1、入侵检测系统实训教程12入侵检测系统实训教程定义入侵检测系统(Intrusion Detection System,IDS)是一种安全设备,它依照一定的安全策略,通过软件、硬件,对网络、系统的运行状况进行监视,尽可能发现各种攻击企图、攻击行为或者攻击结果,以保证网络系统资源的机密性、完整性和可用性。IDS是防火墙之后的第二道安全闸门。必要性传统的防火墙在工作时,存在两方面的不足:一、防火墙完全不能阻止来自内部的攻击;二、由于性能的限制,防火墙通常不能提供主动的、实时的入侵检测能力。入侵检测系统可以弥补防火墙的不足,为网络安全提供实时的入侵检测及采取相应的防护手段。3入侵检测系统实训教程功能任务
2、1.实时检测实时监视、分析网络中所有的数据报文;发现并实时处理所捕获的数据报文;2.安全审计对系统记录的网络事件进行统计分析;发现异常现象;得出系统的安全状态,找出所需要的证据;3.主动响应主动切断连接或与防火墙联动,调用其他程序处理。4入侵检测系统实训教程分类入侵检测系统基本分为2类:1.基于主机的入侵检测系统(HIDS):以操作系统日志、应用程序日志等作为数据源保护所在的系统,一般只能检测该主机上发生的入侵。2.基于网络的入侵检测系统(NIDS):其输入数据来源于网络的信息流,能够检测该网段上发生的网络入侵。5入侵检测系统实训教程工作流程 入侵检测系统为了分析、判断特定行为或者事件是否为违
3、反安全策略的异常行为或者攻击行为,需要经过四个过程。(1)数据采集阶段 网络入侵检测系统(NIDS)或者主机入侵检测系统(HIDS)都需要采集必要的数据用于入侵分析。(2)数据过滤及缩略根据预定义的设置,进行必要的数据过滤及缩略,从而提高检测、分析的效率。(3)检测/分析根据定义的安全策略,进行检测/分析。(4)报警及响应 一旦检测到违反安全策略的行为或者事件,进行报警及响应。6入侵检测系统实训教程7入侵检测系统实训教程网络入侵检测技术模式匹配技术 假定所有入侵行为和手段(及其变种)都能够表达为一种模式或特征,那么所有已知的入侵方法都可以用匹配的方法发现。模式匹配的关键是如何表达入侵的模式,把
4、真正的入侵与正常行为区分开来。模式匹配的优点是误报少,局限是只能发现已知的攻击,对未知的攻击无能为力。异常检测技术异常检测技术假定所有入侵行为都是与正常行为不同的。如果建立系统正常行为的轨迹,那么理论上可以把所有与正常轨迹不同的系统状态视为可疑企图。对于异常阀值与特征的选择是异常发现技术的关键。比如,通过流量统计分析将异常时间的异常网络流量视为可疑。异常检测技术的局限是并非所有的入侵都表现为异常,而且系统的轨迹难于计算和更新。协议分析技术协议分析是目前最先进的检测技术,通过对数据包进行结构化协议分析来识别入侵企图和行为。协议分析是根据构造好的算法实现的,这种技术比模式匹配检测效率更高,并能对一
5、些未知的攻击特征进行识别,具有一定的免疫功能。8入侵检测系统实训教程案例拓扑图图标二层百兆交换机高端路由交换机路由器IDS服务器终端防火墙入侵检测系统实训教程 单元1 IDS系统部署 单元2 查询工具的安装与使用 单元3 安全响应策略的配置及联动 单元4 常见攻击模拟9单元1 IDS系统部署 任务1 IDS传感器安装配置 任务2 IDS软件支持系统安装配置 任务3 IDS监控与管理环境搭建10111.1 任务目的 1.理解DC NIDS系统构成;2.掌握DC NIDS传感器的配置要点。1.2 任务设备及要求设备:DCNIDS-1800 系列设备一台;要求:使用串口连接硬件设备的命令行界面,掌握
6、IDS传感器的配置要点。任务1 IDS传感器安装配置121.3 任务步骤1.3.1 连接硬件设备,进行拓扑环境搭建(1)连接好配置线缆与PC机的COM口后,打开传感器的电源开关,启动设备。任务1 IDS传感器安装配置IDS系统连接拓扑示意集中管理及控制台PC2控制口检测口PC113(2)启动超级终端,连接Sensor。任务1 IDS传感器安装配置14任务1 IDS传感器安装配置151.3.2 配置传感器按键盘任意键启动传感器的登录界面。输入出厂默认的传感器密码:admin,即可登录传感器主菜单。任务1 IDS传感器安装配置161配置管理信息和时间任务1 IDS传感器安装配置172配置传感器网络
7、参数任务1 IDS传感器安装配置本任务设置为“dcids”181.4 任务思考与练习IDS硬件设备配置中涉及两类密钥,一个是管理员密钥,一个是管理通道密钥,任务中注意不要修改管理员密钥,否则会因丢失密钥导致设备返厂维修。而管理通道密钥的设置则必须与其未来软件服务平台的相应密钥对应方可正常使用此传感器。因此须记清楚管理通道密钥以备后续配置使用。传感器管理端口在后续硬件版本中可能不仅只有两个端口。可根据实际情况任选一个端口作为管理端口,其余端口均可同时作为监控端口连接到网络中。任务1 IDS传感器安装配置192.1 任务目的1掌握DC NIDS系统软件的安装流程。2.2 任务设备及要求1.安装ID
