网络安全与管理综合实训.doc

《网络安全与管理综合实训.doc》由会员分享，可在线阅读，更多相关《网络安全与管理综合实训.doc（28页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、学院网络安全与管理综合实训指导老师XX XX网络XXXXXXXXXXXXXXXX第七组2012年6月1日计算机与软件学院目录一、 网络安全1.目标系统检测目标系统检测4（1）主机发现41.1 主机发现概述41.2 主机发现的原来41.3 主机发现应用41.4 主机发现41.5 实验步骤5（2）端口扫描52.1端口扫描概述52.2 端口扫描原理62.3 实验步骤6（3）漏洞扫描73.1 漏洞扫描概述73.2 漏洞扫描原理83.3 漏洞扫描工具83.4 实验步骤8口令破解9（1）口令破解攻击概念9（2）口令破解常用方法9（3）口令破解工具：10（4）Windows操作系统密码 ：11（5）屏幕保护

2、密码11网络监听12（1）网络监听12（2）网络监听工具：12木马配置13（1）木马捆绑131.1 木马捆绑概述131.2 木马捆绑原理141.3 实验步骤14（2）木马植入152.1木马植入的方式152.2 木马的运行方式152.3 实验步骤16分布式拒绝服务攻击(DDoS)18（1）分布式拒绝服务攻击(DDoS)原理：18（2）被DDoS攻击时的现象：18（3）DDoS攻击实例 - SYN Flood攻击18（4）DDoS的防范19缓冲区益出20（1）缓冲区益出概述20（2）缓冲区益处危害20（3） 知识应用21（4）实验步骤21PGP数据加密23（1）PGP简介23（2）PGP用途23（

3、3）PGP工作方式23（4）PGP密钥注意事项23防火墙的应用24（1）防火墙技术现状24（2）防火墙的定义和描述24（3）防火墙的应用24SSL安全设置25（1）SSL简介：25（2）SSL安全机制25（3）配置SSL服务器端策略26（4）配置SSL客户端策略27（5）SSL显示和维护28实训总结：28一、 网络安全目标系统检测（1）主机发现1.1 主机发现概述任何网络探测任务的最初几个步骤之一就是把一组IP范围(有时该范围是巨大的)缩小为一列活动的或者你所感兴趣的主机，这个过程称之为“主机发现”。什么样的主机令你感兴趣主要依赖于扫描的目的。网络管理员也许只对运行特定服务的主机感兴趣，而从事

4、安全的人士则可能对每一个细节都感兴趣。一个系统管理员也许仅仅使用Ping来定位内网上的主机，而一个外部入侵测试人员则可能绞尽脑汁用各种方法试图突破防火墙的封锁。1.2 主机发现的原来主机发现有时候也叫做ping扫描，但它远远超越用世人皆知的ping工具发送简单的ICMP回显请求报文，也可以使用ARP扫描、TCP SYN/ACK、UDP等多种扫描与连接探测。这些探测的目的是获得响应以显示某个IP地址是否是活动的(正在被某主机或者网络设备使用)。 在许多网络上，在给定的时间，往往只有小部分的IP地址是活动的。这种情况在基于RFC1918的私有地址空间如10.0.0.0/8尤其普遍。那个网络有16,

5、000,000个IP，然而，在使用它的大多数公司中连1000台机器都没有。主机发现就是要找到零星分布于IP地址海洋上的那些机器。1.3 主机发现应用发现网络中的主机1.4 主机发现1. 利用ARP协议实现主机发现向目的主机发送ARP请求报文后，如果接收到目的主机返回的ARP应答报文，那么说明目的主机处于活动状态；否则，说明目的主机处于不活动状态。利用ARP协议实现主机发现的过程如下图所示：2. 利用ICMP协议实现主机发现向目的主机发送ICMP回显请求报文后，如果接收到目的主机返回的ICMP回显应答报文，那么说明目的主机处于活动状态；否则，说明目的主机处于不活动状态。【注】利用ICM进行主机发

