计算机网络安全技术实验教程 第4章 主动攻击.ppt

《计算机网络安全技术实验教程 第4章 主动攻击.ppt》由会员分享，可在线阅读，更多相关《计算机网络安全技术实验教程 第4章 主动攻击.ppt（98页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、第4章 主动攻击实验4-1：口令攻击一、实验目的二、实验设备三、实验步骤四、实验小结五、防御措施实验实验4-1：口令攻击：口令攻击 因为对网络的访问权限很大程度上取决于用户帐号名与口令，所以得到网络中其它主机的用户名、口令是得到权限的关键。得到密码的方法有两类：破解及暴力攻击。用破解法得到密码必须先得到目标主机的samsam数据库中密码的哈希值（用PwdumpPwdump工具可以实现），然后再用破解工具（Lc5Lc5）实现破解。暴力攻击是指依次尝试可用字符的每个可能组合。一、实验目的一、实验目的 了解远程破解用户口令的原理，掌握破解本地用户名、口令以及远程用户名、口令的方法，学会使用强度高的用

2、户密码。二、实验设备二、实验设备 2台WindowsWindows主机，主机A A为XPXP，主机B B为Windows 2k ServerWindows 2k Server。A AB B三、实验步骤三、实验步骤(1)1、A A机为实验机，B B机为受害机，A A机上安装LophCrack5LophCrack5（简称LC5LC5）。（1）A A机安装LC5LC5之后，运行LC5LC5的注册机，如图41、图42。图41 利用LC5的注册机生成注册码图42 对LC5进行注册（2）运行LC5LC5，如图4-3，点击“下一步”。在图4-4所在的界面中选择“从本地机器导入”，点击“下一步”。图43 运行

3、LC5向导图44 选择破解本机用户名、口令（3）在图4-5 的界面中选择“自定义”，点击“自定义选项”钮，按照图4-6所示进行配置（包括字典列表、暴力破解选项等），点击“确定”钮。图45 选择“自定义”破解图46 设置“自定义”破解选项（4）点击“确定”钮，然后按照默认设置，直到完成。破解完成后出现图4-7所示，可见如果采用简单口令，那么很容易被破解出来。图47 本机破解结果三、实验步骤三、实验步骤(2)2、远程破解。（1）A主机安装Pwdump4工具。（2）在某一时刻获悉了远程主机B的简单口令或空口令（比如：因管理员的疏忽，忘记给某个管理员权限的帐号设置复杂口令，被黑客猜测出来），趁管理员未

4、发现此问题之前与B建立连接。语法是pwdump4 192.168.2.11/s:d$/o:123/u:administrator。其中，192.168.2.11是B主机的IP地址，123为输出文件名，如图4-8。图48 远程导出受害主机的sam数据库至黑客本机（3）当出现“All completed”的提示后，可以进入LC5的破解界面（使用注册版）。（4）在LC5界面中：“文件”菜单 LC5向导，如图4-9。与本地用户名、口令破解步骤类似，在图4-10界面中，选择“从远程电脑导入”。在图4-11的“导入”窗口界面中选择“从文件导入”框架中的“从pwdump文件”，并且在图4-11中打开刚才导出

5、文件名为123的文件，便可完成破解。其破解结果如图4-12所示，“？”代表该位口令没有被字典文件破解出来。图49 运行LC5向导图410 选择从远程电脑导入图411 选择导入文件图412 过程破解结果四、实验小结四、实验小结 破解攻击的基本原理是黑客用PwdumpPwdump工具将远程主机的samsam数据库文件保存至黑客机上，再用LC5LC5将这个包含哈希值的文件进行破解进而得到远程主机的用户名、口令。通过本实验可以理解字典攻击的成功与否主要取决于字典文件包含的词汇是否全面。将密码设置为复杂口令之后，再用此方式，发觉无法破解密码。本实验中大家还可以看到暴力攻击法与字典攻击法的工作效率。五、防

