入侵檢測系統(tǒng)實訓教程課件

1、入侵檢測系統(tǒng)實訓教程12入侵檢測系統(tǒng)實訓教程定義入侵檢測系統(tǒng)（Intrusion Detection System, IDS）是一種安全設備，它依照一定的安全策略，通過軟件、硬件，對網(wǎng)絡、系統(tǒng)的運行狀況進行監(jiān)視，盡可能發(fā)現(xiàn)各種攻擊企圖、攻擊行為或者攻擊結(jié)果，以保證網(wǎng)絡系統(tǒng)資源的機密性、完整性和可用性。IDS是防火墻之后的第二道安全閘門。必要性傳統(tǒng)的防火墻在工作時，存在兩方面的不足：一、防火墻完全不能阻止來自內(nèi)部的攻擊；二、由于性能的限制，防火墻通常不能提供主動的、實時的入侵檢測能力。入侵檢測系統(tǒng)可以彌補防火墻的不足，為網(wǎng)絡安全提供實時的入侵檢測及采取相應的防護手段。3入侵檢測系統(tǒng)實訓教程功能任

2、務1. 實時檢測實時監(jiān)視、分析網(wǎng)絡中所有的數(shù)據(jù)報文；發(fā)現(xiàn)并實時處理所捕獲的數(shù)據(jù)報文；2.安全審計對系統(tǒng)記錄的網(wǎng)絡事件進行統(tǒng)計分析；發(fā)現(xiàn)異?，F(xiàn)象；得出系統(tǒng)的安全狀態(tài)，找出所需要的證據(jù)；3.主動響應主動切斷連接或與防火墻聯(lián)動，調(diào)用其他程序處理。4入侵檢測系統(tǒng)實訓教程分類入侵檢測系統(tǒng)基本分為2類： 1. 基于主機的入侵檢測系統(tǒng)（HIDS）：以操作系統(tǒng)日志、應用程序日志等作為數(shù)據(jù)源保護所在的系統(tǒng)，一般只能檢測該主機上發(fā)生的入侵。 2. 基于網(wǎng)絡的入侵檢測系統(tǒng)（NIDS） ：其輸入數(shù)據(jù)來源于網(wǎng)絡的信息流，能夠檢測該網(wǎng)段上發(fā)生的網(wǎng)絡入侵。 5入侵檢測系統(tǒng)實訓教程工作流程 入侵檢測系統(tǒng)為了分析、判斷特定行為

3、或者事件是否為違反安全策略的異常行為或者攻擊行為，需要經(jīng)過四個過程。（1）數(shù)據(jù)采集階段 網(wǎng)絡入侵檢測系統(tǒng)（NIDS）或者主機入侵檢測系統(tǒng)(HIDS) 都需要采集必要的數(shù)據(jù)用于入侵分析。 （2）數(shù)據(jù)過濾及縮略根據(jù)預定義的設置，進行必要的數(shù)據(jù)過濾及縮略，從而提高檢測、分析的效率。 （3）檢測/分析根據(jù)定義的安全策略，進行檢測/分析。 （4）報警及響應 一旦檢測到違反安全策略的行為或者事件，進行報警及響應。6入侵檢測系統(tǒng)實訓教程7入侵檢測系統(tǒng)實訓教程網(wǎng)絡入侵檢測技術模式匹配技術 假定所有入侵行為和手段（及其變種）都能夠表達為一種模式或特征，那么所有已知的入侵方法都可以用匹配的方法發(fā)現(xiàn)。模式匹配的關鍵

4、是如何表達入侵的模式，把真正的入侵與正常行為區(qū)分開來。模式匹配的優(yōu)點是誤報少，局限是只能發(fā)現(xiàn)已知的攻擊，對未知的攻擊無能為力。異常檢測技術異常檢測技術假定所有入侵行為都是與正常行為不同的。如果建立系統(tǒng)正常行為的軌跡，那么理論上可以把所有與正常軌跡不同的系統(tǒng)狀態(tài)視為可疑企圖。對于異常閥值與特征的選擇是異常發(fā)現(xiàn)技術的關鍵。比如，通過流量統(tǒng)計分析將異常時間的異常網(wǎng)絡流量視為可疑。異常檢測技術的局限是并非所有的入侵都表現(xiàn)為異常，而且系統(tǒng)的軌跡難于計算和更新。協(xié)議分析技術協(xié)議分析是目前最先進的檢測技術，通過對數(shù)據(jù)包進行結(jié)構(gòu)化協(xié)議分析來識別入侵企圖和行為。協(xié)議分析是根據(jù)構(gòu)造好的算法實現(xiàn)的，這種技術比模式匹

