风险。
针对这一问题,我们可以关闭不必要的服务,或者使用防火墙限制外部访问。
3. Metasploit实验:通过Metasploit工具成功攻击了一个未安装安全补丁的目标主机,并获取了目标系统的权限。
针对这一问题,我们可以及时安装系统安全补丁,加强系统的安全性。
4. DDOS攻击实验:使用Kali Linux工具进行DDOS攻击,测试目标主机的防御能力。
根据测试结果,目标主机并未能有效防御DDOS攻击,我们可以采用更加强大的防御措施来保护系统。
总结:通过本次实验,我们学习和掌握了常见的网络攻击方式和防御方法,并通过实际操作验证了网络安全工具的有效性。
网络信息安全实验报告一、实验目的随着信息技术的飞速发展,网络已经成为人们生活和工作中不可或缺的一部分。
然而,网络信息安全问题也日益凸显,如黑客攻击、病毒传播、数据泄露等,给个人和企业带来了巨大的损失。
本次实验的目的在于深入了解网络信息安全的重要性,掌握常见的网络攻击手段和防御方法,提高网络信息安全意识和防范能力。
二、实验环境本次实验在实验室的局域网环境中进行,使用了以下设备和软件:1、计算机:若干台,安装了 Windows 操作系统和常用的应用软件。
2、网络设备:路由器、交换机等,用于构建实验网络。
3、安全工具:防火墙、入侵检测系统、漏洞扫描工具等。
4、实验软件:Metasploit、Nmap、Wireshark 等。
三、实验内容(一)网络扫描与漏洞探测使用 Nmap 工具对目标网络进行扫描,获取网络拓扑结构、主机信息和开放端口等。
通过漏洞扫描工具对目标主机进行漏洞探测,发现可能存在的安全漏洞,如弱口令、系统漏洞、应用程序漏洞等。
(二)网络攻击模拟1、利用 Metasploit 框架进行漏洞利用攻击,如缓冲区溢出攻击、SQL 注入攻击等,尝试获取目标主机的控制权。
2、进行DDoS 攻击模拟,使用工具向目标服务器发送大量的请求,导致服务器资源耗尽,无法正常提供服务。
(三)网络防御措施1、配置防火墙规则,限制外部网络对内部网络的访问,阻止非法流量进入。
2、安装入侵检测系统,实时监测网络中的异常活动,及时发现并报警。
3、定期对系统和应用程序进行补丁更新,修复已知的安全漏洞。
4、加强用户认证和授权管理,设置强口令策略,防止非法用户登录。
(四)数据加密与解密1、学习对称加密算法(如 AES)和非对称加密算法(如 RSA)的原理和实现方法。
2、使用加密工具对文件进行加密和解密操作,体会数据加密在保护信息安全中的作用。
四、实验步骤(一)网络扫描与漏洞探测1、打开 Nmap 工具,输入目标网络的 IP 地址范围,选择扫描类型(如全面扫描、端口扫描等),开始扫描。
网络安全综合实验网络安全综合实验报告一、实验目的:1. 了解网络安全的基本概念和背景知识;2. 学习和掌握常见网络攻击手段和防御方法;3. 探索网络安全实践中的应用技巧和注意事项。
二、实验环境:1. 操作系统:Windows 10;2. 实验工具:Kali Linux、Wireshark。
三、实验步骤:1. 安装和配置Kali Linux:在虚拟机软件上创建虚拟机,并安装Kali Linux操作系统。
打开终端,配置网络设置,确保虚拟机与主机能够进行网络通信。
2. 了解网络攻击手段:学习和了解常见的网络攻击手段,如:ARP欺骗、DNS劫持、DDoS攻击等,并了解其原理和防御措施。
3. 进行ARP欺骗实验:a. 使用Wireshark抓取网络数据包。
b. 在Kali Linux中使用arpspoof命令进行ARP欺骗攻击,将被攻击主机的ARP表中的网关IP地址与攻击者主机的MAC地址进行绑定。
c. 观察被攻击主机与网关之间的通信变化,分析受欺骗主机的网络连接情况和性能。
4. 进行DNS劫持实验:a. 在Kali Linux中安装并配置dnsmasq服务,将其设置为本地DNS服务器。