6、御措施五、防御措施 除了给自己的主机设置强口令外，安装最新的补丁包、开启杀毒软件和防火墙的实时监控功能，便可防止自己成为这种攻击的受害者。此外，注册表HKLMsystemCurrentControlSetControlLsa下的nolmhash这一dword类型的子键设置为非零的“1”或“2”也可起到类似作用。实验4-2：利用键盘记录软件实现攻击一、实验目的二、实验设备三、实验步骤四、实验小结五、防御措施实验实验4-2：利用键盘记录软件实：利用键盘记录软件实现攻击现攻击 现在随着补丁包的不断升级，使用口令破解的成功概率已经比以前下降了很多，而暴力攻击又因为效率低下或防火墙阻止等原因不太适用，所

7、以黑客要想获得受害机的用户名、口令必须考虑使用其它方法。而在受害者主机的网络中为防止黑客的嗅探攻击，可以采用在客户端和服务器端进行加密身份验证（用户名、口令均是加密传输）的方法。这时，黑客如果想捕捉受害主机上的敏感信息，采用键盘记录软件无疑是个不错的选择。因为在受害主机上输入信息时，信息是非加密的。受害机上的按键中只要涉及用户名、口令、站点访问等信息都会被键盘记录软件记录下来。所以键盘记录软件通过记录下键盘上输入的按键甚至截屏等方式危害数据的机密性。一、实验目的一、实验目的 了解键盘记录软件的用处，掌握键盘记录软件的使用方法以及如何将受害主机上由键盘记录软件生成的文件发给远程黑客。二、实验设备

8、二、实验设备 3台Windows 2K/XP主机。三、实验步骤三、实验步骤(1)1、C机作为电子邮件服务器端（安装MdaemonMdaemon软件），域名设置为company.mailcompany.mail，新建2个邮箱帐号分别为zffcompany.mailzffcompany.mail和qjycompany.mailqjycompany.mail。三、实验步骤三、实验步骤(2)2、A A机作为黑客机，配置自己的outlookoutlook邮箱帐号为zffcompany.mailzffcompany.mail，B B机作为受害机，配置自己的outlookoutlook邮箱帐号为qjycom

9、pany.mailqjycompany.mail。三、实验步骤三、实验步骤(3)3、B B机安装golddenkeyloggergolddenkeylogger键盘记录软件。启动golddenkeyloggergolddenkeylogger键盘记录软件后在B B机上输入的任何键盘记录都被golddenkeyloggergolddenkeylogger记录下来。图413 键盘记录软件中记录下受害主机的击键情况三、实验步骤三、实验步骤(4)4、右击B B机的任务栏右下角的golddenkeyloggergolddenkeylogger图标-optionsoptions，在图4-14、图4-15、

10、图4-16所在的界面中对golddenkeyloggergolddenkeylogger进行配置。（1）在(图414 配置键盘记录软件)所示的界面中除选择记录键盘上的字符外，还要选择记录非字符击键记录。（2）在(图415 配置快捷方式)中设置一些快捷方式。（3）在(图416 配置键盘记录软件的接收邮箱)界面中修改电子邮件地址为zffcompany.mailzffcompany.mail，每隔1小时之后zffcompany.mailzffcompany.mail邮箱便会收到B B机的键盘记录邮件。（4）1小时之后登录zffcompany.mailzffcompany.mail邮箱，观察捕捉到B

11、B主机的什么敏感信息？如果黑客邮箱收到的扩展名为reprep的文件无法正常打开，则需要把它下载下来，在golddenkeyloggergolddenkeylogger环境下，点击“Open LogOpen Log”钮完成文件的打开，(如图4-17 黑客机上使用golddenkeylogger打开受害主机上的键盘记录日志文件)。四、实验小结四、实验小结 受害主机一旦因各种原因运行了键盘记录软件，对于系统安全危害极大。所以受害主机不要轻易下载或运行一些不明软件。五、防御措施五、防御措施 受害机安装最新版的杀毒软件、防火墙，并开启他们的实时监控功能，在一般情况下可以防御键盘记录软件的攻击。实验43：

