網(wǎng)絡(luò)安全課程設(shè)計(jì)報(bào)告-

1、網(wǎng)絡(luò)安全課程設(shè)計(jì)實(shí)驗(yàn)報(bào)告班 級(jí)： 信息安全三班學(xué) 號(hào)： 0905030326姓 名： 指導(dǎo)老師： 完成時(shí)間：2012年9月20日目錄第一部分 常規(guī)實(shí)驗(yàn)實(shí)驗(yàn)一 Windows基本常用網(wǎng)絡(luò)命令 ···············3實(shí)驗(yàn)二 網(wǎng)絡(luò)掃描與監(jiān)聽（NetBScanner）··············11 第二部

2、分 編程與設(shè)計(jì)任務(wù)一 漏洞入侵 ························15任務(wù)二 UDP 和Dos攻擊與防范 ··················21任務(wù)三 木馬的攻擊與

3、防范·· ··················28總結(jié) ····························

4、3;36參考文獻(xiàn)····························36、實(shí)驗(yàn)一 Windows基本常用網(wǎng)絡(luò)命令一、實(shí)驗(yàn)?zāi)康?、了解或掌握一些網(wǎng)絡(luò)常用命令 2、掌握Ping、IPConfig、Arp、Netstat、Net、Tracert、Nslookup、At等命令、參數(shù)及意義3、能應(yīng)用上述命令進(jìn)行網(wǎng)絡(luò)連通、網(wǎng)絡(luò)

5、狀態(tài)、網(wǎng)絡(luò)配置等查看網(wǎng)絡(luò)問題二、實(shí)驗(yàn)原理（此處只詳述本人于課程設(shè)計(jì)中用的較多的Ping和Netstat命令）1、Ping命令的使用技巧 Ping是個(gè)使用頻率極高的實(shí)用程序，用于確定本地主機(jī)是否能與另一臺(tái)主機(jī)交換（發(fā)送與接受）數(shù)據(jù)包。Ping是一個(gè)測(cè)試程序，如果Ping運(yùn)行正確，我們大體上就可以排除網(wǎng)絡(luò)訪問層、網(wǎng)卡、MODEM的輸入輸出線路、電纜和路由器等存在的故障，從而減小為問題的范圍。也因此，網(wǎng)絡(luò)安全掃描技術(shù)中就包括有Ping掃射。2、Netstat命令的使用技巧 Netstat用于顯示與IP、TCP、UDP和ICMP協(xié)議相關(guān)的統(tǒng)計(jì)數(shù)據(jù)，一般用于檢驗(yàn)本機(jī)各端口的網(wǎng)絡(luò)連接情況。如果你的計(jì)算機(jī)有

6、時(shí)候接收到的數(shù)據(jù)報(bào)導(dǎo)致出錯(cuò)數(shù)據(jù)或故障，你不必感到奇怪，TCP/IP可以容許這些類型的錯(cuò)誤，并能夠自動(dòng)重發(fā)數(shù)據(jù)報(bào)。但如果累計(jì)的出錯(cuò)情況數(shù)目占到所接收的IP數(shù)據(jù)報(bào)相當(dāng)大的百分比，或者它的數(shù)目正迅速增加，那么你就應(yīng)該使用Netstat查一查為什么會(huì)出現(xiàn)這些情況了。三、實(shí)驗(yàn)過程與步驟1、Ping命令、參數(shù)及意義（僅部分詳細(xì)解釋）ping ip地址或主機(jī)號(hào)：顯示 4個(gè)回顯包后停止ping。（缺省的）ping ip地址或主機(jī)號(hào) -t ：對(duì)如 2 這個(gè) IP 地址不斷地發(fā)送 ICMP 數(shù)據(jù)包，可查看網(wǎng)絡(luò)是否連通。要中途查看并繼續(xù)發(fā)送數(shù)據(jù)包，按control+Break鍵；要停止發(fā)送數(shù)據(jù)包

7、，按control+c鍵。ping ip地址或主機(jī)號(hào) -n count：顯示 count個(gè)回顯包后停止 ping。（ count可以根據(jù)你的需要任意指定） ping -a ip地址：將ip地址有對(duì)應(yīng)的主機(jī)號(hào)表示出來，并顯示 3個(gè)回顯包后停止 ping。 2、 Netstat命令、參數(shù)及意義 netstat s：按照各個(gè)協(xié)議分別顯示其統(tǒng)計(jì)數(shù)據(jù)。如果某應(yīng)用程序（如Web瀏覽器）運(yùn)行速度比較慢，或者不能顯示W(wǎng)eb頁之類的數(shù)據(jù)，那么就可以用本選項(xiàng)來查看一下所顯示的信息。需要仔細(xì)查看統(tǒng)計(jì)數(shù)據(jù)的各行，找到出錯(cuò)的關(guān)鍵字，進(jìn)而確定問題所在。 netstat e：用于顯示關(guān)于以太網(wǎng)的統(tǒng)計(jì)數(shù)據(jù)。它列出的項(xiàng)目包括傳

