任务 9 处理黑客入侵事件

工作任务问题探究知识拓展检查评价学习目标实践操作学习目标1.知识目标2.能力目标学习目标返回下页上页学习目标1.知识目标返回下页上页认识并了解黑客1理解黑客的攻击手段2了解黑客常用的攻击方法3了解防范黑客入侵的方法4学习目标2.能力目标返回下页上页扫描要攻击的目标主机1入侵并设置目标主机2监视并控制目标主机3使用入侵型攻击软件45防范入侵型攻击工作任务工作任务2.工作任务背景4.条件准备1.工作名称3.工作任务分析返回下页上页任务背景：最近多位老师发现自己计算机中的内容突然丢失或被篡改，有的计算机还出现莫名其妙的重新启动现象。张老师接到报告后，迅速感到现场查看，发现这几台计算机的硬盘均被不同程度的共享了；有的计算机中被植入了木马；有的计算机中正在运行的进程和服务被突然停止；更有甚者，有的计算机的鼠标指针竟然会自行移动，并执行了某些操作。而查看这些计算机的日志却没有任何发现。任务名称：模拟校园网内主机被黑客入侵攻击任务名称与背景返回下页工作任务上页从这几台计算机的现象看，非常明显是被黑客攻击了。张老师进一步深入的查看，发现了这几台出现问题的计算机存在着一些共同点：有的老师为了自己使用方便或其他一些原因，将自己计算机的用户名和密码记录在了计算机旁边，有的老师设置的用户名和密码非常简单，甚至根本没有设置密码；几台计算机的操作系统均为WindowsXPProfessional而且均默认打开了IPC$共享和默认共享；几台计算机有的未安装任何杀毒软件和防火墙，有的安装了杀毒软件但很久未作升级。另外这几台计算机的本地安全策略的安全选项中，“网络访问：本地帐户的共享和安全模式”的安全设置为“经典-本地用户以自己的身份验证”。由于老师们所在的办公室经常有外人进出，不排除任务分析返回下页工作任务上页返回下页工作任务上页任务分析他们的用户名和密码等信息被他人获知的可能性。机器机器中未安装杀毒软件和防火墙，导致他人利用黑客工具可以非常轻松的任务分析攻击这些计算机，设置硬盘共享、控制计算机的服务和进程等。另外安全选项中的“网络访问：本地帐户的共享和安全模式”一项的默认设置应为“仅来宾：本地用户以来宾身份验证。”，这样的设置可以使本地帐户的网络登录将自动映射到Guest帐户，而“设置为“经典-本地用户以自己的身份验证”，意味着该计算机不论是否禁用“Guest帐户”，只要获知本地用户的密码，那么任何人都可以使用这些用户帐户来访问和共享这些计算机的系统资源了。任务分析张老师将计算机被黑客攻击的结论告诉了这几位老师，他们觉得不可思议。他们提出了很多问题：难道我们的身边真的存在校园黑客？黑客究竟使用什么样的方法控制了我们的计算机？今后我们应该如何防范黑客的攻击？张老师为了增强老师们的网络安全防范意识，决定利用一些网上下载的黑客攻击软件为老师们模拟操作校园网计算机被攻击的过程，并在操作过程中指出老师应该如何应对和防范黑客的攻击。黑客攻击的手段和方法很多，张老师认真分析了本次发生的校园网黑客入侵事件，推理出本次黑客攻击的过程：首先黑客获得目标主机的用户名和密码，返回下页工作任务上页任务分析该内容可能在老师们的办公室中直接获得，也可能是利用黑客扫描软件对某个IP地址段的目标主机进行扫描，获得其中弱口令主机的用户名和密码；然后利用黑客攻击软件对这些目标主机进行攻击，完成设置硬盘共享、控制服务和进程、安装木马等操作；之后清除目标主机中所有日志的内容，做到不留痕迹。另外该黑客还可能对某些目标主机实行了监视甚至控制。张老师决定下载可以完成以上操作的黑客软件。目前网上的黑客攻击软件很多，但是大部分均能被最新的杀毒软件或防火墙检测出来并当作病毒或木马进行隔离或删除处理。为了实现黑客攻击的演示，张老师先将自己计算机中的防火墙和杀毒软件关闭。返回下页工作任务上页条件准备张老师下载了三个黑客软件：NTscan变态扫描器、Rectonv2.5、DameWare迷你中文版4.5。