12、DOS攻击一、实验目的二、实验设备三、实验步骤四、实验小结五、防御措施实验实验43：DOS攻击攻击(选作选作)DOS的英文全称是Denial of Service，也就是“拒绝服务”的意思。DOS是一种遍布全球的攻击方式，就是用超出被攻击目标处理能力的海量数据包来消耗可用系统资源、带宽资源,致使网络服务处于瘫痪的一种攻击手段。它主要是利用TCP三次握手过程只完成两次实现的，这两次握手建立的连接是半连接，大量的半连接数使得受害主机的并发连接数达到极限。这样，受害主机就无法继续提供任何网络服务了。拒绝服务攻击自问世以来，衍生了多种形式Tribe Flood Network,Tfn2k,Smurf在

13、早期,拒绝服务攻击主要是针对处理能力比较弱的单机，如个人主机、窄带宽连接的网站，而对拥有高带宽连接、高性能设备的网站影响不大。但近几年伴随着DDOS攻击的出现，这种高端网站高枕无忧的局面不复存在了。拒绝服务攻击按照攻击最终的受害对象分类，可以分为受害对象为主机资源（包含CPU与内存）、受害对象为网络带宽这两大类别。在这两大类别中，以后一种攻击为主。黑客通过大量的半连接请求，将网站的带宽占满，使得正常用户访问网站的请求无法得到响应。一、实验目的一、实验目的 了解DOS针对网络带宽的攻击，掌握DOS进行网络带宽攻击造成的现象。二、实验设备二、实验设备 几台Windows 2k Server主机，其

14、中一台为Web Server。Web Server三、实验步骤三、实验步骤(1)1、在对Web Server站点进行攻击之前，先在任意一台主机的Web浏览器中浏览该站点的内容，可以正常访问，如图4-18。图4-18 进行DOS攻击之前对受害主机Web站点的浏览结果三、实验步骤三、实验步骤(2)2、受害机（web server）上运行ethereal或wireshark进行数据包捕获。n3、黑客机运行syn.exe，并对其进行配置。n（1）黑客机A上运行syn.exe程序，如图419。输入受攻击的受害主机IP、受害主机端口（web server的IP、端口），并伪造源IP、源端口，如图4-20。

15、图4-19图4-20三、实验步骤三、实验步骤(3)n（3）在图420的界面中点击“开始攻击”钮，开始攻击Web Server。n4、查看受害机接收的数据包。在受害机上停止抓包，发现抓包软件界面中有大量来自于伪造IP的数据包，如图4-21。n注意：可以查看黑客机上的“本地连接”图标，发觉黑客机A A发送了大量的数据包。三、实验步骤三、实验步骤(4)5、测试：在任意一台主机的Web浏览器中浏览Web Server网站，发觉原先还能浏览的网站现在无法浏览了，如图422。过了一会儿Web Server死机。注意：在进行测试之前一定要对启动WebWeb浏览器进行测试的主机删除其CookiesCookie

16、s，历史记录及脱机文件等，否则无法达到效果。四、实验小结四、实验小结 攻击WebWeb站点带宽的DOSDOS或DDOSDDOS攻击行为非常普遍，越是知名站点，越易成为攻击的受害者。不过纯粹的DOSDOS攻击现在已经非常少见，因为通过DOSDOS实验我们可以观察到DOSDOS攻击是一种两败俱伤的攻击行为:黑客机在攻击受害主机的同时也正在杀死自己的带宽和资源。随着黑客技术的发展，一种新的DOSDOS攻击方法DDOSDDOS攻击出现并很快成为了DOSDOS攻击的主流。五、防御措施五、防御措施 比较简单的防御方法是启动操作系统的抗DDOSDDOS攻击特性，但这并不能从根本上解决问题。要想从根本上解决问

