實(shí)驗(yàn)報(bào)告信息安全

實(shí)驗(yàn)報(bào)告信息安全實(shí)驗(yàn)報(bào)告信息安全全文共8頁，當(dāng)前為第1頁。實(shí)驗(yàn)報(bào)告信息安全全文共8頁，當(dāng)前為第1頁。課程實(shí)驗(yàn)報(bào)告課程信息安全班級1204071實(shí)驗(yàn)日期2015.6.1名稱姓學(xué)號120407122實(shí)驗(yàn)成績名實(shí)驗(yàn)網(wǎng)絡(luò)攻防技術(shù)名稱1、通過密碼破解工具 L0phtCrack5(簡稱LC5)的使用，了解賬號口令的安全實(shí) 性，掌握安全口令的設(shè)置原則，保護(hù)賬號口令的安全性。驗(yàn)2、通過對木馬的練習(xí)，理解和掌握木馬傳播和運(yùn)行的機(jī)制；掌握檢查木馬目和刪除木馬的技巧，學(xué)會防御木馬的相關(guān)知識，加深對木馬的安全防范的意識。及 3、通過DoS和DDoS攻擊工具對目標(biāo)主機(jī)進(jìn)行攻擊；理解 DoS和DDoS要 的攻擊原理及實(shí)施過程；掌握檢測和防范 DoS和DDoS攻擊的方法。求實(shí)驗(yàn) 局域網(wǎng)內(nèi)一臺計(jì)算機(jī)安裝 L0phtCrack5軟件環(huán) 局域網(wǎng)環(huán)境，使用冰河、灰鴿子或其它木馬作為練習(xí)工具境 局域網(wǎng)環(huán)境，使用 Land15、DDoSer或其它軟件作為練習(xí)工具。實(shí)驗(yàn)報(bào)告信息安全全文共8頁，當(dāng)前為第2頁。實(shí)驗(yàn)報(bào)告信息安全全文共8頁，當(dāng)前為第2頁。實(shí)驗(yàn)3-1任務(wù)一：使用L0phtCrack5破解密碼。在Windows操作系統(tǒng)中，用戶帳號的安全管理使用了安全帳號管理器SAM（SecurityAccountManager）的機(jī)制，用戶和口令經(jīng)過加密 Hash變換后一Hash列表形式存放在SAM文件中。L0phtCrack通過破解這個SAM文實(shí)件來獲取用戶名和密碼。它的工作方式是通過嘗試每個可能的字母數(shù)字組合驗(yàn)試圖破解密碼。內(nèi)容及實(shí)驗(yàn)步驟單擊文件菜單中的“LC5”向?qū)?，設(shè)定破解任務(wù)。每人對本地機(jī)器進(jìn)行密碼破解。步驟：（1）在主機(jī)內(nèi)建立若干用戶名，將其密碼分別設(shè)置為空密碼、純數(shù)字組合密碼、特定單詞字母密碼、任意字母組合密碼、字母數(shù)字混合密碼以及特殊實(shí)驗(yàn)報(bào)告信息安全全文共8頁，當(dāng)前為第3頁。實(shí)驗(yàn)報(bào)告信息安全全文共8頁，當(dāng)前為第3頁。符號字母數(shù)字混合密碼。（2）通過L0phtCrack5文件菜單中的LCS向?qū)?，設(shè)定從本地機(jī)器導(dǎo)入加密口令，分別對本地機(jī)器進(jìn)行“快速口令破解”和“普通口令破解”，觀察破解結(jié)果（要等一段時間直到破解完全結(jié)束）。注意：若采用“復(fù)雜口令破解”方式，則需要2~3小時的時間破解。快速破解任務(wù)二：掌握安全的密碼設(shè)置策略。用戶密碼應(yīng)包含英文字母的大小寫、數(shù)字、可打印字符，甚至是非打印字符。建議將這些符號排列組合使用，以期達(dá)到最好的保密效果。用戶密碼不要太規(guī)則，不要使用用戶姓名、生日、電話號碼以及常用單詞作為密碼。根據(jù)Windows系統(tǒng)密碼的散列算法原理，密碼長度設(shè)置應(yīng)超過7位，最好為14位。