网络安全实验教程(完整版).ppt

实验1-1互联网信息搜索和DNS服务攻击与防范,目录,一.实验目的二.实验原理三.实验环境四.实验内容五.实验报告要求,一.实验目的,一.实验目的通过对whois和Google Hack的使用，使读者理解和掌握利用网络搜索敏感信息；通过学习DNS服务攻击原理的了解，更深刻的理解DNS服务攻击和防护。,二.实验原理,WhoisWhois是Internet上提供的一种查找个人电话号码,E-mail信箱、常用的邮箱、相关域名等信息的一种服务,二.实验原理,Google Hack随着搜索引擎的不断发展，利用搜索引擎可以轻松查到各种信息。但是过于强大的搜索机器人有时会把保密信息也提交给数据库保存，从而暴露个人秘密信息。Google Hack就是一个搜索敏感信息的工具。例如利用一些简单的语法就能搜索到一些重要的密码文件。,二.实验原理,DNS服务攻击原理DNS（Domain Name System）即域名系统，是一种分布式的、层次型的、客户机/服务器式的数据库管理系统。它实现了将域名翻译为IP地址的功能。域名解析需要专门的域名解析服务器来进行，整个过程是通过DNS系统自动完成的。,二.实验原理,域名解析的工作原理及其步骤是：第一步：用户提出域名解析请求，并将该域名发送给本地的DNS域名服务器。第二步：当本地的DNS域名服务器收到请求后，就先查询本地的缓存，如果有该域名对应的IP地址，则本地的DNS域名服务器就直接把查询的结果返回给用户。第三步：如果本地的缓存中没有该纪录，则本地DNS域名服务器就直接把请求发给根DNS域名服务器，然后根DNS域名服务器再返回给本地DNS域名服务器一个所查询域(根的子域，如CN)的主域名服务器的IP地址。,二.实验原理,第四步：本地服务器再向上一步骤中所返回的主域名DNS服务器发送请求，收到该请求的主域名DNS服务器查询其缓存，返回与此请求所对应的记录或相关的下级域名服务器IP地址。本地域名服务器将返回的结果保存到缓存。第五步：重复第四步，直到找到正确的纪录。第六步：本地域名服务器把返回的结果保存到缓存，以备下一次使用，同时还将结果返回给客户机。,二.实验原理,DNS服务攻击的基本原理在域名解析过程中，如果提交给某个域名服务器的域名解析请求数据包被截获，然后将一个虚假的IP地址作为应答信息返回给请求者。这时，用户就会连接这个假的IP地址，从而使用户被欺骗。,三.实验环境,三.实验环境局域网内的两台运行windows 2000/XP的计算机，通过网络连接并且可以上Internet。,四.实验内容,（1）为了加深对whois域名查询服务的了解，自己找一些域名进行查询。可以访问http:/,四.实验内容,（2）Google Hack的具体应用可以利用“index of”来查找开放目录浏览的站点可以用Google来搜索一些具有缺陷的站点 利用allintitle:“index of/admin”（不包括括号）会列出所有开放“admin”目录浏览权限的WEB站点链接列表,四.实验内容,（3）DNS服务攻击200.20.20.100上的DNS请求者向DNS服务器200.20.20.1发来请求，要求查域名所对应的IP地址。此时，DNS的攻击者就要伪造DNS服务器的响应数据包，响应给DNS请求者一个假的IP地址。,五.实验报告要求,（1）通过whois域名查询网站，输入相关域名或者IP，记录并分析whois域名查询的结果，提交实验报告。（2）通过学习原理，了解了Google Hack的使用方法，同时采用Google Hack技术查询某些感兴趣的结果，进行截图纪录，提交报告。（3）学习了DNS攻击的原理后，编程实现实验内容中的第（3）部分DNS欺骗攻击，并找出防范DNS攻击的方法，提交实验报告。,实验1-2 网络服务和端口的扫描,目录,一.实验目的二.实验原理三.实验环境四.实验内容五.实验报告要求,一.实验目的,通过ping等命令了解目标主机的可访问性。通过使用网络扫描软件，了解目标主机端口和服务的开放情况，从而进一步获取系统信息，找出系统安全漏洞。通过本次实验，读者可以了解到端口与服务开放的风险，增强在网络安全防护方面的意识。,二.实验原理,二.实验原理常用扫描探测命令：ping、tracert扫描工具：Superscan和Nmap,二.