17、题需要骨干网运营商、ISP和局域网网管三方协作。实验4-4：DDOS攻击(可选)一、实验目的二、实验设备三、实验步骤四、实验小结五、防御措施实验实验4-4：DDOS攻击攻击 DDOSDDOS（分布式拒绝服务），它的英文全称为Distributed Denial of ServiceDistributed Denial of Service。它借助数台甚至数千台被植入攻击守护进程的攻击主机同时发起的集团作战行为，使得分散在互连网各处的机器共同完成对一台受害主机攻击的操作，从而使受害主机看似遭到了来自不同位置的许多主机的攻击。其中，这些分散的机器是被几台主控制机操作而进行多种类型攻击的，如：Tri

18、be Flood Tribe Flood Network(TFN)Network(TFN)和TFN2kTFN2k，UDP FloodUDP Flood,SYN FloodSYN Flood等，还有许多的程序都在被不断的开发出来。这些程序像瘟疫一样在网络中散布开来，而网络运营商和互联网服务提供商们“只扫自家门前雪，不管他人瓦上霜”的态度造成了如今网络当中网络攻击行为的大行其道。由于防御难度更大，它已经逐渐取代DOSDOS攻击成为针对网络的主要攻击方式之一，无数的网络用户已经成为这种攻击的受害者，(图4-23 DDOS攻击原理图)。一、实验目的一、实验目的 了解DDOSDDOS攻击原理，掌握参与D

19、DOSDDOS攻击的一级代理跳板主机的特点。二、实验设备二、实验设备 3台Windows主机，其中有一台C机为Windows 2k Server并安装Web Server。在实验室环境下可以简化DDOS攻击，只用若干一级代理机即可，不用二级代理机了。三、实验步骤三、实验步骤(1)1、黑客机A A上运行DdosmakerDdosmaker.exe.exe程序，(图4-24 DdosmakerDdosmaker主界面)。三、实验步骤三、实验步骤(2)2、按图424所示设置域名（C C机的网站域名）、端口、迸发连接线程数、最大TCPTCP连接数，点击“生成”钮，如图425。图4-25 配置并生成Dd

20、osmakerDdosmaker服务器端程序三、实验步骤三、实验步骤(3)3、B B机（一级代理）上运行Ddoser.exeDdoser.exe程序，B B成了A A攻击C C的代理端。B B机上运行netststnetstst命令（后面什么也不加），我们发现B B机发出了很多SYN_SENTSYN_SENT的数据请求，如图426。说明它替替A A机向向C C机发起了攻击，因为正常情况下输入netststnetstst命令只会出现图427的效果。图4-26 查看一级代理端的当前TCP/IP连接状态图4-27 其它正常主机的当前TCP/IP连接状态三、实验步骤三、实验步骤(4)4、如果网络中有多

21、台一级代理机，那么在A A机没有任何损失的情况下，通过控制这些代理主机就可以完成对受害主机的DDOSDDOS攻击。四、实验小结四、实验小结 DDOS DDOS攻击通过控制多台一级代理与二级代理的主机使得成千上万台主机在某个特定时间段向受害主机发起半连接的方法，使受害主机出现CPU过高、带宽占用过大的情况，进而实现拒绝服务攻击的效果。五、防御措施五、防御措施 不仅要防止自己成为DOSDOS或者DDOSDDOS攻击的受害者，还要防止自己成为DDOSDDOS攻击的代理主机。五、防御措施五、防御措施(1)1、防止主机成为DDOSDDOS攻击受害者的设置：（1 1）将系统自身进行优化设置。）将系统自身进

