实验四黑客攻防与检测防御实验(补)

贾铁军主编贾欣歌曾刚王冠副主编王坚王小刚参编实验四黑客攻防与检测防御国家“十三五”重点出版规划项目-国家级规划教材上海市精品课程配套教材上海高校优秀教材奖主编目录任务一黑客入侵攻击模拟演练1补充实验(选做)Sniffer网络漏洞检测2任务二入侵防御系统IPS配置3实验四黑客攻防与检测防御1.实验目的(1)掌握常用黑客入侵的工具及其使用方法。(2)理解黑客入侵的基本过程，以便于进行防范。(3)了解黑客入侵攻击的各种危害性。2.实验内容(1)模拟黑客在实施攻击前的准备工作。(2)利用X-Scan扫描器得到远程主机B的弱口令。(3)利用Recton工具远程入侵主机B。(4)利用DameWare软件远程监控主机B。3.实验准备及环境(1)装有Windows操作系统的PC机1台，作为主机A(攻击机)。(2)装有WindowsServer2012的PC机1台，作为主机B(被攻击机)。(3)X-Scan、Recton、DameWare工具软件各1套。选做实验（1）黑客入侵攻击模拟演练任务一黑客入侵攻击模拟演练4.实验步骤(1)模拟攻击前的准备工作步骤1：由于本次模拟攻击所用到的工具软件均可被较新的杀毒软件和防火墙检测出来并自动进行隔离或删除，因此，在模拟攻击前要先将两台主机安装的杀毒软件和Windows防火墙等全部关闭。步骤2：在默认的情况下，两台主机的IPC$共享、默认共享、135端口和WMI服务均处于开启状态，在主机B上禁用TerminalServices服务(主要用于远程桌面连接)后重新启动计算机。步骤3：设置主机A(攻击机)的IP地址为192.168.1.101，主机B(被攻击机)的IP地址为192.168.1.102(IP地址可以根据实际情况自行设定)，两台主机的子网掩码均为255.255.255.0。设置后用ping测试两台主机连接成功步骤4：为主机B添加管理员用户“abc”，密码为“123”。步骤5：打开主机B的“控制面板”中的“管理工具”，执行“本地安全策略”命令，在“本地策略”的“安全选项”中找到“网络访问：本地账户的共享和安全模式”策略，并将其修改为“经典-本地用户以自己的身份验证”，如图4-68所示。实验四黑客攻防与检测防御实验图4-68本地安全设置界面图4-69“扫描参数”对话框4.实验步骤实验四黑客攻防与检测防御实验(2)利用X-Scan扫描器得到远程主机B的弱口令步骤1：在主机A上安装X-Scan扫描器。在用户名字典文件nt_user.dic中添加由a、b、c三个字母随机组合的用户名，如abc、cab、bca等，每个用户名占一行，中间不要有空行。步骤2：在弱口令字典文件weak_pass.dic中添加由1、2、3三个数字随机组合的密码，如123、321、213等，每个密码占一行，中间不要有空行。步骤3：运行X-Scan扫描器,选择“设置”→“扫描参数”命令,打开“扫描参数”对话框,指定IP范围为192.168.1.102,如图4-69所示。步骤4：在图4-69中，选择左侧窗格中的“全局设置”→“扫描模块”选项，在右侧窗格中，为了加快扫描速度，这里仅选中“NT-Server弱口令”复选框，如图4-70所示，单击“确定”按钮。步骤5：在X-Scan主窗口界面中，单击上面工具栏中的“开始扫描”按钮后，便开始进行扫描，如图4-71所示。实验四黑客攻防与检测防御实验图4-70确定“扫描参数”图4-71单击工具栏中开始扫描按钮4.实验步骤实验四黑客攻防与检测防御实验步骤6：经过一段时间后，扫描结束，弹出一个扫描结果报告，如图4-72所示，可见已经扫描出用户abc的密码为123。图4-72报告扫描结果图4-73设置允许远程桌面连接实验四黑客攻防与检测防御实验(3)利用Recton工具远程入侵主机B①远程启动TerminalServices服务。步骤1：在主机B上，设置允许远程桌面连接，如图4-73所示。