6、现时，应注意防火墙存在的现象，如果目标主机进行了防火墙设置，禁止ICMP回显请求数据包通过，则主机发现失败。1.5 实验步骤实验操作前实验主机需从Web资源库下载实验所需局域网扫描器软件。1 主机扫描(1) 主机A运行“局域网扫描器”，在“扫描地址”栏中输入扫描的IP范围。（注意：需与本机同网段），扫描方式为默认方式“普通扫描”，点击“扫描”按钮开始扫描目标IP段内存活主机。(2) 扫描结果包括“IP地址”、 “MAC地址”和“主机名”三部分。2. 结果对比(3) 扫描完成后，主机A将扫描结果与扫描到的同组主机进行对比，并针对当前网络环境验证其正确性。（2）端口扫描2.1端口扫描概述网络中的每

7、一台计算机如同一座城堡，在这些城堡中，有的对外完全开放，有的却是紧锁城门。入侵者们是如何找到，并打开他们的城门的呢？在网络技术中，把这些城堡的“城门”称之为计算机的“端口”。一个端口就是一个潜在的通信通道，也就是一个入侵通道。端口扫描是入侵者收集信息的常用手法之一，也正是这一过程最容易使入侵者暴露自己的身份和意图。通常扫描端口有如下目的：a) 判断目标主机上开放了哪些服务；b) 判断目标主机的操作系统。对目标计算机进行端口扫描的方法很多，可以是手工进行扫描，也可以用端口扫描软件进行。在手工进行扫描时，需要熟悉各种命令，对命令执行后的输出进行分析。用扫描软件进行扫描时，许多扫描器软件都有分析数据

8、的功能。 通过端口扫描，入侵者能够掌握目标主机开放了哪些服务，运行何种操作系统，进而发现系统的安全漏洞，就可以使用相应的手段实现入侵。2.2 端口扫描原理1. 全TCP连接扫描这种扫描方法使用三次握手，与目标计算机建立标准的TCP连接。如果端口处于侦听状态，那么连接就能成功。否则，这个端口是不能用的，即没有提供服务。这个技术的优点是不需要任何权限，但这种方法的缺点是很容易被发觉，并且被过滤掉。 2. 半打开式扫描（SYN扫描）在这种扫描技术中，扫描主机自动向目标主机的指定端口发送SYN数据段，表示发送建立连接请求。a. 如果目标计算机的回应TCP报文中SYN=1，ACK=1，则说明该端口是活动

9、的，接着扫描主机传送一个RST给目标主机拒绝建立TCP连接，从而导致三次握手过程的失败。b. 如果目标计算机的回应是RST，则表示该端口为“死端口”，扫描主机不用做任何回应。由于扫描过程中，全连接尚未建立，所以大大降低了被目标主机记录的可能性，并且加快了扫描的速度。但这种方法的一个缺点是，必须要有root权限才能建立自己的SYN数据包。3. FIN扫描在TCP报文中有一个字段为FIN，FIN扫描则依靠发送FIN来判断目标计算机的指定端口是否活动。发送一个FIN=1的TCP报文到一个关闭的端口时，该报文会被丢掉，并返回一个RST报文，但如果当FIN报文到一个活动的端口时，该报文只是简单的丢掉，不

10、会反回任何回应。可以看出，FIN扫描没有涉及任何TCP连接部分，因此比前两种扫描都安全，称之为秘密扫描。4. 第三方扫描第三方扫描又称“代理扫描”，是利用第三方主机来代替入侵者进行扫描。这个第三方主机一般是入侵者通过入侵其他计算机而得到的，该第三方主机常被入侵者称之为“肉鸡”。2.3 实验步骤实验操作前实验主机需从Web资源库下载实验所需Nmap软件、WinPcap软件程序（Nmap需要WinPcap支持）。1. 主机A默认安装WinPcap程序。2. 主机A利用工具，发起端口扫描，扫描远程主机的特定端口。对扫描软件的更细致说明，请参考web资源库中相关工具使用手册。(1) 单击“开始”|“运

11、行”|“cmd”，并进入Nmap扫描工具所在目录。(2) 执行Nmap命令，对远程主机开放的TCP端口同步扫描（范围1-150），将结果保存到C盘tcp.txt中。(3) 执行Nmap命令，对远程主机开放的UDP端口同步扫描（范围110-140），将结果保存到C盘udp.txt中。(4) 执行Nmap命令，探测远程目标主机的操作系统。(5) 执行Nmap命令，对局域网进行Ping探测扫描，并将结果保存在C盘host.txt文件中。(6) 执行Nmap命令，探测局域网开放指定端口服务主机，包括80、21、23、1433和3306端口。将结果保存到C盘service.txt中。 (7) 主机B同时

