網(wǎng)絡(luò)安全(黑客攻防)攻擊檢測(cè)與響應(yīng)

1、 在入侵行為發(fā)生時(shí)或者發(fā)生之后，需要網(wǎng)絡(luò)管理人員和網(wǎng)絡(luò)安全人員進(jìn)行詳細(xì)的分析、取證工作。日志在分析、取證工作中占有相當(dāng)重要的地位。因?yàn)槿罩疚募涗浟司W(wǎng)絡(luò)中的事件以及黑客攻擊的痕跡，所以黑客如果想要將自己的攻擊痕跡清除，必須要?jiǎng)h除受害系統(tǒng)中的日志文件。 1、日志的定義：日志是記錄所發(fā)生事件（任何有意義事情的發(fā)生叫事件）的清單。多數(shù)操作系統(tǒng)都已經(jīng)有內(nèi)置的記錄事件的能力，只不過(guò)在默認(rèn)情況下沒(méi)有開啟而已。通過(guò)開啟日志記錄的功能，可以查看、分析日志，從而獲得網(wǎng)絡(luò)維護(hù)所需要的信息。根據(jù)服務(wù)器所開啟的不同服務(wù)，日志文件通常有應(yīng)用程序日志，安全日志、系統(tǒng)日志、DNS服務(wù)器日志、FTP日志、WWW日志等不同類型

2、。當(dāng)黑客用流光探測(cè)時(shí)（比如IPC$等探測(cè)），就會(huì)在安全日志里迅速地記下流光探測(cè)時(shí)所用的用戶名、時(shí)間等等；用FTP探測(cè)時(shí)，也會(huì)立刻在FTP日志中記下IP、時(shí)間、探測(cè)所用的用戶名和密碼等等。甚至連流光啟動(dòng)時(shí)需要的msvcp60.dll動(dòng)態(tài)鏈接文件也會(huì)被記錄（如果服務(wù)器沒(méi)有該文件都會(huì)在日志里記錄下來(lái)）。所以很多國(guó)內(nèi)黑客不拿國(guó)內(nèi)主機(jī)探測(cè)，因?yàn)楣芾韱T記下黑客的IP后會(huì)很容易地找到黑客。此外，還有Scheduler日志也很重要，經(jīng)常使用的srv.exe就是通過(guò)這個(gè)服務(wù)來(lái)啟動(dòng)的，它記錄著由Scheduler服務(wù)啟動(dòng)的所有行為（如服務(wù)的啟動(dòng)和停止等）。 2、日志文件默認(rèn)位置：日志分為應(yīng)用程序日志、安全日志、系

3、統(tǒng)日志、DNS日志等。日志文件的默認(rèn)位置是%Systemroot%System32Con%Systemroot%System32Configfig，默認(rèn)文件大小512KB，一般管理員都會(huì)改變這個(gè)默認(rèn)大小。（1）安全日志文件：%Systemroot%System32ConfigSecEvent.evt%Systemroot%System32ConfigSecEvent.evt。（2）系統(tǒng)日志文件：%Systemroot%System32ConfigSysEvent. evt%Systemroot%System32ConfigSysEvent. evt。（3）應(yīng)用程序日志文件：%Systemroo

4、t%System32ConfigAppEvent. evt%Systemroot%System32ConfigAppEvent. evt。（4）在Internet信息服務(wù)環(huán)境中FTPFTP站點(diǎn)站點(diǎn)日志文件的默認(rèn)存儲(chǔ)位置是%Syste%Systemroot%System32LogfilesMsftpsvc1mroot%System32LogfilesMsftpsvc1，默認(rèn)每天產(chǎn)生一個(gè)日志文件。（5）在Internet信息服務(wù)環(huán)境中WWWWWW站點(diǎn)站點(diǎn)日志文件的默認(rèn)存儲(chǔ)位置是%Syste%Systemroot%System32LogfilesW3svc1mroot%System32Logfile

5、sW3svc1，默認(rèn)每天產(chǎn)生一個(gè)日志文件。（6）SchedulerScheduler服務(wù)日志默認(rèn)位置：服務(wù)日志默認(rèn)位置：%Systemroot%Schedlgu.Txt%Systemroot%Schedlgu.Txt。 3、日志在注冊(cè)表里的位置：主要指應(yīng)用程序日志，安全日志，系統(tǒng)日志，DNSDNS服務(wù)器日志等文件的位置。默認(rèn)情況下這些LogLog文件在注冊(cè)表中的位置是在HKEY_LOCAL_MACHHKEY_LOCAL_MACHINESystemCurrentControlSetServicesEventlogINESystemCurrentControlSetServicesEventlog