22、行优化设置。（2 2）关闭不必要的服务。）关闭不必要的服务。（3 3）限制同时打开的）限制同时打开的SYNSYN半连接数目。半连接数目。（4 4）缩短）缩短SYNSYN半连接的半连接的Time out Time out 时间时间 。（5 5）及时更新系统补丁。）及时更新系统补丁。五、防御措施五、防御措施(2)2 2、防火墙、防火墙 ：（1 1）禁止对主机非开放服务的访问。）禁止对主机非开放服务的访问。（2 2）限制同时打开的）限制同时打开的SYNSYN最大连接数。最大连接数。（3 3）限制特定）限制特定IPIP地址的访问。地址的访问。（4 4）启用防火墙抗）启用防火墙抗DDOSDDOS攻击的属

23、性。攻击的属性。（5 5）严格限制对外开放的服务器向外访问）严格限制对外开放的服务器向外访问。五、防御措施五、防御措施(3)3、路由器：（1 1）访问控制列表（）访问控制列表（ACLACL）过滤。）过滤。（2 2）设置）设置SYNSYN数据包流量速率。数据包流量速率。（3 3）升级版本。）升级版本。（4 4）为路由器建立日志服务。）为路由器建立日志服务。上述措施并不能彻底防御DDOSDDOS攻击，要彻底防御DDOSDDOS攻击还需要拓宽网络带宽、加强服务器的处理能力以及负载均衡能力。五、防御措施五、防御措施(4)4、防止主机成为DDOSDDOS攻击参与者的设置,不光要防止自己的主机成为这类攻击

24、的受害者，还要防止自己的主机成为DDOSDDOS攻击中的一级跳板或二级跳板。这就需要将自己的主机进行及时的漏洞扫描、补丁更新，并且对自己的主机进行专业化的配置（详细请见Windows网络平台安全配置）。实验4-5：利用ARPSpoof实现ARP欺骗攻击一、实验目的二、实验设备三、实验步骤四、实验小结五、防御措施实验实验4-5：利用：利用ARPSpoof实现实现ARP欺骗攻击欺骗攻击 欺骗类攻击在主动攻击中是非常普遍的。欺骗类攻击是比较复杂的攻击，ARP欺骗是其中最简单、最常见的攻击之一。众所周知，两台主机在局域网上通信是使用MAC地址的。当一台主机希望发送数据到另一台时，它就要在自己的ARP缓

25、存中查找目标主机的MAC地址，如果地址不在缓存中，它将会发送广播来寻找。这种获得地址的方法取决于只有正确的主机才会响应并且只能以正确的MAC地址响应这一理念。ARP是个无状态的协议，它不保持对请示和响应的跟踪。任何主机都可以不必接收请示而发送响应，其结果导致接收的主机更新它们的ARP缓存。黑客机可以发送出响应来操纵目标主机的ARP缓存，称为ARP欺骗。ARP欺骗的结果是，黑客机可以接收来自受害主机的数据，再将这些数据转发到其它目的地。这就允许黑客机按需要截取、中断或者修改通信信息。一、实验目的一、实验目的 了解ARPARP欺骗的原理，掌握ARPSpoofARPSpoof欺骗的方法及防御ARPA

26、RP攻击的方法。ARP协议的原理 1、ARP协议的原理：如果某主机A要向主机B发送报文，会先查询本地的ARP缓存表，找到B的IP地址对应的MAC地址后，就会进行数据传输。如果未找到，则A广播一个ARP请求报文，网上所有主机包括B都会收到ARP请求，但只有主机B识别自己的I P地址，于是向A主机发回一个ARP响应报文。该报文中就包含有B的MAC地址，A接收到B的应答后，就会更新本地的ARP缓存，接着使用这个MAC地址发送数据。因此，本地高速缓存的ARP表是本地网络流通的基础，两且这个缓存是动态的。ARP协议并不只在发送了ARP请求后才接收ARP应答。当计算机接收到ARP应答数据包的时候，就会对本