12、进行步骤(1)-(6)对主机A进行端口扫描。3. 根据扫描结果，完成下表网络地址开放端口MAC地址提供服务操作系统（3）漏洞扫描3.1 漏洞扫描概述漏洞扫描是一种网络安全扫描技术，它基于局域网或Internet远程检测目标网络或主机安全性。通过漏洞扫描，系统管理员能够发现所维护的Web服务器的各种TCP/IP端口的分配、开放的服务、Web服务软件版本和这些服务及软件呈现在Internet上的安全漏洞。漏洞扫描技术采用积极的、非破坏性的办法来检验系统是否含有安全漏洞。网络安全扫描技术与防火墙、安全监控系统互相配合使用，能够为网络提供很高的安全性。漏洞扫描分为利用漏洞库的漏洞扫描和利用模拟攻击的漏

13、洞扫描。利用漏洞库的漏洞扫描包括：CGI漏洞扫描、POP3漏洞扫描、FTP漏洞扫描、SSH漏洞扫描和HTTP漏洞扫描等。利用模拟攻击的漏洞扫描包括：Unicode遍历目录漏洞探测、FTP弱口令探测、OPENRelay邮件转发漏洞探测等。3.2 漏洞扫描原理1. 漏洞库匹配法基于漏洞库的漏洞扫描，通过采用漏洞规则匹配技术完成扫描。漏洞库是通过以下途径获取的：安全专家对网络系统的测试、黑客攻击案例的分析以及系统管理员对网络系统安全配置的实际经验。漏洞库信息的完整性和有效性决定了漏洞扫描系统的功能，漏洞库应定期修订和更新。2. 插件技术（功能模块技术）插件是由脚本语言编写的子程序，扫描程序可以通过调

14、用它来执行漏洞扫描，检测系统中存在的漏洞。插件编写规范化后，用户可以自定义新插件来扩充漏洞扫描软件的功能。这种技术使漏洞扫描软件的升级维护变得相对简单。3.3 漏洞扫描工具名称描述特点MysfindMysfind是一个命令行程序，它采用多线程扫描系统漏洞。主要用于扫描Printer漏洞和Unicode漏洞。目前的扫描方式支持3种：-all 扫描所有的漏洞-e 扫描printer漏洞-u 扫描unicode漏洞速度快、结果准。X-ScanX-Scan采用多线程方式对指定IP地址段(或单机)进行安全漏洞扫描，支持插件功能，提供了图形界面和命令行两种操作方式。扫描内容包括：远程操作系统类型及版本、C

15、GI漏洞、RPC漏洞、SQL-SERVER默认帐户、FTP弱口令，NT主机共享信息、用户信息、组信息等。X-scan可以自定义扫描端口，可以自定义NT、FTP、SQL Server的默认帐号，还可以自己维护CGI漏洞列表，给用户很大的自由空间。RangeScanRangeScan是一款开放式多网段扫描器，可以自定义扫描内容，根据加入的扫描内容来扫描特定主机。与X-Scan相比，大大加快了扫描速度。3.4 实验步骤实验操作前实验主机需从Web资源库下载实验所需漏洞扫描工具XScan及MS06040漏洞扫描工具，并从网络拟攻击系统下载MS06040漏洞补丁。注实现过程中，主机A和主机B可同时进行以

16、下步骤。1. 主机A扫描漏洞(1) 主机A双击XScan文件夹下xscan_gui.exe，启动XScan。(2) 主机A设置扫描范围，依次选择菜单栏“设置” “扫描参数”菜单项，打开扫描参数对话框。在“检测范围”参数中指定扫描IP的范围，在“指定IP范围”输入要检测的主机IP。(3) 主机A进行全局设置，本机在“全局设置”的“扫描模块”选项里，可以看到待扫描的各种选项，单击“全选”按钮。“并发扫描”选项中可设置线程和并发主机数量，这里选择默认设置。“其他设置”选项中，选择“无条件扫描”选项。当对方禁止ICMP回显请求时，如果设置了“跳过没有响应的主机”选项，XScan会自动跳过该主机，自动检