b. 修改被攻击主机的DNS设置,将其DNS服务器地址指向Kali Linux主机。
c. 在Kali Linux中配置dnsmasq使其对特定的域名进行劫持,并将其解析IP地址改为攻击者的IP地址。
d. 观察被攻击主机访问被劫持域名时的重定向情况,分析劫持后的影响和防御方法。
5. 进行DDoS攻击实验:a. 在Kali Linux中安装hping3工具,用于进行TCP Flood攻击。
b. 在Kali Linux中使用hping3命令进行TCP Flood攻击,向目标主机发送大量的TCP请求包,使其服务不可用。
c. 观察目标主机的服务是否受到干扰,分析攻击效果和防御方法。
四、实验总结:通过本次综合实验,我对网络安全的概念和基本知识有了更深入的理解。
实验名称:网络安全综合实验实验时间: 2023年11月15日实验地点:北京航空航天大学计算机学院实验室实验人员: [姓名]一、实验目的1. 深入理解网络安全的基本概念和原理。
2. 掌握网络安全设备的配置与调试方法。
3. 熟悉网络安全攻防技术,提高安全意识。
4. 培养动手实践能力和团队合作精神。
二、实验内容本次实验主要包括以下内容:1. 路由器配置实验:学习路由器的基本配置,包括IP地址、子网掩码、默认网关等,并实现网络的互连互通。
2. APP欺骗攻击与防御实验:学习APP欺骗攻击的原理,并尝试防御此类攻击。
3. 源IP地址欺骗攻击防御实验:学习源IP地址欺骗攻击的原理,并尝试防御此类攻击。
4. DHCP欺骗攻击与防御实验:学习DHCP欺骗攻击的原理,并尝试防御此类攻击。
5. 密码实验:学习密码学的基本原理,并尝试破解简单的密码。
6. MD5编程实验:学习MD5算法的原理,并实现MD5加密程序。
7. 数字签名综合实验:学习数字签名的原理,并尝试实现数字签名程序。
8. RIP路由项欺骗攻击实验:学习RIP路由项欺骗攻击的原理,并尝试防御此类攻击。
9. 流量管制实验:学习流量管制的原理,并尝试实现流量控制。
10. 网络地址转换实验:学习网络地址转换的原理,并尝试实现NAT功能。
11. 防火墙实验:学习防火墙的配置与调试方法,并尝试设置防火墙规则。
12. 入侵检测实验:学习入侵检测的原理,并尝试实现入侵检测系统。
13. WEP配置实验:学习WEP加密协议的配置方法,并尝试破解WEP加密。
14. 点对点IP隧道实验:学习点对点IP隧道的配置方法,并尝试实现VPN功能。
三、实验步骤1. 路由器配置实验:- 搭建实验环境,连接路由器。
- 配置路由器的IP地址、子网掩码、默认网关等。
- 通过ping命令测试网络连通性。
2. APP欺骗攻击与防御实验:- 利用欺骗软件模拟APP欺骗攻击。
- 分析欺骗攻击的原理,并尝试防御此类攻击。
网络安全实验报告
一、引言
网络安全作为信息社会的重要组成部分,对于保护个人、组织甚至国家的信息资产具有重要意义。
然而,随着互联网的普及和发展,网络安全问题也日益突出。
为了更好地了解并防范网络安全威胁,本实验从网络安全的角度出发,通过对多个网络安全实验的讲解和实践,以提高网络安全意识并掌握一些常见的网络安全防护方法。
二、实验目的
本实验的目的是通过实践操作,掌握以下几个方面的网络安全知识和技能:
1. 理解网络安全的定义和意义;
2. 学习提高个人网络安全意识和保护自身信息安全的方法;
3. 掌握网络攻击的常见类型和防范策略;
4. 学习安全测评和漏洞检测的基本原理和方法;
5. 了解网络安全相关法律法规和道德规范。
三、实验内容
1. 实验一:网络安全意识提高
通过阅读相关网络安全意识培训材料,了解网络安全的重要
性以及保护个人信息的方法,并写下自己的网络安全宣言。
2. 实验二:常见网络攻击及防范
学习主动攻击与被动攻击的定义和区别,深入了解常见的网
络攻击类型(如钓鱼、恶意软件等),并掌握相应的防范策略。