27、地的ARP缓存进行更新，将应答中的IP和MAC地址存储在ARP缓存中。ARP协议的问题协议的问题 2、ARP协议的问题：问题在于主机会轻易地信任一个ARP应答。如果局域网里有三台主机，192.168.118.1是网关，192.168.118.3是web服务器，192.168.118.9是攻击者。192.168.118.9向网关发送伪造的ARP应答，声称它的MAC地址就是192.168.118.3的。这样在网关看来，虽然192.168.118.3的IP地址没变，但是实际上向192.168.118.3发送的数据包已经到了192.168.118.9。同理，192.168.118.9也向192.168

28、.118.3发送伪造的ARP应答，声称它的MAC地址就是网关的，那么192.168.118.3会将本应发给网关的数据包错误地发给192.168.118.9。在这种情况下，假如192.168.118.9再将收到的网关发给192.168.118.3的数据包转发给真正的192.168.118.3，同时将收到的192.168.118.3发给网关的数据包转发给真正的网关，那么整个网络的运行不会受到影响，网关和web服务器都正常工作（因为192.168.118.9只是起了代理的作用）。ARPSpoof ARPSpoof工具会根据上面的ARP欺骗原理先成为网关和web服务器之间的“代理服务器”，但它不是原封

29、不动地转发数据包，而是根据预先设定好的规则替换数据包中的相应部分。比如，对于web服务器的http数据包，它就可以替换html标签，实现修改网页。前几年几大安全站点首页相继被修改，就是因为与安全站点在同一网段的其它主机被入侵，进而用ARP Spoof工具来欺骗网关和web服务器而完成的。本实验以下行劫持欺骗为例即将与黑客机处于同一网段的web服务器作为欺骗对象，使得web服务器访问任何网页时都会被插入代码而且web服务器的ARP缓存被黑客机更改。二、实验设备二、实验设备 3 3台WindowsWindows主机:其中192.168.118.1192.168.118.1是网关网关，192.168

30、.118.3192.168.118.3是webweb服务器服务器，192.168.118.9192.168.118.9是攻击者攻击者（即黑客机，它的默认网关是即黑客机，它的默认网关是192.168.118.2192.168.118.2）。192.168.118.3192.168.118.1192.168.118.9三、实验步骤三、实验步骤 1、黑客机上查看192.168.118.3是否与本主机位于同一个路由器当中，如图428表明192.168.118.3与本主机位于同一个路由器当中。图4-28 查看黑客机与Web Server是否位于同一路由器中三、实验步骤三、实验步骤 2、Web Serve

31、rWeb Server主机的网站首页采用默认设置，其浏览效果如图429。图4-29 在任意一台主机上浏览Web Server网站三、实验步骤三、实验步骤 3、查看Web Server上的ARP缓存，如图430。图4-30 查看Web Server Server上的上的ARPARP缓存缓存三、实验步骤三、实验步骤 4、黑客机上运行ARPSpoofARPSpoof，先查看本机的IPIP与MACMAC，如图431。然后生成job.txtjob.txt文件，如图432。图4-31 查看黑客机上的ARPARP缓存图4-32 在黑客机上利用ARPSpoof生成job.txt文件三、实验步骤三、实验步骤 5

32、、在黑客机上打开job.txtjob.txt文档（在黑客机当前文件夹下生成的），效果如图433。图4-33 查看job.txt文件的内容三、实验步骤三、实验步骤 6、在黑客机上将job.txtjob.txt文档略作修改，将原先的“Hack by Hack by cooldiyercooldiyer”修改为“I am a I am a 机器猫机器猫”,如图434。图4-34 修改job.txt文件的内容三、实验步骤三、实验步骤 7、黑客机上执行ARPSpoofARPSpoof欺骗，192.168.118.9192.168.118.9向网关发送伪造的ARPARP应答，声称它的MACMAC地址就是1

