1、实验一 网络信息收集一、实验目的: 网络信息收集是非常重要的,通过获取的数据可以分析网络安全系统,也可以利用它获取被攻击方的漏洞,无论是从网络管理员的安全角度,还是从攻击者角度出发,它是非常重要的、不可缺少的步骤。要求学生掌握信息收集的方法,使用常见扫描器,分析所获取的数据,解释数据与漏洞的关系,掌握网络扫描器的程序设计。二、实验内容和方法: 1、 SuperScan 4.0扫描器掌握常见的扫描器软件使用方法,如:SATAN 、流光、CIS、SuperScan。要求学生在上机时根据自己使用的扫描器软件对实验室网络系统进行漏洞扫描,对扫描的结果作出正确的分析,根据分析评估网络系统安全性,必要时关
2、闭危险端口,合理配置计算机系统。以 Windows 上运行 SuperScan 4.0 扫描器为例,对目标主机 (安装了 WWW 和 FTP服务的 IP 地址为 192.168.0.3 的 Windows Server 2003 主机)扫描后得到的信息如图 1所示。图 1 端口扫描单击“查看 HTML 报告”打开扫描报告,如图 2 所示。从扫描报告中可以看到扫描出的 TCP 和 UDP 端口号及端口服务信息,如 FTP 服务中的用户名为“anonymous” ,允许匿名登录。运行【SuperScan 4.0】窗口中的“工具”选项卡,可以用内部集成的测试工具对目标主机进行探测,如图 3 所示。图
3、 2 端口扫描详细报告图 3 扫描工具运行【SuperScan 4.0】 窗口中的 “Windows 枚举”选项卡,可以用内部集成的测试工具对目标主机进行探测,如图 4 所示。从扫描的信息中可以发现目标主机系统漏洞,如 MAC 地址、共享资源、空链接、系统运行服务、磁盘分区、注册表信息,等等,通常我们可以在目标主机系统中发现许多可以被利用来进行攻击的漏洞。图 4 漏洞扫描2、Windows Server 2003 网络监听Windows 系统中本身就带有具有网络监听功能的管理工具 网络监视器。主机 A安装 Windows Server 2003、FTP 服务器,并在系统中开设一个帐户 ftp-
4、user,密码设置为 ftp-user-password。本实例要实现使用网络监视器对本主机进行监听,捕获主机 B访问本主机 FTP 服务器的用户名和密码。 1) 添加网络监视器在主机 A 系统中单击“开始”“控制面板”“添加或删除程序”“添加/删除Windows 组件 (A)”,在【Windows 组件向导】窗口中选中“管理和监视工具” ,然后单击“详细信息(D)” ,在【管理和监视工具 】窗口中将其他自组件取消,只保留 “网络监视工具”一项,如图 5 所示。单击“确定”按钮,关闭【管理和监视工具】窗口,在【Windows 组件向导】窗口单击“下一步”按钮,将 Windows Server
5、2003 安装光盘放入,完成网络监视工具组件安装。最后关闭所有相关窗口。2) 启动网络监视工具在主机 A 上单击“开始”“所有程序”“管理工具”“网络监视器” ,出现提示信息窗口,单击“确定”按钮,出现【选择一个网络】窗口,选择本地连接,如图 6 所图 5 添加网络监视工具图 6 选择监听网络单击“确定”后出现【本地连接 捕获窗口】 ,单击工具栏中的图标启动捕获。在主机 B 中单击“开始”“运行” ,在对话框中输入 “cmd”,打开 DOS 输入窗口,在此窗口中用已经设置好的用户名和密码连接主机 A 上运行的 FTP 服务器,浏览站点内容后退出。如图 7 所示。在主机 B 对主机 A 访问的过
6、程中可以看到网络监视器在进行数据捕获,如图 8 所示。FTP 服务断开后,单击主机 A【Microsoft 网络监视器】窗口菜单中的“捕获”“停止并查看” ,显示【捕获: 2(总结)】窗口,如图 9 所示。图 7 远程 FTP 访问图 8 数据捕获窗口图 9 显示捕获数据可以看到远程主机 B 访问主机 A 上的 FTP 服务时输入的用户名“ftp-user” ,密码“ftp-user-password”,登录成功后做的操作“NLST” ,以及退出操作 “QUIT”。图 10 表达式筛选如果监听的数据量很大,则可单击【Windows 网络监视器】窗口菜单“显示”“筛选器(F)” ,选中左侧对话框