3. 实验三:安全测评与漏洞检测
学习安全测评和漏洞检测的基本原理和方法,了解如何使用
常见的安全测试工具,如Nmap、Wireshark等,对目标系统进行安
全评估和漏洞扫描。
4. 实验四:网络安全法律法规与道德规范
了解网络安全相关法律法规和道德规范,包括《网络安全法》等国内外相关法律法规,以及网络安全从业人员应遵守的道德规范。
信息与科学技术学院学生上机实验报告课程名称:计算机网络安全开课学期:2015——2016学年开课班级:2013级网络工程(2)班教师姓名:孙老师学生姓名:罗志祥学生学号:20130522237实验一、信息收集及扫描工具的使用【实验目的】1、掌握利用注册信息和基本命令实现信息收集2、掌握结构探测的基本方法3、掌握X-SCAN的使用方法【实验步骤】一、获取以及的基本信息1.利用ping 和nslookup获取IP地址(得到服务器的名称及地址)2.利用来获取信息二、使用工具获取到达的结构信息三、获取局域网内主机IP的资源信息1.ping -a IP 获得主机名;stat -a IP 获得所在域以及其他信息; view IP 获得共享资源;4.nbtstat a IP 获得所在域以及其他信息;四、使用X-SCAN扫描局域网内主机IP;1.设置扫描参数的地址范围;2.在扫描模块中设置要扫描的项目;3.设置并发扫描参数;4.扫描跳过没有响应的主机;5.设置要扫描的端口级检测端口;6.开始扫描并查看扫描报告;实验二、IPC$入侵的防护【实验目的】•掌握IPC$连接的防护手段•了解利用IPC$连接进行远程文件操作的方法•了解利用IPC$连接入侵主机的方法【实验步骤】一:IPC$ 连接的建立与断开通过IPC$ 连接远程主机的条件是已获得目标主机管理员的账号和密码。
1.单击“开始”-----“运行”,在“运行”对话框中输入“cmd”1.建立IPC$连接,键入命令net use \\192.168.213.128\ipc$123 / user:administrator2.映射网络驱动器,使用命令: net use y: \\192.168.92.132\c$1.映射成功后,打开“我的电脑”,会发现多了一个y盘,该磁盘即为目标主机的C 盘1.在该磁盘中的操作就像对本地磁盘操作一1.断开连接,键入 net use * /del 命令,断开所有的连接1.通过命令 net use \\目标主机IP\ipc$ /del可以删除指定目标IP 的IPC$ 连接。
•建立后门账号1.编写BAT文件,内容与文件名如下,格式改为:.bat1.与目标主机建立IPC$连接2.复制文件到目标主机。
(或映射驱动器后直接将hack.bat 放入目标主机的C盘中)1.打开DOS窗口,键入命令: copy c:\hack.bat\\192.168.92.132 \c$ 命令成功后,就已经把c盘下的hack.bat文件拷贝到192.168.92.132的C盘内。
1.通过计划任务使远程主机执行hack.bat文件,键入命令:net time \\192.168.92.132,查看目标主机的时间。
1.如图,目标主机的系统时间为13:45,则可键入命令:at \\192.168.92.132 13:52 c:\hack.bat ,然后断开IPC$连接。
1.验证账号是否成功建立。
等一段时间后,估计远程主机已经执行了hack.bat文件,通过建立IPC$连接来验证是否成功建立“sysback”账号:建立IPC$连接,键入命令net use \\192.168.92.132\ipc$ 123 /user:sysback1.若连接成功,说明管理员账号“sysback”已经成功建立连接。
安全解决方案1.在PC(192.168.92.132)删除默认共享,通过 net share 了解共享资源。
