1、上海市精品课程特色教材上海高校优秀教材奖主编,计算机及信息类规划教材上海市教育高地建设项目,贾铁军主编 贾欣歌 曾刚 王冠 副主编 王坚 王小刚参编 http:/ 黑客攻防与检测防御,网络安全技术及应用实践教程,(第2版),目 录,实验四 黑客攻防与检测防御,1. 实验目的(1) 掌握常用黑客入侵的工具及其使用方法。(2) 理解黑客入侵的基本过程,以便于进行防范。(3) 了解黑客入侵攻击的各种危害性。2. 实验内容(1) 模拟黑客在实施攻击前的准备工作。(2) 利用X-Scan扫描器得到远程主机B的弱口令。(3) 利用Recton工具远程入侵主机B。(4) 利用DameWare软件远程监控主机
2、B。3. 实验准备及环境 (1) 装有Windows 操作系统的PC机1台,作为主机A(攻击机)。(2) 装有Windows Server 2012的PC机1台,作为主机B(被攻击机)。(3) X-Scan、Recton、DameWare工具软件各1套。,选做实验(1)黑客入侵攻击模拟演练,任务一 黑客入侵攻击模拟演练,4. 实验步骤(1) 模拟攻击前的准备工作步骤1:由于本次模拟攻击所用到的工具软件均可被较新的杀毒软件和防火墙检测出来并自动进行隔离或删除,因此,在模拟攻击前要先将两台主机安装的杀毒软件和Windows防火墙等全部关闭。步骤2:在默认的情况下,两台主机的IPC$共享、默认共享、
3、135端口和WMI服务均处于开启状态,在主机B上禁用Terminal Services服务(主要用于远程桌面连接)后重新启动计算机。步骤3:设置主机A(攻击机)的IP地址为192.168.1.101,主机B(被攻击机)的IP地址为192.168.1.102(IP地址可以根据实际情况自行设定),两台主机的子网掩码均为255.255.255.0。设置后用ping测试两台主机连接成功步骤4:为主机B添加管理员用户“abc”,密码为“123”。步骤5:打开主机B的“控制面板”中的“管理工具”,执行“本地安全策略”命令,在“本地策略”的“安全选项”中找到“网络访问:本地账户的共享和安全模式”策略,并将其
4、修改为“经典-本地用户以自己的身份验证”,如图4-68所示。,实验四 黑客攻防与检测防御实验,图4-68本地安全设置界面 图4-69“扫描参数”对话框,4. 实验步骤,实验四 黑客攻防与检测防御实验,(2) 利用X-Scan扫描器得到远程主机B的弱口令步骤1:在主机A上安装X-Scan扫描器。在用户名字典文件nt_user.dic中添加由a、b、c三个字母随机组合的用户名,如abc、cab、bca等,每个用户名占一行,中间不要有空行。步骤2:在弱口令字典文件weak_pass.dic中添加由1、2、3三个数字随机组合的密码,如123、321、213等,每个密码占一行,中间不要有空行。步骤3:运
5、行X-Scan扫描器,选择“设置”“扫描参数”命令,打开“扫描参数”对话框,指定IP范围为192.168.1.102,如图4-69所示。步骤4:在图4-69中,选择左侧窗格中的“全局设置”“扫描模块”选项,在右侧窗格中,为了加快扫描速度,这里仅选中“NT-Server弱口令”复选框,如图4-70所示,单击“确定”按钮。步骤5:在X-Scan主窗口界面中,单击上面工具栏中的“开始扫描”按钮后,便开始进行扫描,如图4-71所示。,实验四 黑客攻防与检测防御实验,图4-70 确定“扫描参数” 图4-71单击工具栏中开始扫描按钮,4. 实验步骤,实验四 黑客攻防与检测防御实验,步骤6:经过一段时间后,
6、扫描结束,弹出一个扫描结果报告,如图4-72所示,可见已经扫描出用户abc的密码为123。,图4-72 报告扫描结果 图4-73设置允许远程桌面连接,实验四 黑客攻防与检测防御实验,(3) 利用Recton工具远程入侵主机B 远程启动Terminal Services服务。步骤1:在主机B上,设置允许远程桌面连接,如图4-73所示。在主机A中运行mstsc.exe命令,设置远程计算机的IP地址(192.168.1.102)和用户名(abc)后,再单击“连接”按钮,弹出无法连接到远程桌面的提示信息,如图4-74所示,这是因为主机B上没有开启Terminal Services服务。步骤2:在主机A
7、中运行入侵工具Recton v2.5,在“Terminal”选项卡中,输入远程主机(主机B)的IP地址(192.168.1.102)、用户名(abc)、密码(123),端口(3389)保持不变,并选中“自动重启”复选框,如图4-75所示。,实验四 黑客攻防与检测防御实验,图4-74 无法连接到远程桌面的信息 图4-75远程启动Terminal服务,实验四 黑客攻防与检测防御实验,实验四 黑客攻防与检测防御实验,图4-76 设置远程登录界面 图4-77远程启动主机上的Telnet服务,远程启动和停止Telnet服务。,在远程主机上执行CMD命令。,实验四 黑客攻防与检测防御实验,图4-82在主机
