实验四 黑客攻防与检测防御实验(补)

1、 http:/ 录任务一任务一 黑客入侵攻击模拟演练黑客入侵攻击模拟演练1补充实验补充实验(选做选做 ) Sniffer网络漏洞检测网络漏洞检测2任务二任务二 入侵防御系统入侵防御系统IPS配置配置3n 1. 1. 实验目的实验目的n (1) (1) 掌握常用黑客入侵的工具及其使用方法。掌握常用黑客入侵的工具及其使用方法。n (2) (2) 理解黑客入侵的基本过程，以便于进行防范。理解黑客入侵的基本过程，以便于进行防范。n (3) (3) 了解黑客入侵攻击的各种危害性。了解黑客入侵攻击的各种危害性。n 2. 2. 实验内容实验内容n (1) (1) 模拟黑客在实施攻击前的准备工作。模拟黑客在实

2、施攻击前的准备工作。n (2) (2) 利用利用X-ScanX-Scan扫描器得到远程主机扫描器得到远程主机B B的弱口令。的弱口令。n (3) (3) 利用利用RectonRecton工具远程入侵主机工具远程入侵主机B B。n (4) (4) 利用利用DameWareDameWare软件远程监控主机软件远程监控主机B B。n 3. 3. 实验准备及环境实验准备及环境 n (1) 装有装有Windows 操作系统的操作系统的PC机机1台，作为主机台，作为主机A(攻击机攻击机)。n (2) 装有装有Windows Server 2012的的PC机机1台，作为主机台，作为主机B(被攻击机被攻击机)

3、。n (3) X-Scan、Recton、DameWare工具软件各工具软件各1套。套。 n 4. 4. 实验步骤实验步骤n (1) 模拟攻击前的准备工作模拟攻击前的准备工作n 步骤步骤1：由于本次模拟攻击所用到的工具软件均可被较新的杀毒软件和：由于本次模拟攻击所用到的工具软件均可被较新的杀毒软件和防火墙检测出来并自动进行隔离或删除，因此，在模拟攻击前要先将两防火墙检测出来并自动进行隔离或删除，因此，在模拟攻击前要先将两台主机安装的杀毒软件和台主机安装的杀毒软件和Windows防火墙等全部关闭。防火墙等全部关闭。n 步骤步骤2：在默认的情况下，两台主机的：在默认的情况下，两台主机的IPC$共享

4、、默认共享、共享、默认共享、135端口端口和和WMI服务均处于开启状态，在主机服务均处于开启状态，在主机B上禁用上禁用Terminal Services服务服务(主主要用于远程桌面连接要用于远程桌面连接)后重新启动计算机。后重新启动计算机。n 步骤步骤3：设置主机：设置主机A(攻击机攻击机)的的IP地址为地址为01，主机，主机B(被攻击机被攻击机)的的IP地址为地址为02(IP地址可以根据实际情况自行设定地址可以根据实际情况自行设定)，两台主，两台主机的子网掩码均为机的子网掩码均为。设置后用。设置后用ping测试两台主机连接

5、成功测试两台主机连接成功步骤步骤4：为主机：为主机B添加管理员用户添加管理员用户“abc”，密码为，密码为“123”。n 步骤步骤5：打开主机：打开主机B的的“控制面板控制面板”中的中的“管理工具管理工具”，执行，执行“本地安本地安全策略全策略”命令，在命令，在“本地策略本地策略”的的“安全选项安全选项”中找到中找到“网络访问：本网络访问：本地账户的共享和安全模式地账户的共享和安全模式”策略，并将其修改为策略，并将其修改为“经典经典-本地用户以自本地用户以自己的身份验证己的身份验证”，如图，如图4-68所示。所示。 图图4-68本地安全设置界面本地安全设置界面 图图4-69“扫描参数扫描参数”

6、对话框对话框n4. 实验步骤实验步骤 n (2) 利用利用X-Scan扫描器得到远程主机扫描器得到远程主机B的弱口令的弱口令n 步骤步骤1：在主机：在主机A上安装上安装X-Scan扫描器。在用户名字典文件扫描器。在用户名字典文件nt_user.dic中添加由中添加由a、b、c三个字母随机组合的用户名，如三个字母随机组合的用户名，如abc、cab、bca等，每个用户名占一行，中间不要有空行。等，每个用户名占一行，中间不要有空行。n 步骤步骤2：在弱口令字典文件：在弱口令字典文件weak_pass.dic中添加由中添加由1、2、3三个数三个数字随机组合的密码，如字随机组合的密码，如123、321、