6、下。有的管理員很可能將這些日志重定位。其中EventLogEventLog下面有很多的子表，里面可查到以上日志的定位目錄。默認(rèn)情況下SchedlulerSchedluler服務(wù)的日志存在于注冊(cè)表中的HKEY_LHKEY_LOCAL_MACHINESOFTWAREMicrosoftSchedulingAgentOCAL_MACHINESOFTWAREMicrosoftSchedulingAgent下。 4、FTP和WWW日志：FTP日志和WWW日志在默認(rèn)情況下，每天生成一個(gè)日志文件，包含了該日的一切記錄，文件名通常為ex(年份)(月份)(日期)。例如ex001023，表示2000年10月23日產(chǎn)

7、生的日志，用記事本就可直接打開它。 （1）FTPFTP日志實(shí)例日志實(shí)例： #Software: Microsoft Internet Information Services 5.0(表示微軟IIS5.0) #Version: 1.0 (表示版本1.0) #Date: 20001023 0315 (表示服務(wù)啟動(dòng)時(shí)間日期) #Fields: time cip csmethod csuristem scstatus 0315 1USER administator 331(表示IP地址為，用戶名為administator的用戶試圖登錄) 0318 127.0.0

8、.1 1PASS 530(表示登錄失敗) 032:04 1USER nt 331(表示IP地址為，用戶名為nt的用戶試圖登錄) 032:06 1PASS 530(表示登錄失敗) 032:09 1USER cyz 331(表示IP地址為用戶名為cyz的用戶試圖登錄) 0322 1PASS 530(表示登錄失敗) 0322 1USER administrator 331(表示IP地址為用戶名為administrator試圖登錄) 0324 127

9、.0.0.1 1PASS 230(表示登錄成功) 0321 1MKD nt 550(表示新建目錄失敗) 0325 1QUIT 550(表示退出FTP程序) 從日志里就能看出IPIP地址為的用戶一直試圖登錄系統(tǒng)，換了四次用戶名和密碼才成功，管理員立即就可以得知黑客的入侵時(shí)間、IP地址以及探測(cè)的用戶名。如：上例入侵者最終是用administrator用戶名進(jìn)入的，那么就要考慮更換此用戶名的密碼，或者重命名administrator用戶。 （2）WWW日志實(shí)例：WWW服務(wù)同F(xiàn)TP服務(wù)一樣，默認(rèn)情況下產(chǎn)生的日志也是存儲(chǔ)在%Sy

10、stemroot%/System32/LogFiles/W3SVC1目錄下。默認(rèn)情況下每天產(chǎn)生一個(gè)日志文件，下面是一個(gè)WWW日志文件。#Software: Microsoft Internet Information Services 5.0 #Version: 1.0 #Date: 20001023 03:091 #Fields: date time cip csusername sip sport csmethod csuristem csuriquery scstatus cs(UserAgent) 20001023 03:091 6 7 80

11、 GET /iisstart.asp 200 Mozilla/4.0+(compatible;+MSIE+5.0;+Windows+98;+DigExt) 20001023 03:094 6 7 80 GET /pagerror.gif 200 Mozilla/4.0+(compatible;+MSIE+5.0;+Windows+98;+DigExt) 通過(guò)分析，可以看出2000年10月23日，IP地址為6的用戶通過(guò)訪問(wèn)IP地址為7機(jī)器的80端口，查看了一個(gè)名為iisstart.asp的頁(yè)面,這位用戶的瀏覽

12、器為compatible;+MSIE+5.0;+Windows+98+DigExt。 （3）取證：有經(jīng)驗(yàn)的管理員就可通過(guò)安全日志、FTP日志和WWW日志來(lái)確定入侵者的IP地址以及入侵時(shí)間。即使黑客刪掉FTP和WWW日志，還是會(huì)在系統(tǒng)日志和安全日志里記錄下來(lái)。但是在系統(tǒng)日志和安全日志中只是記錄了黑客的機(jī)器名，并沒(méi)有黑客的IP地址。 掌握配置計(jì)算機(jī)系統(tǒng)以記錄事件，能夠查看并且分析系統(tǒng)事件。 1、在Windows 2K Server PCWindows 2K Server PC機(jī)上建立審核。在WindowsWindows中默認(rèn)情況下沒(méi)有建立安全審核，需要配置想要記錄的事件。開始程序管理工具本地安全策

13、略本地策略審核策略審核帳號(hào)登錄事件。（1）選中“成功”復(fù)選框。（2）選中“失敗”復(fù)選框并選擇“確定”鈕，關(guān)閉本地安全策略窗口。 2、注銷并重新登錄Win2KWin2K主機(jī)，執(zhí)行將會(huì)產(chǎn)生日志條目的任務(wù)。（1）從Win2KWin2K主機(jī)上注銷。（2）用一個(gè)并不存在的用戶帳號(hào)qjyqjy身份登錄，屏幕出現(xiàn)不能登錄的錯(cuò)誤提示，進(jìn)行（3）步。（3）用一個(gè)存在的用戶帳號(hào)zffzff身份登錄，但登錄時(shí)使用一個(gè)錯(cuò)誤的密碼，屏幕出現(xiàn)不能登錄的錯(cuò)誤提示，進(jìn)行（4）步。（4）現(xiàn)在以一個(gè)正式用戶zffzff、輸入正確密碼的方式登錄進(jìn)去。（5）注銷。（6）以管理員身份重新登錄3、在Windows 2k ServerWi

