网络攻防实验2

甘肃政法学院本科生实验报告（二）姓名:王岳学院:公安技术学院专业:信息安全班级:12级信息安全本科班实验课程名称:网络攻击与防御实验日期:2014年10月30日指导教师及职称:金涛实验成绩:开课时间：2014——2015学年第一学期甘肃政法学院实验管理中心印制实验题目木马技术缓冲区溢出技术小组合作姓名王岳班级2012级信息安全班学号201283120131一、实验目的1、实践木马配置、木马控制的方法、并体会木马控制连接的实质。2、学习和发现木马，研究检测木马的方法。3、学习和发现木马，研究检测木马的方法。4、学习利用工具手动清除病毒/木马的方法。5、学习和发现木马，研究检测木马的方法。6、学习利用工具手动清除病毒/木马的方法。7、在ARP欺骗技术的基础上进行DNS欺骗。8、了解DNS欺骗的基本原理。9、熟悉DNS欺骗的工具使用，以及实验完成过程。10、通过ARP欺骗技术获取网站用户名、密码等信息。11、了解ARP欺骗的基本原理。12、熟悉ARP欺骗的工具使用，以及实验完成过程。13、了解MAC地址作14、掌握查看MAC地址及修改MAC地址的方法15、二．实验环境计算机三、实验内容与步骤木马初级技术11、IP交换地址配置原理现在普遍被采用的是反向连接的木马，即：被控端系统启动后主动获取主控端的IP地址并向主控端发起连接请求，当主控端相应请求建立连接后，再控制被控端做出操作。被控端获取主控端的IP的方法可以多种多样，这里讲述2种：一种是建立一个静态IP的FTP的服务器，建立账户并上传一个填有主控端IP地址的文件。被控端的木马程序会主动连接这个静态FTP服务器并获取填有IP地址的文件，解析后即可向主控端发起连接建立通信。而作为主控端需要在上线后实时更新FTP服务器上的IP地址的文件以方便连接。当然这种方法也可以转化为在某个网站的某个页面上填好IP地址。只要被控端程序能够解析IP地址成功即可。另一种方法就是采用动态域名解析的方法。动态域名解析服务一种根据域名解析成动态IP的服务。一个动态IP地址上搭建起来的网站，可以通过动态域名解析同样可以正常提供服务，用户在访问特定域名时，服务器方就会反馈实时的IP地址，同样主控端也需要实时更新自己的IP地址。在本次实验中，我们采用方法一中提到的方案，即采用主控端主动更新自己的IP地址到静态FTP服务器上，同时被控端主动连接FTP服务器获取IP地址并请求连接的方法。2、木马相关配置（1）运行主程序如图：主程序界面如上图，主程序主要实现了IP地址更新、木马程序定制、控制远端主机等功能。（2）主控端配置通过点击文件-自动上线配置主控端程序。获取FTP服务器，并拥有一个可以写入的FTP服务账号。填入静态FTP服务器地址，用户名和密码。存放IP的文件是指，主控端是希望把IP地址信息以什么样的方式存到什么文件里。图例中指出主控端的IP地址是192.168.1.100，监听的端口是8000。（3）定制木马程序通过点击文件-配置服务程序填入配置信息定制木马程序上线地址是指FTP服务器的地址，其他的选项是一些功能选项，如果勾选或者填写就表明定制好的木马就具备相应的功能。当木马程序在被控端运行后，就会去访问填写的FTP获取主控端IP地址进而建立连接。点击生成服务端程序，拷贝至被控端虚拟机运行。木马初级技术21、获取实验工具，了解实验工具的使用。（1）Fport为一款实用小程序，可以看到本机所有已经打开的端口及对应的应用程序及运行程序所在的目录位置.(未打开的端口不会显示)。它是命令行界面的。通过它可以帮助判断自己的电脑有无木马运行，但它不能直接识别木马，我们只有识别出可疑的文件（非系统程序和确认为安全的程序）。Fport实际上和Windows自带的命令netstat–a–n的功能极为接近，它主要的强项在于，不仅显示了端口号，而且把相应进程的ProcessID也显示出来。这有利于发现同一个进程是否在使用多个端口号。