NTscan变态扫描器可以对指定IP地址段的所有主机进行扫描，扫描方式有IPC扫描、SMB扫描、WMI扫描三种，可以扫描打开某个指定端口的主机，通过扫描可以得到其中弱口令主机的管理员用户名和密码。Rectonv2.5是一个典型的黑客攻击软件，只要拥有某一个远程主机的管理员账号和密码，并且远程主机的135端口和WMI服务（默认启动）都开启，就可以利用该软件完成远程开关telnet，远程运行CMD命令，远程重启和查杀进程，远程查看、启动和停止服务、查看和创建共享、种植木马、远程清除所有日志等操作。返回下页工作任务上页条件准备DameWare迷你中文版4.5是一款远程控制软件，只要拥有一个远程主机的账号和密码，就可以对该主机实施远程监控，监视远程主机的所有操作甚至达到控制远程主机的目的。另外张老师选择了两台操作系统为WindowsXPProfessional的主机，其中一台作为实施攻击的主机（以下称“主机A”），另一台作为被攻击的主机（以下称“主机B”），并将两台主机接入局域网中。返回下页工作任务上页实践操作⒈模拟攻击前的准备⒉利用NTscan得到主机B的弱口令⒊利用Rectonv2.5入侵主机B⒋利用DameWare监控主机B实践操作返回下页上页⒈模拟攻击前的准备由于本次模拟攻击所用到的黑客软件均可被较新的杀毒软件和防火墙检测出并自动进行隔离或删除的处理，因此，在模拟攻击前要先将两台主机安装的杀毒软件和防火墙全部关闭。然后打开“控制面板”中的“windows安全中心”，执行“windows防火墙”设置，将“windows防火墙”也关闭，如图所示。实践操作返回下页上页⒈模拟攻击前的准备实践操作返回下页上页由于在默认的情况下，两台主机的IPC$共享、默认共享、135端口和WMI服务均处于开启状态，因此对共享、端口和服务不做任何调整。设置主机A的IP地址为“172.16.100.1”，主机B的IP地址为“172.16.100.2”（IP地址可以根据实际情况自行设定），两台主机的子网掩码均应为“255.255.0.0”。设置完成后用“ping”命令测试两台主机连接成功。为主机B添加管理员用户“abc”，密码设置为“123”。打开主机B“控制面板”中的“管理工具”，执行“本地安全策略”命令，在“本地策略”的“安全选项”中找到“网络访问：本地帐户的共享和安全模式”策略，并将其修改为“经典-本地用户以自己的身份验证”，如图所示。⒈模拟攻击前的准备实践操作返回下页上页2.利用NTscan变态扫描器得到主机B的弱口令实践操作返回下页上页将NTscan变态扫描器安装到主机A中。NTscan变态扫描器的文件夹中包含多个文件，其中“NT_user.dic”文件为用户名字典，“NT_pass.dic”文件为密码字典，“NTscan.exe”为主程序文件。打开“NT_user.dic”文件，可以看到当前已有一个用户名“administrator”，这是超级管理员账号。在该账号后面添加几个由“a”、“b”、“c”三个字母随机组合的用户名，如“abc”、“acb”、“bac”等等，注意每个用户名占一行，且不要有空行，保存关闭。打开“NT_pass.dic”文件，可以看到当前已有一个密码“%null%”，其含义为空密码。在该密码后面添加几个由“1”、“2”、“3”三个数字随机组合的密码，如“123”、“321”、“132”等等，注意每个密码占一行，且不要有空行，保存关闭。2.利用NTscan变态扫描器得到主机B的弱口令实践操作返回下页上页由于本次模拟操作只是演示弱口令的测试过程，因此在两个字典中输入的用于猜测的用户名和密码只有不多的几条。在实际黑客攻击过程中，用户名和密码字典中多达几千条甚至上万条记录，用于测试的用户名和密码也不是人工输入，而是由软件自动生成，这些记录可能是3-4位纯数字或纯英文的所有组合，也可能是一些使用频率很高的单词或字符组合。这样的字典可以在几分钟之内测试出弱口令。