1.建立bat 文件,文件名为:noshare.bat,内容如下:1.将其复制到本机“开始”-----“程序”-----“启动”中。
2.禁止空连接,将该命令“net stop server /y”加入 noshare.bat 文件中或打开“控制面板”----“管理工具”------“服务”,找到server,单击右键,选择属性,选择“禁用”。
【实验报告】1.与远程主机建立IPC需要满足什么条件?答:(1)己方和对方的计算机都连接到了互联网,并且知道对方计算机的IP,知道对方计算机的管理员账号和密码(IPC$空连接除外)(2)对方没有通过禁用IPC$连接、禁用139和445端口、使用防火墙等方式来阻止IPC$。
(3)对方计算机开启了相关的IPC$服务,例如RPC服务(remote procedure call)、Server服务等。
(4)本地计算机操作系统不能使用Windows 95/98,因为Windows 95/98默认是禁用本地IPC$服务的。
2、建立了 IPC$连接能够做哪些工作?答:能映射驱动器,像在本机上一样的操作目标机的驱动器,能上传下载文件,能建立新的账号,能克隆账号等。
实验三、留后门与清脚印的防范【实验目的】● 了解帐号后门以及防范手段● 掌握手工克隆帐号原理● 掌握日志清除的防范方法【实验需求】● 计算机两台,要求安装 Windows 2000 操作系统● 交换机一台、直连线两根● 权限提升工具 PSU.exe【实验步骤】预步骤:建立IPC连接,映射驱动器,上传PSU.exe到目标主机一、设置隐藏帐号1、试运行权限提升工具 PSU.exe 测试结果如图2、进入任务管理器,查看 SYSTEM 的 PID 号如图 PID 为3、使用 PSU工具把它加载到注册表中4、在注册表中找到存放系统帐号名称以及配置信息的注册项。
5、找到 Administrator 查看他的类型如图.它的类型为 0x1f46、打开系统管理员的权限里面的 F 项把里面的 16 进制数据复制7、使用刚才的方法找到 GUEST用户打开相同的项把刚才复制的 16 进制数据粘贴进去8为了隐蔽性我们把 GUEST 帐号禁用首先在命令行模式下键入”net user guest /active:no。
9下面我们来看下当前Guest 帐号的状态在命令行下输入“net user Guest”。
由图 3-10 可以看出 Guest 用户只属于 Guest 组,接下来打开计算机管理中的帐号中的帐号管理可以发现 Guest 用户已经被禁用了。
10注销后用Guest 帐号登陆发现桌面配置与 Administrator 用户完全一样,下面我们用这个帐号执行一个只有系统管理员才有权执行的操作,如果成功那表示这个帐号后门可用二、清除日志:1、首先制作一个 DOS下的批处理文件用于删除所有的日志,把它保存为.bat 文件2置它的运行时间3通过检查被攻击主机的日志信息,可以发现内容为空在入侵到对方的服务器之后,IIS将会详细地记录下入侵者入侵的全部过程。
在IIS 中,WWW日志默认的存储位置是C:\windows\system32\logfiles\w3svc1\,每天都产生一个新日志。
可以在命令提示符窗口中通过"del *.*"命令来清除日志文件,但这个方法删除不掉当天的日志,这是因为w3svc(即World Wide Web Publishing)服务还在运行着。
(1)可以用“net stop w3svc”命令把这个服务停止之后,(2)再用“del *.*”命令,就可以清除当天的日志了,(3)最后用“net start w3svc”命令再启动w3svc服务就可以了。
注意:删除日志前要先停止相应的服务,再进行删除,日志删除后务必要记得再打开相应的服务。
也可修改目标计算机中的日志文件,其中WWW日志文件存放在w3svc1文件夹下,FTP日志文件存放在msftpsvc文件夹下,每个日志都是以exXXXXXX.log 为命名的(其中xxxxxx代表日期)。
