长沙环境保护职业技术学院
课时授课计划
|
授课章节目录: |
|
第2章 信息系统安全防范技术 |
|
2.1 计算机系统的安全性 |
|
2.2 病毒防范技术 |
|
2.3 黑客防范技术 |
|
2.4 防火墙技术 |
|
|
|
|
|
授课时数:2节 |
|
目的要求: |
|
1.了解计算机应用系统、网络操作系统及应用服务的安全性; |
|
2.掌握计算机病毒的基本知识,重点掌握计算机病毒的防范技术; |
|
|
|
教材分析(难点、重点): |
|
应用服务的安全性 |
|
计算机病毒的防范技术 |
|
|
|
教学方法与手段特色: |
|
电子教案,课件,多媒体教学 |
|
|
|
布置作业: |
|
教材的作业 |
|
后记: |
|
|
第2章 信息系统安全防范技术
导入案例(某网站运行在Solaris2.5有不明用户进入,入侵者能用管理员的账号查看、修改用户数据和密码),提出安全防范技术;
|
|
2.1计算机系统的安全性(逐一举例说明)
硬件——水、火、盗抢
|
(
软——攻击、破坏、篡改
 |
|||
|
|||
(
①用户口令尤其是超级用户口令设置不符合要求,导致暴力破解密码成功。
②默认的情况下,有许多服务是处于开启状态,给别有用心的人留下可乘之机。
③目录和文件的权限设置不当,导致其他用户能够访问一些重要的文件和目录。
④普通用户利用系统漏洞提供自己的系统权限,或者使已经获得一些权限的远程攻击者,进一步的提升权限。
⑤远程攻击者利用Linx系统上默认的一些安装服务,这些服务本身存在漏洞,致使在对外提供服务的时候,可能遭到远程攻击。
(2)Linux常见漏洞的基本防范措施
①保护口令文件
②删除系统特殊的用户账号和组账号
③账户的密码设置
④自动root账户
⑤设置系统文件和普通文件权限
⑥关闭系统不使用的服务
⑦充分利用系统的审计功能
⑧及时下载安装补丁
1.应用系统的可用性管理
2.应用系统的配置文件管理
3.应用系统的运行安全管理
2.2病毒防范技术
1.计算机病毒的定义:编制者在计算机程序中插入的破坏计算机功能或者破坏数据,影响计算机使用并且能够自我复制的一组计算机指令或者程序代码
2.特点:传染性;破坏性;隐蔽性;潜伏性;寄生性;主动攻击性 (逐一举例说明)
3.特征:(1)计算机系统运行速度减慢。 (分组讨论说明)
(2)计算机系统经常无故发生死机。
(3)计算机系统中的文件长度发生变化。
(4)计算机存储的容量异常减少。
(5)系统引导速度减慢。
(6)丢失文件或文件损坏。
(7)计算机屏幕上出现异常显示。
(8)计算机系统的蜂鸣器出现异常声响。
(9)磁盘卷标发生变化。
(10)系统不识别硬盘。
(11)对存储系统异常访问。
(12)键盘输入异常。
(13)文件的日期、时间、属性等发生变化。
(14)文件无法正确读取、复制或打开。
(15)命令执行出现错误。
(16)虚假报警。
(17)换当前盘。有些病毒会将当前盘切换到C盘。
(18)时钟倒转。有些病毒会命名系统时间倒转,逆向计时。
(19)WINDOWS操作系统无故频繁出现错误。
(20)系统异常重新启动。
(21)一些外部设备工作异常。
(22)异常要求用户输入密码。
(23)WORD或EXCEL提示执行“宏”。
(24)使不应驻留内存的程序驻留内存。
4.传播途径 (逐一具体举例说明)
(1)因特网传播
(2)局域网传播
(3)通过不可移动的计算机硬件设备传播
(4)通过移动存储设备传播
(5)无线设备传播
5.特洛伊木马病毒(解释工作原理,隐藏方式;讨论特性)
6.(
单机防范:主要的保护工作
杀毒软件的选择
局域网防范:对等网保护
WIN SEVER保护
Unix/linux
大型网络防范:
7.常规病毒防范措施(讨论总结)
2.3黑客防范技术
1.准备
2.攻击方式
端口扫描,口令攻击,拒绝服务攻击,网络监听,缓冲区溢出,电子邮件攻击等(逐一讲解)
长沙环境保护职业技术学院
课时授课计划
|
授课章节目录: |
|
第2章 信息系统安全防范技术 |
|
2.1 计算机系统的安全性 |
|
2.2 病毒防范技术 |
|
2.3 黑客防范技术 |
|
2.4 防火墙技术 |
|
|
|
|
|
授课时数:2节 |
|
目的要求: |
|
1.了解计算机应用系统、网络操作系统及应用服务的安全性; |
|
2.掌握计算机病毒的基本知识,重点掌握计算机病毒的防范技术; |
|
|
|
教材分析(难点、重点): |
|
应用服务的安全性 |
|
计算机病毒的防范技术 |
|
|
|
教学方法与手段特色: |
|
电子教案,课件,多媒体教学 |
|
|
|
布置作业: |
|
教材的作业 |
|
后记: |
|
|
实验二:网络攻击与防范
一、实验目的
通过网络常用攻击和防范工具的使用,了解网络攻击的原理、特点和过程,掌握常见网络攻击的防范方法和策略。
二、实验内容
(1) 网络嗅探器SNIFFER的使用
(2) 账号口令破解、L0PHTcrack密码破解工具
(3) 使用“冰河”“灰鸽子”对远程计算机控制
(3) SuperScan、天眼等扫描工具的使用
(4) 入侵监测系统的原理与应用Snort
(5) 高级扫描工具流光Fluxay、东方卫士等软件的使用
实验2-1 使用SNIFFER工具扫描
一 实验目的
通过使用一种网络分析器,实现捕捉HTTP等协议的数据包,以理解TCP/IP协议中多种协议的数据结构、会话连接建立和终止的过程。以了解网络分析器的使用方法。
二 实验环境
安装有sniffer Pro软件的PC机。
三 实验内容
1 熟悉sniffer Pro工具的使用
报文捕获功能可以在报文捕获面板中进行完成,如下是捕获面板的功能图:图中显示的是处于开始状态的面板
在捕获过程中可以通过查看下面面板查看捕获报文的数量和缓冲区的利用率。
Sniffer软件提供了强大的分析能力和解码功能。如下图所示,对于捕获的报文提供了一个Expert专家分析系统进行分析,还有解码选项及图形和表格的统计信息。
下图是对捕获报文进行解码的显示,通常分为三部分,目前大部分此类软件结构都采用这种结构显示。对于解码主要要求分析人员对协议比较熟悉,这样才能看懂解析出来的报文。使用该软件是很简单的事情,要能够利用软件解码分析来解决问题关键是要对各种层次的协议了解的比较透彻。工具软件只是提供一个辅助的手段。因涉及的内容太多,这里不对协议进行过多讲解,请参阅其他相关资料。
对于MAC地址,Snffier软件进行了头部的替换,如00e0fc开头的就替换成Huawei,这样有利于了解网络上各种相关设备的制造厂商信息。
功能是按照过滤器设置的过滤规则进行数据的捕获或显示。在菜单上的位置分别为 Capture->Define Filter和Display->Define Filter。过滤器可以根据物理地址或IP地址和协议选择进行组合筛选。
2 捕获HTTP数据包并且分析
3 若目的机安装有防火墙,再对其进行嗅探,看是否能收到信息
实验2-2 网络端口扫描
一 实验目的
通过练习使用网络端口扫描器,可以了解目标主机开放的端口和服务程序,从而获取系统的有用信息,发现网络系统的安全漏洞。
二 实验环境
预装WINDOWS 2000/XP计算机,SuperScan软件,通过网络连接。SuperScan功能强大,但是,在扫描的时候,一定要考虑到网络的承受能力和对目标计算机的影响。同时,无论目的任何,扫描的必须在国家法律法规允许的范围进行。
三 实验内容
SuperScan具有以下功能:
1) 通过Ping来检验IP是否在线;
2) IP和域名相互转换;
3) 检验目标计算机提供的服务类别;
4) 检验一定范围目标计算机的是否在线和端口情况;
5) 工具自定义列表检验目标计算机是否在线和端口情况;
6) 自定义要检验的端口,并可以保存为端口列表文件;
7) 软件自带一个木马端口列表trojans.lst,通过这个列表我们可以检测目标计算机是否有木马;同时,我们也可以自己定义修改这个木马端口列表.