实验原理,1.Ping以及tracert pingping命令首先会构建一个固定格式的ICMP请求数据包echo request,发给远端计算机 远端计算机收到后，构造一个ICMP应答包echo reply，发送回本机。本机收到应答包后，即可判断出目的主机是否开机，并根据发送包和应答包携带的时间信息计算出网络延迟。,二.实验原理,1.Ping以及tracert tracert源主机将构造并向目标主机发送不同TTL值的ICMP请求数据包，tracert诊断程序根据ICMP的回应数据包来确定到目标所采取的路由。Tracert程序首先发送 TTL 为1的请求数据包，该包经过第一个路由设备后TTL减1为0，第一个路由设备就将给源主机发回“ICMP已超时”的消息源主机的tracert命令通过该消息中的IP信息就获得了第一个路由设备的IP在随后的每次发送过程将TTL依次递增1，直到目标响应或TTL达到最大值，从而确定从源主机到目的主机中间的路由。,二.实验原理,2 端口扫描的原理扫描的过程就是向目标主机的端口发送请求数据包，希望建立“连接”，根据目标主机的回应判断其端口是否开放。通过扫描判断目标主机端口是否打开的一个最简单的方法，是利用TCP协议的三次握手机制。只要和目标主机的端口能建立TCP的三次握手，说明目标主机的端口是开的，反之则没有打开。,二.实验原理,2 端口扫描的原理三次握手,二.实验原理,第一次握手：主机A的某个端口向主机B的某个端口发出TCP连接请求数据包，其TCP包头的标志位设置为SYN=1，ACK=0，同时选择一个序号x，表明在后面传送数据时的第一个数据字节的序号是x，这个过程称为第一次握手。第二次握手：主机B的相应端口收到连接请求数据包后，如端口是开放的，则发回确认数据包。在确认数据包中，TCP包头的标志位设置为SYN=1，ACK=1，确认序号为x+1，同时B主机也会生成一个自己的序号y，这个过程称为第二次握手。第三次握手：主机A收到此数据包后，还要向B给出确认数据包，其TCP包头的标志位设置为ACK=1，其确认序号为y+1，这个过程称为第三次握手。,二.实验原理,3 扫描分类1）全TCP连接这种扫描方法使用三次握手，与目标计算机建立标准的TCP连接。攻击者首先向目的端口发送一个SYN数据包，如果收到来自该端口的SYN/ACK数据包，就可以判定该端口是开放的；然后攻击者再发送一个ACK数据包（参见图1-2-1）。如果目标端口是关闭的，攻击者就会收到一个直接返回的RST/ACK数据包,二.实验原理,2）半打开式扫描（SYN扫描）在这种扫描技术中，扫描主机同样向目标计算机的指定端口发送SYN数据包，表示希望建立连接。a当端口开放时，目标计算机回应SYN/ACK数据包，这和全TCP连接扫描类似。但是扫描主机接着发送一个RST=1的数据包给目标主机，RST数据包将对TCP连接进行重置，目标计算机因为没有接到相应ACK数据包，从而不会建立三次握手。b如果端口是关闭的，则按照TCP协议中端口未开规则处理，由目标主机发送RST/ACK数据包给扫描主机，此时TCP连接依然没有建立。扫描主机根据目标计算机的回应数据包是SYN/ACK数据包，还是RST/ACK数据包即可判断端口是否打开。,二.实验原理,3）秘密扫描这种方法的优点在于没有涉及TCP连接的部分，所以比前2种都要安全，所以也被称做秘密扫描；缺点就是不够准确，不能完全识别开放的端口。FIN标记扫描攻击者发送一个FIN=1的TCP报文到目标主机：端口关闭时，该报文会被丢掉，并返回一个RST报文。端口开放时，该报文只是简单的丢掉，不会返回任何回应。,三.实验环境,三.实验环境两台运行windows 2000/XP/2003的计算机，通过网络连接。使用Superscan和nmap作为练习工具。,四.实验内容,1 Ping以及Tracert,四.实验内容,1 Ping以及Tracert,四.实验内容,2 使用Superscan进行扫描,四.实验内容,2 使用Superscan进行扫描,四.实验内容,2 使用Superscan进行扫描,四.实验内容,3 Nmap Nmap命令格式一般为：Nmap Scan Type(s)Options 比如要扫描一个IP地址为192.168.1.250，使用的命令为：nmap sP PI 192.168.1.250,四.实验内容,3 Nmap,四.实验内容,4 网络扫描的防范 配置软件或者硬件防火墙，就能有效防范外网的网络扫描。配置NAT服务器，可有效隐藏内网的主机信息，防范对内网的扫描,五.