5、配檢測效率更高，并能對一些未知的攻擊特征進行識別，具有一定的免疫功能。8入侵檢測系統(tǒng)實訓教程案例拓撲圖圖標二層百兆交換機高端路由交換機路由器IDS服務器終端防火墻入侵檢測系統(tǒng)實訓教程單元1 IDS系統(tǒng)部署單元2 查詢工具的安裝與使用單元3 安全響應策略的配置及聯(lián)動單元4 常見攻擊模擬9單元1 IDS系統(tǒng)部署任務1 IDS傳感器安裝配置任務2 IDS軟件支持系統(tǒng)安裝配置任務3 IDS監(jiān)控與管理環(huán)境搭建10111.1 任務目的 1. 理解DC NIDS系統(tǒng)構(gòu)成；2. 掌握DC NIDS傳感器的配置要點。1.2 任務設備及要求設備： DCNIDS-1800 系列設備一臺;要求：使用串口連接硬件設備的

6、命令行界面，掌握IDS傳感器的配置要點。任務1 IDS傳感器安裝配置121.3 任務步驟1.3.1 連接硬件設備，進行拓撲環(huán)境搭建（1）連接好配置線纜與PC機的COM口后，打開傳感器的電源開關，啟動設備。任務1 IDS傳感器安裝配置IDS系統(tǒng)連接拓撲示意集中管理及控制臺PC2控制口檢測口PC113（2） 啟動超級終端，連接Sensor。任務1 IDS傳感器安裝配置14任務1 IDS傳感器安裝配置151.3.2 配置傳感器按鍵盤任意鍵啟動傳感器的登錄界面。輸入出廠默認的傳感器密碼：admin，即可登錄傳感器主菜單。任務1 IDS傳感器安裝配置161配置管理信息和時間任務1 IDS傳感器安裝配置1

7、72配置傳感器網(wǎng)絡參數(shù)任務1 IDS傳感器安裝配置本任務設置為“dcids”181.4 任務思考與練習IDS硬件設備配置中涉及兩類密鑰，一個是管理員密鑰，一個是管理通道密鑰，任務中注意不要修改管理員密鑰，否則會因丟失密鑰導致設備返廠維修。而管理通道密鑰的設置則必須與其未來軟件服務平臺的相應密鑰對應方可正常使用此傳感器。因此須記清楚管理通道密鑰以備后續(xù)配置使用。傳感器管理端口在后續(xù)硬件版本中可能不僅只有兩個端口?？筛鶕?jù)實際情況任選一個端口作為管理端口，其余端口均可同時作為監(jiān)控端口連接到網(wǎng)絡中。任務1 IDS傳感器安裝配置192.1 任務目的1掌握DC NIDS系統(tǒng)軟件的安裝流程。2.2 任務設備

8、及要求1. 安裝IDS分布式管理系統(tǒng)軟件并進行合理配置；2. 啟動各軟件服務任務2 IDS軟件支持系統(tǒng)安裝配置202.3 任務步驟2.3.1安裝數(shù)據(jù)庫 選擇“安裝SQL Server 2000組件”。 選擇“安裝數(shù)據(jù)庫服務器”。任務2 IDS軟件支持系統(tǒng)安裝配置21任務2 IDS軟件支持系統(tǒng)安裝配置22任務2 IDS軟件支持系統(tǒng)安裝配置（11）（12）本任務設置SA密碼為123456（13）（14）（15）232.3.2 安裝LogServer 雙擊光盤中的LogServer安裝文件，即開始LogServer的安裝過程。 讀取壓縮包內(nèi)容后，系統(tǒng)提示開始進行數(shù)據(jù)服務器的安裝。選擇必要的參數(shù)，如文