14、ndows 2k Server上分析日志條目。（1）單擊開始程序管理工具事件查看器選中安全日志，如圖8-1。圖8-1 事件查看器（2）在詳細(xì)信息窗格中，雙擊底部的條目來(lái)打開事件屬性，如圖8-2。圖8-2 失敗事件詳細(xì)信息注意：該日志條目是未能登錄的企圖，它也帶有嘗試登錄的用戶名。（3）關(guān)閉日志條目。（4）雙擊倒數(shù)第二個(gè)失敗的事件。 注意：這次看到的是一個(gè)正確的用戶名，但密碼不對(duì)。（5）關(guān)閉事件。（6）雙擊zffzff 審核成功事件，如圖8-3。圖8-3 成功事件詳細(xì)信息注意：這次以正確的用戶名和密碼登入。這可能表示用戶第一次輸錯(cuò)了密碼而后又記起了正確的密碼，還有可能表示一個(gè)針對(duì)密碼的攻擊是在失

15、敗幾次之后成功的。（7）關(guān)閉事件查看器。 入侵檢測(cè)系統(tǒng)(Intrusion Detection System，簡(jiǎn)稱IDS)，是對(duì)入侵行為進(jìn)行檢測(cè)的軟件與硬件的組合。它通過(guò)收集和分析計(jì)算機(jī)網(wǎng)絡(luò)或計(jì)算機(jī)系統(tǒng)中的信息流，檢查網(wǎng)絡(luò)或主機(jī)系統(tǒng)中是否存在違反安全策略的行為和被攻擊的跡象。入侵檢測(cè)系統(tǒng)位于防火墻之后，可對(duì)網(wǎng)絡(luò)活動(dòng)進(jìn)行實(shí)時(shí)檢測(cè)。它可以記錄和禁止網(wǎng)絡(luò)活動(dòng)，被看作是防火墻的延續(xù)，可以與防火墻系統(tǒng)配合工作。IDS可掃描當(dāng)前網(wǎng)絡(luò)的活動(dòng)，監(jiān)視和記錄網(wǎng)絡(luò)的流量，根據(jù)定義好的規(guī)則來(lái)過(guò)濾主機(jī)網(wǎng)卡上的流量，提供實(shí)時(shí)報(bào)警。在發(fā)現(xiàn)入侵后，IDS會(huì)及時(shí)做出響應(yīng)（如：切斷網(wǎng)絡(luò)連接、記錄到時(shí)間日志中并報(bào)警等）。一個(gè)成功的

16、IDS不但可以使系統(tǒng)管理員實(shí)時(shí)了解網(wǎng)絡(luò)系統(tǒng)的動(dòng)態(tài)變化，還能為安全策略的制定提供參考。 常見(jiàn)的入侵檢測(cè)系統(tǒng)有兩種架構(gòu)類型：NIDS系統(tǒng)和HIDS系統(tǒng)。1、基于網(wǎng)絡(luò)的IDS系統(tǒng)（NIDS）：這種架構(gòu)要求監(jiān)控網(wǎng)絡(luò)的計(jì)算機(jī)的網(wǎng)卡被設(shè)置為“混雜模式”。這樣，該機(jī)就可以偵聽到整個(gè)網(wǎng)絡(luò)中所有的數(shù)據(jù)（代表產(chǎn)品有：Snort和SessionWall等）。NIDS系統(tǒng)會(huì)掃描并實(shí)時(shí)監(jiān)控整個(gè)子網(wǎng)內(nèi)所有的通信。NIDS系統(tǒng)對(duì)黑客掃描和DOS攻擊很有效，但是在交換的網(wǎng)絡(luò)和ATM網(wǎng)絡(luò)中效果不理想。NIDS系統(tǒng)對(duì)非法登錄、木馬攻擊、帳號(hào)密碼的篡改、日志文件的篡改等攻擊行為效果也不理想。使用NIDS時(shí)應(yīng)該注意以下幾點(diǎn)：（1）N