在主机A中运行mstsc.exe命令，设置远程计算机的IP地址(192.168.1.102)和用户名(abc)后，再单击“连接”按钮，弹出无法连接到远程桌面的提示信息，如图4-74所示，这是因为主机B上没有开启TerminalServices服务。步骤2：在主机A中运行入侵工具Rectonv2.5，在“Terminal”选项卡中，输入远程主机(主机B)的IP地址(192.168.1.102)、用户名(abc)、密码(123)，端口(3389)保持不变，并选中“自动重启”复选框，如图4-75所示。实验四黑客攻防与检测防御实验图4-74无法连接到远程桌面的信息图4-75远程启动Terminal服务实验四黑客攻防与检测防御实验实验四黑客攻防与检测防御实验图4-76设置远程登录界面图4-77远程启动主机上的Telnet服务②远程启动和停止Telnet服务。③在远程主机上执行CMD命令。实验四黑客攻防与检测防御实验图4-82在主机B上验证新增用户图4-83远程执行CMD命令(3)导入密钥实验四黑客攻防与检测防御实验图4-84输入浏览器地址图4-85“关闭进程”界面④清除远程主机上的日志。⑤重新启动远程主机。⑥控制远程主机中的进程。⑦控制远程主机中的服务。⑧控制远程主机中的共享。实验四黑客攻防与检测防御实验图4-86选择“获取服务信息”图4-87查看远程主机当前所有的共享信息⑨向远程主机种植木马实验四黑客攻防与检测防御实验图4-88设置木马启动时所需参数图4-89设置远程连接主机(4)利用DameWare软件远程监控主机B步骤1：在主机A中安装并运行DameWare(迷你中文版4.5)软件，如图4-89所示，输入远程主机BIP地址、用户名和口令(密码)。步骤2：单击“设置”按钮，在打开的对话框中选择“服务安装选项”选项卡,选中“设置服务启动类型为‘手动’－默认为‘自动’”和“复制配置文件DWRCS.INI”复选框,如图4-90所示.步骤3：单击“编辑”按钮，在打开的对话框中选择“通知对话框”选项卡,取消选中“连接时通知”复选框,如图4-91所示.实验四黑客攻防与检测防御实验图4-90设置“服务安装选项”图4-91“通知对话框”选项卡步骤4：在“附加设置”选项卡中，取消选中所有的复选框，如图4-92所示，这样设置的目的是在连接并监控远程主机时不易被其发现。步骤5：单击“确定”按钮，返回到“远程连接”对话框，然后，单击“连接”按钮进行远程连接。步骤6：在第一次连接远程主机B时，会弹出“错误”对话框，提示远程控制服务没有安装在远程主机上，如图4-93所示，单击“确定”按钮，开始安装远程控制服务。服务安装完成后，会显示远程主机B的当前桌面，并且同步显示主机B的所有操作，实现远程监视主机B的目的。实验四黑客攻防与检测防御实验图4-92“附加设置”选项卡图4-93连接“错误”提示对话框Sniffer软件是NAI公司研发的功能强大的协议分析软件。利用这个工具，可以监视网络的状态、数据流动变动情况和网络上传输的信息等。1.实验目的（1）利用Sniffer软件捕获网络数据包，然后通过解码进行检测分析。（2）会用网络安全检测工具的操作方法，具体进行检测并写出结论。2.实验要求及方法（1）实验环境要求①硬件：三台PC计算机。单机基本配置见表13-1。软件：操作系统Windows2003ServerSP4以上，Sniffer软件。【注意】本实验是在虚拟实验环境下完成,若在真实的环境下完成,则网络设备应该选择集线器或交换机,交换机则在C机上要做端口镜像。补充实验Sniffer网络检测实验四黑客攻防与检测防御补充选做实验：Sniffer网络检测Sniffer软件是NAI公司研发的功能强大的协议分析软件。利用这个工具，可以监视网络的状态、数据流动变动情况和网络上传输的信息等。1.实验目的（1）利用Sniffer软件捕获网络数据包，然后通过解码进行检测分析。