实验报告要求,(1)熟悉使用ping和tracert，设置不同参数进行实验并记录结果。(2)安装Superscan，并对另一台主机进行扫描，记录扫描步骤和结果。(3)安装Nmap，熟悉其命令行操作，扫描主机的TCP端口、UDP端口以及其操作系统和支持的服务，记录扫描步骤和结果。(4)使用Windows自带的安全工具或安装防火墙尝试关闭某个指定端口（如139、21、23、3389等端口），以防止端口扫描，查看扫描结果，记录步骤和结果。,实验1-3 综合漏洞扫描和探测,目录,一.实验目的二.实验原理三.实验环境四.实验内容五.实验报告要求,一.实验目的,一.实验目的通过使用综合漏洞扫描工具，扫描系统的漏洞并给出安全性评估报告，加深对各种网络和系统漏洞的理解。,二.实验原理,二.实验原理综合漏洞扫描和探测工具是一种自动检测系统和网络安全性弱点的工具。扫描时扫描器向目标主机发送包含某一漏洞项特征码的数据包，观察主机的响应，如果响应和安全漏洞库中漏洞的特征匹配，则判断漏洞存在。最后，根据检测结果向使用者提供一份详尽的安全性分析报告。,三.实验环境,三.实验环境两台运行windows 2000/XP的计算机，通过网络连接。其中一台安装Nessus 3.0版,四.实验内容,四.实验内容本节实验以Nessus为例，介绍综合漏洞扫描和探测工具。,四.实验内容,四.实验内容,四.实验内容,四.实验内容,四.实验内容,四.实验内容,四.实验内容,四.实验内容,四.实验内容,四.实验内容,四.实验内容,四.实验内容大部分Windows操作系统都存在该漏洞。它是由于Microsoft SMB中存在远程缓冲区溢出漏洞引起的，当用于验证某些入站的畸形SMB报文时存在问题时，盲目信任客户端提交的数据，并使用那些数据执行内存拷贝相关的操作，入侵者就可以利用这个漏洞对服务器进行拒绝服务攻击或执行任意指令。微软针对该漏洞已经发布了最新的补丁，可以去相关网站下载，或者关闭445端口。,五.实验报告要求,(1)安装并使用nessus进行扫描并查看扫描结果，了解各种漏洞的原理和可能造成的危害，根据提示下载相关补丁，修补后再次扫描，对比扫描结果并提交报告。(2)安装或启动一款防火墙，关闭扫描结果中相关端口后再次进行扫描，对比结果并提交报告。,实验1-4 协议分析和网络嗅探,目录,一.实验目的二.实验原理三.实验环境四.实验内容五.实验报告要求,一.实验目的,一.实验目的理解TCP/IP协议中多种协议的数据结构、会话连接建立和终止的过程、TCP序列号、应答序号的变化规律。通过实验了解FTP、HTTP等协议明文传输的特性，以建立安全意识，防止FTP、HTTP等协议由于传输明文密码造成的泄密。,二.实验原理,二.实验原理1 网络嗅探的原理Sniffer即网络嗅探器，是一种威胁性极大的被动检测攻击工具。使用这种工具，可以监视网络的状态、数据流动情况以及网络上传输的信息。当信息以明文的形式在网络上传输时，便可以使用网络监听的方式来进行嗅探攻击。将网络接口设置在监听模式，便可以将网上传输的信息截获。黑客常常用它来截获用户的口令管理员则可以使用Sniffer分析网络性能和故障,二.实验原理,二.实验原理2 网络嗅探的防范如何有效发现并防范Sniffer工具的监控和嗅探呢。首先，检查网络中是否存在下述情况，其原因可能就是网络中有Sniffer工具正在运行。一是网络丢包率非常高。二是网络带宽出现反常现象。,二.实验原理,二.实验原理Sniffer嗅探的防范通过使用加密软硬件设备，实现对传输数据的加密，从而保护传输数据的安全性VPN、SSL、SSH等加密手段可有效防范sniffer的嗅探。利用网络设备的物理或者逻辑隔离的手段，可以避免信息的泄密利用交换机的VLAN功能，实现VLAN间的逻辑隔离，,三.实验环境,三.实验环境两台运行windows 2000/XP的计算机，通过HUB相连组成局域网，其中一台安装Sniffer Pro软件。,四.实验内容,1 sniffer的使用,sniffer主界面,四.实验内容,1 sniffer的使用,Host Table中按照IP显示流量信息,四.实验内容,1 sniffer的使用,Traffic Map,四.实验内容,2 FTP口令的嗅探过程,四.实验内容,2 FTP口令的嗅探过程,四.实验内容,3 HTTP口令的嗅探过程,四.实验内容,3 HTTP口令的嗅探过程,五.