任务一:域名(主机名)和IP相互转换
这个功能的作用就是取得域名比如:163.com的IP;或者根据IP:202.106.185.77取得域名。
在SuperScan里面,有两种方法来实现此功能:
1. 通过Hostname Lookup来实现:在Hostname Lookup的输入框输入需要转换的域名或者IP,按【LookUp】就可以取得结果。如果需要取得自己计算机的IP,可以点击【Me】按钮来取得;同时,也可以取得自己计算机的IP设置情况,点击【InterFaces】取得本地IP设置情况
2. 通过Extract From File实现.这个功能通过一个域名列表来转换为相应IP地址。选择【Extract from file】,点击【->】按钮,选择域名列表,进行转换,出现以下界面
任务二:Ping功能的使用
Ping主要目的在于检测目标计算机是否在线和通过反应时间判断网络状。在【IP】的【Start】填入起始IP,在【Stop】填入结束IP,然后,在【Scan Type】选择【Ping only】,按【Start】就可以检测了。
在以上的设置中,我们可以使用以下按钮达到快捷设置目的:选择【Ignore IP zreo】可以屏蔽所有以0结尾的IP;选择【Ignore IP 255】可以屏蔽所有以255结尾的IP;点击【PrevC】可以直接转到前一个C网段;选择【NextC】可以直接转到后一个C网段;选择【1..254】直接选择整个网段。同样,也可以在【Extract From File】通过域名列表取得IP列表。
在Ping的时候,可以工具网络情况在【Timeout】设置相应的反应时间。一般采用默认就可以了,而且,SuperScan速度非常快,结果也很准确,一般没有必要改变反应时间设置。
任务三 端口检测
端口检测可以取得目标计算机提供的服务,同时,也可以检测目标计算机是否有木马。现在,我们来看看端口检测的具体使用。
(1)检测目标计算机的所有端口
如果检测的时候没有特定的目的,只是为了了解目标计算机的一些情况,可以对目标计算机的所有端口进行检测。一般不提倡这种检测,因为:它会对目标计算机的正常运行造成一定影响,同时,也会引起目标计算机的警觉;扫描时间很长;浪费带宽资源,对网络正常运行造成影响。
在【IP】输入起始IP和结束IP,在【Scan Type】选择最后一项【All Ports From 1 to 65535】,如果需要返回计算机的主机名,可以选择【Resolve Hostnem】,按【Start】开始检测。
扫描完成以后,按【Expand all】展开,可以看到扫描的结果。我们来解释一下以上结果:第一行是目标计算机的IP和主机名;从第二行开始的小圆点是扫描的计算机的活动端口号和对该端口的解释,此行的下一行有一个方框的部分是提供该服务的系统软件。【Active hosts】显示扫描到的活动主机数量,这里只扫描了一台,为1;【Open ports】显示目标计算机打开的端口数,这里是10。
(2)扫描目标计算机的特定端口(自定义端口)
其实,大多数时候我们不需要检测所有端口,我们只要检测有限的几个端口就可以了,因为我们的目的只是为了得到目标计算机提供的服务和使用的软件。所以,我们可以工具个人目的的不同来检测不同的端口,大部分时候,我们只要检测80(web服务)、21(FTP服务)、23(Telnet服务)就可以了,即使是攻击,也不会有太多的端口检测。
点击【Port list setup】,出现端口设置界面,以上的界面中,在【Select ports】双击选择需要扫描的端口,端口前面会有一个"√"的标志;选择的时候,注意左边的【Change/Add/Delete port info】和【Helper apps in right-click menu】,这里有关于此端口的详细说明和所使用的程序。我们选择21、23、80、三个端口,然后,点击【save】按钮保存选择的端口为端口列表。【ok】回到主界面。在【Scan Type】选择【All selected port in list】,按【Start】开始检测。
使用自定义端口的方式有以下有点:
1) 选择端口时可以详细了解端口信息;
2) 选择的端口可以自己取名保存,有利于再次使用;
3) 可以工具要求有的放矢的检测目标端口,节省时间和资源;
4) 根据一些特定端口,我们可以检测目标计算机是否被攻击者利用,种植木马或者打开不应该打开的服务;
(3)检测目标计算机是否被种植木马
自从BO出现以后,国内最有影响的是冰河木马,然后,出现很多功能类似的木马,比如:网络神偷、NetBull等。针对木马,现在有很多清除工具,除了一般的杀毒软件以外,还可以使用专门清除木马的TheCleaner(下载:http://www.hackervip.com)等软件。如果只是对木马的检测,我们完全用SuperScan来实现,因为所有木马都必须打开一定的端口,我们只要检测这些特定的端口就可以知道计算机是否被种植木马。
主界面选择【Port list setup】,出现端口设置界面,点击【Port list files】的下拉框选择一个叫trojans.lst的端口列表文件(图八),这个文件是软件自带的,提供了常见的木马端口,我们可以使用这个端口列表来检测目标计算机是否被种植木马。
需要注意的是,木马现在很多,没多久就出现一个,因此,有必要时常注意最新出现的木马和它们使用的端口,随时更新这个木马端口列表。
实验2-3 木马的配置与清除
“木马”,大家对他的名字很熟悉吧??是啊,木马作为一个远程控制的软件已经深入人心,木马是 什么那?如何使用木马程序控制他人那??先不要着急,我们来看看木马的发展,对这 个工具作一个简单的介绍:
黑客程序里的特洛伊木马有以下的特点:
(1)主程序有两个,一个是服务端,另一个是控制端。(如果你下载了,请千万不要用鼠标双击服务器端)。
(2)服务端程序需要在主机(被你控制的电脑)执行。
(3)一般特洛伊木马程序都是隐蔽的进程。(需要专业的软件来查杀,也有不用软件查杀的办法。)
(4)当控制端连接服务端主机后,控制端会向服务端主机发出命令。而服务端主机在接受命令后,会执行相应的任务。
(5)每个系统都存在特洛伊木马。(包括Windows,Unix,liunx等)
很多人眼中,特洛伊木马是一种病毒。其实特洛伊木马并不是一种病毒,它没有完全具备病毒的性质。(包括:转播,感染文件等,但是很多的杀毒软件还是可以查杀,毕竟这是一种使用简单但是危害比较大的软件)
二、木马的发展:
第一代木马:控制端 -- 连接 -- 服务端
特点:属于被动型木马。能上传,下载,修改注册表,得到内存密码等。
典型木马:冰河,NetSpy,back orifice(简称:BO)等。
第二代木马:服务端 -- 连接 -- 控制端
特点:属于主动型木马。隐蔽性更强,有利用ICMP协议隐藏端口的,有利用DLL(动态连接库)隐藏进程的,甚至出现能传播的木马。
典型木马:网络神偷,广外女生等。(反弹端口型木马)
第二代木马象广外女生可以使用WINDOWS的漏洞,越过许多防火墙从而进行对系统的监控(像金山,天网等)。
随着木马的发展,并且作为很多人使用的软件,杀毒软件也越来越对这个传播很广的半 病毒不病毒的软件越来越关注(因为作为服务器端可以夹带在任何文件中传播,只要你 打开这个文件,你就肯定会被中上木马,甚至可以在网络上通过下载来传播)所以查杀木马的工具很多,但是道高一尺,魔高一丈,木马又不断演化出新的品种来对抗杀毒软件,毕竟中国的广大网民的安全意识不高,加上盗版猖狂,可以正式在网络上进行升级的并不多,所以木马还是很有使用空间的。下面,我们将介绍一款国产的木马------- 冰河。
注明:冰河有多个版本,现在流行冰河8.0等,操作与介绍相同。
冰河之旅
一.扫描端口:放弃冰河客户端自带的扫描功能,速度度慢,功能弱!建议使用专用扫描工具。运行X-way,操作如下
点击"主机扫描",分别填入"起始、结束地址"(为什么? 因为--做事要有始有终,呵呵。顺便提示一下菜菜鸟型的:结束地址应大于起始地址)。
在"端口方式"的模式下选择"线程数"。(一般值为100比较合适,网速快的可选150)。最后进入"高级设置"-"端口"选择"ONTHER",改变其值为"7626"后进行扫描。
结果如下:
说明:上图IP地址的数字为我剪切处理过,参考价值不大。:)
二.冰河的操作:连接、控制、口令的获取、屏幕抓取、服务端配置、冰河信使
主要几代作品服务端图标的变化:其中新版冰河服务端大小为182K,客户端大小为451K
先不要乱动!认清G_Server它就是令网人闻风色变的服务端了。
(冰河6默认的写字板图标就很好,使用前改个好点的名称即可,不一定要捆绑)
1.连接:打开瑞士军刀图标的客户端G_Client,选择添加主机,
填上我们搜索到的IP地址。如在出现"无法与主机连接"、“口令有误”就放弃。
(初始密码应该为空,口令有误是已被别人完全控制)直到终于出现:
注:3.1以下版本的万能注册码:(使用其他版本冰河时,填在右上访问口令里,
应用后,连接)
2.2版:Can you speak chinese?