17、测下一台主机。(4) 主机A插件设置，在“端口相关设置”选项中可以自定义一些需要检测的端口。检测方式有“TCP”、 “SYN”两种，TCP方式容易被对方发现，准确性要高一些；SYN则相反。我们在这里选用TCP方式。(5) 主机A设置好XScan的相关参数，单击“确定”按钮，然后单击“开始扫描”。XScan会对远程主机进行详细检测，扫描过程中如果出现错误会在“错误信息”中看到。(6) 主机A结束扫描。扫描结束以后会自动弹出检测报告，包括漏洞的信息。报告保存在XScan文件夹下的log目录下。报告中可以查看远程主机中开放的端口以及提供的服务。2. 主机A微软系统漏洞扫描(1) 主机A双击MS06-

18、040.Scanner.exe，扫描主机B是否存在漏洞。在StartIP和EndIP中输入主机B的IP。单击check开始扫描。（注：为了保证扫描结果准确，再现过程中针对主机B进行单机扫描）(2) 记录扫描结果，保存MS06040漏洞主机。(3) 对存在MS06040漏洞的主机打补丁WindowsServer2003-KB-v2-x86-CHS（从网络拟攻击系统下载），并再次进行漏洞扫描，记录扫描结果。口令破解（1）口令破解攻击概念 口令破解攻击是指使用某些合法用户的帐号和口令登录到目的主机，然后再实施攻击活动。这种方法的前提是必须先得到该主机上的某个合法用户的帐号，然后再进行合法用户口令的破

19、译。.通过网络监听非法得到用户口令，这类方法有一定的局限性，但危害性极大。在知道用户的帐号后(如电子邮件前面的部分)利用一些专门软件强行破解用户口令，这种方法不受网段限制，但攻击者要有足够的耐心和时间。利用系统管理员的失误或系统漏洞获得。（2）口令破解常用方法傻瓜解密法 - 攻击者通过反复猜测可能的字词(例如用户子女的姓名、用户的出生城市和当地运动队等)来使用用户帐户完成登录。字典取词法 - 攻击者使用包括字词文本文件的自动程序。通过每次尝试时使用文本文件中的不同字词，该程序反复尝试登录目标系统。暴力破解法 - 此类攻击是字典的变体，但此类攻击的宗旨是破解字典攻击所用文本文件中可能没有包括的密

20、码。尽管可以在联机状态下尝试蛮力攻击，但出于网络带宽和网络等待时间，一般是在脱机状态下将密码中可能出现的字符进行排列组合，并将这些结果放入破解字典。在连接状态时再通过每次尝试时使用文本文件中的不同字词，该程序反复尝试登录目标系统。 混合攻击（Hybrid Attack）将字典攻击和暴力攻击结合在一起。利用混合攻击，常用字典词汇与常用数字结合起来，用于破解口令。这样，将会检查诸如password123和123password这样的口令。（3）口令破解工具： 最常用的工具之一是 L0phtCrack（现在称为 LC4）。L0phtCrack 是允许攻击者获取加密的 Windows NT/2000

21、密码并将它们转换成纯文本的一种工具。NT/2000 密码是密码散列格式，如果没有诸如 L0phtCrack 之类的工具就无法读取。它的工作方式是通过尝试每个可能的字母数字组合试图破解密码。 另一个常用的工具是协议分析器（最好称为网络嗅探器，如 Sniffer Pro 或 Etherpeek），它能够捕获它所连接的网段上的每块数据。当以混杂方式运行这种工具时，它可以“嗅探出”该网段上发生的每件事，如登录和数据传输。正如您稍后将会看到的，这可能严重地损害网络安全性，使攻击者捕获密码和敏感数据。（4）弱口令与共享服务攻击 ：“弱口令”和“共享”都是指系统在设置过程中忽略了网络安全的考虑而带来的安全隐

22、患，例如当我们假设一个FTP服务器的时候，软件在默认情况下会有很多开放的登录账号，如果没有删除这些账号就将系统投入使用，那么任何人都可以通过这些预先设置的账号进行系统登录。使用xscanner可以进行“弱口令扫描”，使用者通过-ntpass参数进行操作，假设我们现在对10.1.8.1-10.1.8.254进行扫描，可以用xscanner 10.1.8.1-10.1.8.254-v -ntpass完成整个C类段的扫描，并且从结果中找到存在弱口令的系统进行远程登录。（5） 本地密码破解：网络黑客通常都是通过各种手段破解远程服务器上的密码的，而对于网吧、公司之类的地方，任何人都可以接触到本地电脑，这

