南京郵電大學(xué) 木馬攻防實驗報告

實驗報告（2007/2008學(xué)年第一學(xué)期）課程名稱網(wǎng)絡(luò)安全實驗實驗名稱木馬攻擊與防范實驗時間2013年12月日指導(dǎo)單位指導(dǎo)教師學(xué)生姓名班級學(xué)號學(xué)院(系)專業(yè)PAGE2實驗報告實驗名稱木馬攻擊與防范指導(dǎo)教師實驗類型設(shè)計實驗學(xué)時8實驗時間實驗?zāi)康?. 本次實驗為考核實驗，需要獨立設(shè)計完成一次網(wǎng)絡(luò)攻防的綜合實驗。設(shè)計的實驗中要包括以下幾個方面內(nèi)容：(1) 構(gòu)建一個具有漏洞的服務(wù)器，利用漏洞對服務(wù)器進(jìn)行入侵或攻擊；(2) 利用網(wǎng)絡(luò)安全工具或設(shè)備對入侵與攻擊進(jìn)行檢測；(3) 能有效的對漏洞進(jìn)行修補，提高系統(tǒng)的安全性，避免同種攻擊的威脅。2通過對木馬的練習(xí)，使讀者理解和掌握木馬傳播和運行的機制；通過手動刪除木馬，掌握檢查木馬和刪除木馬的技巧，學(xué)會防御木馬的相關(guān)知識，加深對木馬的安全防范意識。二、實驗要求負(fù)責(zé)利用網(wǎng)絡(luò)工具進(jìn)行網(wǎng)絡(luò)攻擊。每組獨立設(shè)計完成實驗，不能雷同。實驗過程中以下三個階段需上機演示給指導(dǎo)老師察看：完成網(wǎng)絡(luò)攻擊、檢測到攻擊、完成網(wǎng)絡(luò)防范。完成實驗報告，能解釋在實驗使用到的技術(shù)或工具的基本原理。三、實驗環(huán)境使用實驗室的PC機，局域網(wǎng)，Linux服務(wù)器，Windows服務(wù)器，防火墻，入侵檢測系統(tǒng)等。四、實驗設(shè)計方案、實驗原理、實驗過程及實驗結(jié)果實驗原理一般木馬都采用c/s運行模式，原理是，木馬服務(wù)器程序在主機目標(biāo)上執(zhí)行后，一般會打開一個默認(rèn)端口進(jìn)行監(jiān)聽，當(dāng)客戶端主動提出鏈接請求，服務(wù)器的木馬就會自動運行，來應(yīng)答客服端的請求，從而建立連接。“木馬”與計算機網(wǎng)絡(luò)中常常要用到的遠(yuǎn)程控制軟件有些相似，但由于遠(yuǎn)程控制軟件是“善意”的控制，因此通常不具有隱蔽性；“木馬”則完全相反，木馬要達(dá)到的是“偷竊”性的遠(yuǎn)程控制，如果沒有很強的隱蔽性的話，那就是“毫無價值”的。

它是指通過一段特定的程序（木馬程序）來控制另一臺計算機。木馬通常有兩個可執(zhí)行程序：一個是客戶端，即控制端；另一個是服務(wù)端，即被控制端。植入被種者電腦的是“服務(wù)器”部分，而所謂的“黑客”正是利用“控制器”進(jìn)入運行了“服務(wù)器”的電腦。運行了木馬程序的“服務(wù)器”以后，被種者的電腦就會有一個或幾個端口被打開，使黑客可以利用這些打開的端口進(jìn)入電腦系統(tǒng)，安全和個人隱私也就全無保障了！木馬的設(shè)計者為了防止木馬被發(fā)現(xiàn)，而采用多種手段隱藏木馬。木馬的服務(wù)一旦運行并被控制端連接，其控制端將享有服務(wù)端的大部分操作權(quán)限，例如給計算機增加口令，瀏覽、移動、復(fù)制、刪除文件，修改注冊表，更改計算機配置等。