2.2版:05181977
3.0版:yzkzero
3.0版:yzkzero.51.net
3.0版:yzkzero!
3.1-netbug版密码: 123456!@
2.2杀手专版:05181977
2.2杀手专版:dzq2000! 仅供参考
2.控制:在文件管理器区的远程主机上双击+号,有C:D:E:等盘符出现,
选择打开C:会看见许多的文件夹,这时我们就算已经踏入别人的领土,对于
第一次入侵的朋友是不是有些感动?别急,我们对"养马场"的探索还未开始!
在C里你可以查找邮箱目录、QQ目录、我的文档等有重要物品存放的区域,
顺便了解一下他有什么不良爱好,呵呵。是不是有些收获,见到了你喜欢的游戏,
下载?还是省省吧,远程的机器承受不了。
(如果在我的文档里看见JPG格式的文件,有兴趣的话你可以点右键下载下来看看
是不是他MM的照片。:))
在文件管理区你可以对文件、程序进行以下主要几项操作:上传、下载、删除、
远程打开。击鼠标右键看到
3.口令获取:口令类命令里可是有不少好东西的!如果你运气够好的话,你会找到很多的网站名、用户名和口令。有什么用?自己想去吧.......图中第一处抹黑的是上网帐号的密码,这可不能乱用喔。第2处抹掉的就是QQ46581282的密码了,抹掉是因为我们现在只是做学习研究用,不是不法分子在搞破坏。:)
注:卸载冰河的方法,在命令控制台下的控制类命令-系统控制可以看到,
点一下就可安全清除冰河。
4.屏幕抓取:照指示操作就行,我不喜欢用这个,抓图的速度慢质量也不好,
那个控制屏幕也就顺便省了吧。
5.配置服务端:在使用木马前配置好,一般不改变,选择默认值。
细节注意如下:监听端口7626可更换(范围在1024~32768之间);
关联可更改为与EXE文件关联(就是无论运行什么exe文件,冰河就开始加载;
还有关键的邮件通知设置:
附:如在设置类命令-服务端配置里选择读取服务端配置,可以看到是控制者
设置的IP上线自动通知的接收邮箱。如果你中了冰河的话一般是可以用这个法子
查出是谁在黑你。(小心点好,别中了别人的借刀杀人之计)如下:
、
6.冰河信使的使用:也许这时候你还有兴趣和机子的主人聊聊,就用自带的
冰河信使,是不是吓了他一跳?(不敢回答或关机逃跑了?)遇个胆大的你
们也许聊的很投机,你作为他眼里的大虾是不是要表现一下?
告诉他:"不要怕。我,远程(神气的很)帮你杀毒好了!"呵呵,只要照图
轻轻点一下,陡受惊吓的人是不是还会对你感激涕零? 恩,兴奋的神经慢慢
冷却,是结束我们的这次友好访问的时候了。
其实冰河的基本操作就是这么简单,请熟练掌握它,以后你要接触的木马有6
成与它的基本操作类似。
夜阑卧听风吹雨,铁马冰河入梦来。夜了,休息一下,养足精神再来继续我们
的木马旅程。
--------------------------------------------------------------------------------
冰河的几种清除方法:
①:文中介绍的自卸载功能。
②:部分杀毒软件,(这个版本比较新,许多杀毒软件不能识别。推荐:
升级过的KV3000等)
③:修改注册表。运行regedit,查找下面的键值。
第一步:删除相对的可疑键值。(不熟悉的朋友不要乱动)
第二步:重新启动时转到DOS下,删除冰河服务端(一般默认为"c:\windows\G_server.exe",会变更)这一步很重要。
最后: 重启计算机即可。
该文章转自[无忧网络网游私服技术资源站]:http://www.5uwl.net/Article/msmir400/msmir530/msmir534/200410/1519.html
实验2-4 综合扫描
一、实验目的
通过使用综合扫描工具,扫描系统的漏洞并且给出安全性评估报告,加深对
各种网络和系统漏洞的理解。
二、实验环境
预装WINDOWS 2000/XP计算机,通过网络相连,安装有流光Fluxay软件。流光是一款大名鼎鼎的高级扫描工具,为著名网络安全专家小榕所开发,流光可以探测POP3、FTP、HTTP、PROXY、FORM、SQL、SMTP上的各种漏洞。由于流光的功能过于强大,而且功能还在不断扩充中,因此流光的作者小榕限制了流光所能扫描的IP范围,不允许流光扫描国内IP地址,而且流光测试版在功能上也有一定的限制。
三、实验内容
流光这款软件除了能够像X-Scan那样扫描众多漏洞、弱口令外,还集成了
常用的入侵工具,如字典工具、NT/IIS工具等。工具启动后界面如图:
1、扫描主机漏洞
步骤一:打开高级扫描向导、设置扫描参数。
在流光4.7主界面下,通过选择“文件(F)”→“高级扫描向导(W)”或使用快捷健“Ctrl+W”打开高级扫描向导。在“起始地址”和“结束地址”分别填入目标网段主机的开始和结束IP地址;在“目标系统”中选择预检测的操作系统类型;在“获取主机名”、“PING检查”前面打钩;在“检测项目”中,选择“全选”;选好后如图
然后单击“下一步(N)”按钮,如下图选中“标准端口扫描”。(“标准端口扫描”:只对常见的端口进行扫描。“自定端口扫描范围”:自定义端口范围进行扫描。)
然后单击“下一步(N)”按钮,在下图中进行设置。
设置好所有检测项目后,然后单击“下一步(N)”按钮,选择“本地主机”,表示使用本机执行扫描任务。
步骤二:开始扫描。
单击“开始(S)”按钮进行扫描。在扫描过程中,如果想要停止,通过单击最下角的“取消”按钮来实现,不过需要相当一段时间才能真正地停止,所以建议一次不要扫太大的网段,如果因扫描时间过长而等不及,这时候再想让流光停下来是不容易的。
步骤三:查看扫描报告。
扫描结束后,流光会自动打开HTML格式的扫描报告。
需要指出的是,在扫描完成后,流光不仅把扫描结果整理成报告文件,而且还把可利用的主机列在流光界面的最下方。单击主机列表中的主机便可以直接对目标主机进行连接操作,如图所示。
除了使用“高级扫描向导”配置高级扫描外,还可以直接选取高级扫描工具,如图所示。
打开“高级扫描设置”,其界面如图所示。
2、把Administrator的密码设置复杂一些,观察“流光”是否还能使用简单字典暴力破解成功,如果不成功,请使用“流光”中自带的其他复杂字典再一次尝试暴力破解,看是否能够成功,通过整个过程学会设置符合复杂性要求的密码。
3、学习net相关命令的使用,尝试利用IP$漏洞先与目标主机建立连接,然后在目标主机上建立自己的账号并且提升为管理员权限,提交操作步骤和防护方法。
实验2-5 windows 下配置IDS snort
1) 从snort网站下载windows版本的安装文件并按照缺省设置安装,下载地址:http://www.snort.org。
2) 下载Snort规则库文件,并在配置文件snort.conf中设置,被检测的网络地址、使用的规则库、输入输出插件等。
3) 熟悉使用snort的命令格式,包括snort嗅探器、数据包记录器、入侵检测系统等时等命令格式,snort命令使用见
4) 安装一个snort+web+数据库的入侵检测系统,下载相应软件并安装配置。
5) 安装apache_
Domain name:muzi.com
Server name:www
ServerAdmin:654478225@qq.com
6) 安装php。解压php-
7) 配置Apache服务器,使之支持php。先修改配置文件,复制d:\php\php.ini-dist到C:/WINDOWS并重命名为php.ini,修改php.ini,分别去掉“extension=php_gd2.dll”和“extension=php_mysql.dll”前的分号来启用gd裤和mysql的支持。并指定extension_dir="d:\php\ext"。在d:\Apache2.2\conf\httpd.conf中添加
LoadModule php5_module "d:/php/php5apache2_2.dll"
AddType application/x-httpd-php .php。