33、92.168.118.3192.168.118.3的（即伪装成即伪装成192.168.118.3192.168.118.3给给192.168.118.1192.168.118.1发消息发消息），如图435。图4-35 进行ARPARP欺骗攻击三、实验步骤三、实验步骤 8、在Web ServerWeb Server主机上浏览该主机自己的网页，效果如图436，可见网页的浏览结果被黑客机上的job.txt文件取代了。图4-36 再次浏览Web Server站点效果三、实验步骤三、实验步骤 9、在黑客机的DOSDOS命令行方式下进行ARPSpoofARPSpoof的查看，效果如图437。图4-37 黑

34、客机上出现的欺骗效果三、实验步骤三、实验步骤 10、在Web Server上查看自己的ARP缓存，发觉这次192.168.118.1（网关）的MAC地址变为了ARP欺骗攻击之前黑客机192.168.118.9的MAC地址，(图4-38 被黑客机欺骗后Web Server的ARP缓存情况)。注意：由于实验室可能采用不同的Windows操作系统补丁包和不同的安全措施，有时下行劫持的效果只会完成一半即只能看到Web Server的ARP缓存被修改，看不到web服务器通过web方式访问网页时被插入黑客代码。没有关系，只要受害主机的ARP缓存被修改就算实验成功。扩展：本实验还可用cain 和ssclon

35、e来代替。本实验进行适度扩展、综合，可以做成DNS会话劫持攻击实验。图4-38 被黑客机欺骗后Web Server的ARP缓存情况三、实验步骤三、实验步骤 11、扩展：如果web服务器通过web方式访问任何网页时都会被插入黑客代码，而且web服务器的ARP缓存被黑客更改，那么可以尝试对web服务器进行上行劫持欺骗即任何通过web方式访问web服务器的客户端主机在浏览网页时，网页都会被插入黑客的代码。四、实验小结四、实验小结 ARP欺骗的实质是两次欺骗，黑客机先欺骗网关说自己是Web Server，再欺骗Web Server说自己是网关。它利用了ARP主机会轻易地信任一个ARP应答的漏洞，完成了

36、二次欺骗。需要注意的是只有黑客机的IP与要欺骗的IP在同一路由器下才可以使用ARPSpoof，如果你不敢肯定的话，就执行Tracert 目标IP，如果一步就连接到了目标lP，那么就可以进行ARP欺骗了。否则，欺骗不会成功。五、防御措施五、防御措施 在局域网的某个子网中既能防止此类攻击又不给网络管理带来额外麻烦的方法是选择带有抗ARP欺骗攻击功能的防火墙产品和杀毒软件产品。实验4-6：利用Volleymail实现电子邮件欺骗攻击一、实验目的：二、实验设备三、实验步骤：四、实验小结五、防御措施实验实验4-6：利用：利用Volleymail实现电子实现电子邮件欺骗攻击邮件欺骗攻击 电子邮件欺骗攻击也

37、是欺骗类攻击中最常见、最普遍的。电子邮件（E-Mail）是Internet或者Intranet（企业网）中使用最多的应用之一。尽管它有便利之处，但是它也是一个递交病毒或一些其它恶意代码的攻击手段。黑客们通常做的一件事就是欺骗E-Mail。实验实验4-6：利用：利用Volleymail实现电子实现电子邮件欺骗攻击邮件欺骗攻击 E-Mail欺骗需要同时具备以下两点：1、黑客伪造发件人地址，使邮件的发件人看起来像是一个正规的单位或个人。2、将恶意代码的链接程序（或者病毒）放在E-Mail的邮件正文或附件中，诱骗收件人点击此链接。收件人一旦点击此链接便会中病毒、木马或者被黑客进行钓鱼攻击。一、实验目的

38、一、实验目的 了解并掌握E-Mail欺骗的原理以及欺骗的方法，提高自己防御E-Mail欺骗或钓鱼攻击的能力。二、实验设备二、实验设备 2台以上的Windows主机。A主机安装Windows 2K Server，还要安装IIS（包括FTP）。B主机安装Windows XP。两台主机均能够连接Internet。主机主机A A主机主机A A三、实验步骤三、实验步骤(1)1、A机上配置灰鸽子的网页木马。（1）在灰鸽子界面中进行配置http:/192.168.2.11/ip.txt，(图4-39 灰鸽子服务器端配置)。在A机F盘的根目录下生成灰鸽子服务端的程序木马Server_Setup.exe。（2）