8、送的數(shù)據(jù)報(bào)的總字節(jié)數(shù)、單播的數(shù)量、廣播的數(shù)量、丟棄（刪除）數(shù)、錯(cuò)誤數(shù)和未知協(xié)議的數(shù)量。這些統(tǒng)計(jì)數(shù)據(jù)既有發(fā)送的數(shù)據(jù)報(bào)數(shù)量，也有接收的數(shù)據(jù)報(bào)數(shù)量。這個(gè)選項(xiàng)可以用來統(tǒng)計(jì)一些基本的網(wǎng)絡(luò)流量。 netstat r：顯示關(guān)于路由表的信息，類似于使用route print命令時(shí)看到的 信息。除了顯示有效路由外，還顯示當(dāng)前有效的連接。 netstat a：顯示一個(gè)所有的有效連接信息列表，包括已建立的連接（ESTABLISHED），也包括監(jiān)聽連接請(qǐng)求（LISTENING）的那些連接，斷開連接（CLOSE_WAIT）或者處于聯(lián)機(jī)等待狀態(tài)的（TIME_WAIT）等。netstat n：顯示所有已建立的有效連接。 4

9、、 分析與結(jié)論 一下為本人在實(shí)驗(yàn)操作過程碰到或想到的并于最后通過請(qǐng)教同學(xué)或網(wǎng)上查詢等的方法解決了的一些問題：1) 一臺(tái)接入Internet 的主機(jī)出現(xiàn)無法訪問的情況，怎樣診斷原因？答：先試著測(cè)下本機(jī)是否和網(wǎng)關(guān)之間聯(lián)通性正?！，F(xiàn)在在主機(jī)cmd下輸入 ping 127.0.01 如果不能得到回復(fù)說明你的pc沒有裝tcp/ip或是壞掉了，在網(wǎng)上另下一個(gè)安裝下。如果回復(fù)正常的可以繼續(xù)以下操作：還是在cmd命令行下ipconfig/all ，查看到本機(jī)ip情況，然后找到dhcp 、gateway（網(wǎng)關(guān)）的ip地址，然后在cmd 中輸入命令：ping .(此處為查看得到的dhcp、gateway的ip地址

10、)。如果是得到正?；貜?fù)，并有ttl值，說明正常，則可能是網(wǎng)關(guān)路由與外部的故障。如果不能得到正?；貜?fù)，則說明你的主機(jī)到網(wǎng)關(guān)路由之間線路有故障。2) 假如已經(jīng)通過緩沖區(qū)溢出攻擊獲得一臺(tái)主機(jī)的shell，怎樣將木馬程序運(yùn)行起來？答：緩沖區(qū)溢出是一種相當(dāng)普遍的缺陷，也是一種非常危險(xiǎn)的缺陷，在各種系統(tǒng)軟件、應(yīng)用軟件中廣泛存在。緩沖區(qū)溢出可以導(dǎo)致程序運(yùn)行失敗、系統(tǒng)死機(jī)等后果。如果攻擊者利用緩沖區(qū)溢出使計(jì)算機(jī)執(zhí)行預(yù)設(shè)的非法程序，則可能獲得系統(tǒng)特權(quán)，執(zhí)行各種非法操作。 緩沖區(qū)溢出攻擊的基本原理是向緩沖區(qū)中寫入超長的、預(yù)設(shè)的內(nèi)容，導(dǎo)致緩沖區(qū)溢出，覆蓋其他正常的程序或數(shù)據(jù)，然后讓計(jì)算機(jī)轉(zhuǎn)去運(yùn)行這行預(yù)設(shè)的程序，達(dá)到