密碼不得以明文方式存放在系統(tǒng)中，確保密碼以加密的形式寫在硬盤上并包含密碼的文件是只讀的。密碼應(yīng)定期修改，應(yīng)避免重復(fù)使用舊密碼，應(yīng)采用多套密碼的命名規(guī)則。建立賬號鎖定機(jī)制。一旦同一賬號密碼校驗(yàn)錯誤若干次，即斷開連接并鎖定該賬號，經(jīng)過一段時間才解鎖。在WindowsServer2003系統(tǒng)中，如果在"密碼策略"中啟用了"密碼必須符合復(fù)雜性要求"設(shè)置的話，則對用戶的密碼設(shè)置有如下要求：不包含全部或部分的用戶賬戶名。長度至少為7個字符。實(shí)驗(yàn)報(bào)告信息安全全文共8頁，當(dāng)前為第4頁。實(shí)驗(yàn)報(bào)告信息安全全文共8頁，當(dāng)前為第4頁。包含以下4種類型字符中的 3種字符。英文大寫字母（從 A到Z）英文小寫字母（從 a到z）10個基本數(shù)字（從0到9）非字母字符（如!、$、#、%）而一般意義上的強(qiáng)密碼則具有以下特征：長度至少有7個字符。不包含用戶的生日、電話、用戶名、真實(shí)姓名或公司名等。不包含完整的字典詞匯。包含全部4種類型的字符。除此之外，管理員賬戶的密碼應(yīng)當(dāng)定期修改，尤其是當(dāng)發(fā)現(xiàn)有不良攻擊時，更應(yīng)及時修改復(fù)雜密碼，以免被破解。為避免密碼因過于復(fù)雜而忘記，可用筆記錄下來，并保存在安全的地方，或隨身攜帶避免丟失。實(shí)驗(yàn)3-2任務(wù)一 運(yùn)行木馬文件，生成木馬的服務(wù)器端，并將其安裝在遠(yuǎn)程主機(jī)。1、使用“冰河”對遠(yuǎn)程計(jì)算機(jī)進(jìn)行控制“冰河”一般由兩個文件組成：G_Client和G_Server。其中G_Server是木馬的服務(wù)器端，即用來植入目標(biāo)主機(jī)的程序，G_Client是木馬的客戶端，就是木馬的控制端。打開控制端G_Client,彈出“冰河”的主界面，熟悉快捷工具欄。2、在一臺目標(biāo)主機(jī)上植入木馬并在此主機(jī)上運(yùn)行G_Sere\ver，作為服務(wù)器端；在另一臺主機(jī)上運(yùn)行G_Client.作為控制端。打開控制端程序，單擊“添加主機(jī)”按鈕。彈出如圖所示的對話框：“顯示名稱”：填入顯示在主界面的名稱?！爸鳈C(jī)地址”：填入服務(wù)器端主機(jī)的IP地址?！霸L問口令”：填入每次訪問主機(jī)的密碼，“空”即可。“監(jiān)聽端口”：“冰河”默認(rèn)監(jiān)聽端口是7626，控制端可以修改它以繞過防火墻。單擊“確定”可以看到主機(jī)面上添加了test的主機(jī)，如圖，就表明連接成功。實(shí)驗(yàn)報(bào)告信息安全全文共8頁，當(dāng)前為第5頁。實(shí)驗(yàn)報(bào)告信息安全全文共8頁，當(dāng)前為第5頁。單擊test主機(jī)名，如果連接成功，則會顯示服務(wù)器端主機(jī)上的盤符。這個時候我們就可以像操作自己的電腦一樣遠(yuǎn)程操作遠(yuǎn)程目標(biāo)電腦?！氨印贝蟛糠止δ芏际窃凇懊羁刂婆_”實(shí)現(xiàn)的，單擊“命令控制臺”彈出命令控制界面，如圖所示：任務(wù)二 使用木馬對遠(yuǎn)程計(jì)算機(jī)進(jìn)行控制。展開命令控制臺 ，分為“口令類命令”、“注冊表讀表”、“設(shè)置類命令”。（1）口令命令類：①“系統(tǒng)信息及口令“：可以查看遠(yuǎn)程主機(jī)的系統(tǒng)信息、開機(jī)口令、緩存口令等。②“歷史口令”：可以查看遠(yuǎn)程主機(jī)以往使用的口令。