17、IDS系統(tǒng)應(yīng)該和其他監(jiān)控的網(wǎng)絡(luò)使用集線器連接在一起，這樣才能捕獲到網(wǎng)絡(luò)中所有的數(shù)據(jù)包。（2）如果網(wǎng)絡(luò)設(shè)備使用的是交換機(jī)，可以通過(guò)兩種方法實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)的監(jiān)控：可以通過(guò)交換機(jī)配置把所有其他端口上的數(shù)據(jù)包復(fù)制并轉(zhuǎn)發(fā)一份到“鏡像”端口,并讓該端口與NIDS相連。否則，NIDS只能夠捕獲到該主機(jī)所連接的交換機(jī)端口上的所有數(shù)據(jù)包。把交換機(jī)的“鏡像”端口級(jí)聯(lián)到集線器上，再把NIDS接到集線器上。 2、基于主機(jī)的IDS系統(tǒng)（HIDS）：因?yàn)楸O(jiān)控的只是某臺(tái)主機(jī)的情況，所以在交換機(jī)的環(huán)境下使用沒(méi)有問(wèn)題，可以跨越路由器監(jiān)控其他子網(wǎng)中的資源。HIDS的代表產(chǎn)品有Symantec Intruder Alert，Black

18、ice等。Blackice是免費(fèi)且功能強(qiáng)大的HIDS產(chǎn)品。它能將一些現(xiàn)象文件以其它的協(xié)議分析器能夠讀取的格式寫到硬盤上。所以，在一個(gè)安全的環(huán)境下，它比一般的嗅探程序更加有用。它是非混雜模式的，僅僅監(jiān)聽進(jìn)出某臺(tái)主機(jī)的數(shù)據(jù)包。對(duì)于用戶來(lái)說(shuō)它并不是要取代防火墻，而是阻止企圖穿過(guò)防火墻的入侵者。它有非常強(qiáng)大的檢測(cè)和分析引擎，可以識(shí)別200多種入侵，還能實(shí)時(shí)監(jiān)測(cè)網(wǎng)絡(luò)端口和協(xié)議、攔截所有可疑的網(wǎng)絡(luò)入侵。而且它還可以查出那些試圖入侵的黑客的NetBIOS(WINS)名、DNS名或黑客所使用的IP地址。該軟件的靈敏度和準(zhǔn)確率非常高，穩(wěn)定性也相當(dāng)出色，系統(tǒng)資源占用率極少，是個(gè)輕量級(jí)的HIDS。 了解并掌握Bla

19、ckiceBlackice入侵檢測(cè)系統(tǒng)的配置，掌握入侵行為發(fā)生時(shí)IDSIDS的響應(yīng)情況。 2臺(tái)以上的WindowsWindows主機(jī)。1、安裝并配置。（1）在A A機(jī)上安裝基于主機(jī)的入侵檢測(cè)系統(tǒng)BlackiceBlackice。安裝成功后，在開始開始菜單欄的右下角出現(xiàn)了藍(lán)眼睛圖標(biāo)，如圖84。圖84 Blackice的圖標(biāo)（2）雙擊該圖標(biāo)，彈出BlackiceBlackice設(shè)置的對(duì)話框，在“EventsEvents”標(biāo)簽卡中進(jìn)行原始事件的查看，如圖85。圖85 查看原始事件（3）點(diǎn)擊“ToolsTools”菜單欄Edit Blackice SettingsEdit Blackice Setti

20、ngs，如圖86。圖86 編輯Blackice的配置（4）在“FirewallFirewall”標(biāo)簽卡標(biāo)簽卡中進(jìn)行如圖87的設(shè)置。圖87 “Firewall”標(biāo)簽卡的設(shè)置（5）在“Packet LogPacket Log”標(biāo)簽卡標(biāo)簽卡中按照如圖88進(jìn)行設(shè)置。圖88 “Packet Log”標(biāo)簽卡的設(shè)置（6）在“Evidence LogEvidence Log”標(biāo)簽卡標(biāo)簽卡中按圖89進(jìn)行設(shè)置。圖89 “Evidence Log”標(biāo)簽卡的設(shè)置（7）在“Communications ControlCommunications Control”標(biāo)簽卡標(biāo)簽卡中按圖810進(jìn)行設(shè)置。需要等待一會(huì)兒，Blac

21、kiceBlackice根據(jù)現(xiàn)在主機(jī)系統(tǒng)運(yùn)行狀態(tài)設(shè)置基線。圖810 “Communications Control”標(biāo)簽卡的設(shè)置（8）在“Application ControlApplication Control”標(biāo)簽卡標(biāo)簽卡中選擇EnableEnable前的復(fù)選框，如圖811。需要等待一會(huì)兒，該IDSIDS為系統(tǒng)的應(yīng)用程序設(shè)置基線。圖811 “Application Control”標(biāo)簽卡的設(shè)置（9）點(diǎn)擊“確定確定”鈕之后，“IntruderIntruder”標(biāo)簽卡標(biāo)簽卡中無(wú)黃色警告的主機(jī)了，如圖812。圖812 設(shè)置完成后“Intruder”標(biāo)簽卡的狀態(tài)2、開始入侵。（1）另一臺(tái)主機(jī)B