1、PsKill是一个有用的工具，它不需要任何资源工具包即可终止本地或者远程进程，它的使用格式为：pskill[\\远程机器ip[-uusername][-ppassword]]processname|processid假设在远程机器ip有一个账号，账号名是：test密码是：1234，要杀除一个pid号为999,名称为srm.exe的进程可以输入：pskill\\远程机器ip-utest-p1234999或pskill\\远程机器ip-uttest-p1234srm。2、使用Fport查看可疑进程和文件路径。3、使用Pskill终止可疑进程，并手动删除可疑文件。木马初级技术31、获取IceSword实验工具，了解实验工具的使用。这是一款功能强大的反黑工具,它适用于Windows2000/XP/2003操作系统，用于查探系统中的幕后黑手-木马后门,并作出处理，能轻而易举地找出隐藏进程、端口、注册表、文件信息的后门木马，一般的工具根本无法发现这些“幕后黑手”，IceSword使用了大量新颖的内核技术,使得这些后门躲无所躲.当然使用它需要用户有一些操作系统的知识。软件使用有一个注意事项:此程序运行时不要激活内核调试器(如softice),否则系统可能即刻崩溃.另外使用前请保存好您的数据,以防万一未知的Bug带来损失.IceSword目前只为使用32位的x86兼容CPU的系统设计,另外运行IceSword需要管理员权限.第一次使用请保存好数据,使用IceSword需要您自己承担bug带来的可能的风险。很多杀毒软件也把它作为一种异常程序来处理，如果碰到这种情况，请先关闭杀毒软件再使用。2、使用IceSword终止可疑进程或插入到进程中的线程。在打开IceSword工具后，可以点击左边的进程按钮查看系统目前的进程，如果发现有红色标记的进程，说明是被非法线程插入的，此类进程或者线程需要被终止。3、使用IceSword回复系统函数入口地址，并手动删除木马文件。点击左边的SSDT按钮，可以查看系统函数的入口地址，正常情况下，入口地址都不被修改，如果出现线程插入或者其他方式注入的影响，原函数的入口地址会被修改，此时这些函数地址就会被标记为红色，我们应该进行恢复，在恢复之前，一定要记下相对应的驱动文件路径，以便下一步进行手动删除驱动木马文件。点击左边的文件按钮，按照上图中确定的驱动程序路径，找到木马文件进行删除。ARP_DNS欺骗实验1、安装使用工具Cain首先在局域网内某台机器上安装Cain（IP地址为192.168.1.12）。Cain是一个功能强大的软件，可以实现网络嗅探、网络欺骗、破解加密口令、分析路由协议等功能。使用它之前必须进行安装，安装过程只需要按照默认情况安装即可。双击，运行Cain的操作界面如下：说明：由于cain功能很多，此处仅对本实验中所用到的功能进行讲解，其余功能读者可以自己去了解、尝试。2、绑定网卡在IP地址为192.168.1.12的机器上运行cain，在cain运行界面上，按下“sniffer”图标，并点击“configuration菜单”，在“sniffer”选项卡下，选择恰当的网卡进行绑定，点击确定。如下图说明：在一台物理机上，有时因为配置虚拟机或多个网卡的情况下，会有多个网卡和对应的IP，网卡的选择根据所要嗅探的IP地址的范围决定。若需要探测的是192.168.136.7的机器，则应该选择第二个网卡，进行绑定。在filters按钮下可以选择嗅探的协议类型。如图在configuration中的ARP标签中，可以设置是用本机真实IP和MAC地址参与还是使用伪装IP和MAC地址。若选用使用伪装IP和MAC地址，可以在此处填写上设定的IP地址及MAC地址，这样，在之后的欺骗中即或发现了可疑也无法追述到真实主机。如图所示3、确定嗅探区域选定sniffer标签，点击cain图标中的“”，可以对主机所在的整个网络或指定网络进行嗅探。本实验选择对指定IP范围进行嗅探，选择“Range”，输入需要嗅探的IP范围。