8) 复制所需要的文件。复制D:\php\php5ts.dll和D:\php\libmysql.dll文件到C:\WINDOWS\SYSTEM32。Php5ts.dll是Apache服务器中支持php所必须的文件,要放到system32目录下,在php5之后,如果要支持mysql数据库,还需要将libmysql.Dll复制到system32目录下。缺少第一个动态链接库时apache的不能正常启动,缺少第二个动态链接库文件时,php中无法支持mysql数据库。
9) 在D:\Apache2.2\htdocs目录下建立文件index.Php,内容为
<?php phpinfo(); ?>
然后保存。重新启动apache服务器。
10) 打开浏览器,访问 http://localhost/index.php如果出现下面的图片内容,表明php工作正常并且支持mysql扩展。
11) 安装mysql-essential-
12) 采用默认安装WinPcap_4_1_1.Exe。
13) 采用默认安装Snort_2_8_5_1_Installer.Exe,修改安装路径为 d:\snort。
14) 建立snort运行必须的snort库和snort_archive库和必要的数据库用户。
15) 打开mysql的命令行客户端,用root登陆。输入以下命令建立数据库和用户。
create database snort;
create database snort_archive;
grant usage on *.* to "acid"@"localhost" identified by "acidtest";
grant usage on *.* to "snort"@"localhost" identified by "snorttest";
set password for "acid"@"localhost" = password('123456');
set password for "snort"@"localhost" = password('123456');
grant select,insert,update,delete,create,alter on snort.* to "acid"@"localhost";
grant select,insert,update,delete,create,alter on snort_archive.* to "acid"@"localhost";
grant select,insert,update,delete,create,alter on snort.* to "snort"@"localhost";
grant select,insert,update,delete,create,alter on snort_archive.* to "snort"@"localhost";
这样建立了两个数据库snort,snort_archive,并添加两用户snort和acid,同时分别分配相关权限.
16) 安装adodb,解压缩adodb5到d:\php\adodb 目录下。
17) 安装jpgrapg 库,解压缩jpgraph-
DEFINE("CACHE_DIR","/tmp/jpgraph_cache/");
18) 安装acid,解压缩acid-
并将C:\Apache\htdocs\acid\acid_conf.php文件的如下各行内容修改为:
$DBlib_path = "d:\php\adodb5";
$alert_dbname = "snort";
$alert_host = "localhost";
$alert_port = "3306";
$alert_user = "acid";
$alert_password = "123456";
$archive_dbname = "snort_archive";
$archive_host = "localhost";
$archive_port = "3306";
$archive_user = "acid";
$archive_password = "123456";
$ChartLib_path = "d:\php\jpgraph\src";
19) 建立Snort输出安全事件所需要的表,其中d:\Snort为Snort的安装目录,打开命令提示符,运行以下命令:
mysql -D Snort -u root -p < d:\Snort\schemas\create_mysql
mysql -D Snort_archive -u root -p < d:\Snort\schemas\create_Mysql
每次提示输入root的密码,输入密码即可建立所需要的表。
20) 通过浏览器访问http:/127.0.0.1/acid/acid_db_setup.php,在打开页面中点取“Create ACID AG”按钮,让系统自动在mysql中建立acid 运行必须的数据库。
点击Create ACID AG按钮,产生4个表。
点Home,回到主页面。
到目前为止,ACID平台搭建完毕,接下来需要配置snort。
21) 简单的snort配置,打开d:\Snort\etc下的snort.conf文件,将下列各行修改如下:
var RULE_PATH d:\snort\ules
include c:\snort\etc\classification.config
include c:\Snort\etc\reference.config
dynamicpreprocessor directory D:\Snort\lib\snort_dynamicpreprocessor
dynamicengine D:\Snort\lib\snort_dynamicengine\sf_engine.dll
配置好snort的各项参数,包含的配置文件,snort的检测引擎,各种预处理器。
22) 配置snort的输出插件,使结果输出到Mysql数据库中。
打开d:\Snort\etc下的snort.conf文件,添加如下行:
output database: alert, Mysql, host=localhost port=3306 dbname=snort user=snort password=123456 sensor_name=n encoding=ascii detail=Full
23) 检测snort是否正常工作
Snort载入预处理器和引擎
Snort可以正常运行。
24) 让snort监听系统的网卡,进行入侵检测。
运行一段时间,检查结果。
查看详细情况。
实验2-6 账号口令破解
一 实验目的
通过密码破解工具的使用,了解账号口令的安全性,掌握安全口令的设置原则,以保护账号口令的安全。
二 实验环境
预装WINDOWS 2000/XP计算机,安装L0PHTcrack密码破解工具。L0phtCrack是在NT平台上使用的口令审计工具。它能通过保存在NT操作系统中cryptographichashes列表来破解用户口令的。通常为了安全起见,用户的口令都是在经过加密之后保存在hash列表中的。这些敏感的信息如果被攻击者获得,他们不仅可能会得到用户的权限,也可能会得到系统管理员的权限。这后果将不堪设想。L0phtCrack可通过各种不同的破解方法对用户的口令进行破解。
了解破解用户口令的方法是一件非常有意义的事情。最重要的是可以帮助系统管理员对目前使用的用户口令的安全性能作出评估。实践证明,那些没有经过测试就使用的口令,在黑客的攻击面前会显得不堪一击。此外,还能帮助用户找回遗忘的口令,检索用户口令,
三 实验内容
打开软件后,主界面主要分4个部分:
1.快捷工具栏
2.主工作区,我已经导入了一个SAM,并破解了一部分。可以看到用户名
已经破解的密码。大家注意有个< 8栏,如果打个叉,说明用户密码小于8位,破解的难度就小点。
3.显示字典破解进度。
4.显示暴力破解进度,显示破解所用时间,和剩下的时间。
5.注意这个功能,是拆分SAM,你可以SAM把拆分成几个密码档,放到几台机器上同时跑,可以大大加快破解速度。
6.设置破解模式。
7.存放拆分文件的目录。
8.拆分文件的文件名.
