2014年11级信息安全生产实习指导书(新)

信息安全生产实习指导书PAGEPAGE1信息安全生产实习指导书李章兵编湖南科技大学计算机科学与工程学院2014年6月目录一、实习目的与要求……………………1二、实习组织……………1三、实习报告内容与要求……………1四、实习内容……………1任务一模拟配置组网………………2任务二组建自己的VPN………………2任务三组建自己的IDS………………2任务四配置操作系统的安全策略……………………2任务五木马后门的使用体验…………2任务六数据备份和恢复………………2任务七数据包嗅探与流量控制………2任务八密码破解………………………2任务九网络扫描与旗标获取………3任务十DOS攻击或僵尸网络制造……………………3任务十一攻击IP追踪………………3任务十二数字水印攻击………………3任务十三编程设计……………………3附：常用DOS命令………………4瑞士军刀用法………………5一、实习目的与要求生产实习（专业实习）是在学生已学信息安全全部理论课程之后的一次实习，是培养学生创新精神和实践能力的一种重要手段。目的是为通过实习，使学生能理论联系实际，巩固已学的的专业理论知识，培养学生的观察问题、分析问题和解决问题的能力，培养爱岗敬业、吃苦耐劳、团体协作的精神和竞争意识，为做好毕业设计打好基础。实习学生应做到以下要求∶1、通过深入现场学习，了解信息安全的原理和实践相结合的技术问题，学会观察分析问题的方法，培养解决问题的能力。2、掌握信息安全技术与设备在生产生活及国防安全方面的重要作用，深入理解攻击与防御的关系，培养学生对安全网络和安全数据的组织与管理能力。3、培养学生组织生产、指导生产的工作能力，了解技术人员在生产中的任务和职责。4、学生通过实验学习及现场数据实测，培养学生分析、处理技术问题的能力，培养学生正确书写技术报告的能力。二、实习组织1、地点学院专业实验室2、人员信息安全11级1-3班，由班长和学习委员将班上同学按成绩好坏搭配分组，防止两级分化，3人1组，并选出负责组长；组内人员分工协作，明确各自的任务和责任，保证自己有足够的实习工作量。3、内容按本指导书给出的实验内容进行综合型、创新型实验。4、时间三年二期第17-18周（2014年6月）。三、实习报告内容与要求实习报告包括封面、报告内容。报告内容：实习实验目的、实验环境组建、实验知识原理、实验步骤和内容、实验所得数据及其分析、实验结论。最后有对问题的专述、分析图表、实习的收获和心得体会。实习报告封面：要求有“XXX实习报告”标题，实习地点，实验名称，指导教师，学生姓名、学号、班级，实习起止时间等。实习报告应图文并茂，总字数不宜少于5000字。上交纸质版和电子版以及实验数据和程序。四、实习内容实习以任务为主，可选做任务一至十二的10个，做任务十三（任选其一）可抵5个任务，分组完成。[实验环境搭建]操作系统为Windows

XP，安装虚拟机VMware-workstation（网上很多地方可以下载，这里就不提供下载了，安装也很简单）；虚拟操作系统是RedHat9.0/win-xp，为了节省空间和加快速度，不安装图形界面。关于虚拟系统的安装可以在Google上搜一下。本环境用于病毒木马实验。五、实习任务任务一模拟配置组网使用工具模拟配置交换机、路由器和防火墙，并组建以安全子网，可以访问Internet。工具：路由模拟器GNS3、Packet.Tracer5、mikrotik（须将防火墙组件导入工具）。任务二组建自己的VPN配置自己的VPN客户端和服务端，形成自己的VPN网络，评估其安全性。任务三组建自己的IDS使用Snortforwin/linux、PHP5+MySql5配置组建自己的IDS。并进行入侵检测分析。（工具自己下载）任务四配置操作系统的安全策略1.审计策略管理审计日志，使用时间查看器查看日志，分析可能遭到的攻击。应用程序日志、安全日志、系统日志、DNS日志默认位置：%systemroot%/system32/config，默认文件大小512KB，管理员都会改变这个默认大小。