9、件存放位置，輸入必要的信息，如用戶名和單位即可完成安裝過程。安裝文件復制完成，系統(tǒng)進入數(shù)據(jù)服務初始化配置對話框。任務2 IDS軟件支持系統(tǒng)安裝配置24任務2 IDS軟件支持系統(tǒng)安裝配置服務器地址：0服務器端口：1433數(shù)據(jù)庫名稱：IDS_LogServer訪問帳號名：sa訪問密鑰串：123456D:IDSdataD:IDSLOG252.3.3安裝事件收集器（EC）單擊安裝光盤中的EC安裝文件，系統(tǒng)開始解壓縮包。任務2 IDS軟件支持系統(tǒng)安裝配置26輸入一系列必要信息，進入文件復制過程，出現(xiàn)安裝完成提示框后，單擊完成，即完成了EC的安裝。完成后，系統(tǒng)提示必須進行許可密鑰的安裝，否則系統(tǒng)無法運行。

10、任務2 IDS軟件支持系統(tǒng)安裝配置272.3.4安裝許可密鑰運行“開始程序入侵檢測系統(tǒng)入侵檢測系統(tǒng)（網(wǎng)絡）安裝許可證”安裝程序。單擊瀏覽，選擇系統(tǒng)的License文件。任務2 IDS軟件支持系統(tǒng)安裝配置282.4 任務思考與練習本任務的安裝過程已經(jīng)簡化為一體化安裝，需要注意的是在實際工作中，幾個軟件并非必須安裝到同一臺設備上，可以根據(jù)情況作分布式的部署，未來的控制臺也可以安裝到網(wǎng)絡中的任何地點，需要登陸控制臺界面時，通過網(wǎng)絡與各個相應的服務器組件建立連接。任務2 IDS軟件支持系統(tǒng)安裝配置293.1 任務目的 學會使用IDS主控制臺進行基本操作。3.2 任務設備及要求安裝IDS控制臺并登陸；增

11、加新用戶并配置加載策略；配置交換機以配合數(shù)據(jù)包的監(jiān)測。任務3 IDS監(jiān)控與管理環(huán)境搭建303.3 任務步驟3.3.1 安裝控制臺控制臺安裝過程相對比較簡單，輸入必要的信息（如安裝路徑等），單擊下一步即可完成安裝。任務3 IDS監(jiān)控與管理環(huán)境搭建313.3.2 管理賬號登陸增加新用戶啟動DCNIDS管理控制臺，登錄管理控制臺。任務3 IDS監(jiān)控與管理環(huán)境搭建注意大小寫用戶名：Admin密碼：Admin32系統(tǒng)默認的管理用戶只具備有限的權利。單擊“添加用戶”，可添加一個新用戶并配置其屬性及權限。選擇已存在的用戶可以查看用戶屬性和權限。任務3 IDS監(jiān)控與管理環(huán)境搭建333.3.3 新用戶重新登陸添

12、加組件使用新創(chuàng)建的用戶duwc重新登錄控制臺進行后續(xù)操作。添加“傳感器”。任務3 IDS監(jiān)控與管理環(huán)境搭建34添加“LogServer”組件。任務3 IDS監(jiān)控與管理環(huán)境搭建353.3.4 連接硬件線纜任務3 IDS監(jiān)控與管理環(huán)境搭建集中管理及控制臺PC2控制口檢測口PC1363.3.5 配置交換機相應端口作鏡像目的進入交換機的控制臺，作如下配置：dcs(config)#monitor session 1 source interface ethernet 0/0/1;2dcs(config)#monitor session 1 destination interface ethernet 0

13、/0/24任務3 IDS監(jiān)控與管理環(huán)境搭建373.4 任務思考與練習傳感器共兩個網(wǎng)絡接口，配置有IP地址的網(wǎng)絡接口主要工作是進行管理數(shù)據(jù)的傳輸，它是否也對網(wǎng)絡數(shù)據(jù)進行檢測？熟練進行傳感器的部署，熟悉控制臺默認登錄用戶和口令，理解控制臺用戶權限的設置和管理。任務3 IDS監(jiān)控與管理環(huán)境搭建單元2 查詢工具的安裝與使用任務1 IDS查詢工具及報表工具的安裝任務2 使用報表工具察看模擬攻擊38391.1 任務目的 了解并掌握查詢工具和報表生成工具的安裝使用方法； 1.2 任務設備及要求啟動數(shù)據(jù)庫和IDS的必要服務器，打開控制臺界面和事件查詢工具和報表生成器。任務1 IDS查詢工具及報表工具的安裝40