FTP日志的默认存储位置为C:\windows\system32\logfiles\msftpsvc1\,其清除方法WWW日志的方法类似,只是所要停止的服务不同:(1)在命令提示符窗口中运行"net stop mstfpsvc"命令即可停掉msftpsvc服务。
(2)运行"del *.*"命令或找到日志文件,并将其内容删除。
(3)最后通过运行"net start msftpsvc"命令,再打开msftpsvc服务即可三、安全解决方案1、杜绝 Guest 帐户的入侵。
可以禁用或彻底删除 Guest 帐户,但在某些必须使用到 Guest 帐户的情况下,就需要通过其它途径来做好防御工作了。
首先要给 Guest 设一个强壮的密码,然后详细设置Guest 帐户对物理路径的访问权限(注意磁盘必须是NTFS 分区)。
例如禁止 Guest 帐户访问系统文件夹。
可以右击“WINNT”文件夹,在弹出菜单中选择“安全”标签,从中可看到可以访问此文件夹的所有用户。
删除管理员之外的所有用户即可2、日志文件的保护。
首先找出日志文件默认位置,以管理员身份登录进系统,并在该系统的桌面中依次单击“开始”-“运行”命令,在弹出的系统运行对话框中,输入字符串命令“compmgmt.msc” ,单击“确定”按钮后打开服务器系统的计算机管理窗口。
3、其次在该管理窗口的左侧显示窗格中,用鼠标逐一展开“系统工具”-“事件查看器” 分支项目,在“事件查看器”分支项目下面我们会看到“系统” 、“安全性”以及“应用程序”这三个选项。
要查看系统日志文件的默认存放位置时,我们可以直接用鼠标右键单击“事件查看器”分支项目下面的“应用程序”选项,从随后弹出的快捷菜单中执行“属性”命令。
在该窗口的常规标签页面中,我们可以看到本地日志文件的默认存放位置为“C:\WINDOWS\system32\config\AppEvent.Evt”4、做好日志文件挪移准备,为了让服务器的日志文件不被外人随意访问,我们必须让日志文件挪移到一个其他人根本无法找到的地方,例如可以到 E 分区的一个“E:\aaa\”目录下面创建一个“bbb”目录5、正式挪移日志文件,将对应的日志文件从原始位置直接拷贝到新目录位置“E:\aaa\bbb\”下6、修改系统注册表做好服务器系统与日志文件的关联,依次单击系统桌面中的“开始”-“运行”命令,在弹出的系统运行对话框中,输入注册表编辑命令“regedit” ,单击回车键后,打开系统的注册表编辑窗口;用鼠标双击“HKEY_LOCAL_MACHINE”注册表子键,在随后展开的注册表分支下面依次选择“SYSTEM” 、“CurrentControlSet” 、“Services” 、Eventlog”项目,在对应“Eventlog”项目下面我们会看到“System” 、“Security” 、“Application”这三个选项7、在对应“System”注册表项目的右侧显示区域中,用鼠标双击“File”键值,打开如图 2 所示的数值设置对话框, 然后在“数值数据”文本框中,输入“E:\aaa\bbb\ SysEvent.Evt”字符串内容,也就是输入系统日志文件新的路径信息,最后单击“确定” 按钮;同样地,我们可以将“Security” 、“Application”下面的“File”键值依次修 改为“E:\aaa\bbb\ SecEvent.Evt” 、 “E:\aaa\bbb\ AppEvent.Evt” ,最后按一下键盘 中的 F5 功能键刷新一下系统注册表,就能使系统日志文件的关联设置生效了实验小结1.账号克隆是什么意思?答:在注册表中有两处保存了账号的SID相对标志符,一处是注册表HKEY_LOCAL_MACHINE\SAM\AMDomains\AccountUsers 下的子键名,另一处是该子键的子项F的值。