安全日志文件：%systemroot%/system32/config/SecEvent.EVT

；系统日志文件：%systemroot%/system32/config/SysEvent.EVT；应用程序日志文件：%systemroot%/system32/config/AppEvent.EVT

；Internet信息服务FTP日志默认位置：%systemroot%/system32/logfiles/msftpsvc1/，默认每天一个日志；Internet信息服务WWW日志默认位置：%systemroot%/system32/logfiles/w3svc1/，默认每天一个日志；Scheduler服务日志默认位置：%systemroot%/schedlgu.txt。2.账户策略管理登录账户，设置密码3.创建新的IP策略指定可访问的协议和端口，关闭漏洞端口。任务五木马后门的使用体验2人一组使用Radmin\冰河、灰鸽子、netman等木马，配置客户端和服务端，并将服务端植入对方机器（可拷入），体验木马的配置、植入、隐藏、反查杀、调用、连接和使用方法。任务六数据备份和恢复1.普通数据备份与恢复利用压缩与加密工具备份，利用finaldata工具体验已删数据的恢复。1.操作系统备份使用Ghost或操作系统自带备份器（如win7）备份操作系统，再进行恢复，记录拷贝数据容量（s:MB）和时间(t:秒)，分析其效率=100/(t*s)*100%和可靠性。2.数据库系统备份与恢复使用企业管理器在线备份、使用冷备份；利用导入功能恢复。任务七数据包嗅探与流量控制使用sniffer\wireshark\ethaerel嗅探网络数据包，分析内容，控制流量。目的:了解黑客惯用的各种网络嗅探技术及其对网络安全的威胁，针对不同嗅探方法采用相应的防范对策。要求:应具备以下知识：网络嗅探原理。了解流行网络协议的数据封装格式。内容:通过理解黑客惯用的网络嗅探技术以及对于WiresharkPortable等sniff工具的使用,分析黑客的主要攻击手段,并学会配置测试计算机采用IPSec加密,预防网络嗅探,从而达到保护自我的目的.主要任务:描述模拟黑客嗅探所在网络中的传输流量，捕获帐号、密码等敏感信息，对加密的密码进行破解攻击。使用WiresharkPortable等网络工具进行嗅探。使用网络数据包嗅探专家、dsniff等黑客工具进行密码嗅探和破解。配置测试计算机采用IPSec加密，重复上述嗅探过程，观察结果。一、仪器设备和材料1、每组4台PC划做一个VLAN。2、4台PC，A号PC机用于黑客攻击，B,C,D分别用于Windows文件服务器、Web服务器、FTP服务器等模拟。二、黑客攻击主要手段分析黑客除了利用漏洞扫描技术进行踩点外，还可以在条件满足的情况下，对目标主机所在网络进行嗅探，并对嗅探到的信息进行分析，从中获得所需的敏感信息，如密码等。网络嗅探工具通常用来进行协议分析和网络监控，以便于进行故障诊断、性能分析和安全分析等，黑客则用之进行安全敏感信息的监听和截取。其实,网络嗅探的原理很简单,他是一种数据链路层的技术,利用的是共享式网络传输介质.共享即意味着网络中的一台机器可以嗅探到传递给本网段中所有机器的报文.网卡存在一种特殊的工作模式,在这种工作模式下,网卡不对目的地址进行判断,而直接将他收到的所有报文都传递给操作系统处理.这种特殊的工作模式,就称之为混杂模式.网络嗅探器通过将网卡设置为混杂模式,并利用数据链路访问技术来实现对网络的嗅探.实现了对数据链路层的访问,我们就可以把嗅探能力扩展到任意类型的数据链路帧,而不光是IP数据报.三、安装、使用WiresharkPortable等网络工具进行嗅探安装、使用WiresharkPortable嗅探自己登录网络、电子邮箱等通信过程。观察所捕获的数据，从中检查敏感的数据。操作步骤:在A号PC机上安装Wireshark并运行,然后,让B号PC机以普通用户身份访问任意服务器.此时,A号PC机进入Wireshark之后选择要进行嗅探的网卡连接，点击“Start”开始嗅探.让嗅探进行一段时间,之后,点击“Stop”停止嗅探，可以看到一个完整的DNS查询过程。起内容包括:捕获信息编号(No.),捕获信息时间(Time),源IP地址(Source),目标IP地址(Destation),协议名称(Protecal),信息内容(Info).