9.分成几部分。
10.字典破解设置,LC3已经提供了一个字典(推荐),你也可以用自己的字典。
11.字典加后缀破解。可以设定后缀的长度。
12.暴力破解设置。你可以设置暴力破解的字符。
13.当LC3工作时,把程序缩到工具栏。
14.当LC3工作时,隐藏到后台,用Ctrl+Alt+L恢复。
这里是LC3的关键,这些功能是让你可以从不同的地方,导入SAM。
15.抓本机SAM档,干什么用?!这让你看看自己的机器有没有弱密码。
16.从远程机器上抓SAM,这就要用到IPC了,而且要有ADMIN的权限,不过这个功能好象没有PWDUMP3好用,所以建议用PWDUMP3抓远程机器上SAM,导入LC3破解,也就是20的功能。
17.如果你已经搞到SAM了,用这里直接导入。
18.从Sniffer导入,这个功能我还没用过。
19.从.LC导入,也就是从老的L0phtcrack 2.0生成的文件导入。
20.从PWDUMP抓的密码档导入。
任务:尝试设置不同复杂度的用户密码,通过设置LC中不同破解方法进行破解,记录破解时间,加深对密码保护的理解。
长沙环境保护职业技术学院
课时授课计划
|
授课章节目录: |
|
第2章 信息系统安全防范技术 |
|
2.1 计算机系统的安全性 |
|
2.2 病毒防范技术 |
|
2.3 黑客防范技术 |
|
2.4 防火墙技术 |
|
|
|
|
|
授课时数:2节 |
|
目的要求: |
|
1.了解计算机应用系统、网络操作系统及应用服务的安全性; |
|
2.掌握计算机病毒的基本知识,重点掌握计算机病毒的防范技术; |
|
|
|
教材分析(难点、重点): |
|
应用服务的安全性 |
|
计算机病毒的防范技术 |
|
|
|
教学方法与手段特色: |
|
电子教案,课件,多媒体教学 |
|
|
|
布置作业: |
|
教材的作业 |
|
后记: |
|
|
第2章 信息系统安全防范技术
导入案例(某网站运行在Solaris2.5有不明用户进入,入侵者能用管理员的账号查看、修改用户数据和密码),提出安全防范技术;
|
|
2.1计算机系统的安全性(逐一举例说明)
硬件——水、火、盗抢
|
(
软——攻击、破坏、篡改
|
|||
|
|||
(
①用户口令尤其是超级用户口令设置不符合要求,导致暴力破解密码成功。
②默认的情况下,有许多服务是处于开启状态,给别有用心的人留下可乘之机。
③目录和文件的权限设置不当,导致其他用户能够访问一些重要的文件和目录。
④普通用户利用系统漏洞提供自己的系统权限,或者使已经获得一些权限的远程攻击者,进一步的提升权限。
⑤远程攻击者利用Linx系统上默认的一些安装服务,这些服务本身存在漏洞,致使在对外提供服务的时候,可能遭到远程攻击。
(2)Linux常见漏洞的基本防范措施
①保护口令文件
②删除系统特殊的用户账号和组账号
③账户的密码设置
④自动root账户
⑤设置系统文件和普通文件权限
⑥关闭系统不使用的服务
⑦充分利用系统的审计功能
⑧及时下载安装补丁
1.应用系统的可用性管理
2.应用系统的配置文件管理
3.应用系统的运行安全管理
2.2病毒防范技术
1.计算机病毒的定义:编制者在计算机程序中插入的破坏计算机功能或者破坏数据,影响计算机使用并且能够自我复制的一组计算机指令或者程序代码
2.特点:传染性;破坏性;隐蔽性;潜伏性;寄生性;主动攻击性 (逐一举例说明)
3.特征:(1)计算机系统运行速度减慢。 (分组讨论说明)
(2)计算机系统经常无故发生死机。
(3)计算机系统中的文件长度发生变化。
(4)计算机存储的容量异常减少。
(5)系统引导速度减慢。
(6)丢失文件或文件损坏。
(7)计算机屏幕上出现异常显示。
(8)计算机系统的蜂鸣器出现异常声响。
(9)磁盘卷标发生变化。
(10)系统不识别硬盘。
(11)对存储系统异常访问。
(12)键盘输入异常。
(13)文件的日期、时间、属性等发生变化。
(14)文件无法正确读取、复制或打开。
(15)命令执行出现错误。
(16)虚假报警。
(17)换当前盘。有些病毒会将当前盘切换到C盘。
(18)时钟倒转。有些病毒会命名系统时间倒转,逆向计时。
(19)WINDOWS操作系统无故频繁出现错误。
(20)系统异常重新启动。
(21)一些外部设备工作异常。
(22)异常要求用户输入密码。
(23)WORD或EXCEL提示执行“宏”。
(24)使不应驻留内存的程序驻留内存。
4.传播途径 (逐一具体举例说明)
(1)因特网传播
(2)局域网传播
(3)通过不可移动的计算机硬件设备传播
(4)通过移动存储设备传播
(5)无线设备传播
5.特洛伊木马病毒(解释工作原理,隐藏方式;讨论特性)
6.(
单机防范:主要的保护工作
杀毒软件的选择
局域网防范:对等网保护
WIN SEVER保护
Unix/linux
大型网络防范:
7.常规病毒防范措施(讨论总结)
2.3黑客防范技术
1.准备
2.攻击方式
端口扫描,口令攻击,拒绝服务攻击,网络监听,缓冲区溢出,电子邮件攻击等(逐一讲解)
长沙环境保护职业技术学院
课时授课计划
|
授课章节目录: |
|
第2章 信息系统安全防范技术 |
|
2.1 计算机系统的安全性 |
|
2.2 病毒防范技术 |
|
2.3 黑客防范技术 |
|
2.4 防火墙技术 |
|
|
|
|
|
授课时数:2节 |
|
目的要求: |
|
1.了解计算机应用系统、网络操作系统及应用服务的安全性; |
|
2.掌握计算机病毒的基本知识,重点掌握计算机病毒的防范技术; |
|
|
|
教材分析(难点、重点): |
|
应用服务的安全性 |
|
计算机病毒的防范技术 |
|
|
|
教学方法与手段特色: |
|
电子教案,课件,多媒体教学 |
|
|
|
布置作业: |
|
教材的作业 |
|
后记: |
|
|
实验二:网络攻击与防范
一、实验目的
通过网络常用攻击和防范工具的使用,了解网络攻击的原理、特点和过程,掌握常见网络攻击的防范方法和策略。
二、实验内容
(1) 网络嗅探器SNIFFER的使用
(2) 账号口令破解、L0PHTcrack密码破解工具
(3) 使用“冰河”“灰鸽子”对远程计算机控制
(3) SuperScan、天眼等扫描工具的使用
(4) 入侵监测系统的原理与应用Snort
(5) 高级扫描工具流光Fluxay、东方卫士等软件的使用
实验2-1 使用SNIFFER工具扫描
一 实验目的
通过使用一种网络分析器,实现捕捉HTTP等协议的数据包,以理解TCP/IP协议中多种协议的数据结构、会话连接建立和终止的过程。以了解网络分析器的使用方法。
二 实验环境
安装有sniffer Pro软件的PC机。
三 实验内容
1 熟悉sniffer Pro工具的使用
报文捕获功能可以在报文捕获面板中进行完成,如下是捕获面板的功能图:图中显示的是处于开始状态的面板
在捕获过程中可以通过查看下面面板查看捕获报文的数量和缓冲区的利用率。
Sniffer软件提供了强大的分析能力和解码功能。如下图所示,对于捕获的报文提供了一个Expert专家分析系统进行分析,还有解码选项及图形和表格的统计信息。
下图是对捕获报文进行解码的显示,通常分为三部分,目前大部分此类软件结构都采用这种结构显示。对于解码主要要求分析人员对协议比较熟悉,这样才能看懂解析出来的报文。使用该软件是很简单的事情,要能够利用软件解码分析来解决问题关键是要对各种层次的协议了解的比较透彻。工具软件只是提供一个辅助的手段。因涉及的内容太多,这里不对协议进行过多讲解,请参阅其他相关资料。
对于MAC地址,Snffier软件进行了头部的替换,如00e0fc开头的就替换成Huawei,这样有利于了解网络上各种相关设备的制造厂商信息。
功能是按照过滤器设置的过滤规则进行数据的捕获或显示。在菜单上的位置分别为 Capture->Define Filter和Display->Define Filter。过滤器可以根据物理地址或IP地址和协议选择进行组合筛选。
2 捕获HTTP数据包并且分析
3 若目的机安装有防火墙,再对其进行嗅探,看是否能收到信息
实验2-2 网络端口扫描
一 实验目的
通过练习使用网络端口扫描器,可以了解目标主机开放的端口和服务程序,从而获取系统的有用信息,发现网络系统的安全漏洞。
二 实验环境
预装WINDOWS 2000/XP计算机,SuperScan软件,通过网络连接。SuperScan功能强大,但是,在扫描的时候,一定要考虑到网络的承受能力和对目标计算机的影响。同时,无论目的任何,扫描的必须在国家法律法规允许的范围进行。
三 实验内容
SuperScan具有以下功能:
1) 通过Ping来检验IP是否在线;
2) IP和域名相互转换;
3) 检验目标计算机提供的服务类别;
4) 检验一定范围目标计算机的是否在线和端口情况;
5) 工具自定义列表检验目标计算机是否在线和端口情况;
6) 自定义要检验的端口,并可以保存为端口列表文件;
7) 软件自带一个木马端口列表trojans.lst,通过这个列表我们可以检测目标计算机是否有木马;同时,我们也可以自己定义修改这个木马端口列表.