点击“OK”。主界面将出现在指定区域内扫描到得主机IP、MAC地址等信息。如图说明：若没有选择图标，则当点击时，会提示“sniffernotbeactived”，此时点击，开始嗅探，实验仍可继续进行。从cain主界面中可以看到，已探测出在该区域段的机器（10.11为主机，13为虚拟主机，1为网关）。4、ARP欺骗选择cain主界面下端的APR标签，点击“”号，在选项框中选择进行ARP欺骗的地址。左边选择被欺骗的主机，再在右边选择合适的主机（或网关），ARP能够在左边列表中被选的主机和所有在右边选中的主机之间双向劫持IP包。在该实验中首先在左侧列表中选择192.168.1.13的地址，然后右侧列表即会出现其他IP地址，若在右侧选择网关192.168.1.1，这样就可以截获所有从13发出到广域网的数据包信息。点击“OK”，在cain界面上可以看到形成的欺骗列表，此时在状态一栏中显示“idle”，开始欺骗点击工具栏上的“”状态变为“poisoning”，开始捕获。此时，在192.168.1.13机器上进行网络操作，在12机器上会看到cain界面上显示捕获数据包的增加。说明：根据版本不同，有的版本在右侧可以选择一个或多个IP地址进行嗅探。192.168.1.13开始访问网络后5、ARP_DNS欺骗：选择软件下端的ARP_DNS标签，点击上端的“”出现的对话框如下图：在DNS名称请求处填入被欺骗主机要访问的网址，在回应包中输入欺骗的网址IP（“陷阱网址”），若不知道IP的，可以点击“Resolve”按钮，填入网址，工具将自动解析其IP地址，点击“OK”设置完毕。如下图：说明：其中，resp.Spoofed表示被欺骗的次数。6、查看结果：此时，IP为13的机器，访问网址进入的不是想进入的网址，而是跳转到google的页面，欺骗成功。如图：跳转到：MAC地址欺骗实验1、查看MAC地址在“开始菜单”中，选择“运行”，并输入“cmd”，进入控制台。在控制台中输入“ipconfig–all”，即可查看到网卡的MAC地址。2、修改MAC地址进入“网上邻居”，通过右键菜单进入网上邻居属性。选中“本地连接”，进入本地连接属性。点击“配置”。并在弹出框中点击“高级”选项卡。在左侧列表中，选中“本地管理的地址”，在右侧输入网卡修改后的MAC地址，输入时注意不需要连接符。修改完成后，利用步骤1中所述方法，查看修改后的结果，可以发现MAC地址已发生改变。四、实验过程与分析木马技术1、木马/后门概述特洛伊木马（TrojanHorse），简称木马，其名称源于古希腊神话特洛伊木马记，它是一种基于远程控制的恶意程序。一旦成功侵入用户计算机，就会隐蔽的在宿主计算机上运行，并在用户毫无察觉的情况下，使得远端的攻击者获得远程访问和控制系统的权限。木马从本质上讲是一种远程控制的工具，类似远程管理软件，如PCAnywhere。但与这种远程管理软件不同的是木马具有隐蔽性和非授权的特点。所谓隐蔽性是指木马的设计者为防止木马被杀毒软件和用户轻易发现采用多种手段隐藏木马。非授权性是指入侵用户计算机，对用户的计算机做的任何操作都不是得到过用户授权的，而是通过木马技术来得到。木马和后门本来属于两类不同的恶意代码，但由于相互之前的功能和特点越来越模糊，这里就合并到一起来讲。2、木马/后门的发展木马在与杀毒软件的对抗中不断向前发展，至今已经经历了大致四代的演化：（1）第一代是最早也是最原始的木马。他们主要是简单的密码窃取，通过电子邮件等手段向外发送，完成了最基础的信息窃取，预备木马的最基本功能。（2）第二代木马在功能上有了特别多的改进，具备了大量的功能，如屏幕观察控制，文件系统查看，进程管理，文件传输，远程控制等等。冰河就是这个时期的代表。这个时代的木马具备了一定的隐藏能力，并采用了网络端口扫描并正向连接的方法。（3）第三代木马在与各种防毒软件和防火墙对抗时，在隐蔽性和反检测上做了较大的改进。采用插入线程和挂接PSA