8、S分布式管理系统软件并进行合理配置;2.启动各软件服务任务2 IDS软件支持系统安装配置202.3 任务步骤2.3.1安装数据库 选择“安装SQL Server 2000组件”。选择“安装数据库服务器”。任务2 IDS软件支持系统安装配置21任务2 IDS软件支持系统安装配置22任务2 IDS软件支持系统安装配置(11)(12)本任务设置SA密码为123456(13)(14)(15)232.3.2 安装LogServer 双击光盘中的LogServer安装文件,即开始LogServer的安装过程。读取压缩包内容后,系统提示开始进行数据服务器的安装。选择必要的参数,如文件存放位置,输入必要的信息
9、,如用户名和单位即可完成安装过程。安装文件复制完成,系统进入数据服务初始化配置对话框。任务2 IDS软件支持系统安装配置24任务2 IDS软件支持系统安装配置服务器地址:192.168.1.10服务器端口:1433数据库名称:IDS_LogServer访问帐号名:sa访问密钥串:123456D:IDSdataD:IDSLOG252.3.3安装事件收集器(EC)单击安装光盘中的EC安装文件,系统开始解压缩包。任务2 IDS软件支持系统安装配置26输入一系列必要信息,进入文件复制过程,出现安装完成提示框后,单击完成,即完成了EC的安装。完成后,系统提示必须进行许可密钥的安装,否则系统无法运行。任务
10、2 IDS软件支持系统安装配置272.3.4安装许可密钥运行“开始程序入侵检测系统入侵检测系统(网络)安装许可证”安装程序。单击浏览,选择系统的License文件。任务2 IDS软件支持系统安装配置282.4 任务思考与练习本任务的安装过程已经简化为一体化安装,需要注意的是在实际工作中,几个软件并非必须安装到同一台设备上,可以根据情况作分布式的部署,未来的控制台也可以安装到网络中的任何地点,需要登陆控制台界面时,通过网络与各个相应的服务器组件建立连接。任务2 IDS软件支持系统安装配置293.1 任务目的 学会使用IDS主控制台进行基本操作。3.2 任务设备及要求安装IDS控制台并登陆;增加新
11、用户并配置加载策略;配置交换机以配合数据包的监测。任务3 IDS监控与管理环境搭建303.3 任务步骤3.3.1 安装控制台控制台安装过程相对比较简单,输入必要的信息(如安装路径等),单击下一步即可完成安装。任务3 IDS监控与管理环境搭建313.3.2 管理账号登陆增加新用户启动DCNIDS管理控制台,登录管理控制台。任务3 IDS监控与管理环境搭建注意大小写用户名:Admin密码:Admin32系统默认的管理用户只具备有限的权利。单击“添加用户”,可添加一个新用户并配置其属性及权限。选择已存在的用户可以查看用户属性和权限。任务3 IDS监控与管理环境搭建333.3.3 新用户重新登陆添加组
12、件使用新创建的用户duwc重新登录控制台进行后续操作。添加“传感器”。任务3 IDS监控与管理环境搭建34添加“LogServer”组件。任务3 IDS监控与管理环境搭建353.3.4 连接硬件线缆任务3 IDS监控与管理环境搭建集中管理及控制台PC2控制口检测口PC1363.3.5 配置交换机相应端口作镜像目的进入交换机的控制台,作如下配置:dcs(config)#monitor session 1 source interface ethernet 0/0/1;2dcs(config)#monitor session 1 destination interface ethernet 0/0
13、/24任务3 IDS监控与管理环境搭建373.4 任务思考与练习传感器共两个网络接口,配置有IP地址的网络接口主要工作是进行管理数据的传输,它是否也对网络数据进行检测?熟练进行传感器的部署,熟悉控制台默认登录用户和口令,理解控制台用户权限的设置和管理。任务3 IDS监控与管理环境搭建单元2 查询工具的安装与使用 任务1 IDS查询工具及报表工具的安装 任务2 使用报表工具察看模拟攻击38391.1 任务目的 了解并掌握查询工具和报表生成工具的安装使用方法;1.2 任务设备及要求启动数据库和IDS的必要服务器,打开控制台界面和事件查询工具和报表生成器。任务1 IDS查询工具及报表工具的安装401
14、.3 任务步骤1.3.1 IDS系统启动启动数据库和IDS的必要服务器。任务1 IDS查询工具及报表工具的安装411.3.2 登录控制台任务1 IDS查询工具及报表工具的安装421.3.3启动报表生成器安装报表及查询工具。任务1 IDS查询工具及报表工具的安装43启动报表生成器。任务1 IDS查询工具及报表工具的安装441.4 任务思考与练习 报表工具的主要作用在哪里?登陆报表生成器的用户是在哪里创建的,其是否可与IDS系统管理用户合二为一?任务1 IDS查询工具及报表工具的安装452.1 任务目的通过综合环境攻击事件,引发IDS数据处理和报警的过程,通过查询工具和报表工具进行全方位察看。2.