任务一:域名(主机名)和IP相互转换
这个功能的作用就是取得域名比如:163.com的IP;或者根据IP:202.106.185.77取得域名。
在SuperScan里面,有两种方法来实现此功能:
1. 通过Hostname Lookup来实现:在Hostname Lookup的输入框输入需要转换的域名或者IP,按【LookUp】就可以取得结果。如果需要取得自己计算机的IP,可以点击【Me】按钮来取得;同时,也可以取得自己计算机的IP设置情况,点击【InterFaces】取得本地IP设置情况
2. 通过Extract From File实现.这个功能通过一个域名列表来转换为相应IP地址。选择【Extract from file】,点击【->】按钮,选择域名列表,进行转换,出现以下界面
任务二:Ping功能的使用
Ping主要目的在于检测目标计算机是否在线和通过反应时间判断网络状。在【IP】的【Start】填入起始IP,在【Stop】填入结束IP,然后,在【Scan Type】选择【Ping only】,按【Start】就可以检测了。
在以上的设置中,我们可以使用以下按钮达到快捷设置目的:选择【Ignore IP zreo】可以屏蔽所有以0结尾的IP;选择【Ignore IP 255】可以屏蔽所有以255结尾的IP;点击【PrevC】可以直接转到前一个C网段;选择【NextC】可以直接转到后一个C网段;选择【1..254】直接选择整个网段。同样,也可以在【Extract From File】通过域名列表取得IP列表。
在Ping的时候,可以工具网络情况在【Timeout】设置相应的反应时间。一般采用默认就可以了,而且,SuperScan速度非常快,结果也很准确,一般没有必要改变反应时间设置。
任务三 端口检测
端口检测可以取得目标计算机提供的服务,同时,也可以检测目标计算机是否有木马。现在,我们来看看端口检测的具体使用。
(1)检测目标计算机的所有端口
如果检测的时候没有特定的目的,只是为了了解目标计算机的一些情况,可以对目标计算机的所有端口进行检测。一般不提倡这种检测,因为:它会对目标计算机的正常运行造成一定影响,同时,也会引起目标计算机的警觉;扫描时间很长;浪费带宽资源,对网络正常运行造成影响。
在【IP】输入起始IP和结束IP,在【Scan Type】选择最后一项【All Ports From 1 to 65535】,如果需要返回计算机的主机名,可以选择【Resolve Hostnem】,按【Start】开始检测。
扫描完成以后,按【Expand all】展开,可以看到扫描的结果。我们来解释一下以上结果:第一行是目标计算机的IP和主机名;从第二行开始的小圆点是扫描的计算机的活动端口号和对该端口的解释,此行的下一行有一个方框的部分是提供该服务的系统软件。【Active hosts】显示扫描到的活动主机数量,这里只扫描了一台,为1;【Open ports】显示目标计算机打开的端口数,这里是10。
(2)扫描目标计算机的特定端口(自定义端口)
其实,大多数时候我们不需要检测所有端口,我们只要检测有限的几个端口就可以了,因为我们的目的只是为了得到目标计算机提供的服务和使用的软件。所以,我们可以工具个人目的的不同来检测不同的端口,大部分时候,我们只要检测80(web服务)、21(FTP服务)、23(Telnet服务)就可以了,即使是攻击,也不会有太多的端口检测。
点击【Port list setup】,出现端口设置界面,以上的界面中,在【Select ports】双击选择需要扫描的端口,端口前面会有一个"√"的标志;选择的时候,注意左边的【Change/Add/Delete port info】和【Helper apps in right-click menu】,这里有关于此端口的详细说明和所使用的程序。我们选择21、23、80、三个端口,然后,点击【save】按钮保存选择的端口为端口列表。【ok】回到主界面。在【Scan Type】选择【All selected port in list】,按【Start】开始检测。
使用自定义端口的方式有以下有点:
1) 选择端口时可以详细了解端口信息;
2) 选择的端口可以自己取名保存,有利于再次使用;
3) 可以工具要求有的放矢的检测目标端口,节省时间和资源;
4) 根据一些特定端口,我们可以检测目标计算机是否被攻击者利用,种植木马或者打开不应该打开的服务;
(3)检测目标计算机是否被种植木马
自从BO出现以后,国内最有影响的是冰河木马,然后,出现很多功能类似的木马,比如:网络神偷、NetBull等。针对木马,现在有很多清除工具,除了一般的杀毒软件以外,还可以使用专门清除木马的TheCleaner(下载:http://www.hackervip.com)等软件。如果只是对木马的检测,我们完全用SuperScan来实现,因为所有木马都必须打开一定的端口,我们只要检测这些特定的端口就可以知道计算机是否被种植木马。
主界面选择【Port list setup】,出现端口设置界面,点击【Port list files】的下拉框选择一个叫trojans.lst的端口列表文件(图八),这个文件是软件自带的,提供了常见的木马端口,我们可以使用这个端口列表来检测目标计算机是否被种植木马。
需要注意的是,木马现在很多,没多久就出现一个,因此,有必要时常注意最新出现的木马和它们使用的端口,随时更新这个木马端口列表。
实验2-3 木马的配置与清除
“木马”,大家对他的名字很熟悉吧??是啊,木马作为一个远程控制的软件已经深入人心,木马是 什么那?如何使用木马程序控制他人那??先不要着急,我们来看看木马的发展,对这 个工具作一个简单的介绍:
黑客程序里的特洛伊木马有以下的特点:
(1)主程序有两个,一个是服务端,另一个是控制端。(如果你下载了,请千万不要用鼠标双击服务器端)。
(2)服务端程序需要在主机(被你控制的电脑)执行。
(3)一般特洛伊木马程序都是隐蔽的进程。(需要专业的软件来查杀,也有不用软件查杀的办法。)
(4)当控制端连接服务端主机后,控制端会向服务端主机发出命令。而服务端主机在接受命令后,会执行相应的任务。
(5)每个系统都存在特洛伊木马。(包括Windows,Unix,liunx等)
很多人眼中,特洛伊木马是一种病毒。其实特洛伊木马并不是一种病毒,它没有完全具备病毒的性质。(包括:转播,感染文件等,但是很多的杀毒软件还是可以查杀,毕竟这是一种使用简单但是危害比较大的软件)
二、木马的发展:
第一代木马:控制端 -- 连接 -- 服务端
特点:属于被动型木马。能上传,下载,修改注册表,得到内存密码等。
典型木马:冰河,NetSpy,back orifice(简称:BO)等。
第二代木马:服务端 -- 连接 -- 控制端
特点:属于主动型木马。隐蔽性更强,有利用ICMP协议隐藏端口的,有利用DLL(动态连接库)隐藏进程的,甚至出现能传播的木马。
典型木马:网络神偷,广外女生等。(反弹端口型木马)
第二代木马象广外女生可以使用WINDOWS的漏洞,越过许多防火墙从而进行对系统的监控(像金山,天网等)。
随着木马的发展,并且作为很多人使用的软件,杀毒软件也越来越对这个传播很广的半 病毒不病毒的软件越来越关注(因为作为服务器端可以夹带在任何文件中传播,只要你 打开这个文件,你就肯定会被中上木马,甚至可以在网络上通过下载来传播)所以查杀木马的工具很多,但是道高一尺,魔高一丈,木马又不断演化出新的品种来对抗杀毒软件,毕竟中国的广大网民的安全意识不高,加上盗版猖狂,可以正式在网络上进行升级的并不多,所以木马还是很有使用空间的。下面,我们将介绍一款国产的木马------- 冰河。
注明:冰河有多个版本,现在流行冰河8.0等,操作与介绍相同。
冰河之旅
一.扫描端口:放弃冰河客户端自带的扫描功能,速度度慢,功能弱!建议使用专用扫描工具。运行X-way,操作如下
点击"主机扫描",分别填入"起始、结束地址"(为什么? 因为--做事要有始有终,呵呵。顺便提示一下菜菜鸟型的:结束地址应大于起始地址)。
在"端口方式"的模式下选择"线程数"。(一般值为100比较合适,网速快的可选150)。最后进入"高级设置"-"端口"选择"ONTHER",改变其值为"7626"后进行扫描。
结果如下:
说明:上图IP地址的数字为我剪切处理过,参考价值不大。:)
二.冰河的操作:连接、控制、口令的获取、屏幕抓取、服务端配置、冰河信使
主要几代作品服务端图标的变化:其中新版冰河服务端大小为182K,客户端大小为451K
先不要乱动!认清G_Server它就是令网人闻风色变的服务端了。
(冰河6默认的写字板图标就很好,使用前改个好点的名称即可,不一定要捆绑)
1.连接:打开瑞士军刀图标的客户端G_Client,选择添加主机,
填上我们搜索到的IP地址。如在出现"无法与主机连接"、“口令有误”就放弃。
(初始密码应该为空,口令有误是已被别人完全控制)直到终于出现:
注:3.1以下版本的万能注册码:(使用其他版本冰河时,填在右上访问口令里,
应用后,连接)
2.2版:Can you speak chinese?
