實驗報告信息安全

實驗報告信息安全實驗報告信息安全全文共8頁，當前為第1頁。實驗報告信息安全全文共8頁，當前為第1頁。課程實驗報告課程信息安全班級1204071實驗日期2015.6.1名稱姓學號120407122實驗成績名實驗網(wǎng)絡(luò)攻防技術(shù)名稱1、通過密碼破解工具 L0phtCrack5(簡稱LC5)的使用，了解賬號口令的安全實 性，掌握安全口令的設(shè)置原則，保護賬號口令的安全性。驗2、通過對木馬的練習，理解和掌握木馬傳播和運行的機制；掌握檢查木馬目和刪除木馬的技巧，學會防御木馬的相關(guān)知識，加深對木馬的安全防范的意識。及 3、通過DoS和DDoS攻擊工具對目標主機進行攻擊；理解 DoS和DDoS要 的攻擊原理及實施過程；掌握檢測和防范 DoS和DDoS攻擊的方法。求實驗 局域網(wǎng)內(nèi)一臺計算機安裝 L0phtCrack5軟件環(huán) 局域網(wǎng)環(huán)境，使用冰河、灰鴿子或其它木馬作為練習工具境 局域網(wǎng)環(huán)境，使用 Land15、DDoSer或其它軟件作為練習工具。實驗報告信息安全全文共8頁，當前為第2頁。實驗報告信息安全全文共8頁，當前為第2頁。實驗3-1任務(wù)一：使用L0phtCrack5破解密碼。在Windows操作系統(tǒng)中，用戶帳號的安全管理使用了安全帳號管理器SAM（SecurityAccountManager）的機制，用戶和口令經(jīng)過加密 Hash變換后一Hash列表形式存放在SAM文件中。L0phtCrack通過破解這個SAM文實件來獲取用戶名和密碼。它的工作方式是通過嘗試每個可能的字母數(shù)字組合驗試圖破解密碼。內(nèi)容及實驗步驟單擊文件菜單中的“LC5”向?qū)ВO(shè)定破解任務(wù)。每人對本地機器進行密碼破解。步驟：（1）在主機內(nèi)建立若干用戶名，將其密碼分別設(shè)置為空密碼、純數(shù)字組合密碼、特定單詞字母密碼、任意字母組合密碼、字母數(shù)字混合密碼以及特殊實驗報告信息安全全文共8頁，當前為第3頁。實驗報告信息安全全文共8頁，當前為第3頁。符號字母數(shù)字混合密碼。（2）通過L0phtCrack5文件菜單中的LCS向?qū)?，設(shè)定從本地機器導入加密口令，分別對本地機器進行“快速口令破解”和“普通口令破解”，觀察破解結(jié)果（要等一段時間直到破解完全結(jié)束）。注意：若采用“復雜口令破解”方式，則需要2~3小時的時間破解?？焖倨平馊蝿?wù)二：掌握安全的密碼設(shè)置策略。用戶密碼應(yīng)包含英文字母的大小寫、數(shù)字、可打印字符，甚至是非打印字符。建議將這些符號排列組合使用，以期達到最好的保密效果。用戶密碼不要太規(guī)則，不要使用用戶姓名、生日、電話號碼以及常用單詞作為密碼。根據(jù)Windows系統(tǒng)密碼的散列算法原理，密碼長度設(shè)置應(yīng)超過7位，最好為14位。密碼不得以明文方式存放在系統(tǒng)中，確保密碼以加密的形式寫在硬盤上并包含密碼的文件是只讀的。密碼應(yīng)定期修改，應(yīng)避免重復使用舊密碼，應(yīng)采用多套密碼的命名規(guī)則。建立賬號鎖定機制。一旦同一賬號密碼校驗錯誤若干次，即斷開連接并鎖定該賬號，經(jīng)過一段時間才解鎖。在WindowsServer2003系統(tǒng)中，如果在"密碼策略"中啟用了"密碼必須符合復雜性要求"設(shè)置的話，則對用戶的密碼設(shè)置有如下要求：不包含全部或部分的用戶賬戶名。長度至少為7個字符。實驗報告信息安全全文共8頁，當前為第4頁。實驗報告信息安全全文共8頁，當前為第4頁。包含以下4種類型字符中的 3種字符。英文大寫字母（從 A到Z）英文小寫字母（從 a到z）10個基本數(shù)字（從0到9）非字母字符（如!、$、#、%）而一般意義上的強密碼則具有以下特征：長度至少有7個字符。不包含用戶的生日、電話、用戶名、真實姓名或公司名等。不包含完整的字典詞匯。