11、執(zhí)行非法操作、實(shí)現(xiàn)攻擊的目的。運(yùn)行木馬的步驟：計(jì)劃任務(wù)、VS腳本、自動(dòng)運(yùn)行、開機(jī)運(yùn)行等。實(shí)驗(yàn)二 網(wǎng)絡(luò)掃描和監(jiān)聽一、實(shí)驗(yàn)?zāi)康木W(wǎng)絡(luò)掃描是對(duì)整個(gè)目標(biāo)網(wǎng)絡(luò)或單臺(tái)主機(jī)進(jìn)行全面、快速、準(zhǔn)確的獲取信息的必要手段。通過網(wǎng)絡(luò)掃描發(fā)現(xiàn)對(duì)方，獲取對(duì)方的信息是進(jìn)行網(wǎng)絡(luò)攻防的前提。該實(shí)驗(yàn)使學(xué)生了解網(wǎng)絡(luò)掃描的內(nèi)容，通過主機(jī)漏洞掃描發(fā)現(xiàn)目標(biāo)主機(jī)存在的漏洞，通過端口掃描發(fā)現(xiàn)目標(biāo)主機(jī)的開放端口和服務(wù)，通過操作系統(tǒng)類型掃描判斷目標(biāo)主機(jī)的操作系統(tǒng)類型。通過該實(shí)驗(yàn)，了解網(wǎng)絡(luò)掃描的作用，掌握主機(jī)漏洞掃描、端口掃描、操作系統(tǒng)類型掃描軟件的使用的方法，能夠通過網(wǎng)絡(luò)掃描發(fā)現(xiàn)對(duì)方的信息和是否存在漏洞。要求能夠綜合使用以上的方法來獲取目標(biāo)主機(jī)的

12、信息。而網(wǎng)絡(luò)監(jiān)聽可以獲知被監(jiān)聽用戶的敏感信息。通過實(shí)驗(yàn)了解網(wǎng)絡(luò)監(jiān)聽的實(shí)現(xiàn)原理，掌握網(wǎng)絡(luò)監(jiān)聽軟件的使用方法，以及對(duì)網(wǎng)絡(luò)中可能存在的嗅探結(jié)點(diǎn)進(jìn)行判斷的原理。掌握網(wǎng)絡(luò)監(jiān)聽工具的安裝、使用，能夠發(fā)現(xiàn)監(jiān)聽數(shù)據(jù)中的有價(jià)值信息，了解網(wǎng)絡(luò)中是否存在嗅探結(jié)點(diǎn)的判斷方法及其使用。二、實(shí)驗(yàn)要求基本要求了解網(wǎng)絡(luò)掃描的作用，掌握主機(jī)漏洞掃描、端口掃描、操作系統(tǒng)類型掃描軟件的使用的方法，能夠通過網(wǎng)絡(luò)掃描發(fā)現(xiàn)對(duì)方的信息和是否存在漏洞。掌握網(wǎng)絡(luò)監(jiān)聽工具的安裝、使用，能夠發(fā)現(xiàn)監(jiān)聽數(shù)據(jù)中的有價(jià)值信息等。提高要求能夠?qū)W(wǎng)絡(luò)中可能存在的嗅探結(jié)點(diǎn)進(jìn)行判斷的方法及工具使用等。三、過程與步驟1）下載網(wǎng)絡(luò)掃描軟件NetBScanner 和網(wǎng)

13、絡(luò)監(jiān)聽工具Ethereal以及Nmap 和WinPcap 驅(qū)動(dòng)安裝包并安裝。2）打開NetBScanner。3）點(diǎn)擊其中綠色的開始按鈕，軟件自動(dòng)開始對(duì)地址在同一域中的目標(biāo)主機(jī)或目標(biāo)網(wǎng)絡(luò)的掃描。4）不久，NerBScanner中的停止按鈕會(huì)變紅并掃描完畢，就可以得到同一域中所有目標(biāo)主機(jī)的掃描結(jié)果，結(jié)果界面中包括有所有有關(guān)目標(biāo)主機(jī)的IP Address（主機(jī)IP地址）、Computer Name（主機(jī)名）、Workgroup（工作組）、MAC Address（主機(jī)物理地址）、Network Adapter Company（網(wǎng)絡(luò)適配器公司）和Master Browser（主瀏覽器）等信息，由此可看出

14、所有有關(guān)目標(biāo)主機(jī)的開放端口和服務(wù)。下圖是掃描結(jié)果的部分內(nèi)容。5)安裝好WinPcap_4_0_beta3和Ethereal等軟件。6)打開軟件，開始抓包。選“Caputer->option”進(jìn)入下一界面，默認(rèn)設(shè)置直接點(diǎn)確定，軟件開始抓包，出現(xiàn)如下界面：7)一小會(huì)時(shí)間后點(diǎn)擊“stop”停止抓包。8)獲取不同抓包類型，解析如下圖：4、 分析與結(jié)論 以下是本人于實(shí)驗(yàn)過程中所思考的問題：1、網(wǎng)絡(luò)掃描與網(wǎng)絡(luò)監(jiān)聽的區(qū)別與比較？答：網(wǎng)絡(luò)掃描：如果你對(duì)目標(biāo)機(jī)進(jìn)行網(wǎng)絡(luò)掃描是指 掃描出該機(jī)所有已經(jīng)打開或者可用的端口 以便于攻擊或者查看是否打開某些不允許開啟的軟件 所以 如果你是網(wǎng)絡(luò)管理員 你可以對(duì)網(wǎng)絡(luò)進(jìn)行掃