14、1.3 任務步驟1.3.1 IDS系統(tǒng)啟動啟動數(shù)據(jù)庫和IDS的必要服務器。任務1 IDS查詢工具及報表工具的安裝411.3.2 登錄控制臺任務1 IDS查詢工具及報表工具的安裝421.3.3啟動報表生成器安裝報表及查詢工具。任務1 IDS查詢工具及報表工具的安裝43啟動報表生成器。任務1 IDS查詢工具及報表工具的安裝441.4 任務思考與練習 報表工具的主要作用在哪里？登陸報表生成器的用戶是在哪里創(chuàng)建的，其是否可與IDS系統(tǒng)管理用戶合二為一？任務1 IDS查詢工具及報表工具的安裝452.1 任務目的通過綜合環(huán)境攻擊事件，引發(fā)IDS數(shù)據(jù)處理和報警的過程，通過查詢工具和報表工具進行全方位察看。2

15、.2 任務設備及要求在3中啟動UDP flooding攻擊器，對外網(wǎng)和內(nèi)網(wǎng)的主機進行攻擊，在安全事件察看和報表生成器中分別進行查看。觀察安全事件查詢工具中的顯示，使用報表生成器進行報表生成。任務2 使用報表工具察看模擬攻擊462.3 任務步驟2.3.1啟動攻擊過程在3中啟動UDP flooding攻擊器，對外網(wǎng)和內(nèi)網(wǎng)的主機進行攻擊，同時在外網(wǎng)主機1中也開啟類似的攻擊。任務2 使用報表工具察看模擬攻擊47根據(jù)源IP地址查看任務2 使用報表工具察看模擬攻擊從外網(wǎng)1啟動的對0的攻擊行為 48任務2 使用報表工具察看模擬攻擊安全事件統(tǒng)計圖49任務2 使用報表工具察看模擬攻擊IDS系統(tǒng)同時提供根據(jù)攻擊的

16、目標IP地址、事件、傳感器進行分類統(tǒng)計安全事件列表的功能。根據(jù)傳感器查看 根據(jù)事件查看 根據(jù)目標IP地址查看 50事件詳細說明在安全事件查看器中，我們可以通過雙擊每個事件列表條目，打開詳細的事件說明任務2 使用報表工具察看模擬攻擊中風險smb事件一般信息描述 中風險smb事件詳細信息描述 512.3.3使用報表生成器察看攻擊事件通過與數(shù)據(jù)庫的通訊，可獲得安全事件的報表形式顯示，根據(jù)入侵的數(shù)據(jù)，我們可以看到如下的報表類。任務2 使用報表工具察看模擬攻擊星期N告警類別統(tǒng)計 周告警類別統(tǒng)計 月告警類別統(tǒng)計 季度告警類別統(tǒng)計 52系統(tǒng)同時也提供了風險狀況統(tǒng)計、數(shù)據(jù)統(tǒng)計、交叉統(tǒng)計報表等安全事件報表。任務

17、2 使用報表工具察看模擬攻擊53按照前面的步驟將當前的統(tǒng)計數(shù)據(jù)調(diào)出，單擊”工具欄”上的 “導出報表” 按鈕，彈出“Export Report”對話框，選擇導出文件格式。此處選擇.rtf格式，然后使用word將其打開。任務2 使用報表工具察看模擬攻擊542.3.4使用安全事件查詢工具察看單擊“IDS管理控制臺”的“工具欄”中的“查詢”按鈕，打開登錄界面，輸入正確的信息，登錄進入安全事件查詢工具界面。任務2 使用報表工具察看模擬攻擊55任務2 使用報表工具察看模擬攻擊添加數(shù)據(jù)庫選中“日志服務器”，單擊“添加”按鈕，或右擊”日志服務器”，選擇”添加數(shù)據(jù)庫”，打開“添加日志服務器”窗口，輸入當前日志服

18、務器的IP地址（確保服務正在運行），單擊“確定”按鈕添加一臺日志服務器。56任務2 使用報表工具察看模擬攻擊新建查詢在新增的日志服務器0下新建一個查詢，在彈出的“設置查詢條件”對話框中設置查詢的條件。57任務2 使用報表工具察看模擬攻擊查看2006-9-22日來自3的入侵事件。單擊任何一個條目，可在下方列出此攻擊的詳細信息。利用“導出文本”或“導出Excel”按鈕可以將查詢結(jié)果以不同文件格式導出。582.4 任務思考與練習怎樣察看IDS系統(tǒng)策略對某攻擊行為的具體定義？組合各種事件查詢條件對系統(tǒng)安全事件進行查詢，并進行導出和保存操作。任務2 使用報表工具察看模擬攻擊單元3 安全響應策略的配置及聯(lián)