7、213等，每个密码占一行，中等，每个密码占一行，中间不要有空行。间不要有空行。n 步骤步骤3：运行：运行X-Scan扫描器扫描器,选择选择“设置设置”“扫描参数扫描参数”命令命令,打打开开“扫描参数扫描参数”对话框对话框,指定指定IP范围为范围为02,如图如图4-69所示所示。n 步骤步骤4：在图：在图4-69中，选择左侧窗格中的中，选择左侧窗格中的“全局设置全局设置”“扫描扫描模块模块”选项，在右侧窗格中，为了加快扫描速度，这里仅选中选项，在右侧窗格中，为了加快扫描速度，这里仅选中“NT-Server弱口令弱口令”复选框，如图复选框，如图4-70所示，单击所示，单击“确

8、定确定”按按钮。钮。n 步骤步骤5：在：在X-Scan主窗口界面中，单击上面工具栏中的主窗口界面中，单击上面工具栏中的“开始扫开始扫描描”按钮后，便开始进行扫描，如图按钮后，便开始进行扫描，如图4-71所示。所示。 图图4-70 确定确定“扫描参数扫描参数” 图图4-71单击工具栏中开始扫描按钮单击工具栏中开始扫描按钮n4. 实验步骤实验步骤 n 步骤步骤6 6：经过一段时间后，扫描结束，弹出一个扫描结果报告，：经过一段时间后，扫描结束，弹出一个扫描结果报告，如图如图4-724-72所示，可见已经扫描出用户所示，可见已经扫描出用户abcabc的密码为的密码为123123。 图图4-72 报告扫

9、描结果报告扫描结果 图图4-73设置允许远程桌面连接设置允许远程桌面连接 n (3) (3) 利用利用RectonRecton工具远程入侵主机工具远程入侵主机B Bn 远程启动远程启动Terminal ServicesTerminal Services服务。服务。n 步骤步骤1 1：在主机：在主机B B上，设置允许远程桌面连接，如图上，设置允许远程桌面连接，如图4-734-73所示。在所示。在主机主机A A中运行中运行mstsc.exemstsc.exe命令，设置远程计算机的命令，设置远程计算机的IPIP地址地址(02)(02)和用户名和用户名(ab

10、c)(abc)后，再单击后，再单击“连接连接”按钮，弹出按钮，弹出无法连接到远程桌面的提示信息，如图无法连接到远程桌面的提示信息，如图4-744-74所示，这是因为主机所示，这是因为主机B B上没有开启上没有开启Terminal ServicesTerminal Services服务。服务。n 步骤步骤2 2：在主机：在主机A A中运行入侵工具中运行入侵工具Recton v2.5Recton v2.5，在，在“Terminal”Terminal”选项卡中，输入远程主机选项卡中，输入远程主机( (主机主机B)B)的的IPIP地址地址(02)(02)、用

11、、用户名户名(abc)(abc)、密码、密码(123)(123)，端口，端口(3389)(3389)保持不变，并选中保持不变，并选中“自动重自动重启启”复选框，如图复选框，如图4-754-75所示。所示。 图图4-74 无法连接到远程桌面的信息无法连接到远程桌面的信息 图图4-75远程启动远程启动Terminal服务服务 图图4-76 设置远程登录界面设置远程登录界面 图图4-77远程启动主机上的远程启动主机上的Telnet服务服务远程启动和停止远程启动和停止Telnet服务。服务。n 在远程主机上执行在远程主机上执行CMDCMD命令。命令。 图图4-82在主机在主机B上验证新增用户上验证新增

12、用户 图图4-83 远程执行远程执行CMD命令命令n (3) 导入密钥导入密钥 图图4-84 输入浏览器地址输入浏览器地址 图图4-85“关闭进程关闭进程”界面界面n 清除远程主机上的日志。清除远程主机上的日志。n 重新启动远程主机。重新启动远程主机。n 控制远程主机中的进程。控制远程主机中的进程。 控制远程主机中的服务。控制远程主机中的服务。n 控制远程主机中的共享。控制远程主机中的共享。 图图4-86选择选择“获取服务信息获取服务信息” 图图4-87查看远程主机当前所有的共享信息查看远程主机当前所有的共享信息n 向远程主机种植木马向远程主机种植木马 图图4-88 设置木马启动时所需参数设置