点击其中为A号PC机ip地址的信息条目,则会在下方的栏目内显示该条目的具体16进制的信息.试分析器内容四、安装、使用网络数据包嗅探专家、dsniff、Cain等黑客工具进行密码嗅探和破解。安装、使用网络数据包嗅探专家、dsniff、Cain等黑客工具Cain&Abel是一个可以破解屏保、PWL密码、共享密码、缓存口令、远程共享口令等诸多密码的黑客工具。其中,Cain&Abel是两个程序,Cain是图形界面主程序,Abel是后台服务程序,由两个文件组成:Abel.exe和Abel.dll。程序配置:Cain&Abel需要配置一些参数,可从主界面中的配置对话框中完成。Sniffer嗅探表：配置Cain或APR选择网卡及启动参数等。APR欺骗表：Cain使用多线程每30秒向主机发送ARP欺骗包,这是必须的.因为远程主机会定期整理ARP缓存.当间隔设置太短时会产生大量的ARP网络流量,而设置太长时又起不到欺骗劫持的效果。五、配置IPSec安全策略配置一台PC的IPSec安全策略为系统提供的“安全服务器（要求安全）”，另一台PC的IPSec安全策略配置为“客户端（只相应）”。在服务器上启用Telnet服务，从另一台PC登录，嗅探此过程。任务八密码破解1.文件密码破解各组互相给定加密文件，使用工具破解RAR文件密码或word文件密码。2.OS系统登录密码破解破解windows\system32\SAM中的登录密码或linux中的/etc/passwd或/etc/shadow登录密码。3.邮箱密码破解使用工具破解给定邮箱密码，邮箱由各组相互给出（不能偷取支付宝财产）。4.通信密码破解破解QQ或阿里旺旺密码，查看别人的聊天记录。5.在线密码破解工具Cain的功能网路调查员:用来鉴别域控制器,SQLServer,打印服务,远程访问拨入服务,NovellServers,Apple文件服务,中断服务器等,设置能鉴别其操作系统版本.口令破解:cain支持多数通用的哈希算法以及基于它们的加密算法.暴力口令破解:暴力破解就是尝试所有可能的键组合来解密,是否可行一般与口令长度以及计算机的性能有关.Cain的暴力破解器使用预定义或自定义字符集的所有可能组合来测试加密的口令.所有可能的组合空间可用以下公式来计算:其中：L=字符集字符个数，m=最小口令长度，M=最大口令长度字典口令破解：字典破解是以字典中的每一个可能的词作为可能的口令尝试，这种方法肯能比暴力破解更有效因为用户一般选择口令范围很小。密码分析：使用时空交换快速密码分析方法，次破解技术使用名为缤纷表，此表由一组大型的预计算好的加密口令表组成。其可以由程序“rtgen.exe”或“winrtgen.exe”产生。WEP破解：WEP破解依赖于某些RC4算法的缺陷，通过捕获足够数量的WEP包，能快速破解64为~128位密钥口令解码：其中包括Access数据库口令解码，Base64口令解码，星号查看，CiscoType-7PasswordDecoder，认证管理器和口令解码，拨号口令解码，企业管理器口令解码等。Cain的嗅探器功能：APR欺骗：这是cain的最主要特色，能实现交换式网络中的嗅探，并对主机间通信进行注入。APR实现ARP欺骗攻击并路由到正确目的地。DNS欺骗：ARP-NDS欺骗只是简单改写DNS应答包中的IP地址，Cain嗅探器提取NDS请求包中的域名，并从欺骗列表中查找相应的地址，若有匹配的，数据包就被重写为相关欺骗的IP地址，并用APR欺骗引擎重路由之，这样客户端就受到了被欺骗的DNS应答包从而有效的重定向到了预定目标IP。HTTPS欺骗：Cain的HTTPS嗅探器工作在全双工客户端透明模式，服务器和客户端的通信被加密，且如果欺骗被激活，攻击者的IP和MAC地址绝不会暴露给受害客户端，链接本地监听的HTTPS“接收器”接收，劫持客户端连接。OpenSSL库用来管理多个SSL通信，一个用于“客户端<->CAIN”,另一个用于“CAIN<->服务器”。远程桌面欺骗：任务九网络扫描与旗标获取使用xscan扫描网络，发现存活主机的IP\MAC，识别主机开放的端口与服务（如telnet），试图登录主机并获取旗标，猜测主机的OS，主机存在的漏洞等。任务十DOS攻击或僵尸网络制造使用工具对邻居进行DOS攻击，评价攻击效果。制造僵尸网络。（使用前请关闭杀毒软件）任务十一攻击IP追踪追踪服务器IP