22、B利用自己的計(jì)算機(jī)管理與A A主機(jī)進(jìn)行連接，BlackiceBlackice的圖標(biāo)會(huì)變成黃色（Windows 2000 ServerWindows 2000 Server主機(jī)會(huì)變成紅色）并閃爍。此時(shí)打開BlackiceBlackice，可以發(fā)現(xiàn)入侵者，如圖813。圖813 黑客機(jī)B開始入侵時(shí)“Intruder”標(biāo)簽卡的狀態(tài)（2）主機(jī)主機(jī)C C利用計(jì)算機(jī)管理與A A機(jī)機(jī)進(jìn)行連接，也會(huì)出現(xiàn)同樣的效果，如圖814?？梢圆榭闯鲋鳈C(jī)主機(jī)B B與主機(jī)主機(jī)C C的一些基本情況，如圖815。圖814 黑客機(jī)C開始入侵時(shí)“Intruder”標(biāo)簽卡的狀態(tài)圖815 查看黑客主機(jī)的基本情況（3）點(diǎn)擊“EventEve

23、nt”標(biāo)簽卡標(biāo)簽卡，可以發(fā)現(xiàn)增加了一些入侵事件，如圖816。圖816 查看增加的入侵事件（4）切換到“HistoryHistory”標(biāo)簽卡標(biāo)簽卡，可以查看歷史的事件及網(wǎng)絡(luò)流量。（5）可以嘗試在對(duì)A A機(jī)進(jìn)行DOSDOS或者DDOSDDOS攻擊攻擊時(shí)（可以在遠(yuǎn)程主機(jī)運(yùn)行），BlackiceBlackice的狀態(tài)，以及攻擊成功與否。 盡管建立日志和入侵檢測(cè)系統(tǒng)對(duì)于在網(wǎng)絡(luò)上檢測(cè)攻擊很有價(jià)值，但也有一些它們不去收集的有價(jià)值信息。例如，如果檢測(cè)到某主機(jī)對(duì)80端口的掃描，就可能知道攻擊者正打算在80端口上做什么。但是，如果80端口沒(méi)有打開，就永遠(yuǎn)找不出攻擊者想要做什么。蜜罐就是為了解決這個(gè)問(wèn)題而引入的。蜜

24、罐是個(gè)像真正的計(jì)算機(jī)那樣運(yùn)行并響應(yīng)的設(shè)備，同時(shí)會(huì)記錄活動(dòng)。該設(shè)備用于兩個(gè)目的：（1）攻擊者發(fā)現(xiàn)了帶有“開放端口”的主機(jī)將會(huì)更有可能去攻擊那個(gè)系統(tǒng)（因?yàn)榇蠖鄶?shù)攻擊者遵循最易滲透的原則，攻擊最脆弱的部分）。這樣，通過(guò)吸引攻擊者遠(yuǎn)離其他網(wǎng)絡(luò)設(shè)備的方法，蜜罐增加了網(wǎng)絡(luò)的安全性。（2）去收集有關(guān)蓄意攻擊的更詳細(xì)的信息。 了解并掌握蜜罐技術(shù)的原理，學(xué)會(huì)安裝并配置蜜罐，掌握使用蜜罐來(lái)檢測(cè)、分析攻擊，并且為攻擊創(chuàng)建自定義警報(bào)。 2臺(tái)WindowsWindows主機(jī)，一臺(tái)Windows XPWindows XP，另一臺(tái)為Windows 2000 ServerWindows 2000 Server（Windows

25、 2003 Server也可）。 1、在Windows 2k ServerWindows 2k Server主機(jī)上停止主機(jī)上停止IISIIS服務(wù)服務(wù)：?jiǎn)螕簟伴_始”程序管理工具服務(wù)雙擊IIS服務(wù)，停止或禁用IIS服務(wù)（停止這些真正的服務(wù)以便能夠利用（停止這些真正的服務(wù)以便能夠利用蜜罐偽造服務(wù)）。蜜罐偽造服務(wù)）。2、安裝并配置蜜罐安裝并配置蜜罐：（1）在Windows 2k ServerWindows 2k Server上運(yùn)行KfsensorKfsensor，按照默認(rèn)的設(shè)置步驟進(jìn)行安裝按照默認(rèn)的設(shè)置步驟進(jìn)行安裝。重新啟動(dòng)后將會(huì)自動(dòng)開始KfsensorKfsensor蜜罐安裝。（2）重新啟動(dòng)主機(jī)后，

26、標(biāo)注著“Set up Wizard”Set up Wizard”的界面將打開，單擊NextNext在“Domain”Domain”界界面面的“Domain Name”Domain Name”框框中，輸入“”并單擊NextNext。（3）在“Email Alerts”Email Alerts”界面，單擊NextNext（本實(shí)驗(yàn)將不使用不使用e-maile-mail警報(bào)警報(bào)）。（4）出現(xiàn)“Components”Components”界面界面（該界面列舉蜜罐將會(huì)模擬的服務(wù)），單擊NextNext來(lái)接受默認(rèn)設(shè)置的值。（5）在“System Service”System Service”界面界面中，選中