2.2版:05181977
3.0版:yzkzero
3.0版:yzkzero.51.net
3.0版:yzkzero!
3.1-netbug版密码: 123456!@
2.2杀手专版:05181977
2.2杀手专版:dzq2000! 仅供参考
2.控制:在文件管理器区的远程主机上双击+号,有C:D:E:等盘符出现,
选择打开C:会看见许多的文件夹,这时我们就算已经踏入别人的领土,对于
第一次入侵的朋友是不是有些感动?别急,我们对"养马场"的探索还未开始!
在C里你可以查找邮箱目录、QQ目录、我的文档等有重要物品存放的区域,
顺便了解一下他有什么不良爱好,呵呵。是不是有些收获,见到了你喜欢的游戏,
下载?还是省省吧,远程的机器承受不了。
(如果在我的文档里看见JPG格式的文件,有兴趣的话你可以点右键下载下来看看
是不是他MM的照片。:))
在文件管理区你可以对文件、程序进行以下主要几项操作:上传、下载、删除、
远程打开。击鼠标右键看到
3.口令获取:口令类命令里可是有不少好东西的!如果你运气够好的话,你会找到很多的网站名、用户名和口令。有什么用?自己想去吧.......图中第一处抹黑的是上网帐号的密码,这可不能乱用喔。第2处抹掉的就是QQ46581282的密码了,抹掉是因为我们现在只是做学习研究用,不是不法分子在搞破坏。:)
注:卸载冰河的方法,在命令控制台下的控制类命令-系统控制可以看到,
点一下就可安全清除冰河。
4.屏幕抓取:照指示操作就行,我不喜欢用这个,抓图的速度慢质量也不好,
那个控制屏幕也就顺便省了吧。
5.配置服务端:在使用木马前配置好,一般不改变,选择默认值。
细节注意如下:监听端口7626可更换(范围在1024~32768之间);
关联可更改为与EXE文件关联(就是无论运行什么exe文件,冰河就开始加载;
还有关键的邮件通知设置:
附:如在设置类命令-服务端配置里选择读取服务端配置,可以看到是控制者
设置的IP上线自动通知的接收邮箱。如果你中了冰河的话一般是可以用这个法子
查出是谁在黑你。(小心点好,别中了别人的借刀杀人之计)如下:
、
6.冰河信使的使用:也许这时候你还有兴趣和机子的主人聊聊,就用自带的
冰河信使,是不是吓了他一跳?(不敢回答或关机逃跑了?)遇个胆大的你
们也许聊的很投机,你作为他眼里的大虾是不是要表现一下?
告诉他:"不要怕。我,远程(神气的很)帮你杀毒好了!"呵呵,只要照图
轻轻点一下,陡受惊吓的人是不是还会对你感激涕零? 恩,兴奋的神经慢慢
冷却,是结束我们的这次友好访问的时候了。
其实冰河的基本操作就是这么简单,请熟练掌握它,以后你要接触的木马有6
成与它的基本操作类似。
夜阑卧听风吹雨,铁马冰河入梦来。夜了,休息一下,养足精神再来继续我们
的木马旅程。
--------------------------------------------------------------------------------
冰河的几种清除方法:
①:文中介绍的自卸载功能。
②:部分杀毒软件,(这个版本比较新,许多杀毒软件不能识别。推荐:
升级过的KV3000等)
③:修改注册表。运行regedit,查找下面的键值。
第一步:删除相对的可疑键值。(不熟悉的朋友不要乱动)
第二步:重新启动时转到DOS下,删除冰河服务端(一般默认为"c:\windows\G_server.exe",会变更)这一步很重要。
最后: 重启计算机即可。
该文章转自[无忧网络网游私服技术资源站]:http://www.5uwl.net/Article/msmir400/msmir530/msmir534/200410/1519.html
实验2-4 综合扫描
一、实验目的
通过使用综合扫描工具,扫描系统的漏洞并且给出安全性评估报告,加深对
各种网络和系统漏洞的理解。
二、实验环境
预装WINDOWS 2000/XP计算机,通过网络相连,安装有流光Fluxay软件。流光是一款大名鼎鼎的高级扫描工具,为著名网络安全专家小榕所开发,流光可以探测POP3、FTP、HTTP、PROXY、FORM、SQL、SMTP上的各种漏洞。由于流光的功能过于强大,而且功能还在不断扩充中,因此流光的作者小榕限制了流光所能扫描的IP范围,不允许流光扫描国内IP地址,而且流光测试版在功能上也有一定的限制。
三、实验内容
流光这款软件除了能够像X-Scan那样扫描众多漏洞、弱口令外,还集成了
常用的入侵工具,如字典工具、NT/IIS工具等。工具启动后界面如图:
1、扫描主机漏洞
步骤一:打开高级扫描向导、设置扫描参数。
在流光4.7主界面下,通过选择“文件(F)”→“高级扫描向导(W)”或使用快捷健“Ctrl+W”打开高级扫描向导。在“起始地址”和“结束地址”分别填入目标网段主机的开始和结束IP地址;在“目标系统”中选择预检测的操作系统类型;在“获取主机名”、“PING检查”前面打钩;在“检测项目”中,选择“全选”;选好后如图
然后单击“下一步(N)”按钮,如下图选中“标准端口扫描”。(“标准端口扫描”:只对常见的端口进行扫描。“自定端口扫描范围”:自定义端口范围进行扫描。)
然后单击“下一步(N)”按钮,在下图中进行设置。
设置好所有检测项目后,然后单击“下一步(N)”按钮,选择“本地主机”,表示使用本机执行扫描任务。
步骤二:开始扫描。
单击“开始(S)”按钮进行扫描。在扫描过程中,如果想要停止,通过单击最下角的“取消”按钮来实现,不过需要相当一段时间才能真正地停止,所以建议一次不要扫太大的网段,如果因扫描时间过长而等不及,这时候再想让流光停下来是不容易的。
步骤三:查看扫描报告。
扫描结束后,流光会自动打开HTML格式的扫描报告。
需要指出的是,在扫描完成后,流光不仅把扫描结果整理成报告文件,而且还把可利用的主机列在流光界面的最下方。单击主机列表中的主机便可以直接对目标主机进行连接操作,如图所示。
除了使用“高级扫描向导”配置高级扫描外,还可以直接选取高级扫描工具,如图所示。
打开“高级扫描设置”,其界面如图所示。
2、把Administrator的密码设置复杂一些,观察“流光”是否还能使用简单字典暴力破解成功,如果不成功,请使用“流光”中自带的其他复杂字典再一次尝试暴力破解,看是否能够成功,通过整个过程学会设置符合复杂性要求的密码。
3、学习net相关命令的使用,尝试利用IP$漏洞先与目标主机建立连接,然后在目标主机上建立自己的账号并且提升为管理员权限,提交操作步骤和防护方法。
实验2-5 windows 下配置IDS snort
1) 从snort网站下载windows版本的安装文件并按照缺省设置安装,下载地址:http://www.snort.org。
2) 下载Snort规则库文件,并在配置文件snort.conf中设置,被检测的网络地址、使用的规则库、输入输出插件等。
3) 熟悉使用snort的命令格式,包括snort嗅探器、数据包记录器、入侵检测系统等时等命令格式,snort命令使用见
4) 安装一个snort+web+数据库的入侵检测系统,下载相应软件并安装配置。
5) 安装apache_
Domain name:muzi.com
Server name:www
ServerAdmin:654478225@qq.com
6) 安装php。解压php-
7) 配置Apache服务器,使之支持php。先修改配置文件,复制d:\php\php.ini-dist到C:/WINDOWS并重命名为php.ini,修改php.ini,分别去掉“extension=php_gd2.dll”和“extension=php_mysql.dll”前的分号来启用gd裤和mysql的支持。并指定extension_dir="d:\php\ext"。在d:\Apache2.2\conf\httpd.conf中添加
LoadModule php5_module "d:/php/php5apache2_2.dll"
AddType application/x-httpd-php .php。
8) 复制所需要的文件。复制D:\php\php5ts.dll和D:\php\libmysql.dll文件到C:\WINDOWS\SYSTEM32。Php5ts.dll是Apache服务器中支持php所必须的文件,要放到system32目录下,在php5之后,如果要支持mysql数据库,还需要将libmysql.Dll复制到system32目录下。缺少第一个动态链接库时apache的不能正常启动,缺少第二个动态链接库文件时,php中无法支持mysql数据库。
9) 在D:\Apache2.2\htdocs目录下建立文件index.Php,内容为
<?php phpinfo(); ?>