19、動任務1 IDS聯(lián)動插件安裝與使用任務2 在網(wǎng)絡內(nèi)部模擬攻擊行為，觀察并分析IDS系統(tǒng)和防火墻的響應59601.1 任務目的 1理解IDS系統(tǒng)與防火墻聯(lián)動的優(yōu)越性；2學會配置IDS系統(tǒng)與神州數(shù)碼防火墻進行聯(lián)動。 1.2 任務設備及要求1在安裝EC的主機上安裝IDS與DCFW-1800防火墻聯(lián)動插件。2配置IDS系統(tǒng)與防火墻的聯(lián)動任務1 IDS聯(lián)動插件安裝與使用61聯(lián)動原理防火墻：只能基于策略被動防御攻擊，無法自動調(diào)整策略設置以阻斷攻擊。IDS：只能及時主動發(fā)現(xiàn)攻擊信號，缺乏有效的響應處理機制。安全防護體系：防火墻+IDS任務1 IDS聯(lián)動插件安裝與使用621.3 任務步驟1.3.1正確部署ID

20、S軟硬件后，安裝聯(lián)動插件在安裝EC的主機上安裝IDS與DCFW-1800防火墻聯(lián)動插件。輸入必要的信息，單擊下一步即可完成安裝。任務1 IDS聯(lián)動插件安裝與使用631.3.2配置IDS軟件系統(tǒng)Response.cfg文件用記事本程序打開操作系統(tǒng)的系統(tǒng)目錄下的Response.cfg文件。修改文件中的IP地址為防火墻的IP地址；修改文件中IP地址后面的端口號為防火墻安全管理界面使用的端口號；修改文件中URL列表后面的資源文件夾為：cgi-bin。(注：如果防火墻的版本為3.X，則此處應修改為：dcfw。)任務1 IDS聯(lián)動插件安裝與使用641.3.3配置神州數(shù)碼DCNIDS服務管理器配置事件收集

21、服務；任務1 IDS聯(lián)動插件安裝與使用確認處于選中狀態(tài)配置安全事件響應服務；確保處于選中狀態(tài)651.3.4配置神州數(shù)碼防火墻系統(tǒng)將DCNIDS互動插件所在的主機地址設置為防火墻的管理IP地址。在瀏覽器的地址欄中輸入防火墻的URL，管理員登錄后，在主菜單的系統(tǒng)配置中選擇端口設置，進入防火墻管理用戶配置界面。確保EC主機也是防火墻的管理主機。任務1 IDS聯(lián)動插件安裝與使用661.3.5使用命令測試配置正確與否打開IDS互動插件主機（EC主機）的命令行，在命令行下輸入如下命令：C:response sip=*.*.*.* sport=* dip=*.*.*.* dport=* time=*任務1

22、IDS聯(lián)動插件安裝與使用 防火墻聯(lián)動策略添加 測試聯(lián)動配置 671.3.6配置應用到傳感器中的策略，并重新應用。在控制臺選擇策略，并選中當前應用到傳感器中的策略，單擊編輯鎖定進行修改；選擇需要配置的攻擊名；在右側(cè)配置窗口配置響應，選中向神州數(shù)碼DCFW-1800防火墻發(fā)送響應；在響應方式右側(cè)，配置響應后的發(fā)送參數(shù)，包括源IP地址、源端口、目的IP地址、目的端口和過期時間。任務1 IDS聯(lián)動插件安裝與使用681.4 任務思考與練習IDS聯(lián)動插件的安裝是否受到軟件版本的影響？有哪些類型的防火墻系統(tǒng)可以與本IDS系統(tǒng)進行聯(lián)動？任務1 IDS聯(lián)動插件安裝與使用692.1 任務目的在網(wǎng)絡內(nèi)部模擬攻擊行為