（2）会用网络安全检测工具的操作方法，具体进行检测并写出结论。2.实验要求及方法（1）实验环境要求①硬件：三台PC计算机。单机基本配置见表13-1。软件：操作系统Windows2003ServerSP4以上，Sniffer软件。【注意】本实验是在虚拟实验环境下完成,若在真实的环境下完成,则网络设备应选择集线器或交换机,若是交换机,则在C机上要做端口镜像.实验四黑客攻防与检测防御（2）实验方法三台PC机的IP地址及任务分配见表13-2所示。实验用时：2学时（90-100分钟）表13-1设备基本配置表13-2三台PC机的IP地址及任务分配设备名称设备IP地址任务分配内存1G以上A机10.0.0.3用户Zhao利用此机登陆到FTP服务器CPU2G以上B机10.0.0.4已经搭建好的FTP服务器硬盘40G以上C机10.0.0.2用户Tom在此机利用Sniffer软件捕获Zhao的账号和密码实验四Sniffer网络检测3.实验内容及步骤（1）实验内容三台PC机，其中用户Zhao利用已建好的账号在A机上登录到B机已经搭建好的FTP服务器，用户Tom在此机利用Sniffer软件捕获Zhao的账号和密码。（2）实验步骤①在C机上安装Sniffer软件。启动Sniffer进入主窗口，如图4-43所示。②在进行流量捕捉之前，首先选择网卡，确定从计算机的哪个网卡接收数据，并将网卡设成混杂模式。网卡混杂模式，就是将所有数据包接收下来放入内存进行分析。设置方法：单击“File”→“SelectSettings”命令，在弹出的对话框中设置，如图4-44所示。实验四黑客攻防与检测防御图4-43启动Sniffer主窗口图4-44设置计算机的网卡实验四黑客攻防与检测防御②在进行流量捕捉之前，首先选择网卡，确定从计算机的哪个网卡接收数据，并将网卡设成混杂模式。网卡混杂模式，就是将所有数据包接收下来放入内存进行分析。设置方法：单击“File”→“SelectSettings”命令，在弹出的对话框中设置，如图4-44所示。③新建一个过滤器。设置具体方法为：●单击“Capture”→“DefineFilter”命令，进入DefineFilter–Capture窗口界面。●单击Profiles命令，打开CaptureProfiles对话框，单击New按钮。在弹出的对话框的NewProfilesName文本框中输入ftp_test，单击OK按钮。在CaptureProfiles对话框中单击Done按钮，如图4-45所示。实验四黑客攻防与检测防御图4-43启动Sniffer主窗口图4-44设置计算机的网卡实验四黑客攻防与检测防御④在“DefineFilter”对话框的Address选项卡中，设置地址的类型为IP，并在Station1和Station2中分别制定要捕获的地址对，如图4-46所示。⑤在“DefineFilter”对话框的Advanced选项卡中，指定要捕获的协议为FTP。⑥主窗口中，选择过滤器为ftp_test，然后单击“Capture”→“Start”，开始进行捕获。⑦用户Zhao在A机上登录到FTP服务器。⑧当用户用名字Zhao及密码登录成功时，Sniffer的工具栏会显示捕获成功的标志。⑨利用专家分析系统解码分析，可得到基本信息，如用户名、客户端IP等。实验四黑客攻防与检测防御1．实验目的(1)理解入侵防御系统IPS的特性和对应用环境的要求。(2)掌握入侵防御系统IPS的配置步骤和具体方法。(3)明确在对入侵防御系统配置攻击防护特性时，首先配置链路上的IPS策略，然后配置规则来检测、阻断相应的攻击。(4)理解在将配置激活后，链路中若有攻击流量经过，就能被IPS阻断，并且在攻击日志中查看相应的信息，在攻击报表中查看一段时间内的攻击趋势。2．预备知识及要求（1）系统特性（2）应用环境要求（3）注意事项选做实验（2）入侵防御系统IPS的配置图4