27、選中“Install as a System Service”Install as a System Service”框框并單擊NextNext。這樣，不管任何人登錄，蜜罐都將在后臺(tái)運(yùn)行。（6）在“Finish”Finish”界面中，單擊FinishFinish。安裝向?qū)?huì)關(guān)閉，并且將會(huì)看到KfsensorKfsensor用戶界面，如圖817。圖817 Kfsensor主界面（7）在KfsensorKfsensor菜單條上，單擊ScenarioScenarioEdit ScenarioEdit Scenario，如圖818，選中Main ScenarioMain Scenario并單擊單擊E

28、ditEdit，如圖819。 ScenarioScenario（劇本）是模擬服務(wù)器表現(xiàn)方式的清單，依賴于連接企圖的類型。該界面列舉了蜜罐正在監(jiān)聽的端口。正在監(jiān)聽的每一個(gè)端口都有一個(gè)名字，它通常指示連接的類型，也將會(huì)列出協(xié)議、端口以及如果檢測(cè)到連接時(shí)將會(huì)采取的行動(dòng)。圖818 編輯Scenario圖819 設(shè)置Main Scenario（8）選中選中“IIS”IIS”并單擊單擊EditEdit：此界面允許修改行為，并說(shuō)明了模擬服務(wù)器將會(huì)模仿IISIIS服務(wù)器的程度，如圖820。圖820 修改Main Scenario的設(shè)置（9）單擊“OK”O(jiān)K”，關(guān)閉“Edit Listen”Edit Liste

29、n”界面，增加一條規(guī)則增加一條規(guī)則來(lái)檢測(cè)netbus木馬。（10）在在“Edit Scenario”Edit Scenario”界面界面中，點(diǎn)擊點(diǎn)擊“Add”Add”。在彈出的“Add Add ListenListen”界面中：“Name”Name”框框中，輸入netbusnetbus。對(duì)于“Protocol”Protocol”，選中TCPTCP?！癙ort”Port”框中，輸入2003420034（如果此端口已經(jīng)有規(guī)則進(jìn)行監(jiān)視，可（如果此端口已經(jīng)有規(guī)則進(jìn)行監(jiān)視，可以換為其它端口）。以換為其它端口）。在“Bind Address”Bind Address”框框中，選選中AllAll。在“Act

30、ion”Action”部分中，選選中Read And CloseRead And Close。在“Severity”Severity”框中，選選中HighHigh，如圖821。圖821 增加檢測(cè)netbus入侵的規(guī)則單擊“Ok”O(jiān)k”，關(guān)閉“Add Listen”Add Listen”界面。單擊“Ok”O(jiān)k”，關(guān)閉“Edit Scenario”Edit Scenario”界面。單擊“Ok”O(jiān)k”，關(guān)閉“Edit Scenarios”Edit Scenarios”界面。3、在Windows XP計(jì)算機(jī)上發(fā)送攻擊。（1）進(jìn)入DOS窗口。（2）運(yùn)行nmap：鍵入nmap o -sS 192.168.

31、100.102并按ENTER鍵（02為Windows 2k Server的IP）?？吹皆S多端口是打開的，尤其注意端口80是打開的。（3）鍵入telnet 02 80并按ENTER鍵。（4）鍵入get并按ENTER鍵兩次，獲得了服務(wù)器的類型標(biāo)識(shí)為IIS。（5）攻擊者進(jìn)行攻擊：運(yùn)行Internet Explorer，在地址欄中鍵入http：/02/scripts/.%255c./winnt/system32/cmd.exe?/cdir+winnt的命令，并按ENTER鍵。這樣將會(huì)得到一條錯(cuò)誤消息“The page can

32、not be found”。這是因?yàn)橥Ｖ沽苏嬲腤eb服務(wù)器。如果蜜罐能夠捕獲到此攻擊，則繼續(xù)之后的步驟。既然目錄遍歷攻擊不起作用，攻擊者就會(huì)立刻查看02上是否運(yùn)行了netbus服務(wù)器端的程序。運(yùn)行netbus：鍵入02，并單擊“Connect”鈕，連接并不成功。4、檢查日志。在Windows 2k Server上，攻擊已經(jīng)產(chǎn)生了幾百個(gè)條目，這些中的大部分都源于Nmap掃描。（1）在樹型窗格中，單擊80 IIS。（2）雙擊自頂部的第三個(gè)條目，這是Nmap掃描的一部分。注意：在Received部分中的底部沒(méi)有請(qǐng)求（那是因?yàn)樗鼉H是一個(gè)掃描，沒(méi)有發(fā)

