实验报告信息安全

实验报告信息安全实验报告信息安全全文共8页，当前为第1页。实验报告信息安全全文共8页，当前为第1页。课程实验报告课程信息安全班级1204071实验日期2015.6.1名称姓学号120407122实验成绩名实验网络攻防技术名称1、通过密码破解工具 L0phtCrack5(简称LC5)的使用，了解账号口令的安全实 性，掌握安全口令的设置原则，保护账号口令的安全性。验2、通过对木马的练习，理解和掌握木马传播和运行的机制；掌握检查木马目和删除木马的技巧，学会防御木马的相关知识，加深对木马的安全防范的意识。及 3、通过DoS和DDoS攻击工具对目标主机进行攻击；理解 DoS和DDoS要 的攻击原理及实施过程；掌握检测和防范 DoS和DDoS攻击的方法。求实验 局域网内一台计算机安装 L0phtCrack5软件环 局域网环境，使用冰河、灰鸽子或其它木马作为练习工具境 局域网环境，使用 Land15、DDoSer或其它软件作为练习工具。实验报告信息安全全文共8页，当前为第2页。实验报告信息安全全文共8页，当前为第2页。实验3-1任务一：使用L0phtCrack5破解密码。在Windows操作系统中，用户帐号的安全管理使用了安全帐号管理器SAM（SecurityAccountManager）的机制，用户和口令经过加密 Hash变换后一Hash列表形式存放在SAM文件中。L0phtCrack通过破解这个SAM文实件来获取用户名和密码。它的工作方式是通过尝试每个可能的字母数字组合验试图破解密码。内容及实验步骤单击文件菜单中的“LC5”向导，设定破解任务。每人对本地机器进行密码破解。步骤：（1）在主机内建立若干用户名，将其密码分别设置为空密码、纯数字组合密码、特定单词字母密码、任意字母组合密码、字母数字混合密码以及特殊实验报告信息安全全文共8页，当前为第3页。实验报告信息安全全文共8页，当前为第3页。符号字母数字混合密码。（2）通过L0phtCrack5文件菜单中的LCS向导，设定从本地机器导入加密口令，分别对本地机器进行“快速口令破解”和“普通口令破解”，观察破解结果（要等一段时间直到破解完全结束）。注意：若采用“复杂口令破解”方式，则需要2~3小时的时间破解。快速破解任务二：掌握安全的密码设置策略。用户密码应包含英文字母的大小写、数字、可打印字符，甚至是非打印字符。建议将这些符号排列组合使用，以期达到最好的保密效果。用户密码不要太规则，不要使用用户姓名、生日、电话号码以及常用单词作为密码。根据Windows系统密码的散列算法原理，密码长度设置应超过7位，最好为14位。密码不得以明文方式存放在系统中，确保密码以加密的形式写在硬盘上并包含密码的文件是只读的。密码应定期修改，应避免重复使用旧密码，应采用多套密码的命名规则。建立账号锁定机制。一旦同一账号密码校验错误若干次，即断开连接并锁定该账号，经过一段时间才解锁。在WindowsServer2003系统中，如果在"密码策略"中启用了"密码必须符合复杂性要求"设置的话，则对用户的密码设置有如下要求：不包含全部或部分的用户账户名。长度至少为7个字符。实验报告信息安全全文共8页，当前为第4页。实验报告信息安全全文共8页，当前为第4页。包含以下4种类型字符中的 3种字符。英文大写字母（从 A到Z）英文小写字母（从 a到z）10个基本数字（从0到9）非字母字符（如!、$、#、%）而一般意义上的强密码则具有以下特征：长度至少有7个字符。不包含用户的生日、电话、用户名、真实姓名或公司名等。不包含完整的字典词汇。包含全部4种类型的字符。除此之外，管理员账户的密码应当定期修改，尤其是当发现有不良攻击时，更应及时修改复杂密码，以免被破解。为避免密码因过于复杂而忘记，可用笔记录下来，并保存在安全的地方，或随身携带避免丢失。实验3-2任务一 运行木马文件，生成木马的服务器端，并将其安装在远程主机。1、使用“冰河”对远程计算机进行控制“冰河”一般由两个文件组成：G_Client和G_Server。其中G_Server是木马的服务器端，即用来植入目标主机的程序，G_Client是木马的客户端，就是木马的控制端。打开控制端G_Client,弹出“冰河”的主界面，熟悉快捷工具栏。2、在一台目标主机上植入木马并在此主机上运行G_Sere\ver，作为服务器端；在另一台主机上运行G_Client.作为控制端。打开控制端程序，单击“添加主机”按钮。弹出如图所示的对话框：“显示名称”：填入显示在主界面的名称。“主机地址”：填入服务器端主机的IP地址。“访问口令”：填入每次访问主机的密码，“空”即可。“监听端口”：“冰河”默认监听端口是7626，控制端可以修改它以绕过防火墙。单击“确定”可以看到主机面上添加了test的主机，如图，就表明连接成功。实验报告信息安全全文共8页，当前为第5页。实验报告信息安全全文共8页，当前为第5页。单击test主机名，如果连接成功，则会显示服务器端主机上的盘符。这个时候我们就可以像操作自己的电脑一样远程操作远程目标电脑。“冰河”大部分功能都是在“命令控制台”实现的，单击“命令控制台”弹出命令控制界面，如图所示：任务二 使用木马对远程计算机进行控制。展开命令控制台 ，分为“口令类命令”、“注册表读表”、“设置类命令”。（1）口令命令类：①“系统信息及口令“：可以查看远程主机的系统信息、开机口令、缓存口令等。②“历史口令”：可以查看远程主机以往使用的口令。③“击键记录”：启动键盘记录以后，可以记录远程主机用户击键记录，以此可以分析出远程主机的各种帐号和口令或各种秘密信息。（2）控制类命令捕获屏幕：这个功能可以使控制端使用者查看远程主机的屏幕，好像远程主机就在自己面前一样，这样更有利于窃取各种信息。单击“查看屏幕”，弹出远程主机界面。实验报告信息安全全文共8页，当前为第6页。实验报告信息安全全文共8页，当前为第6页。①“发送信息”：这个功能可以使你向远程计算机发送Windows标准的各种信息。②“进程管理”：这个功能可以使控制者查看远程主机上所有的进程。③“窗口管理”：这个功能可以使远程主机上的窗口进行刷新、最大化、最小化、激活、隐藏等操作。④“系统管理”：该功能可以使远程主机进行关机、重启、重新加载冰河、自动卸载冰河。⑤“其他控制”：该功能可以使远程主机上进行自动拨号禁止、桌面隐藏、注册表锁定等操作。（3）网络类命令：①“创建共享”：在远程主机上创建自己的共享。②“删除共享”：在远程主机上删除某个特定的共享。③“网络信息”：查看远程主机上的共享信息，单击“查看共享”可以看到远程主机上的IPC$,C$、ADMIN$等共享都存在。⑷文件类命令：展开文件类命令、文件浏览、文件查找、文件压缩、文件删除、文件打开等菜单可以查看、查找、压缩、删除、打开远程主机上的某个文件。目录增删、目录复制、主键增删、主键复制的功能。⑸注册表读写：提供了键值读取，键值写入，键值重命名、主键浏览、主键删除、主键复制的功能。⑹设置类命令：提供了更换墙纸、更改计算机名、服务器端配置的功能。任务三 检测并删除木马文件。删除冰河木马主要有以下几种方法：①客户端的自动卸载功能，而实际情况中木马客户端不可能为木马服务器自动卸载木马。②手动卸载：查看注册表，在“开始”中运行regedit,打开Windows注册表编辑器。在目录中发现一个默认的键值：C:\WINNT\System32\kernel32.exe，这个就是冰河木马在注册表中加入的键值，将它删除。然后依次打开子键目录Runservices,在目录中也发现一个默认键值：C:\WINNT\System32\kernel32.exe，这个也是冰河木马在注册表中加入的键值，删除。进入C:\WINNT\System32目录，找到冰河的两个可执行文件Kernel32.exe和Susexplr.exe，删除。修改文件关联时木马常用的手段，冰河木马将 txt文件的缺省打开方式由notepad.exe改为木马的启动程序，此外html、exe、zip、com等都是木马的目标。所以还需要恢复注册表中的