：使用路由跟踪实用程序Tracert，确定IP

数据报访问目标所采取的路径。Tracert

命令用IP

生存时间(TTL)

字段和ICMP

错误消息来确定从一个主机到网络上其他主机的路由。追踪计算机IP：使用Windows系统自带的Netstat，查询所有与本地计算机所建立连接的IP地址和当前端口所呈现出的状态。使用CallerIP4（运行还需要有Java虚拟机支持，假如使用Sun公司的Java虚拟机，那么版本至少是1．1．4或更高，而对于Microsoft＇sJavaVMbuild，至少需要5．00．3167或更高版本）使用netscanner追踪目标IP与地址。任务十二数字水印攻击使用stirmark、ppa501、paintshopphotox3（自己下载484MB）对文档、图像水印进行攻击测试。比较总结测试效果。对于视频水印，自己找工具。任务十三编程设计编程环境：C++\JAVAforWindows/Linux；所需工具或软件自己从网络下载。1、编程实现RC4算法和Rijndael算法；2、编程实现SHA算法和ECC算法；3、使用Libpcap+Libnet或Winpcap实现网络抓包分析和流量统计；4、使用Openssl实现1个域的CA认证系统；5、使用Cryptoapi实现P2P文件保密传输和即时通讯系统，采用混合加密方法。数据加密采用DES算法，DES密钥采用RSA算法，每进行一次通信，更改一次会话密钥。要求：总结实验过程（实验报告，左侧装订）：方案、编程、调试、结果、分析、结论。附：1.常用DOS命令(1)ping通过发送“网际消息控制协议(ICMP)”回响请求消息来验证与另一台TCP/IP计算机的IP级连接。回响应答消息的接收情况将和往返过程的次数一起显示出来。Ping是用于检测网络连接性、可到达性和名称解析。-lSize指定发送的回响请求消息中“数据”字段的字节长度。size默认值为32，最大值是65,527。-t表示将不间断向目标IP发送数据包，直到按CTRL-C强迫其停止。-n定义向目标IP发送数据包的次数，默认为3次。从TTL的返回值可以初步判断目标主机的操作系统，因为这个值是可以修改的。如TTL值在≤130表示可能是windows系统，如果TTL=240~255，则表示目标主机可能是Unix。(2)nbtstat显示本地计算机和远程计算机的基于TCP/IP(NetBT)协议的NetBIOS统计资料、NetBIOS名称表和NetBIOS名称缓存。Nbtstat可以刷新NetBIOS名称缓存和注册的WindowsInternet名称服务(WINS)名称。使用不带参数的nbtstat显示帮助。Nbtstat命令行参数区分大小写。-aremotename显示远程计算机的NetBIOS名称表。-AIPAddress显示目标IP计算机的NetBIOS名称表。-n列出本地机器的NETBIOS信息。-s列出目标IP的会话表信息。(3)netstat显示活动的TCP连接、计算机侦听的端口、以太网统计信息、IP路由表、IPv4统计信息(对于IP、ICMP、TCP和UDP协议)以及IPv6统计信息。使用时如果不带参数，netstat显示活动的TCP连接。-aIP显示所有活动的TCP连接以及计算机侦听的TCP和UDP端口。可以有效发现和预防木马，可以知道机器所开的服务等信息。可以看出本地机器开放有FTP服务、Telnet服务、邮件服务、WEB服务等。-r列出本地机器的当前路由信息，如网关、子网掩码等信息。netstat-n查看端口的网络连接情况，常用netstat-annetstat-v查看正在进行的工作netstat-p协议名例：netstat-ptcq/ip查看某协议使用情况(4)tracert跟踪路由信息，使用此命令可以查出数据从本地机器传输到目标主机所经过的所有途径，这对我们了解网络布局和结构很有帮助。