然后保存。重新启动apache服务器。
10) 打开浏览器,访问 http://localhost/index.php如果出现下面的图片内容,表明php工作正常并且支持mysql扩展。
11) 安装mysql-essential-
12) 采用默认安装WinPcap_4_1_1.Exe。
13) 采用默认安装Snort_2_8_5_1_Installer.Exe,修改安装路径为 d:\snort。
14) 建立snort运行必须的snort库和snort_archive库和必要的数据库用户。
15) 打开mysql的命令行客户端,用root登陆。输入以下命令建立数据库和用户。
create database snort;
create database snort_archive;
grant usage on *.* to "acid"@"localhost" identified by "acidtest";
grant usage on *.* to "snort"@"localhost" identified by "snorttest";
set password for "acid"@"localhost" = password('123456');
set password for "snort"@"localhost" = password('123456');
grant select,insert,update,delete,create,alter on snort.* to "acid"@"localhost";
grant select,insert,update,delete,create,alter on snort_archive.* to "acid"@"localhost";
grant select,insert,update,delete,create,alter on snort.* to "snort"@"localhost";
grant select,insert,update,delete,create,alter on snort_archive.* to "snort"@"localhost";
这样建立了两个数据库snort,snort_archive,并添加两用户snort和acid,同时分别分配相关权限.
16) 安装adodb,解压缩adodb5到d:\php\adodb 目录下。
17) 安装jpgrapg 库,解压缩jpgraph-
DEFINE("CACHE_DIR","/tmp/jpgraph_cache/");
18) 安装acid,解压缩acid-
并将C:\Apache\htdocs\acid\acid_conf.php文件的如下各行内容修改为:
$DBlib_path = "d:\php\adodb5";
$alert_dbname = "snort";
$alert_host = "localhost";
$alert_port = "3306";
$alert_user = "acid";
$alert_password = "123456";
$archive_dbname = "snort_archive";
$archive_host = "localhost";
$archive_port = "3306";
$archive_user = "acid";
$archive_password = "123456";
$ChartLib_path = "d:\php\jpgraph\src";
19) 建立Snort输出安全事件所需要的表,其中d:\Snort为Snort的安装目录,打开命令提示符,运行以下命令:
mysql -D Snort -u root -p < d:\Snort\schemas\create_mysql
mysql -D Snort_archive -u root -p < d:\Snort\schemas\create_Mysql
每次提示输入root的密码,输入密码即可建立所需要的表。
20) 通过浏览器访问http:/127.0.0.1/acid/acid_db_setup.php,在打开页面中点取“Create ACID AG”按钮,让系统自动在mysql中建立acid 运行必须的数据库。
点击Create ACID AG按钮,产生4个表。
点Home,回到主页面。
到目前为止,ACID平台搭建完毕,接下来需要配置snort。
21) 简单的snort配置,打开d:\Snort\etc下的snort.conf文件,将下列各行修改如下:
var RULE_PATH d:\snort\ules
include c:\snort\etc\classification.config
include c:\Snort\etc\reference.config
dynamicpreprocessor directory D:\Snort\lib\snort_dynamicpreprocessor
dynamicengine D:\Snort\lib\snort_dynamicengine\sf_engine.dll
配置好snort的各项参数,包含的配置文件,snort的检测引擎,各种预处理器。
22) 配置snort的输出插件,使结果输出到Mysql数据库中。
打开d:\Snort\etc下的snort.conf文件,添加如下行:
output database: alert, Mysql, host=localhost port=3306 dbname=snort user=snort password=123456 sensor_name=n encoding=ascii detail=Full
23) 检测snort是否正常工作
Snort载入预处理器和引擎
Snort可以正常运行。
24) 让snort监听系统的网卡,进行入侵检测。
运行一段时间,检查结果。
查看详细情况。
实验2-6 账号口令破解
一 实验目的
通过密码破解工具的使用,了解账号口令的安全性,掌握安全口令的设置原则,以保护账号口令的安全。
二 实验环境
预装WINDOWS 2000/XP计算机,安装L0PHTcrack密码破解工具。L0phtCrack是在NT平台上使用的口令审计工具。它能通过保存在NT操作系统中cryptographichashes列表来破解用户口令的。通常为了安全起见,用户的口令都是在经过加密之后保存在hash列表中的。这些敏感的信息如果被攻击者获得,他们不仅可能会得到用户的权限,也可能会得到系统管理员的权限。这后果将不堪设想。L0phtCrack可通过各种不同的破解方法对用户的口令进行破解。
了解破解用户口令的方法是一件非常有意义的事情。最重要的是可以帮助系统管理员对目前使用的用户口令的安全性能作出评估。实践证明,那些没有经过测试就使用的口令,在黑客的攻击面前会显得不堪一击。此外,还能帮助用户找回遗忘的口令,检索用户口令,
三 实验内容
打开软件后,主界面主要分4个部分:
1.快捷工具栏
2.主工作区,我已经导入了一个SAM,并破解了一部分。可以看到用户名
已经破解的密码。大家注意有个< 8栏,如果打个叉,说明用户密码小于8位,破解的难度就小点。
3.显示字典破解进度。
4.显示暴力破解进度,显示破解所用时间,和剩下的时间。
5.注意这个功能,是拆分SAM,你可以SAM把拆分成几个密码档,放到几台机器上同时跑,可以大大加快破解速度。
6.设置破解模式。
7.存放拆分文件的目录。
8.拆分文件的文件名.
9.分成几部分。
10.字典破解设置,LC3已经提供了一个字典(推荐),你也可以用自己的字典。
11.字典加后缀破解。可以设定后缀的长度。
12.暴力破解设置。你可以设置暴力破解的字符。
13.当LC3工作时,把程序缩到工具栏。
14.当LC3工作时,隐藏到后台,用Ctrl+Alt+L恢复。
这里是LC3的关键,这些功能是让你可以从不同的地方,导入SAM。
15.抓本机SAM档,干什么用?!这让你看看自己的机器有没有弱密码。
16.从远程机器上抓SAM,这就要用到IPC了,而且要有ADMIN的权限,不过这个功能好象没有PWDUMP3好用,所以建议用PWDUMP3抓远程机器上SAM,导入LC3破解,也就是20的功能。
17.如果你已经搞到SAM了,用这里直接导入。
18.从Sniffer导入,这个功能我还没用过。
19.从.LC导入,也就是从老的L0phtcrack 2.0生成的文件导入。
20.从PWDUMP抓的密码档导入。
任务:尝试设置不同复杂度的用户密码,通过设置LC中不同破解方法进行破解,记录破解时间,加深对密码保护的理解。