7、中的“Protocol = = Any”,单击“编辑表达式(P)”“全部禁用” ;在右侧“被禁用的协议”对话框中选择“FTP”协议,单击“启用(E)” 按钮,运行结果如图 10 所示。单击“确定”按钮回到【显示筛选器】窗口,再单击“确定”按钮,出现筛选后的FTP 访问信息,可以清楚地看到完整的远程访问 FTP 服务过程,如图 11 所示。图 11 筛选后的数据由此可见,用网络监听技术可以捕获多数明文数据的敏感信息。3、系统服务入侵与防范基于认证的网络服务攻击主要有针对 IPC$、Telnet 和计算机管理三种入侵技术,攻击的前提是,使用这些服务的用户名和密码过于简单,已经被入侵者掌握。常用的
8、DOS网络入侵命令如下: net user:系统帐号类操作; net localgroup:用来管理工作组; net use:远程连接、映射操作; net send:信使命令; net time:查看目标计算机的系统时间; at:用来建立计划任务; netstat -n:查看本机网络连接状态; nbtstat -a IP:查看指定 IP 主机的 NetBIOS 信息。可以参照 Windows 系统 F1 帮助文件中的“命令行”来了解这些命令的详细描述和参数。4、木马实例入侵实例灰鸽子是国内第三代木马的标准软件,也是国内首次成功地使用反弹端口技术中第二种方式创建的木马,同时也支持传统方式连接,具
9、有强大的远程控制功能,并且能够方便地控制动态 IP 地址和局域网内的远程主机。灰鸽子的主界面如图 12 所示。图 12 灰鸽子主界面灰鸽子可以控制系统为 Windows 9X/me/NT/2000/XP/2003 的远程主机,当服务端设置成自动上线型时,可以有外网控制外网、外网控制内网及同在一局域网三种控制方式;当服务端配置为主动连接型时,可以有外网控制外网、内网控制外网及同在一局域网三种控制方式。其中外网为有互联网 IP 地址的计算机,内网为在局域网内部可以上网的计算机,如网吧中的普通计算机。使用灰鸽子“反弹端口”进行连接的一般思路为:设置中间代理,配置服务程序,种植木马,域名更新 IP,等
10、待远程主机自动上线,控制远程主机。1 设置中间代理灰鸽子使用的是反弹端口技术的第二种连接方式,是通过免费域名提供的动态 IP 映射来实现中间代理,下面介绍具体的设置方法。在配置服务器端程序之前,需要申请动态域名,动态域名是随时可以更新映射 IP 的域名,这种域名恰恰实现了“中间代理”保存客户端 IP、端口的功能。这里建议使用灰鸽子自带的功能来申请 域名。打开灰鸽子客户端后,选择“文件(F)”“自动上线”或单击如图 13 所示主界面上“自动上线”按钮来打开【自动上线】窗口,然后选择“注册免费域名”选项卡,申请 免费域名。各参数填好后单击 “注册域名”按钮进行注册,参数填写如图 14 所示。图
11、14 注册域名各参数功能解释如下: “域名 ”:只要满足域名书写规范( 字母、数字、下划线) ,并且没有被注册的域名即可。 “密码 ”:用来管理域名的密码。 “您的 E-mail”:用来和入侵者联系的 E-mail。如果填入的 E-mail 不存在同样可以注册成功。 “本机 IP 地址”:填入一个对远程主机可见的 IP 地址,以后远程主机就用这个 IP地址与入侵者联系。现在来验证免费域名是否注册成功,打开浏览器,键入“http:/WinVsW”,如果回显中含有本机 IP 地址,那么就说明申请中间代理成功。2. 配置服务程序成功申请了中间代理之后,下一步就要对木马服务端程序进行设置。首先,选择“文件(F)”“配置服务程序 ”或单击主界面上的“配置服务程序 ”按钮打开【服务器配置】窗口,进行如下设置。(1) 选择 “连接类型 ”选项卡,然后选中 “自动上线型” 并填入刚才注册的域名,这个域名是用来让远程主机主动去连接的(对应第二种反弹端口方式中的第 (2)步),其他的不变,如图 6.23 所示。(2) 选择 “安装信息 ”选项卡,填好后如图 15 所示。图 15 连接类型设置