包含全部4種類型的字符。除此之外，管理員賬戶的密碼應(yīng)當定期修改，尤其是當發(fā)現(xiàn)有不良攻擊時，更應(yīng)及時修改復雜密碼，以免被破解。為避免密碼因過于復雜而忘記，可用筆記錄下來，并保存在安全的地方，或隨身攜帶避免丟失。實驗3-2任務(wù)一 運行木馬文件，生成木馬的服務(wù)器端，并將其安裝在遠程主機。1、使用“冰河”對遠程計算機進行控制“冰河”一般由兩個文件組成：G_Client和G_Server。其中G_Server是木馬的服務(wù)器端，即用來植入目標主機的程序，G_Client是木馬的客戶端，就是木馬的控制端。打開控制端G_Client,彈出“冰河”的主界面，熟悉快捷工具欄。2、在一臺目標主機上植入木馬并在此主機上運行G_Sere\ver，作為服務(wù)器端；在另一臺主機上運行G_Client.作為控制端。打開控制端程序，單擊“添加主機”按鈕。彈出如圖所示的對話框：“顯示名稱”：填入顯示在主界面的名稱?！爸鳈C地址”：填入服務(wù)器端主機的IP地址?！霸L問口令”：填入每次訪問主機的密碼，“空”即可?！氨O(jiān)聽端口”：“冰河”默認監(jiān)聽端口是7626，控制端可以修改它以繞過防火墻。單擊“確定”可以看到主機面上添加了test的主機，如圖，就表明連接成功。實驗報告信息安全全文共8頁，當前為第5頁。實驗報告信息安全全文共8頁，當前為第5頁。單擊test主機名，如果連接成功，則會顯示服務(wù)器端主機上的盤符。這個時候我們就可以像操作自己的電腦一樣遠程操作遠程目標電腦?！氨印贝蟛糠止δ芏际窃凇懊羁刂婆_”實現(xiàn)的，單擊“命令控制臺”彈出命令控制界面，如圖所示：任務(wù)二 使用木馬對遠程計算機進行控制。展開命令控制臺 ，分為“口令類命令”、“注冊表讀表”、“設(shè)置類命令”。（1）口令命令類：①“系統(tǒng)信息及口令“：可以查看遠程主機的系統(tǒng)信息、開機口令、緩存口令等。②“歷史口令”：可以查看遠程主機以往使用的口令。③“擊鍵記錄”：啟動鍵盤記錄以后，可以記錄遠程主機用戶擊鍵記錄，以此可以分析出遠程主機的各種帳號和口令或各種秘密信息。（2）控制類命令捕獲屏幕：這個功能可以使控制端使用者查看遠程主機的屏幕，好像遠程主機就在自己面前一樣，這樣更有利于竊取各種信息。單擊“查看屏幕”，彈出遠程主機界面。實驗報告信息安全全文共8頁，當前為第6頁。實驗報告信息安全全文共8頁，當前為第6頁。①“發(fā)送信息”：這個功能可以使你向遠程計算機發(fā)送Windows標準的各種信息。②“進程管理”：這個功能可以使控制者查看遠程主機上所有的進程。③“窗口管理”：這個功能可以使遠程主機上的窗口進行刷新、最大化、最小化、激活、隱藏等操作。④“系統(tǒng)管理”：該功能可以使遠程主機進行關(guān)機、重啟、重新加載冰河、自動卸載冰河。⑤“其他控制”：該功能可以使遠程主機上進行自動撥號禁止、桌面隱藏、注冊表鎖定等操作。（3）網(wǎng)絡(luò)類命令：①“創(chuàng)建共享”：在遠程主機上創(chuàng)建自己的共享。②“刪除共享”：在遠程主機上刪除某個特定的共享。③“網(wǎng)絡(luò)信息”：查看遠程主機上的共享信息，單擊“查看共享”可以看到遠程主機上的IPC$,C$、ADMIN$等共享都存在。⑷文件類命令：展開文件類命令、文件瀏覽、文件查找、文件壓縮、文件刪除、文件打開等菜單可以查看、查找、壓縮、刪除、打開遠程主機上的某個文件。目錄增刪、目錄復制、主鍵增刪、主鍵復制的功能。⑸注冊表讀寫：提供了鍵值讀取，鍵值寫入，鍵值重命名、主鍵瀏覽、主鍵刪除、主鍵復制的功能。⑹設(shè)置類命令：提供了更換墻紙、更改計算機名、服務(wù)器端配置的功能。任務(wù)三 檢測并刪除木馬文件。刪除冰河木馬主要有以下幾種方法：①客戶端的自動卸載功能，而實際情況中木馬客戶端不可能為木馬服務(wù)器自動卸載木馬。②手動卸載：查看注冊表，在“開始”中運行regedit,打開Windows注冊表編輯器。