13、木马启动时所需参数 图图4-89 设置远程连接主机设置远程连接主机n (4) (4) 利用利用DameWareDameWare软件远程监控主机软件远程监控主机B Bn 步骤步骤1 1：在主机：在主机A A中安装并运行中安装并运行DameWare(DameWare(迷你中文版迷你中文版4.5)4.5)软件，如图软件，如图4-4-8989所示，输入远程主机所示，输入远程主机BIPBIP地址、用户名和口令地址、用户名和口令( (密码密码) )。n 步骤步骤2 2：单击：单击“设置设置”按钮，在打开的对话框中选择按钮，在打开的对话框中选择“服务安装选项服务安装选项”选项卡选项卡, ,选中选中“设置服务

14、启动类型为设置服务启动类型为手动手动默认为默认为自动自动”和和“复制配置文件复制配置文件DWRCS.INI”DWRCS.INI”复选框复选框, ,如图如图4-904-90所示所示. .n 步骤步骤3 3：单击：单击“编辑编辑”按钮，在打开的对话框中选择按钮，在打开的对话框中选择“通知对话框通知对话框”选选项卡项卡, ,取消选中取消选中“连接时通知连接时通知”复选框复选框, ,如图如图4-914-91所示所示. . 图图4-90 设置设置“服务安装选项服务安装选项” 图图4-91“通知对话框通知对话框”选项卡选项卡n 步骤步骤4 4：在：在“附加设置附加设置”选项卡中，取消选中所有的复选框，如图

15、选项卡中，取消选中所有的复选框，如图4-924-92所示，所示，这样设置的目的是在连接并监控远程主机时不易被其发现。这样设置的目的是在连接并监控远程主机时不易被其发现。n 步骤步骤5 5：单击：单击“确定确定”按钮，返回到按钮，返回到“远程连接远程连接”对话框，然后，单击对话框，然后，单击“连接连接”按钮进行远程连接。按钮进行远程连接。n 步骤步骤6 6：在第一次连接远程主机：在第一次连接远程主机B B时，会弹出时，会弹出“错误错误”对话框，提示远程控制服对话框，提示远程控制服务没有安装在远程主机上，如图务没有安装在远程主机上，如图4-934-93所示，单击所示，单击“确定确定”按钮，开始安装

16、远程按钮，开始安装远程控制服务。控制服务。n 服务安装完成后，会显示远程主机服务安装完成后，会显示远程主机B B的当前桌面，并且同步显示主机的当前桌面，并且同步显示主机B B的所有操的所有操作，实现远程监视主机作，实现远程监视主机B B的目的。的目的。 图图4-92“附加设置附加设置”选项卡选项卡 图图4-93连接连接“错误错误”提示对话框提示对话框 Sniffer软件是软件是NAI公司研发的功能强大的协议分析软件。公司研发的功能强大的协议分析软件。利用这个工具，可以监视网络的状态、数据流动变动情况和利用这个工具，可以监视网络的状态、数据流动变动情况和网络上传输的信息等。网络上传输的信息等。1

17、. 实验目的实验目的（1）利用）利用Sniffer软件捕获网络数据包，然后通过解码进行检测分析。软件捕获网络数据包，然后通过解码进行检测分析。（2）会用网络安全检测工具的操作方法，具体进行检测并写出结论。）会用网络安全检测工具的操作方法，具体进行检测并写出结论。2. 实验要求及方法实验要求及方法（1）实验环境要求）实验环境要求 硬件：三台硬件：三台PC计算机。单机基本配置见表计算机。单机基本配置见表13-1。软件：操作系统软件：操作系统Windows 2003 Server SP4以上，以上，Sniffer 软件。软件。【注意注意】本实验是在虚拟实验环境下完成本实验是在虚拟实验环境下完成,若在

18、真实的环境下完成若在真实的环境下完成,则则网络设备应该选择集线器或交换机网络设备应该选择集线器或交换机,交换机则在交换机则在C机上要做端口镜像。机上要做端口镜像。 Sniffer软件是软件是NAI公司研发的功能强大的协议分析软件。利用这个公司研发的功能强大的协议分析软件。利用这个工具，可以监视网络的状态、数据流动变动情况和网络上传输的信工具，可以监视网络的状态、数据流动变动情况和网络上传输的信息等。息等。1. 实验目的实验目的（1）利用）利用Sniffer软件捕获网络数据包，然后通过解码进行检测分析。软件捕获网络数据包，然后通过解码进行检测分析。（2）会用网络安全检测工具的操作方法，具体进行检