23、，觀察并分析IDS系統(tǒng)和防火墻的響應。2.2 任務設備及要求啟動模擬環(huán)境中的攻擊行為，觀察防火墻是否有動態(tài)阻止行為發(fā)生。任務2 在網(wǎng)絡內(nèi)部模擬攻擊行為，觀察并分析IDS系統(tǒng)和防火墻的響應702.3 任務步驟2.3.1 在內(nèi)網(wǎng)一側(cè)啟動攻擊，察看聯(lián)動結(jié)果在網(wǎng)絡內(nèi)部主機3中啟動udpflood的攻擊。在IDS控制臺發(fā)現(xiàn)此入侵行為，出現(xiàn)相應報告的同時，在防火墻的管理界面發(fā)現(xiàn)添加了阻止攻擊行為的策略條目。任務2 在網(wǎng)絡內(nèi)部模擬攻擊行為，觀察并分析IDS系統(tǒng)和防火墻的響應712.3.2在外網(wǎng)側(cè)發(fā)動攻擊，察看聯(lián)動效果從外網(wǎng)主機1啟動udpflood攻擊時，控制臺發(fā)現(xiàn)此入侵之后在防火墻中發(fā)現(xiàn)自動增加了阻止外網(wǎng)

24、主機的策略條目。任務2 在網(wǎng)絡內(nèi)部模擬攻擊行為，觀察并分析IDS系統(tǒng)和防火墻的響應722.4 任務思考與練習為什么IDS系統(tǒng)互動插件必須要安裝在EC主機上，IDS互動的過程應該是怎樣的？改變UDPflooding的入侵端口號為除7,19之外的任意端口，觀察入侵檢測系統(tǒng)以及其與防火墻的聯(lián)動狀態(tài)，解釋其原因。任務2 在網(wǎng)絡內(nèi)部模擬攻擊行為，觀察并分析IDS系統(tǒng)和防火墻的響應單元4 常見攻擊模擬任務1 安全攻擊特洛伊木馬任務2 安全攻擊任務網(wǎng)絡監(jiān)聽sniffer任務3 安全攻擊任務掃描器+口令探測任務4 安全攻擊任務拒絕服務攻擊73741.1 任務目的 認識特洛伊木馬的攻擊原理并進行防范。1.2 任

25、務設備及要求1netbull 軟件2控制主機一臺3被控制主機一臺4交換機一臺任務1 安全攻擊特洛伊木馬木馬攻擊模擬受攻擊主機木馬監(jiān)控端751.3 任務步驟1.3.1 使用netbull軟件生成服務器端木馬程序netbull.zip解包后會產(chǎn)生以下幾個文件：buildserver.exe （用于把autobind.dat，peepshell.dll，peepserver.exe，keycap.dll捆綁成一個單獨的可執(zhí)行文件newserver.exe）peepshell.dll （自動運行二個可執(zhí)行文件的外殼）autobind.dat （用于在服務器端自動執(zhí)行一系列動作的外殼）keycap.dl

26、l （按鍵捕捉DLL）peepserver.exe （在服務器端真正執(zhí)行的EXE文件）peep.exe （客戶端EXE文件）任務1 安全攻擊特洛伊木馬76任務1 安全攻擊特洛伊木馬運行peep.exe77任務1 安全攻擊特洛伊木馬配置服務器78任務1 安全攻擊特洛伊木馬運行buildserver.exe在當前目錄下自動生成一個newserver.exe文件，然后E-mail給被攻擊者。791.3.2 啟動木馬程序服務器端，從監(jiān)控端對感染木馬的主機進行監(jiān)視服務器端運行newserver.exe文件即開始接受木馬監(jiān)控指令。newserver.exe運行后會自動脫殼成checkdll.exe，并設置

27、成開機自動運行。Netbull通過TCP的23444端口對遠端程序進行控制。任務1 安全攻擊特洛伊木馬801.3.3 在控制臺控制被攻擊主機增加一臺受控主機，并設置受控主機IP地址。單擊連接快捷鍵，監(jiān)控端開始與受控端連接，此時便可對遠端受控主機進行操控了。任務1 安全攻擊特洛伊木馬81控制臺操作系統(tǒng)信息顯示任務1 安全攻擊特洛伊木馬受控主機端彈出的對話框控制臺操作消息控制臺操作進程管理進程號控制臺操作查找控制臺操作服務器在線修改82文件管理任務1 安全攻擊特洛伊木馬83控制屏幕任務1 安全攻擊特洛伊木馬841.3.4 在遠端主機手動殺掉此木馬的駐留程序在任務管理器終止當前的checkdll.e