33、送請(qǐng)求），這就暗示它是一個(gè)掃描。（3）關(guān)閉EventDetails窗口。（4）雙擊自頂部的第二個(gè)條目，這是旗語(yǔ)（旗語(yǔ)有助于哄騙攻擊者相信在目標(biāo)處有一臺(tái)真正的服務(wù)器）請(qǐng)求。注意：“get”請(qǐng)求被捕獲，并留意所給出的響應(yīng)。（5）關(guān)閉Event Details。（6）雙擊頂端的條目，這是目錄遍歷攻擊。注意：在接收框中所發(fā)送的完整命令（這是個(gè)明顯的攻擊）。（7）關(guān)閉Event Details。（8）在樹型窗格中，滾動(dòng)到20034 netbus項(xiàng)并選中它。注意：盡管沒(méi)有這個(gè)特定攻擊的條目，但在定義之后仍然能夠捕獲這個(gè)企圖 完成本實(shí)驗(yàn)后可以學(xué)到：怎樣安裝和配置蜜罐、怎樣創(chuàng)建自定義警報(bào)、怎樣查看并分析日志。

34、 備份數(shù)據(jù)是能夠?qū)嵤┑淖钪匾陌踩胧┲?。即使熟練地配置了防火墻，更新了病毒特征?kù)、入侵檢測(cè)系統(tǒng)正在運(yùn)行，災(zāi)難也可能會(huì)發(fā)生。如果數(shù)據(jù)被銷毀或者被破壞，找回?cái)?shù)據(jù)的唯一希望來(lái)自于恰當(dāng)?shù)嘏渲昧藗浞荨＠肳indowsWindows自帶的功能可以實(shí)現(xiàn)正常備份、差異備份、增量備份。正常備份將會(huì)復(fù)制所有指定文件，備份占用時(shí)間長(zhǎng)，恢復(fù)時(shí)間最快。差異備份會(huì)復(fù)制所有自最后一次完整備份以來(lái)更改過(guò)的所有文件，備份時(shí)間短，恢復(fù)時(shí)間長(zhǎng)。增量備份是備份自最后一次備份以來(lái)的所有數(shù)據(jù)（不管是完整備份，還是差異備份或者增量備份），備份時(shí)間較差異備份更短，恢復(fù)數(shù)據(jù)時(shí)間更長(zhǎng)?；謴?fù)文件同樣很重要。如果恢復(fù)時(shí)進(jìn)行了不正確的配置，會(huì)產(chǎn)

35、生災(zāi)難發(fā)生時(shí)一些關(guān)鍵數(shù)據(jù)尚未保存的可怕后果。處于恢復(fù)狀態(tài)時(shí)要對(duì)介質(zhì)進(jìn)行寫保護(hù)操作，不應(yīng)該在此狀態(tài)時(shí)隨便刪除數(shù)據(jù)。 學(xué)會(huì)利用WindowsWindows自帶的工具對(duì)某個(gè)資源內(nèi)容進(jìn)行備份，掌握配置計(jì)算機(jī)來(lái)備份指定的數(shù)據(jù)，掌握數(shù)據(jù)丟失后恢復(fù)數(shù)據(jù)的方法。 1臺(tái)XPXP主機(jī)，1臺(tái)Win2k ServerWin2k Server主機(jī)。1、在Win2k ServerWin2k Server主機(jī)上登錄，創(chuàng)建網(wǎng)絡(luò)共享并映射網(wǎng)絡(luò)驅(qū)動(dòng)器。（1）在C C盤盤上創(chuàng)建一個(gè)名為datadata的文件夾，右擊屬性：在“共享”標(biāo)簽卡中設(shè)置共享。在“安全”標(biāo)簽卡中清除默認(rèn)的“允許繼承權(quán)限”的復(fù)選框，在彈出的“安全”窗口中點(diǎn)擊“移

36、除”，并且讓管理員對(duì)此文件夾的權(quán)限設(shè)置為“完全控制”。（2）在XPXP主機(jī)上：開始運(yùn)行0202并按回車鍵（其中，0202為Win2kWin2k 主機(jī)IPIP），在屏幕提示的連接到Win2kWin2k主機(jī)的對(duì)話框中輸入Win2kWin2k主機(jī)上的用戶名、口令。右擊datadata網(wǎng)絡(luò)共享并選中“映射網(wǎng)絡(luò)驅(qū)動(dòng)器”，選中H H作為驅(qū)動(dòng)器的盤符并關(guān)閉各個(gè)窗口。2、XP主機(jī)上創(chuàng)建新文件：在XP主機(jī)的“我的文檔”中新建一個(gè)名為userdocuments的文件夾，在此文件夾中用寫字板（Wordpad.exe程序）創(chuàng)建3個(gè)