39、用“天知道网页木马生成器”将灰鸽子的程序木马（server_setup.exe）生成网页木马，(图4-40 由程序木马生成网页木马)。在“请选择文件”中输入F:Server_Setup.exe，在“网马目录”中输入http:/192.168.2.11，点击“生成”钮。会发现URL为http:/192.168.2.11的网站的主目录下多了名为tzd.htm的文件，它就是网页木马。（3）将生成后的网页木马tzd.htm重命名为update.htm。图4-39 灰鸽子服务器端配置图4-40 由程序木马生成网页木马三、实验步骤三、实验步骤(2)2、B主机上运行Soumail软件（注册版）并连接至Int

40、ernet，(图4-41 搜索北京地区互联网上注册的电子邮件)。（1）点击Soumail软件中任务栏的“新任务”钮，选择搜索“北京”（也可以根据实际情况选择当地）的邮件。（2）等待一段时间后，点击Soumail界面工具条中的“数据输出钮”，将搜索结果保存到桌面上，并将其命名为“新任务.txt”，(图4-42 保存搜索到的邮件信息)。图4-41 搜索北京地区互联网上注册的电子邮件图4-42 保存搜索到的邮件信息三、实验步骤三、实验步骤(3)3、B主机上运行Volleymail软件（注册版）。（1）在该软件主界面中，输入发件人地址（伪造的）、发件人名称、回复地址、邮件正文等信息，如图443（可以根

41、据自己的爱好自行修改）。注意：邮件正文有超级链接是必不可少的。该链接是挂了灰鸽子的网页木马，访问该网页的主机都会中木马。图4-43 编辑邮件欺骗的正文三、实验步骤三、实验步骤(3)（2）在图443的界面中点击邮件正文下面的“网页预览”标签卡，显示了接收方收到邮件时的情况，如图444。图4-44 预览邮件欺骗的效果三、实验步骤三、实验步骤(3)（3）点击Volleymail左边栏中的“邮件地址”按钮，输入刚才用Soumail扫描到的地址中的一个（为加深实验效果，笔者用了自己的雅虎邮箱），如图445。图4-45 添加邮件收件人地址三、实验步骤三、实验步骤(3)（4）在图445的界面中点击“导入文件

42、”钮，将刚才保存到桌面的“新任务.txt”文件导入，如图446。图4-46 导入利用soumail搜索到的邮件地址三、实验步骤三、实验步骤(3)（5）点击图446中任务栏任务栏的“开始发开始发信信”钮，出现如图447的发送过程。图4-47 进行电子邮件欺骗攻击的群发三、实验步骤三、实验步骤(3)（6）使用笔者的实验邮箱（雅虎邮箱）进行测试：进入笔者的邮箱后，出现图448的界面。图4-48 实验邮箱的邮件接收效果三、实验步骤三、实验步骤(3)（7）点击邮件正文中的链接，出现如图449的界面，此时主机性能下降了很多。图4-49 点击邮件中链接之后的效果三、实验步骤三、实验步骤(3)（8）发现在A机上的灰鸽子界面灰鸽子界面中多了一台自动上线主机多了一台自动上线主机，如图450。图4-50 灰鸽子客户端界面四、实验小结四、实验小结 本实验是两个实验的综合：伪造发件人地址实验、网页木马实验。黑客伪造了发件人的地址（将邮件的发件人伪造成腾讯公司），并且通过将网页木马的链接地址放在电子邮件正文或附件的手段欺骗收件人（收件人一旦点击此链接便会中木马），实现了电子邮件欺骗。五、防御措施五、防御措施 遇到电子邮件正文或者附件中出现链接的情况时一定要当心，不要轻易点击陌生的链接。