28、xe進程；刪除系統(tǒng)system32目錄下的checkdll.exe文件；在注冊表中將checkdll.exe從啟動目錄中刪除；恢復被公牛捆綁的文件： notepad.exe、regedit.exe、reged32.exe、drwtsn32.exe、winmine.exe重新啟動計算機任務1 安全攻擊特洛伊木馬851.4 任務思考與練習通過如上的手動查殺NETBULL的操作，是否一定可以將公牛完全查殺干凈！如果沒有成功還應該進一步查殺哪些可能被捆綁的應用程序？如何利用IDS防御NETBULL攻擊。任務1 安全攻擊特洛伊木馬862.1 任務目的1了解sniffer的功能；2了解sniffer監(jiān)聽網(wǎng)

29、絡數(shù)據(jù)的過程和實現(xiàn)原理；3掌握sniffer進行網(wǎng)絡監(jiān)聽特定數(shù)據(jù)的操作。2.2 任務設備及要求設備：1sniffer 軟件2交換機（支持流量鏡象接口）3監(jiān)聽主機4被監(jiān)聽主機（需進行網(wǎng)絡操作，例如上網(wǎng)）任務2 安全攻擊任務網(wǎng)絡監(jiān)聽sniffer87要求：1使用sniffer捕獲局域網(wǎng)特定數(shù)據(jù)幀2使用sniffer分析可能存在的攻擊數(shù)據(jù)3使用sniffer分析捕獲的敏感數(shù)據(jù)，獲取信息4使用sniffer制造特定的數(shù)據(jù)對網(wǎng)絡進行干擾任務2 安全攻擊任務網(wǎng)絡監(jiān)聽sniffer882.3 任務步驟2.3.1 按照拓撲圖搭建網(wǎng)絡環(huán)境，配置交換機的網(wǎng)絡監(jiān)聽接口和主機的網(wǎng)絡地址任務2 安全攻擊任務網(wǎng)絡監(jiān)聽sn

30、iffersniffer使用環(huán)境Sniffer主機上網(wǎng)客戶端鏡像目的鏡像源892.3.2在主機中安裝sniffer，啟動，配置安裝過程中輸入必要的信息，單擊下一步即可完成安裝。任務2 安全攻擊任務網(wǎng)絡監(jiān)聽sniffer90任務2 安全攻擊任務網(wǎng)絡監(jiān)聽sniffer2.3.2在主機中安裝sniffer，啟動，配置啟動sniffer，選擇主機的網(wǎng)卡，單擊“確定”按鈕，進入軟件主界面。 912.3.3使用sniffer捕獲局域網(wǎng)特定數(shù)據(jù)幀定制過濾器任務2 安全攻擊任務網(wǎng)絡監(jiān)聽sniffer92選定過濾器任務2 安全攻擊任務網(wǎng)絡監(jiān)聽sniffer93捕捉過程單擊“Start”按鈕，系統(tǒng)自動開啟“exp

31、ert”信息框。任務2 安全攻擊任務網(wǎng)絡監(jiān)聽sniffer94停止并察看當“Stop and Display”按鈕變?yōu)榭刹僮鲿r，單擊并觀察界面變化。任務2 安全攻擊任務網(wǎng)絡監(jiān)聽sniffer952.3.4使用sniffer監(jiān)聽從外網(wǎng)發(fā)來的洪泛攻擊數(shù)據(jù)定制過濾器建立名為udpflooding的過濾器，用于過濾udpflooding的數(shù)據(jù)報。在Advanced標簽中選擇IP-UDP，選中協(xié)議。選擇定制的過濾器。任務2 安全攻擊任務網(wǎng)絡監(jiān)聽sniffer96選定過濾器查看新制定的過濾器，選定后單擊“確定”按鈕。任務2 安全攻擊任務網(wǎng)絡監(jiān)聽sniffer97開啟sniffer監(jiān)聽啟動外網(wǎng)主機對內(nèi)網(wǎng)主機