19、测并写出结论。）会用网络安全检测工具的操作方法，具体进行检测并写出结论。2. 实验要求及方法实验要求及方法（1）实验环境要求）实验环境要求 硬件：三台硬件：三台PC计算机。单机基本配置见表计算机。单机基本配置见表13-1。软件：操作系统软件：操作系统Windows 2003 Server SP4以上，以上，Sniffer 软件。软件。【注意注意】本实验是在虚拟实验环境下完成本实验是在虚拟实验环境下完成,若在真实的环境下完成若在真实的环境下完成,则则网络设备应选择集线器或交换机网络设备应选择集线器或交换机,若是交换机若是交换机,则在则在C机上要做端口镜机上要做端口镜像像. （2）实验方法）实验方

20、法三台三台PC机的机的IP地址及任务分配见表地址及任务分配见表13-2所示。所示。实验用时：实验用时：2学时（学时（90-100分钟）分钟） 表表13-1 13-1 设备基本配置设备基本配置 表表13-2 13-2 三台三台PCPC机的机的IPIP地址及任务分配地址及任务分配设备设备名名 称称设备设备IP 地址地址任务分配任务分配内存内存1G以上以上A机机用户用户Zhao利用此机登陆到利用此机登陆到FTP服务器服务器CPU2G以上以上B机机已经搭建好的已经搭建好的FTP服务器服务器硬盘硬盘40G以以上上C机机用户用户Tom在此机利用在此机利用Sn

21、iffer软件软件捕获捕获 Zhao的账号和密码的账号和密码3. 实验内容及步骤实验内容及步骤（1）实验内容）实验内容三台三台PC机，其中用户机，其中用户Zhao利用已建好的账号在利用已建好的账号在A机上登录到机上登录到B机已经搭建好的机已经搭建好的FTP服务器，用户服务器，用户Tom在此机利用在此机利用Sniffer软件捕获软件捕获 Zhao的账号和密码。的账号和密码。（2）实验步骤）实验步骤在在C机上安装机上安装Sniffer软件。启动软件。启动Sniffer进入主窗口，如图进入主窗口，如图4-43所示。所示。在进行流量捕捉之前，首先选择网卡，确定从计算机的哪在进行流量捕捉之前，首先选择网

22、卡，确定从计算机的哪个网卡接收数据，并将网卡设成混杂模式。网卡混杂模式，个网卡接收数据，并将网卡设成混杂模式。网卡混杂模式，就是将所有数据包接收下来放入内存进行分析。设置方法：就是将所有数据包接收下来放入内存进行分析。设置方法：单击单击“File” “Select Settings”命令，在弹出的对话框命令，在弹出的对话框中设置，如图中设置，如图4-44所示。所示。 图图4-43 启动启动Sniffer主窗口主窗口 图图4-44 设置计算机的网卡设置计算机的网卡 在进行流量捕捉之前，首先选择网卡，确定从计算机的哪在进行流量捕捉之前，首先选择网卡，确定从计算机的哪个网卡接收数据，并将网卡设成混杂

23、模式。网卡混杂模个网卡接收数据，并将网卡设成混杂模式。网卡混杂模式，就是将所有数据包接收下来放入内存进行分析。设式，就是将所有数据包接收下来放入内存进行分析。设置方法：单击置方法：单击“File” “Select Settings”命令，在弹出命令，在弹出的对话框中设置，如图的对话框中设置，如图4-44所示。所示。 新建一个过滤器。新建一个过滤器。设置具体方法设置具体方法为：为： 单击单击“Capture”“Define Filter”命令，进入命令，进入Define Filter Capture窗口界面。窗口界面。 单击单击命令，打开命令，打开Capture Profiles对话框，单对话框

24、，单击击按钮。在弹出的对话框的按钮。在弹出的对话框的New Profiles Name 文本框中输入文本框中输入ftp_test，单击，单击按钮。在按钮。在Capture Profiles对话框中单击对话框中单击按钮，如图按钮，如图4-45所示。所示。 图图4-43 启动启动Sniffer主窗口主窗口 图图4-44 设置计算机的网卡设置计算机的网卡在在“Define Filter”对话框的对话框的Address选项卡中，设置地址选项卡中，设置地址的类型为的类型为IP，并在，并在Station1和和Station2中分别制定要捕获的中分别制定要捕获的地址对，如图地址对，如图4-46所示。所示。在