23、样本地电脑里面的密码就也有可能被黑客破解，例如今天流行的oicq软件在本地就是存在一个记录密码的文件，黑客得到了这个文件就可以对oicq进行破解了。（6） 开机密码破解：开机密码，也就是CMOS密码，根据用户设置的不同，开机密码一般分为两种不同情况。1）一种就是Setup密码(采用此方式时，系统可直接启动，而仅仅只在进入BIOS设置时要求输入密码)2）一种就是System密码(采用此方式时，无论是直接启动还是进行BIOS设置都要求输入密码，没有密码将一事无成)。Setup密码 如果计算机能正常引导，只是不能进入BIOS设置(即设置了Setup密码)，那么我们在遗忘密码之后只需在DOS状态下启动

24、DEBUG，然后输入如下命令即可手工清除密码：- o 70 16- o 71 16- q 也可到然后在DOS启动该程序，它就会将用户的CMOS密码显示出来(Cmospwd支持Acer、AMI、AWARD、COMPAQ、DELL、IBM、PACKARD BELL、PHOENIX、ZENITH AMI等多种BIOS)，使用非常方便。System密码 若没有密码根本不能启动计算机(即设置了System密码)，那我们就无法通过软件来解决密码遗忘的问题了。此时惟一的方法就是打开机箱，给CMOS放电，清除CMOS中的所有内容(当然也就包括密码)，然后重新开机进行设置。另外，有些主板设置了CMOS密码清除跳

25、线，将该跳线短接也可达到同样的目的(详情参见主板说明书)。 （4）Windows操作系统密码 ：我们可删除Windows安装目录下的*.PWL密码文件及Profiles子目录下的所有个人信息文件，然后重新启动Windows，系统就会弹出一个不包含任何用户名的密码设置框，我们无需输入任何内容，直接点击“确定”按钮，Windows密码即被删除。另外，运行“regedit.exe”，打开注册表数据库“HKEY_LOCAL_MACHINE”“Network”“Logon”分支下的“UserProfiles”修改为“0”，然后重新启动Windows也可达到同样的目的（5）屏幕保护密码在屏幕保护出现密码提

26、示窗口的时候，直接在电脑的光驱中放入一张带有Aurorun的光盘，光盘放入之后系统会自动执行光盘内容，屏幕保护程序被终止，同时不需要输入任何密码。如果一台机器尚未运行屏保，那就更简单了，运行regedit，HKEY_CURRENT_USERControlPaneldesktopScreenSave_Data，里面就是加过密的屏幕保护密码了。（7） 拨号账户密码个人拨号上网的账号和密码都是保存在系统的windows*.pwl文件中的。Passthief软件可以察看Windows密码的。网络监听（1）网络监听网络监听是一种监视网络状态、数据流程以及网络上信息传输的管理工具，它可以将网络界面设定成监

27、听模式，并且可以截获网络上所传输的信息。也就是说，当黑客登录网络主机并取得超级用户权限后，若要登录其它主机，使用网络监听便可以有效地截获网络上的数据，这是黑客使用最好的方法。但是网络监听只能应用于连接同一网段的主机，通常被用来获取用户密码等。（2）网络监听工具：Windows平台下的：Sniffer Pro Sniffer软件是NAI公司推出的功能强大的协议分析软件，针对用Sniffer Pro网络分析器进行故障解决。利用Sniffer Pro 网络分析器的强大功能和特征，解决网络问题，将介绍一套合理的故障解决方法。 与Netxray比较，Sniffer支持的协议更丰富，例如PPPOE Sni

28、ffer Pro 主界面协议等在Netxray并不支持，在Sniffer上能够进行快速解码分析。Netxray不能在Windows 2000和Windows XP上正常运行，Sniffer Pro 4.6可以运行在各种Windows平台上。 WindumpWindump是最经典的unix平台上的tcpdump的window移植版，和tcpdump几乎完全兼容，采用命令行方式运行，对用惯tcpdump的人来讲会非常顺手。目前版本是3.5.2，可运行在Windows 95/98/ME/Windows NT/2000/XP平台上IrisEeye公司的一款付费软件，有试用期，完全图形化界面，可以很方便