实验报告要求,(1)将两台主机连接在一个HUB上，其中一台主机使用Telnet登录另一台主机，在任一台主机上按照sniffer网络嗅探工具进行登录口令嗅探，把口令嗅探步骤以及嗅探到的重要信息进行记录。(2)在HTTP协议的实验中获取的数据过于庞大，不利于分析，可以对Define Filter中的Data Pattern进行设置来获取更准确的数据包，请自己查看帮助或查找资料进行相应设置，只捕获含有用户名或口令等关键字的数据包，记录相关步骤和结果。,实验21 诱骗性攻击,目录,一.实验目的二.实验原理三.实验环境四.实验内容五.实验报告要求,一.实验目的,一.实验目的本实验介绍了目前主要的网络诱骗手段和原理，了解网络诱骗攻击的常用方法，从而使读者提高对网络诱骗攻击的防范意识。,二.实验原理,二.实验原理1诱骗性攻击原理所谓诱骗性攻击，是指通过伪造的或合成的具有较高迷惑性的信息，诱发被攻击者主动触发恶意代码，或者骗取被攻击者的敏感信息，实现入侵系统或获取敏感信息的目的。,二.实验原理,二.实验原理2诱骗性攻击分类第一类是被称作“网络钓鱼”的攻击形式。第二类则通过直接的交流完成诱骗攻击过程。第三类是通过网站挂马完成诱骗攻击。,二.实验原理,二.实验原理网站挂马的主要技术手段有以下几种：1）框架挂马 框架挂马主要是在网页代码中加入隐蔽的框架，并能够通过该框架运行远程木马。如果用户没有打上该木马所利用系统漏洞的补丁，那么该木马将下载安装到用户的系统中。,二.实验原理,二.实验原理框架挂马主要有以下几种形式：直接加载框架代码：就是将上述的框架的代码直接加入到网站的页面中。js文件挂马：将框架代码写入javascript（js）文件中 js加密挂马：在js文件挂马的基础上，对远程的js代码进行了js编码，起到一定的隐蔽作用，但是该方法只对IE浏览器有效.框架嵌套挂马：通过在框架中多层次的嵌套框架代码，最终将框架远程执行的地址目标指向木马所在地址，这种挂马方式的隐蔽性更高。,二.实验原理,二.实验原理2）body挂马通过Html文件的body标记进行挂马。木马的运行仍然是通过对远程木马的调用。在body中直接加入远程代码。b）隐蔽挂马c）资源挂马,二.实验原理,二.实验原理3）伪装挂马所谓伪装挂马，就是在某些特定的位置嵌入木马的运行代码。图片伪装：在图片打开之前，执行了一个写有木马地址的框架。调用伪装：调用某个链接之后，又运行了一个框架，打开了框架内包含的“木马地址”。c）欺骗伪装:页面中伪装加载某个广泛使用的可信网址的地址链接，但点击后，实际上连接到的却是一个载有木马的网页。,二.实验原理,二.实验原理3诱骗性攻击案例案例一：利用邮件的“网络钓鱼”某人的个人邮箱收到了自称是“中国工商银行的安全警报”的邮件，邮件中通知他由于他的账号在网上银行登陆输入错误密码次数过多，可能账号和密码被不法分子盗用，故临时冻结他的账户，要他尽快点击，登陆中国工商银行金融E通道修改密码。,二.实验原理,二.实验原理案例二：直接交流的诱骗攻击14:20:47 客户服务：尊敬的用户,您好:现特举行幸运用户的评选活动,经过随机抽选,您的游戏账户已经被选中为幸运用户号码.恭喜您!您可以获得本公司送出的奖品.请您接收到此消息后联系客服工作人员的QQ:422801957联系领取您所获得的奖品。,三.实验环境,三.实验环境两台运行windows 2000/XP/2003/vista的计算机，通过网络连接。使用QQ作为即时聊天工具，“默默QQ大盗”作为木马程序，用“免杀捆绑工具”将木马与一般文件进行捆绑。,四.实验内容,四.实验内容1 木马的欺骗功能,四.实验内容,四.实验内容2“免杀捆绑工具”的使用,四.实验内容,四.实验内容3木马的清理 QQ木马采用的是线程注入技术，在explorer.exe和svchost.exe两个进程中注入线程，起到守护进程的双保险作用。木马程序是位于C:WINDOWSsystem32目录下SysYH.bak的文件。该木马的启动项被设置在了注册表的HKEY_CLASSES_ROOTCLSID91B1E846-2BEF-4345-8848-7699C7C9935FInProcServer32目录的“默认”键下，该键值被设置成了“C:WINDOWSsystem32SysYH.bak”，实现了开机的自动启动。,四.实验内容,四.实验内容3木马的清理,五.实验报告要求,了解并收集常见的欺骗性攻击手段，并整理成实验报告，提高对欺骗性攻击的防范意识。,网络安全实验教程实验2-2,目录,一.实验目的二.