實驗報告信息安全.doc

課程實驗報告課程名稱信息安全班級1204071實驗日期2015.6.1姓名學(xué)號120407122實驗成績實驗名稱網(wǎng)絡(luò)攻防技術(shù)實驗?zāi)康募耙?、 通過密碼破解工具L0phtCrack5(簡稱LC5)的使用，了解賬號口令的安全性，掌握安全口令的設(shè)置原則，保護(hù)賬號口令的安全性。2、 通過對木馬的練習(xí)，理解和掌握木馬傳播和運行的機(jī)制；掌握檢查木馬和刪除木馬的技巧，學(xué)會防御木馬的相關(guān)知識，加深對木馬的安全防范意識。3、 通過DoS和DDoS攻擊工具對目標(biāo)主機(jī)進(jìn)行攻擊；理解DoS和DDoS的攻擊原理及實施過程；掌握檢測和防范DoS和DDoS攻擊的方法。實驗環(huán)境局域網(wǎng)內(nèi)一臺計算機(jī)安裝L0phtCrack5軟件局域網(wǎng)環(huán)境，使用冰河、灰鴿子或其它木馬作為練習(xí)工具局域網(wǎng)環(huán)境，使用Land15、DDoSer或其它軟件作為練習(xí)工具。實驗內(nèi)容及實驗步驟實驗3-1任務(wù)一：使用L0phtCrack5破解密碼。在Windows操作系統(tǒng)中，用戶帳號的安全管理使用了安全帳號管理器SAM（SecurityAccountManager）的機(jī)制，用戶和口令經(jīng)過加密Hash變換后一Hash列表形式存放在SAM文件中。L0phtCrack通過破解這個SAM文件來獲取用戶名和密碼。它的工作方式是通過嘗試每個可能的字母數(shù)字組合試圖破解密碼。單擊文件菜單中的“LC5”向?qū)?，設(shè)定破解任務(wù)。每人對本地機(jī)器進(jìn)行密碼破解。步驟：（1）在主機(jī)內(nèi)建立若干用戶名，將其密碼分別設(shè)置為空密碼、純數(shù)字組合密碼、特定單詞字母密碼、任意字母組合密碼、字母數(shù)字混合密碼以及特殊符號字母數(shù)字混合密碼。（2）通過L0phtCrack5文件菜單中的LCS向?qū)ВO(shè)定從本地機(jī)器導(dǎo)入加密口令，分別對本地機(jī)器進(jìn)行“快速口令破解”和“普通口令破解”，觀察破解結(jié)果（要等一段時間直到破解完全結(jié)束）。注意：若采用“復(fù)雜口令破解”方式，則需要23小時的時間破解?？焖倨平馊蝿?wù)二：掌握安全的密碼設(shè)置策略。用戶密碼應(yīng)包含英文字母的大小寫、數(shù)字、可打印字符，甚至是非打印字符。建議將這些符號排列組合使用，以期達(dá)到最好的保密效果。用戶密碼不要太規(guī)則，不要使用用戶姓名、生日、電話號碼以及常用單詞作為密碼。根據(jù)Windows系統(tǒng)密碼的散列算法原理，密碼長度設(shè)置應(yīng)超過7位，最好為14位。密碼不得以明文方式存放在系統(tǒng)中，確保密碼以加密的形式寫在硬盤上并包含密碼的文件是只讀的。密碼應(yīng)定期修改，應(yīng)避免重復(fù)使用舊密碼，應(yīng)采用多套密碼的命名規(guī)則。建立賬號鎖定機(jī)制。一旦同一賬號密碼校驗錯誤若干次，即斷開連接并鎖定該賬號，經(jīng)過一段時間才解鎖。在Windows Server 2003系統(tǒng)中，如果在密碼策略中啟用了密碼必須符合復(fù)雜性要求設(shè)置的話，則對用戶的密碼設(shè)置有如下要求：不包含全部或部分的用戶賬戶名。長度至少為7個字符。包含以下4種類型字符中的3種字符。英文大寫字母（從A到Z）英文小寫字母（從a到z）10個基本數(shù)字（從0到9）非字母字符（如!、$、#、%）而一般意義上的強(qiáng)密碼則具有以下特征：長度至少有7個字符。不包含用戶的生日、電話、用戶名、真實姓名或公司名等。不包含完整的字典詞匯。包含全部4種類型的字符。除此之外，管理員賬戶的密碼應(yīng)當(dāng)定期修改，尤其是當(dāng)發(fā)現(xiàn)有不良攻擊時，更應(yīng)及時修改復(fù)雜密碼，以免被破解。為避免密碼因過于復(fù)雜而忘記，可用筆記錄下來，并保存在安全的地方，或隨身攜帶避免丟失。實驗3-2 任務(wù)一 運行木馬文件，生成木馬的服務(wù)器端，并將其安裝在遠(yuǎn)程主機(jī)。