29、的定制各种截获控制语句，对截获数据包进行分析，还原等。对管理员来讲很容易上手，入门级和高级管理员都可以从这个工具上得到自己想要得东西。运行在Windows 95/98/ME/Windows NT/2000/XP平台上Unix平台下的：tcpdump不多说，最经典的工具，被大量的Unix系统采用，无需多言。ngrep和tcpdump类似，但与tcpdump最大的不同之处在于，借助于这个工具，管理员可以很方便的把截获目标定制在用户名，口令等感兴趣的关键字上。snort目前很红火的免费的ids系统，除了用作ids以外，被用来sniffer也非常不错，可以借助工具或是依靠自身能力完全还原被截获的数据。

30、Dsniff作者设计的出发点是用这个东西进行网络渗透测试，包括一套小巧好用的小工具，主要目标放在口令，用户访问资源等敏感资料上，非常有特色，工具包中的arpspoof，macof等工具可以令人满意的捕获交换机环境下的主机敏感数据。Ettercap和dsniff在某些方面有相似之处，也可以很方便的工作在交换机环境下提示：国内用户访问这个站点需要使用代理服务器。Sniffit被广泛使用的网络监听软件，截获重点在用户的输出。（1） 网络监听攻击技术：在网络中，当信息进行传播的时候，可以利用工具，将网络接口设置在监听的模式，便可将网络中正在传播的信息截获或者捕获到，从而进行攻击。网络监听在网络中的任何

31、一个位置模式下都可实施进行。而黑客一般都是利用网络监听来截取用户口令。木马配置（1）木马捆绑1.1 木马捆绑概述鉴于木马的危害性，很多人对木马知识还是有一定了解的，这对木马的传播起了一定的抑制作用，这是木马设计者所不愿见到的，因此他们开发了多种功能来伪装木马，其中捆绑文件是常用的手段之一。这种伪装手段是将木马捆绑到一个安装程序上，当安装程序运行时，木马在用户毫无察觉的情况下，偷偷的进入了系统。至于被捆绑的文件一般是可执行文件即EXE、COM一类的文件。1.2 木马捆绑原理为了将两个可执行程序结合在一起，攻击者会使用一个包装工具。这些工具包括包装工具（Wrappers）、绑定工具（binders

32、）、打包工具（packers）、EXE绑定工具（EXE binders）和EXE结合工具（EXE joiner）等。下图说明了攻击者如何使用包装程序。本质上，这些包装器允许攻击者使用任何可执行后门程序，并将其与任何的合法程序结合起来，不用写一行新代码就可以创建一个特洛伊木马。1.3 实验步骤实验操作前实验主机需从Web资源库下载实验所需木马程序（灰鸽子）、zsoft软件程序（一个即时通信工具）及捆绑工具（学生可以选择使用系统自带的IExpress或专门用于打包的软件）。注实验过程两主机可同步进行，即主机B同时进行木马捆绑，并最终将捆绑的程序发送给主机A，主机A运行打包后的程序。主机B对主机A进

33、行控制。主机A1. 生成木马服务器程序参考知识点二，运行木马并生成木马服务器程序。2. 捆绑过程实现运行捆绑工具，通过设置将zsoft软件程序与木马被控制端程序打包在一起，并设置打包后的程序属性为：只显示正常程序；木马程序在后台隐藏运行；运行后删除木马程序在系统中的痕迹等。本实验以IExpress为例实现捆绑过程。(1)主机A登陆，下载并解压zsoft文件到本地。(2) 主机A打开“开始”|“运行”，输入“IExpress”，点击“确认”，进入IExpress向导。(3) 选择“Create new Self Extraction Directive file”，点击“下一步”。(4) 进入“

34、Package purpose”页签，选择“Extract files and run an installation command”，点击“下一步”按钮。(5) 进入“Package title”页签，在空白处输入“ ”（空格），点击“下一步”按钮。(6) 进入“Confirmation prompt”页签，选择“No prompt”，点击“下一步”按钮。(7) 进入“License agreement”页签，选择“Do not display a license”，点击“下一步”按钮。(8) 进入“Packaged files”页签，点击“Add”按钮，添加木马程序和zsoft软件程序，