15、描 如果發(fā)現(xiàn)有的機(jī)子的某個(gè)端口打開，而該端口是某個(gè)限制使用的下載工具使用的端口 那么你就可以知道該機(jī)上使用了該軟件。網(wǎng)絡(luò)監(jiān)聽：是指你目標(biāo)已經(jīng)明確 對(duì)某端口進(jìn)行監(jiān)聽 可以及時(shí)發(fā)現(xiàn)端口打開或者關(guān)閉，一般如果你給別人植入木馬后 便會(huì)使用監(jiān)聽 如果成功 則你監(jiān)聽對(duì)象的某個(gè)你要使用的端口變會(huì)被打開 這個(gè)時(shí)侯 用網(wǎng)絡(luò)監(jiān)聽便很方便了 。2、 端口漏洞分析：我們發(fā)現(xiàn)被掃描主機(jī)及自己主機(jī)開放的端口，有些開放的端口是極其不安全的，若是對(duì)被掃描主機(jī)的漏洞進(jìn)行攻擊，或于自己主機(jī)的開放端口上做好防護(hù)，就達(dá)到了我們掃描的目的。下面列舉部分端口極其可能存在的威脅如下：端口21：FTP端口，攻擊者可能利用用戶名和密碼過于簡(jiǎn)單

16、，甚至可以匿名登錄的漏洞登錄到目標(biāo)主機(jī)上，并上傳木馬或者病毒而控制目標(biāo)主機(jī)。端口23：Telnet端口，如果目標(biāo)主機(jī)開放23端口，但用戶名和密碼過于簡(jiǎn)單，攻擊者破解后就可以登錄主機(jī)并查看任何信息，甚至控制目標(biāo)主機(jī)。端口80：HTTP端口，此端口開放沒有太大的危險(xiǎn)，但如果目標(biāo)主機(jī)有SQL注入的漏洞，攻擊者就可能利用端口80進(jìn)行攻擊。端口139：NETBIOS會(huì)話服務(wù)段開口，主要用于提供Windows文件和打印機(jī)共享以及Unix中的Samda服務(wù)。139端口可以被攻擊者利用，建立IPC連接入侵目標(biāo)主機(jī)，然后獲得目標(biāo)主機(jī)的root權(quán)限并放置木馬。端口443：網(wǎng)頁瀏覽端口，主要用于HTTPS服務(wù)，是提

17、供加密和通過安全端口傳輸?shù)牧硪环NHTTP。HTTPS服務(wù)一般是通過SSL來保證安全性的，但是SSL漏洞可能會(huì)受到黑客的攻擊，比如可以黑掉在線銀行系統(tǒng)、盜取信用卡賬號(hào)等。端口3389：這個(gè)端口的開放使安裝了終端服務(wù)和全拼輸入法的Windows 2000服務(wù)器（sql之前的版本）存在著遠(yuǎn)程者很容易的拿到Administrator組權(quán)限。任務(wù)一 漏洞入侵一、實(shí)驗(yàn)?zāi)康穆┒词窃谟布?、軟件、協(xié)議的具體實(shí)現(xiàn)或系統(tǒng)安全策略上存在的缺陷，從而可以是攻擊者能夠在未授權(quán)的情況下訪問或破壞系統(tǒng)。 而入侵是指在未授權(quán)的情況下，試圖存取信息、處理信息或破壞系統(tǒng)以使系統(tǒng)不可靠、不可用的故意行為。 則漏洞入侵就是指攻擊者通過

18、硬件、軟件、協(xié)議的具體實(shí)現(xiàn)或系統(tǒng)安全策略上的缺陷在未授權(quán)的情況下訪問或破壞系統(tǒng)。該實(shí)驗(yàn)使學(xué)生了解漏洞入侵的內(nèi)容，必先通過主機(jī)漏洞掃描發(fā)現(xiàn)目標(biāo)主機(jī)存在的漏洞，在利用這些漏洞來破壞主機(jī)或從中竊取有用信息。而網(wǎng)絡(luò)監(jiān)聽可以獲知被監(jiān)聽用戶的敏感信息。通過實(shí)驗(yàn)了解網(wǎng)絡(luò)監(jiān)聽的實(shí)現(xiàn)原理，掌握網(wǎng)絡(luò)監(jiān)聽軟件的使用方法，以及對(duì)網(wǎng)絡(luò)中可能存在的嗅探結(jié)點(diǎn)進(jìn)行判斷的原理。掌握網(wǎng)絡(luò)監(jiān)聽工具的安裝、使用，能夠發(fā)現(xiàn)監(jiān)聽數(shù)據(jù)中的有價(jià)值信息，了解網(wǎng)絡(luò)中是否存在嗅探結(jié)點(diǎn)的判斷方法及其使用。二、實(shí)驗(yàn)要求基本要求了解漏洞入侵的作用，掌握主機(jī)漏洞掃描、端口掃描、操作系統(tǒng)類型掃描軟件的使用的方法，能夠通過網(wǎng)絡(luò)漏洞掃描發(fā)現(xiàn)對(duì)方的信息和是否存在