8、B上验证新增用户 图4-83 远程执行CMD命令,(3) 导入密钥,实验四 黑客攻防与检测防御实验,图4-84 输入浏览器地址 图4-85“关闭进程”界面, 清除远程主机上的日志。 重新启动远程主机。 控制远程主机中的进程。 控制远程主机中的服务。 控制远程主机中的共享。,实验四 黑客攻防与检测防御实验,图4-86选择“获取服务信息” 图4-87查看远程主机当前所有的共享信息, 向远程主机种植木马,实验四 黑客攻防与检测防御实验,图4-88 设置木马启动时所需参数 图4-89 设置远程连接主机,(4) 利用DameWare软件远程监控主机B步骤1:在主机A中安装并运行DameWare(迷你中文
9、版4.5)软件,如图4-89所示,输入远程主机BIP地址、用户名和口令(密码)。步骤2:单击“设置”按钮,在打开的对话框中选择“服务安装选项”选项卡,选中“设置服务启动类型为手动默认为自动”和“复制配置文件DWRCS.INI”复选框,如图4-90所示.步骤3:单击“编辑”按钮,在打开的对话框中选择“通知对话框”选项卡,取消选中“连接时通知”复选框,如图4-91所示.,实验四 黑客攻防与检测防御实验,图4-90 设置“服务安装选项” 图4-91“通知对话框”选项卡,步骤4:在“附加设置”选项卡中,取消选中所有的复选框,如图4-92所示,这样设置的目的是在连接并监控远程主机时不易被其发现。步骤5:
10、单击“确定”按钮,返回到“远程连接”对话框,然后,单击“连接”按钮进行远程连接。步骤6:在第一次连接远程主机B时,会弹出“错误”对话框,提示远程控制服务没有安装在远程主机上,如图4-93所示,单击“确定”按钮,开始安装远程控制服务。服务安装完成后,会显示远程主机B的当前桌面,并且同步显示主机B的所有操作,实现远程监视主机B的目的。,实验四 黑客攻防与检测防御实验,图4-92“附加设置”选项卡 图4-93连接“错误”提示对话框,Sniffer软件是NAI公司研发的功能强大的协议分析软件。利用这个工具,可以监视网络的状态、数据流动变动情况和网络上传输的信息等。1. 实验目的(1)利用Sniffer
11、软件捕获网络数据包,然后通过解码进行检测分析。(2)会用网络安全检测工具的操作方法,具体进行检测并写出结论。2. 实验要求及方法(1)实验环境要求 硬件:三台PC计算机。单机基本配置见表13-1。软件:操作系统Windows 2003 Server SP4以上,Sniffer 软件。【注意】本实验是在虚拟实验环境下完成,若在真实的环境下完成,则网络设备应该选择集线器或交换机,交换机则在C机上要做端口镜像。,补充实验 Sniffer网络检测,实验四 黑客攻防与检测防御,补充选做实验: Sniffer网络检测 Sniffer软件是NAI公司研发的功能强大的协议分析软件。利用这个工具,可以监视网络的
12、状态、数据流动变动情况和网络上传输的信息等。1. 实验目的(1)利用Sniffer软件捕获网络数据包,然后通过解码进行检测分析。(2)会用网络安全检测工具的操作方法,具体进行检测并写出结论。2. 实验要求及方法(1)实验环境要求 硬件:三台PC计算机。单机基本配置见表13-1。软件:操作系统Windows 2003 Server SP4以上,Sniffer 软件。【注意】本实验是在虚拟实验环境下完成,若在真实的环境下完成,则网络设备应选择集线器或交换机,若是交换机,则在C机上要做端口镜像.,实验四 黑客攻防与检测防御,(2)实验方法三台PC机的IP地址及任务分配见表13-2所示。实验用时:2学
13、时(90-100分钟),表13-1 设备基本配置 表13-2 三台PC机的IP地址及任务分配,实验四 Sniffer网络检测,3. 实验内容及步骤(1)实验内容三台PC机,其中用户Zhao利用已建好的账号在A机上登录到B机已经搭建好的FTP服务器,用户Tom在此机利用Sniffer软件捕获 Zhao的账号和密码。(2)实验步骤在C机上安装Sniffer软件。启动Sniffer进入主窗口,如图4-43所示。在进行流量捕捉之前,首先选择网卡,确定从计算机的哪个网卡接收数据,并将网卡设成混杂模式。网卡混杂模式,就是将所有数据包接收下来放入内存进行分析。设置方法:单击“File” “Select Se
14、ttings”命令,在弹出的对话框中设置,如图4-44所示。,实验四 黑客攻防与检测防御,图4-43 启动Sniffer主窗口 图4-44 设置计算机的网卡,实验四 黑客攻防与检测防御,在进行流量捕捉之前,首先选择网卡,确定从计算机的哪个网卡接收数据,并将网卡设成混杂模式。网卡混杂模式,就是将所有数据包接收下来放入内存进行分析。设置方法:单击“File” “Select Settings”命令,在弹出的对话框中设置,如图4-44所示。 新建一个过滤器。设置具体方法为: 单击“Capture”“Define Filter”命令,进入Define Filter Capture窗口界面。 单击命令,