txt 文件关联功能。将注册表中HKEY_CLASSES_ROOT\txtfile\shell\open\command

下的默认值，由中木马后的

C:\Windows\SSystem\Susex-plr.exe%1改为正常情况下的 C:\Windows\notepad.exe%1。任务四 木马的方法措施。木马的防范木马的危害显而易见，防范木马的方法主要有：①提高防范意识，不要打开陌生人传来的可疑邮件和附件。确认来信的源地实验报告信息安全全文共8页，当前为第7页。实验报告信息安全全文共8页，当前为第7页。址是否合法。②如果网速变慢，往往是因为入侵者使用的木马抢占带宽。双击任务栏右下角连接图标，仔细观察发送“已发送字节”项，如果数字比较大，可以确认有人在下在你的硬盘文件，除非你正使用FTP等协议进行文件传输。③察看本机的连接，在本机上通过netstat-an（或第三方程序）查看所有的TCP/UDP连接，当有些IP地址的连接使用不常见的端口与主机通信时，这个连接九需要进一步分析。④木马可以通过注册表启动，所以通过检查注册表来发现木马在注册表里留下的痕迹。⑤使用杀毒软件和防火墙。实验3-3任务一Land攻击练习目标机端口对目标主机的 80端口进行攻击：步骤：1在DOS中使用格式：land15目标IP2在目标主机中打开任务管理器，对联网性能和系统资源使用情况进行观察：3在目标主机打开Snifferpro工具，捕捉由攻击者计算机发送本地计算机的TCP包任务二DDoSer的使用软件简介DDoSer软件是一个DDOS攻击工具，程序运行后，程序运行后自动装实入系统，并在以后随系统启动，自动对事先设定好的目标机进行攻击。验 本软件分为生成器（DDOSMaker.exe）与DDOS攻击者程序（DDOSer.exe）内两部分。软件在下载安装后是没有DDOS攻击者程序的（只有生成器容DDOSMAKER.exe）,DDOS攻击者程序要通过生成器生成。生成时可以自定及义一些设置，如攻击目标的域名或IP地址、端口等。DDOS攻击者程序默实认的文件名DDOSer.exe，可以在生成或生成后任意改名。DDOS攻击者程序验类似于木马软件的服务端程序，程序运行后不会显示任何界面，看上去好像步没有任何反应，其实它已经将自己复制到系统里面了，并且会在每次开机时骤自动运行，此时可以将拷贝过去的安装程序删除。它运行时唯一会做的就是不断对事先设定好的目标进行攻击。 DDOSer使用的攻击手段是 SYNFlood。实验报告信息安全全文共8页，当前为第8页。实验报告信息安全全文共8页，当前为第8页。生成攻击程序打开DDOSMAKER.exe程序，出面主界面，对其设置如下：输入目标主机IP，端口设置为80，并发线程为10个，最大TCP连接数为1000，自启动设置默认，生成的DDOS攻击者程序名称为ddos_attack.exe。3DDoSer.exe的运行及结果观察在主机上运行ddos_att