在目錄中發(fā)現(xiàn)一個默認的鍵值：C:\WINNT\System32\kernel32.exe，這個就是冰河木馬在注冊表中加入的鍵值，將它刪除。然后依次打開子鍵目錄Runservices,在目錄中也發(fā)現(xiàn)一個默認鍵值：C:\WINNT\System32\kernel32.exe，這個也是冰河木馬在注冊表中加入的鍵值，刪除。進入C:\WINNT\System32目錄，找到冰河的兩個可執(zhí)行文件Kernel32.exe和Susexplr.exe，刪除。修改文件關(guān)聯(lián)時木馬常用的手段，冰河木馬將 txt文件的缺省打開方式由notepad.exe改為木馬的啟動程序，此外html、exe、zip、com等都是木馬的目標。所以還需要恢復注冊表中的

txt 文件關(guān)聯(lián)功能。將注冊表中HKEY_CLASSES_ROOT\txtfile\shell\open\command

下的默認值，由中木馬后的

C:\Windows\SSystem\Susex-plr.exe%1改為正常情況下的 C:\Windows\notepad.exe%1。任務(wù)四 木馬的方法措施。木馬的防范木馬的危害顯而易見，防范木馬的方法主要有：①提高防范意識，不要打開陌生人傳來的可疑郵件和附件。確認來信的源地實驗報告信息安全全文共8頁，當前為第7頁。實驗報告信息安全全文共8頁，當前為第7頁。址是否合法。②如果網(wǎng)速變慢，往往是因為入侵者使用的木馬搶占帶寬。雙擊任務(wù)欄右下角連接圖標，仔細觀察發(fā)送“已發(fā)送字節(jié)”項，如果數(shù)字比較大，可以確認有人在下在你的硬盤文件，除非你正使用FTP等協(xié)議進行文件傳輸。③察看本機的連接，在本機上通過netstat-an（或第三方程序）查看所有的TCP/UDP連接，當有些IP地址的連接使用不常見的端口與主機通信時，這個連接九需要進一步分析。④木馬可以通過注冊表啟動，所以通過檢查注冊表來發(fā)現(xiàn)木馬在注冊表里留下的痕跡。⑤使用殺毒軟件和防火墻。實驗3-3任務(wù)一Land攻擊練習目標機端口對目標主機的 80端口進行攻擊：步驟：1在DOS中使用格式：land15目標IP2在目標主機中打開任務(wù)管理器，對聯(lián)網(wǎng)性能和系統(tǒng)資源使用情況進行觀察：3在目標主機打開Snifferpro工具，捕捉由攻擊者計算機發(fā)送本地計算機的TCP包任務(wù)二DDoSer的使用軟件簡介DDoSer軟件是一個DDOS攻擊工具，程序運行后，程序運行后自動裝實入系統(tǒng)，并在以后隨系統(tǒng)啟動，自動對事先設(shè)定好的目標機進行攻擊。驗 本軟件分為生成器（DDOSMaker.exe）與DDOS攻擊者程序（DDOSer.exe）內(nèi)兩部分。軟件在下載安裝后是沒有DDOS攻擊者程序的（只有生成器容DDOSMAKER.exe）,DDOS攻擊者程序要通過生成器生成。生成時可以自定及義一些設(shè)置，如攻擊目標的域名或IP地址、端口等。DDOS攻擊者程序默實認的文件名DDOSer.exe，可以在生成或生成后任意改名。DDOS攻擊者程序驗類似于木馬軟件的服務(wù)端程序，程序運行后不會顯示任何界面，看上去好像步?jīng)]有任何反應(yīng)，其實它已經(jīng)將自己復制到系統(tǒng)里面了，并且會在每次開機時驟自動運行，此時可以將拷貝過去的安裝程序刪除。它運行時唯一會做的就是不斷對事先設(shè)定好的目標進行攻擊。 DDOSer使用的攻擊手段是 SYNFlood。實驗報告信息安全全文共8頁，當前為第8頁。實驗報告信息安全全文共8頁，當前為第8頁。生成攻擊程序打開DDOSMAKER.exe程序，出面主界面，對其設(shè)置如下：輸入目標主機IP，端口設(shè)置為80，并發(fā)線程為10個，最大TCP連接數(shù)為1000，自啟動設(shè)置默認，生成的DDOS攻擊者程序名稱為ddos_attack.exe。3DDoSer.exe的運行及結(jié)果觀察在主機上運行ddos_att