③“擊鍵記錄”：啟動鍵盤記錄以后，可以記錄遠(yuǎn)程主機(jī)用戶擊鍵記錄，以此可以分析出遠(yuǎn)程主機(jī)的各種帳號和口令或各種秘密信息。（2）控制類命令捕獲屏幕：這個功能可以使控制端使用者查看遠(yuǎn)程主機(jī)的屏幕，好像遠(yuǎn)程主機(jī)就在自己面前一樣，這樣更有利于竊取各種信息。單擊“查看屏幕”，彈出遠(yuǎn)程主機(jī)界面。實(shí)驗(yàn)報(bào)告信息安全全文共8頁，當(dāng)前為第6頁。實(shí)驗(yàn)報(bào)告信息安全全文共8頁，當(dāng)前為第6頁。①“發(fā)送信息”：這個功能可以使你向遠(yuǎn)程計(jì)算機(jī)發(fā)送Windows標(biāo)準(zhǔn)的各種信息。②“進(jìn)程管理”：這個功能可以使控制者查看遠(yuǎn)程主機(jī)上所有的進(jìn)程。③“窗口管理”：這個功能可以使遠(yuǎn)程主機(jī)上的窗口進(jìn)行刷新、最大化、最小化、激活、隱藏等操作。④“系統(tǒng)管理”：該功能可以使遠(yuǎn)程主機(jī)進(jìn)行關(guān)機(jī)、重啟、重新加載冰河、自動卸載冰河。⑤“其他控制”：該功能可以使遠(yuǎn)程主機(jī)上進(jìn)行自動撥號禁止、桌面隱藏、注冊表鎖定等操作。（3）網(wǎng)絡(luò)類命令：①“創(chuàng)建共享”：在遠(yuǎn)程主機(jī)上創(chuàng)建自己的共享。②“刪除共享”：在遠(yuǎn)程主機(jī)上刪除某個特定的共享。③“網(wǎng)絡(luò)信息”：查看遠(yuǎn)程主機(jī)上的共享信息，單擊“查看共享”可以看到遠(yuǎn)程主機(jī)上的IPC$,C$、ADMIN$等共享都存在。⑷文件類命令：展開文件類命令、文件瀏覽、文件查找、文件壓縮、文件刪除、文件打開等菜單可以查看、查找、壓縮、刪除、打開遠(yuǎn)程主機(jī)上的某個文件。目錄增刪、目錄復(fù)制、主鍵增刪、主鍵復(fù)制的功能。⑸注冊表讀寫：提供了鍵值讀取，鍵值寫入，鍵值重命名、主鍵瀏覽、主鍵刪除、主鍵復(fù)制的功能。⑹設(shè)置類命令：提供了更換墻紙、更改計(jì)算機(jī)名、服務(wù)器端配置的功能。任務(wù)三 檢測并刪除木馬文件。刪除冰河木馬主要有以下幾種方法：①客戶端的自動卸載功能，而實(shí)際情況中木馬客戶端不可能為木馬服務(wù)器自動卸載木馬。②手動卸載：查看注冊表，在“開始”中運(yùn)行regedit,打開Windows注冊表編輯器。在目錄中發(fā)現(xiàn)一個默認(rèn)的鍵值：C:\WINNT\System32\kernel32.exe，這個就是冰河木馬在注冊表中加入的鍵值，將它刪除。然后依次打開子鍵目錄Runservices,在目錄中也發(fā)現(xiàn)一個默認(rèn)鍵值：C:\WINNT\System32\kernel32.exe，這個也是冰河木馬在注冊表中加入的鍵值，刪除。進(jìn)入C:\WINNT\System32目錄，找到冰河的兩個可執(zhí)行文件Kernel32.exe和Susexplr.exe，刪除。修改文件關(guān)聯(lián)時木馬常用的手段，冰河木馬將 txt文件的缺省打開方式由notepad.exe改為木馬的啟動程序，此外html、exe、zip、com等都是木馬的目標(biāo)。所以還需要恢復(fù)注冊表中的

txt 文件關(guān)聯(lián)功能。將注冊表中HKEY_CLASSES_ROOT\txtfile\shell\open\command

下的默認(rèn)值，由中木馬后的