一個完整的冰河木馬套裝程序含了兩部分：服務(wù)端（服務(wù)器部分）和客戶端（控制器部分）。植入對方電腦的是服務(wù)端，而黑客正是利用客戶端進(jìn)入運行了服務(wù)端的電腦。運行了木馬程序的服務(wù)端以后，會產(chǎn)生一個有著容易迷惑用戶的名稱的進(jìn)程，暗中打開端口，向指定地點發(fā)送數(shù)據(jù)（如網(wǎng)絡(luò)游戲的密碼，即時通信軟件密碼和用戶上網(wǎng)密碼等），黑客甚至可以利用這些打開的端口進(jìn)入電腦系統(tǒng)。冰河木馬程序不能自動操作，一個冰河木馬程序是包含或者安裝一個存心不良的程序的，它可能看起來是有用或者有趣的計劃（或者至少無害）對一不懷疑的用戶來說，但是實際上有害當(dāng)它被運行。冰河木馬不會自動運行，它是暗含在某些用戶感興趣的文檔中，用戶下載時附帶的。當(dāng)用戶運行文檔程序時，冰河木馬才會運行，信息或文檔才會被破壞和遺失。冰河木馬和后門不一樣，后門指隱藏在程序中的秘密功能，通常是程序設(shè)計者為了能在日后隨意進(jìn)入系統(tǒng)而設(shè)置的。過程與步驟及結(jié)果一．攻擊前的準(zhǔn)備首先解壓冰河木馬程序包，里面有四個文件，如圖：攻擊前，我們首先要將服務(wù)器端發(fā)到我們要攻擊的對象，可以對服務(wù)器端進(jìn)行偽裝，然后，我把服務(wù)器端發(fā)給了三臺主機，等待對方接受并且已經(jīng)運行服務(wù)器端，但如何確認(rèn)他們是否運行？我們可以通過冰河客戶端對局域網(wǎng)進(jìn)行掃描。一、攻擊入侵目標(biāo)主機首先運行G_Client.exe，掃描主機。查找IP地址：在“起始域”編輯框中輸入要查找的IP地址，例如欲搜索IP地址“10.20.148.100”至“10.20.148.170”網(wǎng)段的計算機，然后點“開始搜索”按鈕，在右邊列表框中顯示檢測到已經(jīng)在網(wǎng)上的計算機的IP地址。從上圖可以看出，搜索結(jié)果中，有的IP前都是ERR。地址前面的“ERR:”表示這臺計算機無法控制，也就是沒有被中木馬的主機。而IP前面是“OK”表明：這臺主機已經(jīng)中木馬了，也就是我們剛才發(fā)的服務(wù)器端被對方主機運行了，即成功入侵，我們可以對對方的主機進(jìn)行控制了。如圖：同時，為了避免所有使用本人主機的人都可以對中木馬的主機進(jìn)行操控，可以對服務(wù)器進(jìn)行配置密碼：358201當(dāng)想對中木馬的主機實施控制的時候，需要輸入口令：成功鎖定控制“10.20.148.157”這臺主機：可以用冰河信使悄無聲息的給對方發(fā)消息：還可以實施遠(yuǎn)程控制，以下便是對方的屏幕界面，他正在瀏覽網(wǎng)頁：實施遠(yuǎn)程操控，使對方關(guān)機：當(dāng)然，冰河木馬不遠(yuǎn)指這些，它還有好多強大功能：實驗小結(jié)（包括問題和解決方法、心得體會、應(yīng)用網(wǎng)絡(luò)安全原理對實驗中的現(xiàn)象與問題進(jìn)行解釋等）對于計算機木馬的概念，我們都還局限在很窄的層面，通過對冰河木馬的學(xué)習(xí)并使用它完成本次實驗，認(rèn)識到木馬是怎樣侵入到我們的計算機并獲得所需要的信息的。本次實驗，我們是利用IPC$漏洞進(jìn)行攻擊的。不過，事實上，僅僅使用IPC$漏洞掃描器并不太容易找到存在漏洞可供植入病毒的主機，通過其他途徑（下載運行隱藏病毒文件）更容易使遠(yuǎn)程主機中木馬病毒。對木馬病毒的防護(hù)建議：及時