37、文件。（1）在文件1（名為f1）中輸入如下的內(nèi)容（如果是空文件，將不被備份）：你好，機(jī)器貓！我是阿童木?。ㄈ毡荆?）在文件2（名為f2）中輸入如下的內(nèi)容：你好，藍(lán)精靈!我是丁?。。W洲）（3）在文件3（名為f3）中輸入如下的內(nèi)容：Hello，唐老鴨！我是米老鼠?。绹?guó)）3、配置并運(yùn)行完整備份。（1）開始運(yùn)行ntbackup，在“備份和恢復(fù)”向?qū)?duì)話框中，點(diǎn)擊“高級(jí)模式”單擊“備份”標(biāo)簽卡，“備份”標(biāo)簽卡所在的界面底部是選擇備份的目的地，如圖8-22。圖8-22 備份向?qū)Ы缑妫?）創(chuàng)建兩個(gè)備份腳本：一個(gè)是userdocuments文件夾的完整備份，另一個(gè)是差異備份。展開“我的文檔”并選中use

38、rdocuments復(fù)選框。在“備份介質(zhì)或文件名”文本框中，鍵入f:full-backup.bkf。點(diǎn)擊“工具”菜單選項(xiàng)：看到默認(rèn)備份類型是正常型（完全備份），即所有文件都將被保存，點(diǎn)擊“確定”。單擊“工作”“保存選擇”，在“文件名”框中，鍵入full-mydocs-backup，選中左邊的“我的文檔”文件夾，并單擊“保存”（這是執(zhí)行保存文件并完成所選擇類型的備份任務(wù)的腳本文件）。單擊“開始備份”。此后備份程序?qū)⒃试S在追加或替換已存在的數(shù)據(jù)之間選擇。追加數(shù)據(jù)不會(huì)覆蓋原數(shù)據(jù)，只是將它添加到最后一次備份的尾部。這將耗用更多的空間，但保留了備份的更多副本，替換數(shù)據(jù)將會(huì)節(jié)省空間但僅保留了最后一次備份的

39、數(shù)據(jù)。單擊“開始備份”，完成時(shí)單擊“關(guān)閉”并最小化“備份工具”窗口。4、在userdocuments文件夾中，刪除f2，雙擊f1，并將f1的內(nèi)容修改為：你好，日本的機(jī)器貓！我是美國(guó)的兔巴哥！5、配置并運(yùn)行差異備份。還原“備份工具”窗口，單擊“工作”“新建”選中userdocuments復(fù)選框，在“備份介質(zhì)或文件名”文本框中，鍵入f:Diff-Backup.bkf單擊“工作”在“保存選項(xiàng)為”的文件名框中，鍵入diff-mydocs-backup并點(diǎn)擊“保存”點(diǎn)擊“開始備份”點(diǎn)擊“高級(jí)”標(biāo)簽卡選擇差異備份為備份類型，如圖823。點(diǎn)擊“確定”鈕確?！白芳印北贿x中，單擊“開始備份”鈕，完成時(shí)關(guān)閉并最小

40、化“備份工具”。圖823 選擇備份類型6、刪除所有文件：進(jìn)入userdocuments文件夾，物理刪除該文件夾中的所有文件。7、恢復(fù)完整備份并檢查文件。（1）在“備份工具”窗口上，單擊“恢復(fù)并管理介質(zhì)”標(biāo)簽卡，在左邊展開文件，將會(huì)看到完整備份、差異備份的兩個(gè)備份會(huì)話。（2）雙擊左邊列出的完整備份，選中右邊的C驅(qū)動(dòng)器復(fù)選框。（3）確保在“恢復(fù)文件至”框中選中“原始位置”。（4）單擊“開始恢復(fù)”鈕，點(diǎn)“確定”。（5）在“確定驗(yàn)證名字/位置”對(duì)話框上，點(diǎn)“確定”。（6）在“檢查備份文件位置”界面中，確保文本框是F:Full-backup.bkf，并單擊“確定”?；謴?fù)過(guò)程將會(huì)啟動(dòng)，恢復(fù)完成時(shí)單擊“確定”并最小化“備份工具”，返回至userdocuments文件夾中，包括刪除的文件。（7）雙擊f1。注意：此時(shí)打開的f1仍然是未修改前的。8、恢復(fù)差異備份并檢查文件。（1）還原“備份工具”窗口。（2）在“恢復(fù)和管理介質(zhì)”標(biāo)簽卡中，在左邊選中“差異備份”并選中右邊的復(fù)選框。（3）點(diǎn)擊“開始恢復(fù)”鈕。（4）在“確認(rèn)恢復(fù)”界面，單擊“確定”鈕，恢復(fù)過(guò)程將啟動(dòng)?；謴?fù)完成時(shí)單擊“關(guān)閉”鈕，最小化“備份工具”。返回到userdocuments的文件夾中，包括原先被刪除的文件。（5）雙擊f1，在做完差異恢復(fù)之后f1還是原先的f1。9、再次