19、漏洞。掌握網(wǎng)絡(luò)監(jiān)聽工具的安裝、使用，能夠發(fā)現(xiàn)監(jiān)聽數(shù)據(jù)中的有價(jià)值信息等。提高要求能夠?qū)W(wǎng)絡(luò)中可能存在的嗅探結(jié)點(diǎn)進(jìn)行判斷的方法及工具使用和掌握漏洞入侵工具的使用等。三、過程與步驟 1）、下載漏洞入侵需使用的工具-啊D注入工具 2）、打開啊D注入工具，并在其網(wǎng)址欄中輸入：http：/ 3） 、在搜索結(jié)果的第一個(gè)框中輸入inurl:(asp=數(shù)字)【如inurl:(asp=3486?)】，并現(xiàn)則搜索結(jié)果顯示的條數(shù)為“每頁顯示100條”，其他默認(rèn)設(shè)置，用來批量搜索注入點(diǎn)的語句，如下圖： 4） 、設(shè)置完后點(diǎn)“百度一下”出現(xiàn)如圖：5） 、將上圖地址欄中的地址復(fù)制并粘貼到啊D注入工具中的地址欄中，點(diǎn)擊“掃描注

20、入點(diǎn)”，再點(diǎn)擊地址欄右側(cè)的第一個(gè)小按鈕，之后開始等待，出現(xiàn)界面如下：以下為之后在宿舍再完善部分截圖6） 、看到掃描出來的“可用注入點(diǎn)”后【難題一：此處是經(jīng)常會(huì)遇到問題的地方，我在輸入inurl：（asp=數(shù)字）時(shí)有嘗試過很多不同的數(shù)字即注入點(diǎn)，常常在到達(dá)這一步后可能掃描出來的“可用注入點(diǎn)”為0，需要耐心多次嘗試使用不同的數(shù)字做注入點(diǎn)，才能成功】， 于其中任選一個(gè)，用右鍵放在上面單擊“注入連接”，當(dāng)該注入點(diǎn)出現(xiàn)在嘴上的注入連接框中后，點(diǎn)擊該框后的“檢測(cè)”按鈕【難題二：此處也常常會(huì)出現(xiàn)“這個(gè)連接不能SQL注入，請(qǐng)?jiān)噭e的連接”這也是需要自己耐心的多次嘗試的】，等待檢測(cè)表段亮了之后， 點(diǎn)擊“檢測(cè)表段”

21、，再度等待至該框中出現(xiàn)如“vote、admin、user、news”等表段后，左鍵單擊“admin”選中， 點(diǎn)擊“檢測(cè)字段”，等待至出現(xiàn)“username、password、id”等檢測(cè)字段，在這三個(gè)字段的前面方框打上勾， 然后單擊“檢測(cè)內(nèi)容”，繼續(xù)等待，出現(xiàn)如下圖：此時(shí)我們檢測(cè)出了管理員的用戶名和密碼等這些信息，接下來我們就是要找到他們的后臺(tái)。7） 、點(diǎn)擊啊D注入工具左側(cè)的“管理入口檢測(cè)”后，啊D地址欄中會(huì)出現(xiàn)對(duì)應(yīng)網(wǎng)站地址，在點(diǎn)擊該框后面的“檢測(cè)管理入口”按鈕，出現(xiàn)界面如下圖：四、實(shí)驗(yàn)結(jié)果 檢測(cè)出來的后臺(tái)網(wǎng)址，我們用瀏覽器打開出現(xiàn)了界面如下圖：輸入前面檢測(cè)到的管理員用戶名、密碼等信息便登錄進(jìn)

22、去了。接下來上傳個(gè)ASP木馬，這個(gè)我沒在進(jìn)行下去了。五、分析與結(jié)論 啊D注入工具注入點(diǎn)關(guān)鍵字搜集：inurl:CompHonorBig.asp?id=（等號(hào)后面填任意數(shù)字）inurl:asp常州 inurl:Article_Class2.asp?inurl:detail.php?CompHonorBig.asp?id=（括號(hào)里填任意數(shù)字）inurl:show.asp? 使用啊D注入工具進(jìn)行漏洞入侵過程中碰到的問題很多，如無法檢測(cè)到可用注入點(diǎn)、檢測(cè)到的可用注入點(diǎn)連接不能SQL注入及選擇檢測(cè)表段時(shí)當(dāng)同類特多的時(shí)候不知道選哪個(gè)等難題時(shí)，需要的就是耐心和不放棄的態(tài)度，這些東西本就需要多次嘗試的。任務(wù)二