1、使用“冰河”對遠(yuǎn)程計算機(jī)進(jìn)行控制“冰河”一般由兩個文件組成：G_Client和G_Server。其中G_Server是木馬的服務(wù)器端，即用來植入目標(biāo)主機(jī)的程序，G_Client是木馬的客戶端，就是木馬的控制端。打開控制端G_Client,彈出“冰河”的主界面，熟悉快捷工具欄。2、在一臺目標(biāo)主機(jī)上植入木馬并在此主機(jī)上運行G_Serever，作為服務(wù)器端；在另一臺主機(jī)上運行G_Client.作為控制端。打開控制端程序，單擊“添加主機(jī)”按鈕。彈出如圖所示的對話框：“顯示名稱”：填入顯示在主界面的名稱?！爸鳈C(jī)地址”：填入服務(wù)器端主機(jī)的IP地址?！霸L問口令”：填入每次訪問主機(jī)的密碼，“空”即可?！氨O(jiān)聽端口”：“冰河”默認(rèn)監(jiān)聽端口是7626，控制端可以修改它以繞過防火墻。單擊“確定”可以看到主機(jī)面上添加了test的主機(jī)，如圖，就表明連接成功。單擊test主機(jī)名，如果連接成功，則會顯示服務(wù)器端主機(jī)上的盤符。這個時候我們就可以像操作自己的電腦一樣遠(yuǎn)程操作遠(yuǎn)程目標(biāo)電腦。“冰河”大部分功能都是在“命令控制臺”實現(xiàn)的，單擊“命令控制臺”彈出命令控制界面，如圖所示：任務(wù)二 使用木馬對遠(yuǎn)程計算機(jī)進(jìn)行控制。展開命令控制臺 ，分為“口令類命令”、“注冊表讀表”、“設(shè)置類命令”。（1）口令命令類：“系統(tǒng)信息及口令“：可以查看遠(yuǎn)程主機(jī)的系統(tǒng)信息、開機(jī)口令、緩存口令等?！皻v史口令”：可以查看遠(yuǎn)程主機(jī)以往使用的口令?！皳翩I記錄”：啟動鍵盤記錄以后，可以記錄遠(yuǎn)程主機(jī)用戶擊鍵記錄，以此可以分析出遠(yuǎn)程主機(jī)的各種帳號和口令或各種秘密信息。（2）控制類命令捕獲屏幕：這個功能可以使控制端使用者查看遠(yuǎn)程主機(jī)的屏幕，好像遠(yuǎn)程主機(jī)就在自己面前一樣，這樣更有利于竊取各種信息。單擊“查看屏幕”，彈出遠(yuǎn)程主機(jī)界面。“發(fā)送信息”：這個功能可以使你向遠(yuǎn)程計算機(jī)發(fā)送Windows標(biāo)準(zhǔn)的各種信息。“進(jìn)程管理”：這個功能可以使控制者查看遠(yuǎn)程主機(jī)上所有的進(jìn)程。“窗口管理”：這個功能可以使遠(yuǎn)程主機(jī)上的窗口進(jìn)行刷新、最大化、最小化、激活、隱藏等操作?！跋到y(tǒng)管理”：該功能可以使遠(yuǎn)程主機(jī)進(jìn)行關(guān)機(jī)、重啟、重新加載冰河、自動卸載冰河?！捌渌刂啤保涸摴δ芸梢允惯h(yuǎn)程主機(jī)上進(jìn)行自動撥號禁止、桌面隱藏、注冊表鎖定等操作。（3）網(wǎng)絡(luò)類命令：“創(chuàng)建共享”：在遠(yuǎn)程主機(jī)上創(chuàng)建自己的共享。“刪除共享”：在遠(yuǎn)程主機(jī)上刪除某個特定的共享。“網(wǎng)絡(luò)信息”：查看遠(yuǎn)程主機(jī)上的共享信息，單擊“查看共享”可以看到遠(yuǎn)程主機(jī)上的IPC$,C$、ADMIN$等共享都存在。文件類命令：展開文件類命令、文件瀏覽、文件查找、文件壓縮、文件刪除、文件打開等菜單可以查看、查找、壓縮、刪除、打開遠(yuǎn)程主機(jī)上的某個文件。目錄增刪、目錄復(fù)制、主鍵增刪、主鍵復(fù)制的功能。注冊表讀寫：提供了鍵值讀取，鍵值寫入，鍵值重命名、主鍵瀏覽、主鍵刪除、主鍵復(fù)制的功能。設(shè)置類命令：提供了更換墻紙、更改計算機(jī)名、服務(wù)器端配置的功能。任務(wù)三 檢測并刪除木馬文件。刪除冰河木馬主要有以下幾種方法：客戶端的自動卸載功能，而實際情況中木馬客戶端不可能為木馬服務(wù)器自動卸載木馬。手動卸載：查看注冊表，在“開始”中運行regedit,打開Windows注冊表編輯器。在目錄中發(fā)現(xiàn)一個默認(rèn)的鍵值：C:WINNTSystem32kernel32.exe，這個就是冰河木馬在注冊表中加入的鍵值，將它刪除。