这里说明数据从本地机器传输到的机器上，中间没有经过任何中转，说明这两台机器是在同一段局域网内。用法：tracertIP。tracert-参数ip(或计算机名)跟踪路由（数据包），参数：“-w数字”用于设置超时间隔。(5)net最重要的一个网络命令，键入net/?可以查看帮助。netview使用此命令查看远程主机的所有共享资源。命令格式为netview\\IP。netuse把远程主机的某个共享资源影射为本地盘符。命令格式为netusex:\\IP\sharename把IP\sharename的共享目录影射为本地的X盘。netuse\\IP\IPC$"password"/user:"name"建立IPC$连接后，可以拷贝文件。netuse\\ip\ipc$""/user:""建立IPC空链接netuse\\ip\ipc$"密码"/user:"用户名"建立IPC非空链接netuse\\ip\ipc$/del删除IPC链接netuseh:/del删除映射对方到本地的为H:的映射netuser查看和帐户有关的情况。netuser用户名密码/add建立用户到user组。netuserguest/active:yes激活guest用户netuser帐户名查看帐户的属性netlocalgroupadministrators用户名/add把“用户”添加到管理员中使其具有管理员权限（黑客提权）。netstart查看开启了哪些服务用法：netstartservername，启动远程主机上的服务(如:netstarttelnet)。netstop停止远程主机上的服务nettime\\目标ip查看对方时间nettime\\目标ip/set设置本地计算机时间与“目标IP”主机的时间同步,加上参数/yes可取消确认信息netview查看本地局域网内开启了哪些共享netview\\ip查看对方局域网内开启了哪些共享netconfig显示系统网络设置netshare查看本地开启的共享netshareipc$开启ipc$共享netshareipc$/del删除ipc$共享netsharec$/del删除C：共享netpassword密码更改系统登陆密码（6）at在特定日期或时间执行某个特定的命令和程序。用法：attime命令名。如执行制定路径的批处理aa.bat后，再反复定时执行，内容如下：netuserhack321*admin321*/add&netlocalguoupadministratorshack321*/add&at08:22c:\windows\system32\aa.bat其中&就是同时执行，相当于and。（7）Attrib[+|-属性]文件名显示、设置或删除指派给文件或目录的属性。+表示设置，-表示去掉设置，属性有只读r、存档a、系统s以及隐藏h四种。（8）Ipconfig显示所有当前的TCP/IP网络配置值、刷新动态主机配置协议(DHCP)和域名系统(DNS)设置。使用不带参数的ipconfig可以显示所有适配器的IP地址、子网掩码、默认网关。/all显示所有适配器的完整TCP/IP配置信息。9.其他命令：Tasklist-显示进程名称、ID、模块与使用内存；Taskkill–结束指定进程或模块wmimgmt.msc-打开windows管理体系结构wupdmgr-打开windows更新程序，连接微软更新网站wscript-windows脚本宿主设置mstsc-远程桌面连接ruote建立路由，可以建立电脑的静态路由或动态路由set查看显示、设置或删除计算机cmd.exe环境变量。2.瑞士军刀：nc.exe参数说明：-h查看帮助信息-d后台模式-eprog程序重定向，一