23、 UDP Dos攻擊與防范一、實(shí)驗(yàn)?zāi)康耐ㄟ^聯(lián)系使用DoS/DDoS攻擊工具對(duì)目標(biāo)主機(jī)進(jìn)行攻擊；理解DoS/DDoS攻擊的原理和實(shí)施過程；掌握檢測(cè)和防范DoS/DDoS攻擊的措施。二、實(shí)驗(yàn)原理DDoS攻擊手段是在傳統(tǒng)的DoS攻擊基礎(chǔ)之上產(chǎn)生的一類攻擊方式。單一的DoS攻擊一般是采用一對(duì)一方式的，它的攻擊方法說白了就是單挑，是比誰的機(jī)器性能好、速度快。當(dāng)攻擊目標(biāo)CPU速度低、內(nèi)存小或者網(wǎng)絡(luò)帶寬小等等各項(xiàng)性能指標(biāo)不高時(shí)，他的效果是明顯的。但隨著計(jì)算機(jī)處理能力的迅速增長，內(nèi)存大大增加，CPU運(yùn)算能力越來越強(qiáng)大，這使得DoS攻擊的困難程度加大了。被攻擊者對(duì)惡意攻擊包的抵抗能力加強(qiáng)的不少。這時(shí)候分布式的拒

24、絕服務(wù)攻擊手段就應(yīng)運(yùn)而生了。所謂分布式拒絕服務(wù)（DDoS）攻擊是指借助于客戶/服務(wù)器技術(shù)，將多個(gè)計(jì)算機(jī)聯(lián)合起來作為攻擊平臺(tái)，對(duì)一個(gè)或多個(gè)目標(biāo)發(fā)動(dòng)DoS攻擊，從而成倍的提高拒絕服務(wù)攻擊的威力。3、 過程與步驟及結(jié)果分析進(jìn)行UDP Dos攻擊與防范需要下載阿拉丁UDP洪水攻擊器和Ddoser攻擊器，這兩個(gè)軟件均不需要安裝，只需配置便可運(yùn)行并得以攻擊。1、UDP-Flood攻擊實(shí)踐：（它是一種采用Dos攻擊方式的軟件，它可以向特定的IP地址和端口發(fā)送UDP包） 1）、打開阿拉丁UDP洪水攻擊器，在目標(biāo)IP欄于端口欄里填入需要攻擊的目標(biāo)主機(jī)IP及所使用的端口，如下圖：（填入機(jī)房局域網(wǎng)內(nèi)目標(biāo)主機(jī)IP為1

25、40的主機(jī)作為攻擊對(duì)象，通過端口80即HTTP端口攻擊）2） 、選擇自己想要的強(qiáng)度，以達(dá)到自己想要的效果【難題一：起初我選用的是中等強(qiáng)度，但指示燈一直是紅的，后來換成了高強(qiáng)度，指示燈才變綠，就是說高強(qiáng)度時(shí)我試驗(yàn)才攻擊成功】，如下圖： 3）、接下來，在被攻擊的目標(biāo)主機(jī)上打開Ethereal抓包軟件，選“Caputer->option”進(jìn)入下一界面，默認(rèn)設(shè)置直接點(diǎn)確定，軟件開始抓包，出現(xiàn)如下界面： 【結(jié)果分析】可以發(fā)現(xiàn)計(jì)算機(jī)受到大量的UDP數(shù)據(jù)包，積極秒就接近10萬個(gè)UDP數(shù)據(jù)包，與此同時(shí)目標(biāo)機(jī)明顯變得有點(diǎn)卡了。抓包類型也分析如下圖：2、 DDoSer攻擊實(shí)踐：（它是一個(gè)DD

26、oS攻擊工具，程序運(yùn)行后自動(dòng)裝入系統(tǒng)，并在以后隨系統(tǒng)啟動(dòng)，自動(dòng)對(duì)實(shí)現(xiàn)設(shè)定好的目標(biāo)進(jìn)行攻擊）軟件分為生成器和DDoS攻擊者程序兩部分，下載安裝以后是沒有DDoS攻擊者程序的，只有生成器，生成時(shí)可以自定義一些設(shè)置，如攻擊目標(biāo)的域名后IP地址、端口等。DDoS攻擊者程序默認(rèn)的文件名是DDsSer。Exe，可以在生成時(shí)任意改名。DDoSer攻擊程序類似于木馬軟件的服務(wù)器端程序，程序運(yùn)行后不會(huì)顯示任何界面，看上去像沒反應(yīng)一樣，其實(shí)它已經(jīng)將自己復(fù)制到系統(tǒng)里面了，并且每次開機(jī)將自動(dòng)運(yùn)行，此時(shí)可以將考過去的安裝程序刪除。它運(yùn)行時(shí)唯一會(huì)做的是不斷的對(duì)事先設(shè)定好的目標(biāo)進(jìn)行攻擊。DDoSer使用的攻擊手段是SYN