25、在“Define Filter”对话框的对话框的Advanced选项卡中，指定要选项卡中，指定要捕获的协议为捕获的协议为FTP。主窗口中，选择过滤器为主窗口中，选择过滤器为ftp_test，然后单击，然后单击“Capture” “Start”，开始进行捕获。，开始进行捕获。用户用户Zhao在在A机上登录到机上登录到FTP服务器。服务器。当用户用名字当用户用名字Zhao及密码登录成功时，及密码登录成功时，Sniffer的工具栏的工具栏会显示捕获成功的标志。会显示捕获成功的标志。利用专家分析系统解码分析，可得到基本信息，如用户名、利用专家分析系统解码分析，可得到基本信息，如用户名、客户端客户端IP

26、等。等。n 1 1实验目的实验目的n (1)(1) 理解入侵防御系统理解入侵防御系统IPSIPS的特性和对应用环境的要求。的特性和对应用环境的要求。n (2)(2) 掌握入侵防御系统掌握入侵防御系统IPSIPS的配置步骤和具体方法。的配置步骤和具体方法。n (3)(3) 明确在对入侵防御系统配置攻击防护特性时，首先配置链路明确在对入侵防御系统配置攻击防护特性时，首先配置链路上的上的IPSIPS策略，然后配置规则来检测、阻断相应的攻击。策略，然后配置规则来检测、阻断相应的攻击。n (4) (4) 理解在将配置激活后，链路中若有攻击流量经过，就能被理解在将配置激活后，链路中若有攻击流量经过，就能被

27、IPSIPS阻断，并且在攻击日志中查看相应的信息，在攻击报表中查阻断，并且在攻击日志中查看相应的信息，在攻击报表中查看一段时间内的攻击趋势。看一段时间内的攻击趋势。n 2 2预备知识及要求预备知识及要求n （1 1）系统特性）系统特性n （2 2）应用环境要求）应用环境要求n （3 3）注意事项）注意事项 图图4-41 IPS攻击防护典型配置组网图攻击防护典型配置组网图 n 3 3实验内容及步骤实验内容及步骤n （1 1）登录）登录WebWebn 搭建配置环境。用交叉以太网线将搭建配置环境。用交叉以太网线将PCPC网口和网口和IPSIPS管理口相连。管理口相连。n 为为PCPC的网口配置的网口

28、配置IPIP地址，保证能与地址，保证能与IPSIPS的管理口互通。配置的管理口互通。配置PCPC的的IPIP地址为地址为/24/24（除（除）如）如。n 启动浏览器，输入登录信息。启动浏览器，输入登录信息。 图图4-95 WEB网管登录界面网管登录界面 n 3 3实验内容及步骤实验内容及步骤n （22 ）创建安全区域）创建安全区域n 在导航栏中选择在导航栏中选择“系统管理系统管理网络管理网络管理安全区域安全区域”，进入，进入“安安全区域显示全区域显示”页面，如图页

29、面，如图4-964-96所示。所示。n 单击单击 按钮，进入按钮，进入“创建安全区域创建安全区域”的配置页面，的配置页面，如图如图4-974-97所示。所示。图图4-96 安全区域显示页面安全区域显示页面图图413-97创建安全区域创建安全区域 n 3 3实验内容及步骤实验内容及步骤n 分别将分别将g-ethernet 0/0/0g-ethernet 0/0/0加入内部域加入内部域inin，将，将g-ethernet 0/0/1g-ethernet 0/0/1加加入外部域入外部域outout，具体如图，具体如图4-984-98至如图至如图4-1004-100所示。所示。图图4-98 将接口加入

30、内部域将接口加入内部域图图4-99 将接口加入外部域将接口加入外部域图图4-100 安全区域创建情况安全区域创建情况 n （3 3）配置）配置“新建段新建段”n 在导航栏中选择在导航栏中选择“系统管理系统管理网络管理网络管理段配置段配置”，进入，进入“段的段的显示显示”页面，如图页面，如图4-1014-101所示。所示。图图4-101段的显示页面段的显示页面单击单击按钮按钮,进入进入“新建段新建段”的配置页面的配置页面,创建一创建一0段段,将内网和外网链路将内网和外网链路连通连通,文章后面再在此链路上配置文章后面再在此链路上配置IPS段策略段策略,如图如图4-102和图和图4-103所示。所示。图图4-102 “新建段新建段”的配置页面的配置页面图图4-103 新建段成功新建段成功 n （4 4）配置）配置IPSIPS段策略段策略n 在导航栏中选择在导航栏中选择“IPSIPS快捷应用快捷应用”，进入，进入“IPSIPS策略快捷应用策略快捷应用”页