执行“NTscan.exe”文件，设置起始IP和结束IP均为“172.16.100.2”，只对主机B进行测试（在实际扫描过程中可以设置一个IP地址段，对该地址段中的所有主机进行测试）；设置“连接共享$”为“ipc$”；扫描方式为“IPC扫描”；“扫描打开端口的主机”为“139”；其他选项2.利用NTscan变态扫描器得到主机B的弱口令实践操作返回下页上页默认。单击“开始”按钮进行扫描。扫描完成后得到的弱口令会显示在扫描列表中，如图所示。3．利用Rectonv2.5入侵主机B实践操作返回下页上页将Rectonv2.5安装到主机A中。执行Rectonv2.5文件夹中的“Recton.exe”文件，该软件共有九个功能：远程启动Terminal终端服务；远程启动和停止Telnet服务；在目标主机上执行CMD命令；清除目标主机的日志；将目标主机重新启动；远程查看和关闭目标主机的进程；远程启动和停止目标主机的服务；在目标主机上建立共享；向目标主机种植木马（可执行程序）。其中，远程启动Terminal终端服务的功能由于操作系统为WindowsXP而不能执行，其他功能均可执行。⑴远程启动和停止Telnet服务：单击“Telnet”选项卡，打开远程启动和停止Telnet服务功能。输入远程主机的IP地址为“172.16.100.2”，3.利用Rectonv2.5入侵主机B用户名为“abc”，密码为“123”，附加设置默认。单击“开始执行”按钮，即远程启动了主机B的Telnet服务。如图所示。如果再次点击“开始执行”按钮，则会远程停止主机B的Telnet服务。实践操作返回下页上页3．利用Rectonv2.5入侵主机B实践操作返回下页上页启动主机B的Telnet服务后，在主机A上点击“开始”菜单执行“运行”命令，并在文本框中输入“cmd”命令后点击“确定”按钮，打开“命令提示符”界面。输入命令“telnet172.16.100.2”后回车，与主机B建立Telnet连接，如图所示3．利用Rectonv2.5入侵主机B实践操作返回下页此时系统询问“是否将本机密码信息送到远程计算机（y/n）”，输入“n”后回车。如图所示。系统要求输入主机B的login（登陆用户名）和password（密码），这里分别输入“abc”和“123”，密码在输入时没有回显，如图所示。上页3．利用Rectonv2.5入侵主机B实践操作返回下页上页此时与主机B的Telnet连接建立成功。此时的命令提示符变为“C:\DocumentsandSettings\abc”。此时在该命令提示符后面输入并执行dos命令，相当于在主机B中执行同样的操作。如输入命令“dirc:\”，可以显示出主机B的C盘根目录中所有文件夹及文件信息，如图所示。3．利用Rectonv2.5入侵主机B实践操作返回下页上页黑客可以利用telnet连接和dos命令，为远程主机建立新的用户，并将新用户升级为超级管理员的权限。如命令“netuseruser1123/add”的功能是为主机B建立新用户“user1”，密码为“123”，命令“netlocalgroupadministratorsuser1/add”的功能是将新建立的用户“user1”加入到administrators（超级管理员组）内，如图所示。3．利用Rectonv2.5入侵主机B实践操作返回下页上页此时，在主机B上打开“控制面板”的“管理工具”，执行“计算机管理”命令，查看“本地用户和组”，可以发现增加了“user1”用户，而且该用户位于“administrators”组内，如图所示。3．利用Rectonv2.5入侵主机B实践操作返回下页上页黑客可以将新建立的管理用账号作为后门，以便今后再次入侵该计算机。如果需要远程删除该用户，可以输入命令“netuseruser1/del”。如果需要断开本次Telnet连接，可以输入命令“exit”。3．利用Rectonv2.5入侵主机B实践操作返回下页上页⑵在目标主机上执行CMD命令：单击“CMD命令”选项卡，打开远程执行CMD命令功能。输入远程