15、打开Capture Profiles对话框,单击按钮。在弹出的对话框的New Profiles Name 文本框中输入ftp_test,单击按钮。在Capture Profiles对话框中单击按钮,如图4-45所示。,实验四 黑客攻防与检测防御,图4-43 启动Sniffer主窗口 图4-44 设置计算机的网卡,实验四 黑客攻防与检测防御,在“Define Filter”对话框的Address选项卡中,设置地址的类型为IP,并在Station1和Station2中分别制定要捕获的地址对,如图4-46所示。在“Define Filter”对话框的Advanced选项卡中,指定要捕获的协议为FTP
16、。主窗口中,选择过滤器为ftp_test,然后单击“Capture” “Start”,开始进行捕获。用户Zhao在A机上登录到FTP服务器。当用户用名字Zhao及密码登录成功时,Sniffer的工具栏会显示捕获成功的标志。利用专家分析系统解码分析,可得到基本信息,如用户名、客户端IP等。,实验四 黑客攻防与检测防御,1实验目的(1)理解入侵防御系统IPS的特性和对应用环境的要求。(2)掌握入侵防御系统IPS的配置步骤和具体方法。(3)明确在对入侵防御系统配置攻击防护特性时,首先配置链路上的IPS策略,然后配置规则来检测、阻断相应的攻击。(4)理解在将配置激活后,链路中若有攻击流量经过,就能被I
17、PS阻断,并且在攻击日志中查看相应的信息,在攻击报表中查看一段时间内的攻击趋势。2预备知识及要求(1)系统特性(2)应用环境要求(3)注意事项,选做实验(2)入侵防御系统IPS的配置,图4-41IPS攻击防护典型配置组网图,3实验内容及步骤(1)登录Web搭建配置环境。用交叉以太网线将PC网口和IPS管理口相连。为PC的网口配置IP地址,保证能与IPS的管理口互通。配置PC的IP地址为192.168.1.0/24(除192.168.1.1)如192.168.1.2。启动浏览器,输入登录信息。,图4-95 WEB网管登录界面,选做实验(2)入侵防御系统IPS的配置,3实验内容及步骤(2)创建安全
18、区域在导航栏中选择“系统管理网络管理安全区域”,进入“安全区域显示”页面,如图4-96所示。单击按钮,进入“创建安全区域”的配置页面,如图4-97所示。,图4-96安全区域显示页面,图413-97创建安全区域,选做实验(2)入侵防御系统IPS的配置,3实验内容及步骤分别将g-ethernet 0/0/0加入内部域in,将g-ethernet 0/0/1加入外部域out,具体如图4-98至如图4-100所示。,图4-98将接口加入内部域,图4-99将接口加入外部域,图4-100安全区域创建情况,选做实验(2)入侵防御系统IPS的配置,(3)配置“新建段”在导航栏中选择“系统管理网络管理段配置”,
19、进入“段的显示”页面,如图4-101所示。,图4-101段的显示页面,单击按钮,进入“新建段”的配置页面,创建一0段,将内网和外网链路连通,文章后面再在此链路上配置IPS段策略,如图4-102和图4-103所示。,图4-102“新建段”的配置页面,图4-103新建段成功,选做实验(2)入侵防御系统IPS的配置,(4)配置IPS段策略在导航栏中选择“IPS快捷应用”,进入“IPS策略快捷应用”页面,输入IPS策略名、描述、选择相应的段编号、方向,点击按钮,如图4-104所示。在“IPS段策略管理”页面可以看到段0上应用了上述的ips策略,如图4-105所示。,图4-104创建IPS段策略,图4-
20、105IPS段策略创建成功,选做实验(2)入侵防御系统IPS的配置,(5)修改IPS策略相应规则点击如图4-105所示的策略名称链接,进入到IPS策略的“规则管理”页面,可以看到几千条规则。若需要对Backdoor类型的攻击进行检测和阻断,在分类中选择“Backdoor”,点击“搜索”.可看到搜索出系统能够识别的所有Backdoor类型的攻击,如图4-106所示。,图4-106 修改IPS规则,选做实验(2)入侵防御系统IPS的配置,(6)激活系统配置点击按钮将上述配置激活,如图4-107。(7)保存系统配置,如图4-108所示。(8)验证结果,图4-107配置激活,图4-108保存配置,图4-109攻击被阻断,选做实验(2)入侵防御系统IPS的配置,查看“报表攻击报表攻击事件报表”中可以看到一段时间内的攻击信息。选择查询的报表类型、攻击ID、级别、动作类型、指定时间和段,点击按钮,如图4-110所示。可以查看到某一时间段内的攻击信息,如图4-111所示。,图173-110查看攻击报表,图4-111攻击报表查看结果,选做实验(2)入侵防御系统IPS的配置,网络安全技术及应用实践教程(第2版)机械工业出版社,诚挚谢意!,上海市精品课程特色教材上海高校优秀教材奖主编,计算机及信息类规划教材上海市教育高地建设项目,