35、点击“下一步”按钮。(9) 进入“Install Program to”页签，在“install Program”选择木马程序，在“Post Install Command”中选择zsoft软件程序。点击“下一步”按钮。(10) 进入“Show window”页签，选择“Hidden”选项，点击“下一步”按钮。(11) 进入“Finished message”页签，选择“No message”选项，点击“下一步”按钮。(12) 进入“Package Name and Options”页签，填入捆绑后程序路径，文件名为software.exe。在“Options”选项中选择“Hide File

36、Extracting Progress Animation from User”，点击“下一步”按钮。(13)进入“Configure restart”页签，选择“No restart”选项，点击“下一步”按钮。(14) 进入“Save Self Extraction Directive”页签，选择“Dont save”选项，点击“下一步”按钮。(15) 进入“Create package”页签，点击“下一步”按钮，完成操作。生成捆绑完成的文件“software.exe”。3. 将打包生成的程序software.exe发送给主机B主机B4. 运行打包程序(1) 主机B运行主机A发送过来的软件程

37、序software.exe。(2) 观察软件运行过程中出现的现象，能否发现除zsoft软件外其它程序的运行过程。主机A5. 查看肉鸡是否上线，若上线尝试对其进行控制（2）木马植入2.1木马植入的方式使用木马程序的第一步是将木马的“服务器程序”放到远程被监控主机上，这个过程成为木马的植入过程。常见的植入过程有如下几种方法。 邮件收发：将木马的“服务器程序”放入电子邮件中植入到远程主机。 网页浏览：将木马的“服务器程序”放入网页中植入到远程主机。 文件下载：将木马的“服务器程序”和被下载的文件捆绑到一起植入到远程主机。2.2 木马的运行方式服务端用户运行木马或捆绑木马的程序后，木马就会自动进行安装

38、。首先将自身拷贝到WINDOWS的系统文件夹中（C:WINDOWS或C:WINDOWSSYSTEM目录下），然后在注册表，启动组，非启动组中设置好木马的触发条件，这样木马的安装就完成了。安装后就可以启动木马了。1. 自启动激活木马（1）注册表：打开HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersion下的Run主键，在其中寻找可能是启动木马的键值。(2) WIN.INI：C:WINDOWS目录下有一个配置文件win.ini，用文本方式打开，在windows字段中有启动命令load=和run=，在一般情况下是空白的，如果有启动程序，可能是

39、木马。(3) SYSTEM.INI：C:WINDOWS目录下有个配置文件system.ini，用文本方式打开，在386Enh，mci，drivers32中有命令行，在其中寻找木马的启动命令。(4) Autoexec.bat和Config.sys：在C盘根目录下的这两个文件也可以启动木马。但这种加载方式一般都需要控制端用户与服务端建立连接后，将已添加木马启动命令的同名文件上传到服务端覆盖这两个文件才行。(5) *.INI：即应用程序的启动配置文件，控制端利用这些文件能启动程序的特点，将制作好的带有木马启动命令的同名文件上传到服务端覆盖这同名文件，这样就可以达到启动木马的目的了。(6) 启动菜单：

40、在“开始-程序-启动”选项下也可能有木马的触发条件。(7) 通过将自身注册成系统服务，并添加注册表服务项，常驻内存。2.3 实验步骤实验操作前实验主机需从Web资源库下载实验所需木马程序（灰鸽子）和恶意网页模板。方法一 ：网页木马与木马植入注实验过程两主机可同步进行，即主机B同时制作网页木马，最后主机A访问主机B制作的网页木马，实现中马的过程。1. 生成网页木马(1) 生成木马的“服务器程序”。主机A运行“灰鸽子”木马，参考知识点二配置生产木马被控制端安装程序Server_Setup.exe，并将其放置于Internet信息服务(IIS) 默认网站目录“C:Inetpubwwwroot”下。(

41、2) 编写生成网页木马的脚本。主机A在Web资源库中下载恶意网页模板Trojan.htm，并编辑内容，将脚本第15行“主机IP地址”替换成主机A的IP地址。主机A将生成的“Trojan.htm”文件保存到“C:Inetpubwwwroot”目录下(“C:Inetpubwwwroot”为“默认”的网站空间目录)，“Trojan.htm”文件就是网页木马程序。注注意查看生成的Server_Setup.exe和Trojan.htm文件是否允许Internet来宾账户的读权限访问。(3) 启动WWW服务。鼠标右键单击“我的电脑”，选择“管理”。在“计算机管理（本地）”中选择“服务和应用程序”“服务”，