实验原理三.实验环境四.实验内容五.实验报告要求,一.实验目的,一.实验目的通过本实验对DoS/DDoS攻击的深入介绍和实验操作，了解DoS/DDoS攻击的原理和危害，并且具体掌握利用TCP、UDP、ICMP等协议的DoS/DDoS攻击原理。了解针对DoS/DDoS攻击的防范措施和手段。,二.实验原理,二.实验原理拒绝服务攻击是一种很有效的攻击技术，通过协议的安全缺陷或者系统安全漏洞，对目标主机进行网络攻击，最终使其资源耗尽而无法响应正常的服务请求，即对外表现为拒绝提供服务。,二.实验原理,二.实验原理1 DoS攻击DoS是拒绝服务（Denial of Service）的简称。这种攻击行为的攻击对象是目标主机，目的就是使目标主机的资源耗尽使其无法提供正常对外服务。,二.实验原理,二.实验原理DoS攻击通过两种方式实现一种方式是利用目标主机存在的网络协议或者操作系统漏洞另一种方式就是发送大量的数据包，耗尽目标主机的网络和系统资源,二.实验原理,二.实验原理DoS攻击按照攻击所使用的网络协议来划分，主要分为以下几类的攻击方式：1）IP层协议ICMP和IGMP洪水攻击、smurf攻击2）TCP协议TCP协议本身就具有一定的安全缺陷，TCP的三次握手过程就存在缺陷。SYN-Flood攻击和Land攻击就是利用握手过程，来完成拒绝服务攻击的。,二.实验原理,二.实验原理SYN-Flood攻击SYN-Flood攻击的第一步，是由攻击者向目标主机发出第一次SYN握手请求数据包，但攻击者伪造了此数据包的源IP为不存在或者网络不可达的一个IP。目标主机收到第一次握手的SYN请求后，会自动向客户端回复SYN+ACK的第二次握手，并等待第三次握手返回的响应数据包。因为攻击者伪造的源IP不存在或者网络不可达，所以肯定没有第三次握手的响应数据包，目标主机此时就要“傻”等一段时间之后才丢弃这个未完成的连接，而等待的系统进程或者线程要占用一定的CPU资源和内存资源。当攻击者发出大量伪造的SYN数据包时，目标主机将自动回应大量的第二次握手的数据包，形成大量“半开连接”，消耗非常多的系统资源直至资源耗尽，从而导致对正常用户的“服务请求无法响应”。,二.实验原理,二.实验原理3）UDP协议针对采用UDP协议的应用服务器，也可以伪造大量UDP请求数据包，请求服务器提供服务从而耗尽服务器的资源。例如针对DNS服务器的UDP洪水攻击，就是生成大量需要解析的域名，并伪造目标端口为53端口的UDP数据包，发给DNS服务器要求进行域名解析耗尽DNS服务器的资源,二.实验原理,二.实验原理4）应用层协议攻击通过发送大量应用层的请求数据包，耗尽应用服务器的资源也能造成拒绝服务的效果。例如利用代理服务器对web服务器发起大量的 HTTP Get请求，如果目标服务器是动态web服务器，大量的HTTP Get请求主要是请求查询动态页面，这些请求会给后台的数据库服务器造成极大负载直至无法正常响应，从而使正常用户的访问也无法进行了。,二.实验原理,二.实验原理2 DDoS攻击DDoS是分布式拒绝服务（Distribute DoS）攻击的简称。攻击者可将其控制的分布于各地的大量计算机统一协调起来，向目标计算机发起DoS攻击。,二.实验原理,二.实验原理,二.实验原理,二.实验原理2 DDoS攻击DDoS攻击由攻击者、主控端（master）、代理端（zombie）3部分组成。攻击者是整个DDoS攻击的发起源头，它在攻击之前已经取得了多台主控端主机的控制权，主控端主机分别控制着代理端主机。,二.实验原理,二.实验原理3 DoS/DDoS攻击的防御措施有效防范DoS/DDoS攻击的关键主要是识别出异常的攻击数据包并过滤掉。1）静态和动态的DDoS过滤器2）反欺骗技术3）异常识别4）协议分析5）速率限制,二.实验原理,二.实验原理3 DoS/DDoS攻击的防御措施对于一般用户可以通过下面的技术手段进行综合防范：1）增强系统的安全性2）利用防火墙、路由器等网络和网络安全设备加固网络的安全性，关闭服务器的非开放服务端口3）配置专门防范DoS/DDoS攻击的DDoS防火墙4）强化路由器等网络设备的访问控制5）加强与ISP的合作，当发现攻击现象时，与ISP协商实施严格的路由访问控制策略，以保护带宽资源和内部网络。,三.实验环境,三.实验环境多台运行windows 2000/XP/2003操作系统的计算机，通过网络连接。,四.实验内容,四.实验内容1 SYN-Flood攻击,四.