27、Flood方式。1）、打開DDoS攻擊者生成器，將目標(biāo)主機(jī)設(shè)置為域名為418-03-8的主機(jī)，通過端口80即HTTP端口攻擊，生成器主界面如下：【難題一：在生成前要先進(jìn)行必要的設(shè)置，其中：“目標(biāo)主機(jī)的域名或IP地址”：這里建議使用域名，因?yàn)镮P地址是經(jīng)常變換的，而域名是不會(huì)變的?！岸丝凇保壕褪且舻亩丝冢@里指的是TCP端口，因?yàn)楸拒浖荒芄艋赥CP的服務(wù)。80就是攻擊HTTP服務(wù)，21就是攻擊FTP服務(wù)，25就是攻擊SMTP服務(wù)，110就是攻擊POP3服務(wù)等等。“并發(fā)連接線程數(shù)”：就是同時(shí)并發(fā)多少個(gè)線程去連接這個(gè)指定的端口，當(dāng)然此值越大對(duì)服務(wù)器的壓力越大，當(dāng)然占用本機(jī)資源也越大，這里我

28、建議使用默認(rèn)值：10個(gè)線程?！白畲骉CP連接數(shù)”：當(dāng)連接上服務(wù)器后，如果立即斷開這個(gè)連接顯然不會(huì)對(duì)服務(wù)器造成什么壓力，而是先保持這個(gè)連接一段時(shí)間，當(dāng)本機(jī)的連接數(shù)大于此值時(shí)，就會(huì)開始斷開以前的連接，從而保證本機(jī)與服務(wù)器的連接數(shù)不會(huì)超過此值。同樣，此值越大對(duì)服務(wù)器的壓力越大，當(dāng)然占用本機(jī)資源也越大，同樣建議使用默認(rèn)值：1000個(gè)連接?！白?cè)表啟動(dòng)項(xiàng)鍵名”：就是在注冊(cè)表里寫入的自己的啟動(dòng)項(xiàng)鍵名，當(dāng)然是越隱蔽越好?！胺?wù)端程序文件名”：就是在Windows系統(tǒng)目錄里自己的文件名，同樣也是越隱蔽越好?！癉DoS攻擊者程序保存為”：就是生成的DDoS攻擊者程序保存在哪里，它的文件名是什么。】2） 、點(diǎn)擊“

29、生成”按鈕，出現(xiàn)界面如下： 3）、確定好配置是正確的，點(diǎn)擊“是”按鈕，出現(xiàn)如下界面： 4）、DDoS攻擊者程序生成完畢，攻擊者開始攻擊，此時(shí)打開Ethereall抓包軟件，選“Caputer->option”進(jìn)入下一界面，默認(rèn)設(shè)置直接點(diǎn)確定，軟件開始抓包，出現(xiàn)如下界面： 【結(jié)果分析】此時(shí)會(huì)看到抓包類型如下圖： 同時(shí)，在主機(jī)上運(yùn)行DDoSer.exe后，418-03-8這臺(tái)主機(jī)就成了攻擊者的代理服務(wù)器，主機(jī)會(huì)自動(dòng)發(fā)送大量的半連接SYN請(qǐng)求，在命令提示符下輸入netstat來查看網(wǎng)絡(luò)狀態(tài)，如下圖：可以看到，主機(jī)自動(dòng)的向目標(biāo)服務(wù)器發(fā)起了大量的SYN請(qǐng)求，這說明主機(jī)開始利用SYN Flood攻擊

30、目標(biāo)了。通過上面對(duì)DoS/DDoS攻擊原理的研究與幾個(gè)軟件的使用可知，如果發(fā)現(xiàn)本地計(jì)算機(jī)的網(wǎng)絡(luò)通信量突然急劇增加，超過平常的極限值，就要提高警惕，檢測(cè)是否遭受DoS/DDoS的攻擊。四、分析與結(jié)論對(duì)于DDoS攻擊的防范包括：對(duì)于Smurf類型DDoS攻擊的防范，對(duì)于SYN類型DDoS攻擊的防范。通過翻看書本，查閱資料，回憶上課內(nèi)容，對(duì)DoS攻擊以及DDoS攻擊的攻擊原理有了一定的把握，能夠比較清楚的對(duì)其工作原理進(jìn)行描述，了解其攻擊工作機(jī)制；對(duì)TCP/IP協(xié)議下的網(wǎng)絡(luò)安全形勢(shì)有了一定了解。而對(duì)于DDoS攻擊的防范也進(jìn)行了一些了解，能做到自己不會(huì)成為被控制的傀儡機(jī)，保護(hù)自己所在局域網(wǎng)不會(huì)有人發(fā)起S