32、的洪泛攻擊啟動PC2中的udp洪泛攻擊任務2 安全攻擊任務網(wǎng)絡監(jiān)聽sniffer98查看并分析sniffer的監(jiān)聽結(jié)果任務2 安全攻擊任務網(wǎng)絡監(jiān)聽sniffer992.3.5 使用sniffer監(jiān)聽內(nèi)網(wǎng)主機發(fā)往外網(wǎng)的重要數(shù)據(jù)定制過濾器源主機地址為可以上網(wǎng)的主機地址，調(diào)整任務拓撲的IP地址設置。選擇此過濾器進行過濾。任務2 安全攻擊任務網(wǎng)絡監(jiān)聽sniffer100開啟sniffer的監(jiān)聽功能啟動內(nèi)網(wǎng)主機登錄外網(wǎng)主機網(wǎng)站的過程登錄sina網(wǎng)站，并登錄VIP信箱，進入郵箱界面。此時關閉sniffer的抓包過程，進行查看。查看并分析sniffer的監(jiān)聽結(jié)果停止后選擇display-find frame

33、。任務2 安全攻擊任務網(wǎng)絡監(jiān)聽sniffer101任務2 安全攻擊任務網(wǎng)絡監(jiān)聽sniffer定制查找條件。獲取winnyxieml的sina郵箱登錄密碼。1022.3.6使用sniffer制造特定的數(shù)據(jù)對網(wǎng)絡進行干擾使用數(shù)據(jù)包生成器，生成數(shù)據(jù)包并按照特定的發(fā)送頻率等參數(shù)向網(wǎng)絡中發(fā)送數(shù)據(jù)。任務2 安全攻擊任務網(wǎng)絡監(jiān)聽sniffer103任務2 安全攻擊任務網(wǎng)絡監(jiān)聽sniffer1042.4 任務思考與練習如果希望定制的數(shù)據(jù)包類型為正確的局域網(wǎng)類型，數(shù)據(jù)的哪些字段需要進行怎樣的調(diào)整？使用sniffer捕獲特定的ping數(shù)據(jù)包，使用sniffer防造特定的arp查詢報文，利用被查詢對象的回復使特定主

34、機添加arp緩存條目。任務2 安全攻擊任務網(wǎng)絡監(jiān)聽sniffer1053.1 任務目的 1了解掃描器和口令探測攻擊過程；2了解常用掃描器的使用方式和功能；3掌握使用掃描器掃描網(wǎng)絡安全薄弱點和口令探測的方法。3.2 任務設備及要求設備：1X-Scan及SSS軟件2具備IIS服務的目標服務器3客戶端主機一臺4交換機一臺任務3 安全攻擊任務掃描器+口令探測掃描拓撲具備IIS服務的服務器客戶端主機106要求：1在客戶端主機中安裝掃描器和口令探測工具2客戶端主機中啟動掃描器掃描服務器中的端口弱口令用戶列表3分析探測器探測結(jié)果4改進系統(tǒng)的網(wǎng)絡安全性任務3 安全攻擊任務掃描器+口令探測1073.3 任務步驟

35、3.3.1在客戶端主機中安裝掃描器和口令探測工具運行文件x-scan_gui.exe啟動x-scan的圖形化界面。任務3 安全攻擊任務掃描器+口令探測1083.3.2安裝SSS啟動安裝文件、完成安裝過程。注冊后，運行SSS進入其主界面。任務3 安全攻擊任務掃描器+口令探測1093.3.3 在客戶端主機中配置掃描器參數(shù)配置x-scan對服務器主機進行端口掃描的參數(shù)。任務3 安全攻擊任務掃描器+口令探測1103.3.4在客戶端主機中使用掃描器，分析掃描結(jié)果任務3 安全攻擊任務掃描器+口令探測此主機目前開啟了FTP，SMTP，NNTP和 HTTP服務 不必要的端口 13、17、19處于開放狀態(tài)1113.3.4在客戶端主機中使用掃描器，分析掃描結(jié)果如下圖是利用掃描器探測出的此主機的FTP用戶名口令和密碼以及系統(tǒng)用戶甚至是管理員的口令（空）。任務3 安全攻擊任務掃描器+口令探測112任務3 安全攻擊任務掃描器+口令探測此主機已開啟了http服務，且所有的http服務文件全部使用默認的配置。113任務3 安全攻擊任務掃描器+口令探測SSS掃描器對同一臺機器的掃描屬性配置和結(jié)果 。1143.3.5 改進系統(tǒng)的網(wǎng)絡安