实验1 网络攻防中的常用命令和工具(2课时) 实验目的
1. 了解网络攻击的大致步骤和方法。
2. 熟练使用PsTools中的相关程序,能够使用该套工具进行基本入侵和日志清除。 3. 掌握NET命令组的使用方法,能够使用NET命令组进行基本的入侵。 4. 学会使用TFTP进行文件上传和下载。
5. 熟练使用Cacls程序进行相关访问权限设置。 6. 熟练掌握NC的使用方法。 实验准备
? 要求实验室内网络是连通的,组内每台计算机均可以访问另外一台计算机。 ? 下载相关工具和软件包。
? 每台计算机建立一个管理员账号csadmin,密码为testadmin。 网络攻击的大致步骤和思路
? 资料收集:寻找目标网络及主机的IP地址与名称,搜集尽可能多的详细信息。 ? 基本扫描:辨别目标网络或主机所开放和提供的服务,以及操作系统版本等。
? 弱点刺探:根据目标提供的服务寻找安全突破点。如服务软件漏洞、操作系统漏洞,
甚至是病毒留下来的后门等。
? 取得初步权限:利用相关漏洞或获得的用户名和口令取得进入系统的初步权限。 ? 提升权限:如果之前获得的权限不够,则在已有权限基础上,继续通过其他方法提
升权限。
? 进行破坏:根据入侵目的对目标进行相关操作,或者继续对网络内其他目标进行渗
透和攻击。
? 建立后门:完成相关任务后,安装木马、后门或者克隆账号等,以便以后继续对其
进行控制。
? 毁灭证据:为了避免被发现和追踪,清除或者伪造相关入侵日志和其他入侵痕迹。 技术资料
? 课程专用网络空间:http://www.cs.wust.edu.cn/kj/netsecurity ? 网络相关帮助文档 第一阶段实验要求
– 熟悉PsTools工具使用方法。 – 熟悉介绍的各种常用DOS命令。 – 学会使用TFTP进行文件上传下载。 – 熟悉NC工具的使用
http://icebeankey.spaces.live.com/blog/cns!3177c02ff4c1ef86!111.entry
– 熟悉Cacls的使用。
第二阶段实验要求
? 已知某台Windows操作系统的计算机管理员用户名(csadmin)和密码(testadmin)。
请使用如下方法入侵该计算机(获得Shell,在对方计算机中安装远程控制程序进行屏幕控制)。
– 仅使用Windows的自带命令和远程控制程序。 – 仅使用PsTools中的相关工具和远程控制程序。
? 获得对方每个盘的详细目录结构,并使用tftp传到本地。
? 从传回本地的详细目录结构中找到文件security.dat所在位置,并传回到本地。
第三阶段实验要求
? 卸载对方系统中的远程控制程序。
? 各自对相关文件(如cmd.exe)的访问权限进行修改,使得上述获得Shell的方法失
效。
? 再次试探侵入对方系统。
? 恢复计算机环境(卸载远程控制程序,删除相关账号.....)。 课后思考题
? 有哪些方法可以防止受到本实验中提到的类似攻击?
实验2 扫描器使用和分析(2课时) 实验目的
1.熟悉网络数据包捕获工具的使用 2.熟悉扫描程序(漏洞、端口)的使用
3.能够利用抓包工具分析扫描程序的具体原理 实验准备
? 要求实验室内网络是连通的,组内每台计算机均可以访问另外一台计算机。 ? 下载相关工具和软件包。
? 在计算机中安装Ethereal和WinPcap包。 第一阶段实验要求
– 熟悉Ethereal的基本用法。
– 登陆自己的邮箱,利用Ethereal捕获数据包,对捕获到的数据包进行分析,看是否
可以得到用户名和密码。
第二阶段实验要求
? 熟悉扫描器Xscan的用法。
– 利用Xscan扫描新浪邮件服务器(pop3.sina.com.cn)的邮箱弱密码。 – 扫描FTP弱密码。
– 扫描局域网内某台主机的NT弱密码。
第三阶段实验要求
利用Ethereal对每一次扫描所得到的数据包进行分析,思考每种扫描的具体原理 第四阶段实验要求
? 使用nmap进行端口扫描
– 采用各种不同的端口扫描技术分别进行 – 总结各种端口扫描技术的特点
– 通过抓包分析各种扫描的技术原理
课后作业(三选一)
? 分析各种拒绝服务攻击方法的具体原理。
– 整理出详细分析文档上交。
? 分析各种端口扫描技术的具体原理。
– 整理出详细技术文档上交。
? 分析各类密码探测方法的具体原理。
– 整理出详细技术文档上交。
实验3 木马、后门及Rootkit使用与检测 (2课时) 实验目的
1.了解虚拟机的概念和使用方法。 2.熟悉各种木马后门程序的使用。
3.熟悉RootKit的特点和各种RootKit的用法, 4.比较深入地了解RootKit的相关原理。
5.熟练使用各种RootKit检测工具,了解各种检测工具的原理。 第一阶段实验内容
? 学会使用虚拟机VMWare。
? 在虚拟机中安装Windows 2000操作系统。
– 或从FTP服务器下载相关操作系统文件夹。
? 熟悉相关环境。 第二阶段实验内容
? 熟悉“网络神偷”木马程序的大致结构和思路。
– 具体用法请参考程序包中的帮助文档。 – 理解反向连接的具体思路和原理。
? 熟悉WinEggDrop后门程序的使用
– 具体用法请参考程序包中的帮助文档。 – 理解远程线程注入技术的原理。
第三阶段实验内容
? 了解RootKit的概念
? 熟悉“RootKit”(这里的RootKit为软件名)的使用方法
– 配置“RootKit”程序 – 运行并测试实际效果。
? 使用pslist工具查看进程列表,是否可以找到相关隐藏进程?并思考其中的原因。 第四阶段实验内容
? 熟悉RootKit检测工具
– 熟悉IceSword的用法
– 熟悉RootkitRevealer工具的用法 – 熟悉RootkitRevealer工具的检测原理
? 比较IceSword和RootkitRevealer的各自特点。 课后练习
? 课后参考WinEggDrop的源代码,分析其各种功能的具体实现原理。 ? 使用byshell后门(byshell067beta2),分析其独特之处。从其源代码中学习后门的一些
编写思路。
? 下载hxdef100r.zip,并进行使用和检测测试。 作业
? 查找相关资料,并提交RootKit相关的技术文档。内容包括:
– 什么是用户态RootKit和内核态RootKit? – 目前有哪些RootKit软件?
– 目前RootKit的各种隐藏技术是如何实现的?
? 主要从端口、进程、文件、注册表、服务等方面进行说明。
– 目前RootKit的检测思路和技术包括哪些? – 你自己的学习心得。