然后依次打開子鍵目錄HKEY_LOCAL_MACHINESOFTWAREMicrosoftWind-owsCurrentVersionRunservices,在目錄中也發(fā)現(xiàn)一個默認(rèn)鍵值：C:WINNTSystem32kernel32.exe，這個也是冰河木馬在注冊表中加入的鍵值，刪除。進(jìn)入C:WINNTSystem32目錄，找到冰河的兩個可執(zhí)行文件Kernel32.exe和Susexplr.exe，刪除。修改文件關(guān)聯(lián)時木馬常用的手段，冰河木馬將txt文件的缺省打開方式由notepad.exe改為木馬的啟動程序，此外html、exe、zip、com等都是木馬的目標(biāo)。所以還需要恢復(fù)注冊表中的txt文件關(guān)聯(lián)功能。將注冊表中HKEY_CLASSES_ROOTtxtfileshellopencommand下的默認(rèn)值，由中木馬后的C:WindowsSSystemSusex-plr.exe%1改為正常情況下的C:Windowsnotepad.exe%1。任務(wù)四 木馬的方法措施。木馬的防范木馬的危害顯而易見，防范木馬的方法主要有：提高防范意識，不要打開陌生人傳來的可疑郵件和附件。確認(rèn)來信的源地址是否合法。如果網(wǎng)速變慢，往往是因為入侵者使用的木馬搶占帶寬。雙擊任務(wù)欄右下角連接圖標(biāo)，仔細(xì)觀察發(fā)送“已發(fā)送字節(jié)”項，如果數(shù)字比較大，可以確認(rèn)有人在下在你的硬盤文件，除非你正使用FTP等協(xié)議進(jìn)行文件傳輸。察看本機(jī)的連接，在本機(jī)上通過netstat-an（或第三方程序）查看所有的TCP/UDP連接，當(dāng)有些IP地址的連接使用不常見的端口與主機(jī)通信時，這個連接九需要進(jìn)一步分析。木馬可以通過注冊表啟動，所以通過檢查注冊表來發(fā)現(xiàn)木馬在注冊表里留下的痕跡。使用殺毒軟件和防火墻。實驗內(nèi)容及實驗步驟實驗3-3任務(wù)一 Land攻擊練習(xí)目標(biāo)機(jī)端口對目標(biāo)主機(jī)的 80 端口進(jìn)行攻擊：步驟：1在 DOS 中使用格式：land15 目標(biāo) IP2在目標(biāo)主機(jī)中打開任務(wù)管理器，對聯(lián)網(wǎng)性能和系統(tǒng)資源使用情況進(jìn)行觀察：3在目標(biāo)主機(jī)打開 Sniffer pro 工具，捕捉由攻擊者計算機(jī)發(fā)送本地計算機(jī)的 TCP 包任務(wù)二 DDoSer的使用1軟件簡介DDoSer軟件是一個DDOS攻擊工具，程序運行后，程序運行后自動裝入系統(tǒng)，并在以后隨系統(tǒng)啟動，自動對事先設(shè)定好的目標(biāo)機(jī)進(jìn)行攻擊。本軟件分為生成器（DDOSMaker.exe）與DDOS攻擊者程序（DDOSer.exe）兩部分。軟件在下載安裝后是沒有DDOS攻擊者程序的（只有生成器DDOSMAKER.exe）,DDOS攻擊者程序要通過生成器生成。生成時可以自定義一些設(shè)置，如攻擊目標(biāo)的域名或IP地址、端口等。DDOS攻擊者程序默認(rèn)的文件名DDOSer.exe，可以在生成或生成后任意改名。DDOS攻擊者程序類似于木馬軟件的服務(wù)端程序，程序運行后不會顯示任何界面，看上去好像沒有任何反應(yīng)，其實它已經(jīng)將自己復(fù)制到系統(tǒng)里面了，并且會在每次開機(jī)時自動運行，此時可以將拷貝過去的安裝程序刪除。它運行時唯一會做的就是不斷對事先設(shè)定好的目標(biāo)進(jìn)行攻擊。DDOSer使用的攻擊手段是SYNFlood。2生成攻擊程序打開DDOSMAKER.exe程序，出面主界面，對其設(shè)置如下：輸入目標(biāo)主機(jī)IP，端口設(shè)置為80，并發(fā)線程為10個，最大TCP連接數(shù)為1000，自啟動設(shè)置默認(rèn)，生成的DDOS攻擊者程序名稱為ddos_attack.exe。3DDoSer.exe的運行及結(jié)果觀察在主機(jī)上運行ddos_attack.exe后，這臺主機(jī)就成了攻擊者