31、murf攻擊，以及如果作為網(wǎng)絡(luò)管理員該如何應(yīng)對(duì)DDoS攻擊。任務(wù)三 木馬的攻擊與防范一、 實(shí)驗(yàn)?zāi)康耐ㄟ^對(duì)木馬的練習(xí)，使讀者理解和掌握木馬傳播和運(yùn)行的機(jī)制；通過手動(dòng)刪除木馬，掌握檢查木馬和刪除木馬的技巧，學(xué)會(huì)防御木馬的相關(guān)知識(shí)，加深對(duì)木馬的安全防范意識(shí)。二、 實(shí)驗(yàn)原理一般木馬都采用c/s運(yùn)行模式，原理是，木馬服務(wù)器程序在主機(jī)目標(biāo)上執(zhí)行后，一般會(huì)打開一個(gè)默認(rèn)端口進(jìn)行監(jiān)聽，當(dāng)客戶端主動(dòng)提出鏈接請(qǐng)求，服務(wù)器的木馬就會(huì)自動(dòng)運(yùn)行，來應(yīng)答客服端的請(qǐng)求，從而建立連接。三、 過程與步驟及結(jié)果（實(shí)驗(yàn)是后面別處做的，所以可能IP不一樣）1、 攻擊 1）、把冰河木馬植入虛擬機(jī)，并運(yùn)行。入侵目標(biāo)主機(jī)，首先運(yùn)行G_Cli

32、ent.exe，掃描主機(jī)。從上圖可以看出，搜索結(jié)果中，每個(gè)IP前都是ERR。地址前面的“ERR：”表示這臺(tái)計(jì)算機(jī)無法控制。所以，為了能夠控制該計(jì)算機(jī)，我們就必須要讓其感染冰河木馬。2） 、遠(yuǎn)程連接：使用Dos命令，net use ipipc$,如下圖所示：3） 、磁盤映射：本實(shí)驗(yàn)將目標(biāo)主機(jī)的C盤映射為本地主機(jī)上的X盤，如下圖所示：將本地主機(jī)上的G_Server.exe拷貝到目標(biāo)主機(jī)的磁盤中，并使其自動(dòng)運(yùn)行。如下圖所示：上圖中，目標(biāo)主機(jī)的C盤中沒有G_Server.exe程序存在。4）、此時(shí)，目標(biāo)主機(jī)的C盤中已存在冰河的G_Server.exe程序，使用Dos命令添加啟動(dòng)事件，如下圖所示：首先，

33、獲取目標(biāo)主機(jī)上的系統(tǒng)時(shí)間，然后根據(jù)該時(shí)間設(shè)置啟動(dòng)事件。此時(shí)，在目標(biāo)主機(jī)的Dos界面下，使用at命令，可看到:下圖為設(shè)定事件到達(dá)之前（即G_Server.exe執(zhí)行之前）的注冊(cè)表信息，可以看到在注冊(cè)表下的：HKEY_LOCAL_MACHINESofwareWindowsCurrentVersionRun，其默認(rèn)值并無任何值。當(dāng)目標(biāo)主機(jī)的系統(tǒng)時(shí)間到達(dá)設(shè)定時(shí)間之后，G_Server.exe程序自動(dòng)啟動(dòng)，且無任何提示。從上圖可以看到，HKEY_LOCAL_MACHINESofwareMicrosoftWindowsCurrentVersionRun的默認(rèn)值發(fā)生了改變。變成了：C:WINDOWSSYST

34、EMKenel32.exe這就說明冰河木馬安裝成功，擁有G_Client.exe的計(jì)算機(jī)都可以對(duì)此計(jì)算機(jī)進(jìn)行控制了。此時(shí)，再次使用G_Client.exe搜索計(jì)算機(jī)，可得結(jié)果如下圖所示：從搜索結(jié)果可以看到，我們剛安裝了冰河木馬的計(jì)算機(jī)的IP地址前變成了“OK”，而不是之前的“ERR”。下面對(duì)該計(jì)算機(jī)進(jìn)行連接控制：難題一：上圖顯示，連接失敗了，為什么呢？因?yàn)楸幽抉R是訪問口令的，且不同的版本的訪問口令不盡相同，本實(shí)驗(yàn)中，我們使用的是冰河V2.2版，其訪問口令是05181977，當(dāng)我們?cè)谠L問口令一欄輸入該口令（或右擊“文件管理器”中的該IP，“修改口令”），并點(diǎn)擊應(yīng)用，即可連接成功。連接成功了，我們就可以在“命令控制臺(tái)”下對(duì)該