实验内容,四.实验内容1 SYN-Flood攻击,四.实验内容,四.实验内容1 SYN-Flood攻击,四.实验内容,四.实验内容2 UDP-Flood攻击,四.实验内容,四.实验内容2 UDP-Flood攻击,四.实验内容,四.实验内容3 DDoS攻击,四.实验内容,四.实验内容4 DDoS防火墙对DDoS攻击的防范有条件的机构可以通过部署专用DDoS防火墙防范DoS/DDoS攻击。在被攻击的应用服务器前串联接入DDoS防火墙，或者在内外网之间串联接入DDoS防火墙，可以实现对DDoS攻击的有效防范，保障应用服务器和内网计算机的安全。,五.实验报告要求,1）使用一台装有Super DDoS的主机对另一台主机进行DDoS攻击，事先要通过扫描软件获取该目标主机的端口开放情况。攻击前，两台主机同时打开任务管理器查看性能变化，同时启动Sniffer进行抓包，通过分析两者性能和数据包抓包结果分析攻击的原理。2）使用一台装有DDoS个人版的主机对另一台主机进行DDoS攻击。攻击前，两台主机同时打开任务管理器查看两台主机性能的变化，同时启动Sniffer进行抓包，通过性能的变化和数据包抓包结果分析攻击的原理。,实验23 欺骗攻击技术ARP欺骗,目录,一.实验目的二.实验原理三.实验环境四.实验内容五.实验报告要求,一.实验目的,一.实验目的通过本次实验，理解ARP协议的工作原理，了解ARP欺骗攻击的原理和防范措施，理解两种ARP欺骗软件的欺骗过程，及它们分别所造成的危害。,二.实验原理,二.实验原理1 ARP协议 ARP协议是地址解析协议（Address Resolution Protocol）的简称。通过ARP协议可进行地址解析来获取目标主机MAC地址。源主机首先在局域网中广播ARP request数据包，询问目标IP地址的MAC地址，其他主机收到此广播包后都不响应，只有IP地址对应的那台目标主机会响应ARP reply数据包，告诉源主机自己的MAC地址。目标主机的MAC地址通过ARP协议获取后，会将IP地址和其MAC地址对应起来保存在源主机的ARP缓存表中,二.实验原理,二.实验原理ARP欺骗原理ARP欺骗的原理，就是通过发送欺骗性的ARP数据包，致使接收者收到欺骗性的ARP数据包后，更新其ARP缓存表，从而建立错误的IP与MAC地址的对应关系。ARP欺骗主要分为两种一种是伪装成主机的欺骗另一种是伪装成网关的欺骗,二.实验原理,二.实验原理伪装成主机的欺骗A想要与B进行直接的通信，而C想要窃取A所发给B的内容。这时，C可以向A发送欺骗性的ARP数据包，声称B的MAC地址已经变为CC-CC-CC-CC-CC-CC。这样在A的ARP缓存表中将建立192.168.1.2和CC-CC-CC-CC-CC-CC的IP地址与MAC地址的对应关系。于是A发给B的所有内容将发送至C的网卡。C在收到并阅读了A发给B的内容之后，为了不被通信双方发现，可以将数据内容再发给B。,二.实验原理,二.实验原理伪装成网关的欺骗如果局域网内的主机C中了ARP病毒，C想截获A发出的消息内容，C就需要向A发送欺骗性的ARP包，声称网关的MAC地址改成C的MAC地址了，这样A再给网关转发数据包时，数据包就转给了病毒主机C，病毒主机C获得了A的通信内容后，再将数据包转给真正的网关,二.实验原理,二.实验原理3ARP欺骗的防范可以通过IDS或者Antiarp等查找ARP欺骗的工具检测网络内的ARP欺骗攻击，然后定位ARP病毒主机，清除ARP病毒来彻底解决网络内的ARP欺骗行为可以通过MAC地址与IP地址的双向绑定，使ARP欺骗不再发挥作用。,三.实验环境,三.实验环境至少两台运行windows 2000/XP/2003的计算机，通过网络连接，并且在网络环境中配置有路由器。,四.实验内容,四.实验内容1 NetFuke,四.实验内容,四.实验内容1 NetFuke,四.实验内容,四.实验内容1 NetFuke,四.实验内容,四.实验内容2 ARP欺骗的防范针对ARP的欺骗攻击，比较有效的防范方法就是将IP与MAC地址进行静态绑定。,四.实验内容,四.实验内容2 ARP欺骗的防范针对ARP的欺骗攻击，比较有效的防范方法就是将IP与MAC地址进行静态绑定。下面通过绑定前和绑定后进行对比实验，了解防止ARP欺骗的方法。,四.实验内容,四.实验内容2 ARP欺骗的防范,四.实验内容,四.实验内容2 ARP欺骗的防范,五.