42、启动“World Wide Web Publishing Service”服务。2. 木马的植入主机B启动IE浏览器，访问http:/主机A的IP地址/Trojan.htm。观察实验现象是否有变化。3. 查看肉鸡是否上线，并尝试进行控制主机A等待“灰鸽子远程控制”程序主界面的“文件管理器”属性页中“文件目录浏览”树中出现“自动上线主机”。尝试对被控主机B进行远程控制。4. 主机B验证木马现象(1)主机B查看任务管理器中有几个“IEXPLORE.EXE”进程。(2) 主机B查看服务中是否存在名为“Windows XP Vista”的服务。5. 主机A卸载掉主机B的木马器程序主机A通过使用“灰鸽子

43、远程控制”程序卸载木马的“服务器”程序。具体做法：选择上线主机，单击“远程控制命令”属性页，选中“系统操作”属性页，单击界面右侧的“卸载服务端”按钮，卸载木马的“服务器”程序。方法二：缓冲区溢出与木马植入攻击者通过远程缓冲区溢出攻击受害者主机后，得到受害者主机的命令行窗口，在其命令行窗口下使用VBE脚本程序实现木马植入。下面，由主机B来重点验证利用VBE脚本上传木马的过程。（远程缓冲区溢出部分内容将在后续知识学习中进行详细介绍）1. 生成下载脚本主机B在命令行下逐条输入如下命令生成木马自动下载脚本down.vbs。 该脚本的作用是：使主机B自动从主机A的WEB服务器上下载Server_Setu

44、p.exe到主机B的C:WINDOWSsystem32目录下，并重命名为down.exe，而该程序就是主机A要植入的灰鸽子服务器端。2. 下载木马后门主机B运行down.vbs脚本，使用命令形式如下：主机B运行灰鸽子服务器程序，使用命令如下：3. 主机B验证木马现象(1)主机B查看任务管理器中有几个“IEXPLORE.EXE”进程。(2) 主机B查看服务中是否存在名为“Windows XP Vista”的服务。4. 主机B卸载木马程序(1) 主机B启动IE浏览器，单击菜单栏“工具”“Internet 选项”，弹出“Internet 选项”配置对话框，单击“删除文件”按钮，在弹出的“删除文件”对

45、话框中，选中“删除所有脱机内容”复选框，单击“确定”按钮直到完成。(2) 双击“我的电脑”，在浏览器中单击“工具”|“文件夹选项”菜单项，单击“查看”属性页，选中“显示所有文件和文件夹”，并将“隐藏受保护的操作系统文件”复选框置为不选中状态，单击“确定”按钮。(3) 关闭已打开的Web页，启动“Windows 任务管理器”。单击“进程”属性页，在“映像名称”中选中所有“IEXPLORE.EXE”进程，单击“结束进程”按钮。(4) 删除“C:WindowsH.ini”文件。(5) 启动“服务”管理器。选中右侧详细列表中的“Windows XP Vista”条目，单击右键，在弹出菜单中选中“属性”

46、菜单项，在弹出的对话框中，将“启动类型”改为“禁用”，单击“确定”按钮。(6) 启动注册表编辑器，删除“HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesWindows XP Vista”节点。(7) 重新启动计算机。分布式拒绝服务攻击(DDoS)（1）分布式拒绝服务攻击(DDoS)原理：DoS的攻击方式有很多种，最基本的DoS攻击就是利用合理的服务请求来占用过多的服务资源，从而使合法用户无法得到服务的响应。DDoS攻击手段是在传统的DoS攻击基础之上产生的一类攻击方式。（2）被DDoS攻击时的现象：被攻击主机上有大量等待的TCP连接 网络中充斥着大量的无用的数据包，源地址为假 制造高流量无用数据，造成网络拥塞，使受害主机无法正常和外界通讯 利用受害主机提供的服务或传输协议上的缺陷，反复高速的发出特定的服务请求，使受害主机无法及时处理所有正常请求，严重时会造成系统死机 （1）