C:\Windows\SSystem\Susex-plr.exe%1改為正常情況下的 C:\Windows\notepad.exe%1。任務(wù)四 木馬的方法措施。木馬的防范木馬的危害顯而易見，防范木馬的方法主要有：①提高防范意識，不要打開陌生人傳來的可疑郵件和附件。確認(rèn)來信的源地實(shí)驗(yàn)報(bào)告信息安全全文共8頁，當(dāng)前為第7頁。實(shí)驗(yàn)報(bào)告信息安全全文共8頁，當(dāng)前為第7頁。址是否合法。②如果網(wǎng)速變慢，往往是因?yàn)槿肭终呤褂玫哪抉R搶占帶寬。雙擊任務(wù)欄右下角連接圖標(biāo)，仔細(xì)觀察發(fā)送“已發(fā)送字節(jié)”項(xiàng)，如果數(shù)字比較大，可以確認(rèn)有人在下在你的硬盤文件，除非你正使用FTP等協(xié)議進(jìn)行文件傳輸。③察看本機(jī)的連接，在本機(jī)上通過netstat-an（或第三方程序）查看所有的TCP/UDP連接，當(dāng)有些IP地址的連接使用不常見的端口與主機(jī)通信時，這個連接九需要進(jìn)一步分析。④木馬可以通過注冊表啟動，所以通過檢查注冊表來發(fā)現(xiàn)木馬在注冊表里留下的痕跡。⑤使用殺毒軟件和防火墻。實(shí)驗(yàn)3-3任務(wù)一Land攻擊練習(xí)目標(biāo)機(jī)端口對目標(biāo)主機(jī)的 80端口進(jìn)行攻擊：步驟：1在DOS中使用格式：land15目標(biāo)IP2在目標(biāo)主機(jī)中打開任務(wù)管理器，對聯(lián)網(wǎng)性能和系統(tǒng)資源使用情況進(jìn)行觀察：3在目標(biāo)主機(jī)打開Snifferpro工具，捕捉由攻擊者計(jì)算機(jī)發(fā)送本地計(jì)算機(jī)的TCP包任務(wù)二DDoSer的使用軟件簡介DDoSer軟件是一個DDOS攻擊工具，程序運(yùn)行后，程序運(yùn)行后自動裝實(shí)入系統(tǒng)，并在以后隨系統(tǒng)啟動，自動對事先設(shè)定好的目標(biāo)機(jī)進(jìn)行攻擊。驗(yàn) 本軟件分為生成器（DDOSMaker.exe）與DDOS攻擊者程序（DDOSer.exe）內(nèi)兩部分。軟件在下載安裝后是沒有DDOS攻擊者程序的（只有生成器容DDOSMAKER.exe）,DDOS攻擊者程序要通過生成器生成。生成時可以自定及義一些設(shè)置，如攻擊目標(biāo)的域名或IP地址、端口等。DDOS攻擊者程序默實(shí)認(rèn)的文件名DDOSer.exe，可以在生成或生成后任意改名。DDOS攻擊者程序驗(yàn)類似于木馬軟件的服務(wù)端程序，程序運(yùn)行后不會顯示任何界面，看上去好像步?jīng)]有任何反應(yīng)，其實(shí)它已經(jīng)將自己復(fù)制到系統(tǒng)里面了，并且會在每次開機(jī)時驟自動運(yùn)行，此時可以將拷貝過去的安裝程序刪除。它運(yùn)行時唯一會做的就是不斷對事先設(shè)定好的目標(biāo)進(jìn)行攻擊。 DDOSer使用的攻擊手段是 SYNFlood。實(shí)驗(yàn)報(bào)告信息安全全文共8頁，當(dāng)前為第8頁。實(shí)驗(yàn)報(bào)告信息安全全文共8頁，當(dāng)前為第8頁。生成攻擊程序打開DDOSMAKER.exe程序，出面主界面，對其設(shè)置如下：輸入目標(biāo)主機(jī)IP，端口設(shè)置為80，并發(fā)線程為10個，最大TCP連接數(shù)為1000，自啟動設(shè)置默認(rèn)，生成的DDOS攻擊者程序名稱為ddos_attack.exe。3DDoSer.exe的運(yùn)行及結(jié)果觀察在主機(jī)上運(yùn)行ddos_att