实验报告要求,1）利用NetFuke对局域网内的主机进行单向或者双向欺骗，然后通过sniffer嗅探工具抓包分析通信过程，验证NetFuke成功的对两台主机进行了欺骗。2）编辑批处理文件，实现开机启动时自动实现IP和MAC的静态绑定，防范ARP欺骗攻击。,实验2-4 木马攻击与防范,目录,一.实验目的二.实验原理三.实验环境四.实验内容五.实验报告要求,一.实验目的,一.实验目的 通过对木马的练习，使读者理解和掌握木马传播和运行的机制；通过手动删除木马，掌握检查木马和删除木马的技巧，学会防御木马的相关知识，加深对木马的安全防范意识。,二.实验原理,二.实验原理1木马的特性伪装性隐藏性破坏性窃密性,二.实验原理,二.实验原理2木马的入侵途径捆绑欺骗利用网页脚本入侵利用漏洞入侵和病毒协作入侵,二.实验原理,二.实验原理3木马的种类第一代木马，主要是在UNIX环境中通过命令行界面实现远程控制。第二代木马，具有图形控制界面，可以进行密码窃取、远程控制，例如BO2000和冰河木马。第三代木马，通过端口反弹技术，可以穿透硬件防火墙，例如灰鸽子木马，但木马进程外联黑客时会被软件防火墙阻挡。,二.实验原理,二.实验原理3木马的种类第四代木马通过线程插入技术隐藏在系统进程或者应用进程中，实现木马运行时没有进程，比如广外男生木马。第四代木马可以实现对硬件和软件防火墙的穿透。第五代木马在隐藏方面比第四代木马又进行了进一步提升，它普遍采用了rootkit技术，通过rootkit技术实现木马运行,二.实验原理,二.实验原理4木马的连接方式一般木马都采用C/S运行模式，它分为两部分，即客户端和服务器端木马程序。黑客安装木马的客户端，同时诱骗用户安装木马的服务器端。木马的传统连接方式第一代和第二代木马均采用传统的连接方式，即由木马的客户端程序主动连接服务器端程序。,二.实验原理,二.实验原理木马的反弹端口技术,二.实验原理,二.实验原理木马的反弹端口技术,二.实验原理,二.实验原理5木马的隐藏技术线程插入技术这种技术把木马程序做为一个线程，把自身插入其他应用程序的地址空间。而这个被插入的应用程序对于系统来说，是一个正常的程序，这样，就达到了彻底隐藏的效果。RootKit技术RootKit是一种隐藏技术，它使得恶意程序可以逃避操作系统标准诊断程序的查找。,二.实验原理,二.实验原理6木马的检测 木马的远程控制功能要实现，必须通过执行一段代码来实现。为此，木马采用的技术再新，也会在操作系统中留下痕迹。如果能够对系统中的文件、注册表做全面的监控，可以实现发现和清除各种木马的目的。,三.实验环境,三.实验环境 两台运行windows 2000/XP/2003的计算机，通过网络连接。通过配置“灰鸽子”木马，了解木马工作原理并实现对木马的检测和查杀。,四.实验内容,四.实验内容1灰鸽子介绍灰鸽子是国内近年来危害非常严重的一种木马程序。,四.实验内容,四.实验内容2“灰鸽子”的连接与配置,四.实验内容,四.实验内容2“灰鸽子”的连接与配置,四.实验内容,四.实验内容2“灰鸽子”的连接与配置,四.实验内容,四.实验内容3“灰鸽子”的检测,四.实验内容,四.实验内容3“灰鸽子”的检测,四.实验内容,四.实验内容3“灰鸽子”的检测,四.实验内容,四.实验内容4 灰鸽子的查杀,五.实验报告要求,1配置采用端口反弹技术的灰鸽子木马，实现木马服务端对动态IP客户端的连接，分析其原理和检测查杀方法。2收集其它检测工具，对实验中的灰鸽子木马进行检测，提交实验报告。,实验2-5 熊猫烧香病毒的查杀,目录,一.实验目的二.实验原理三.实验环境四.实验内容五.实验报告要求,一.实验目的,一.实验目的通过演示熊猫烧香病毒的中毒现象，使读者对病毒的危害有一个直观的代表性认识。通过对熊猫烧香进行清除以及对再次感染进行预防，使读者了解清楚病毒的常用方法，提高警惕性，增强安全防毒意识,二.实验原理,二.实验原理1病毒分类程序型病毒引导型病毒 宏病毒 特洛伊木马型程序有危害的移动编码网络蠕虫病毒,二.实验原理,二.实验原理2 病毒的传播机制非网络传播机制分析此类病毒传播方式虽不是主要方式，但也令人防不胜防。主要方式有：U盘，移动磁盘等。网络传播机制分析目前大多数病毒都带有通过网络手段进行传播的手段，具体的传播机制包括直接发送传播、利用网页和系统漏洞传播等。,二.实验原理,二.实验原理1）直接发送传播A.利用即时消息软件传播B.利用电子邮件传播2）利用网页启动A 利用网页脚本B 域名欺骗C 电子书(CHM)木马D 利用HTML文件重定向3）利用系统漏洞,二.实验原理,二.实验原理3 熊猫烧香病毒介绍熊猫烧香病毒是威金病毒的变种，短时间内在网络中疯狂肆虐，造成了巨大危害。威金病毒是Windows系统中的一种复合型蠕虫病毒，它包括了可执行文件感染、局域网传播、自动下载其它恶意软件等功能，危害性非常大。,三.实验环境,三.实验环境一台运行Window 2000/xp/2003 server的计算机，熊猫烧香病毒样本，各种熊猫烧香专杀工具。（为谨慎起见，强烈建议本实验在虚拟机中完成）,四.实验内容,四.实验内容1 观察熊猫烧香病毒的中毒症状,四.实验内容,四.实验内容1 观察熊猫烧香病毒的中毒症状,四.实验内容,四.实验内容1 观察熊猫烧香病毒的中毒症状,四.实验内容,四.实验内容1 观察熊猫烧香病毒的中毒症状,四.实验内容,四.实验内容1 观察熊猫烧香病毒的中毒症状,四.实验内容,四.实验内容2 熊猫烧香的清除,四.实验内容,四.实验内容2 熊猫烧香的清除,四.实验内容,四.实验内容2 熊猫烧香的清除,四.实验内容,四.实验内容2 熊猫烧香的清除,四.实验内容,四.实验内容3 病毒的防范）安装高效的杀毒软件，并及时对病毒库进行升级，定期扫描系统。）使用安全的浏览器并进行正确的安全配置。）打开陌生文件（包括邮件的附件）之前，先进行查毒扫描。）从右键打开盘等移动设备，关闭系统自动播放功能。）定期检查注册表中的敏感项，看是否有可疑自启动项和服务出现。）及时为操作系统安装安全补丁。,五.实验报告要求,(1)了解熊猫烧香其它变种的症状，比较不同变种查杀方法上的异同。(2)详细了解操作系统的各种安全相关属性，思考如果不用任何第三方安全软件，仅通过设置系统本身的安全机制能否有效预防和清除病毒。,Q&A,谢谢！,实验3-1 口令的破解与截获,目录,一.实验目的二.实验原理三.实验环境四.实验内容五.实验报告要求,一.实验目的,一.实验目的通过采用暴力破解、网络嗅探等方式来进行口令破解，一方面使读者了解这些攻击方式的原理以及各自的特点和适用环境；另一方面可以使读者了解本地口令的安全设置策略，掌握如何提高口令的安全性以对抗这些口令破解攻击方法。,二.实验原理,二.实验原理1.windows中口令认证机制 LanManager NTLM NTLMv2 Kerberos V5,二.实验原理,2.口令的破解方式键盘截获破解暴力攻击破解字典攻击破解 网络嗅探截获,二.实验原理,二.实验原理3.口令破解的防范 LM认证机制是最不安全的机制，NTLM安全性要高些，而NTLMv2的安全性最高，但并不是windows的xp、2003等版本采用的就是最安全的口令认证机制，windows操作系统中为了保持和以前版本的兼容性，默认对三种口令认证机制都支持，因此一个口令在SAM中就以这三种加密形式存在。,二.实验原理,为了提高口令的安全性，在设置口令时也需要让口令满足一些安全策略，具体包括：至少包含8个字符（获得最高的安全性，至少15个字符）大小写字母、数字和符号的组合不包含姓名、用户名或者常用单词不与其他人共享定期更换密码,三.实验环境,一台windows2000/xp/2003/vista计算机，上面需要安装口令破解工具Cain。一张包含ERD Commander的启动光盘，以及一台装有ftp服务端的服务器，服务器操作系统版本不限。,四.实验内容,1.使用ERD Commander重置管理员密码 1-1.ERD Commander介绍 ERD Commander是一款功能非常强的操作系统管理修复软件，以启动盘方式先于操作系统加载，可以实现修复操作系统、更改管理员密码等特殊功能，同时也可以在其虚拟的win32内核中进行一些windows的常规操作，例如修改注册表、进行网络管理等等。,四.实验内容,ERD Commander启动后的主界面,四.实验内容,ERD Commander中和系统安全相关的功能介绍：LockSmith Event Log File Sharing System Compare System Restore,四.实验内容,1-2.使用LockSmith重置口令,四.实验内容,1-3.本地口令破解的防范由此可见，如果让攻击者有近距离接触到计算机，那么在操作系统中就是设置复杂度很高的口令也可以被轻易破解。所以为了加强计算机中信息的保密性，我们不仅需要设置复杂的帐户口令来防止机器的权限盗