15、2 任务设备及要求在192.168.1.13中启动UDP flooding攻击器,对外网和内网的主机进行攻击,在安全事件察看和报表生成器中分别进行查看。观察安全事件查询工具中的显示,使用报表生成器进行报表生成。任务2 使用报表工具察看模拟攻击462.3 任务步骤2.3.1启动攻击过程在192.168.1.13中启动UDP flooding攻击器,对外网和内网的主机进行攻击,同时在外网主机131.56.12.61中也开启类似的攻击。任务2 使用报表工具察看模拟攻击47根据源IP地址查看任务2 使用报表工具察看模拟攻击从外网从外网131.56.12.61启动的启动的对对192.168.1.10的攻
16、击行为的攻击行为 48任务2 使用报表工具察看模拟攻击安全事件统计图49任务2 使用报表工具察看模拟攻击IDS系统同时提供根据攻击的目标IP地址、事件、传感器进行分类统计安全事件列表的功能。根据传感器查看根据传感器查看 根据事件查看根据事件查看 根据目标根据目标IP地址查看地址查看 50事件详细说明在安全事件查看器中,我们可以通过双击每个事件列表条目,打开详细的事件说明任务2 使用报表工具察看模拟攻击中风险中风险smb事件一般信息描述事件一般信息描述 中风险中风险smb事件详细信息描述事件详细信息描述 512.3.3使用报表生成器察看攻击事件通过与数据库的通讯,可获得安全事件的报表形式显示,根
17、据入侵的数据,我们可以看到如下的报表类。任务2 使用报表工具察看模拟攻击星期星期N告警类别统计告警类别统计 周告警类别统计周告警类别统计 月告警类别统计月告警类别统计 季度告警类别统计季度告警类别统计 52系统同时也提供了风险状况统计、数据统计、交叉统计报表等安全事件报表。任务2 使用报表工具察看模拟攻击53按照前面的步骤将当前的统计数据调出,单击”工具栏”上的“导出报表”按钮,弹出“Export Report”对话框,选择导出文件格式。此处选择.rtf格式,然后使用word将其打开。任务2 使用报表工具察看模拟攻击542.3.4使用安全事件查询工具察看单击“IDS管理控制台”的“工具栏”中的
18、“查询”按钮,打开登录界面,输入正确的信息,登录进入安全事件查询工具界面。任务2 使用报表工具察看模拟攻击55任务2 使用报表工具察看模拟攻击添加数据库选中“日志服务器”,单击“添加”按钮,或右击”日志服务器”,选择”添加数据库”,打开“添加日志服务器”窗口,输入当前日志服务器的IP地址(确保服务正在运行),单击“确定”按钮添加一台日志服务器。56任务2 使用报表工具察看模拟攻击新建查询在新增的日志服务器192.168.1.10下新建一个查询,在弹出的“设置查询条件”对话框中设置查询的条件。57任务2 使用报表工具察看模拟攻击查看2006-9-22日来自192.168.1.13的入侵事件。单击
19、任何一个条目,可在下方列出此攻击的详细信息。利用“导出文本”或“导出Excel”按钮可以将查询结果以不同文件格式导出。582.4 任务思考与练习怎样察看IDS系统策略对某攻击行为的具体定义?组合各种事件查询条件对系统安全事件进行查询,并进行导出和保存操作。任务2 使用报表工具察看模拟攻击单元3 安全响应策略的配置及联动 任务1 IDS联动插件安装与使用 任务2 在网络内部模拟攻击行为,观察并分析IDS系统和防火墙的响应59601.1 任务目的 1理解IDS系统与防火墙联动的优越性;2学会配置IDS系统与神州数码防火墙进行联动。1.2 任务设备及要求1在安装EC的主机上安装IDS与DCFW-18
20、00防火墙联动插件。2配置IDS系统与防火墙的联动任务1 IDS联动插件安装与使用61联动原理防火墙:只能基于策略被动防御攻击,无法自动调整策略设置以阻断攻击。IDS:只能及时主动发现攻击信号,缺乏有效的响应处理机制。安全防护体系:防火墙+IDS任务1 IDS联动插件安装与使用621.3 任务步骤1.3.1正确部署IDS软硬件后,安装联动插件在安装EC的主机上安装IDS与DCFW-1800防火墙联动插件。输入必要的信息,单击下一步即可完成安装。任务1 IDS联动插件安装与使用631.3.2配置IDS软件系统Response.cfg文件用记事本程序打开操作系统的系统目录下的Response.cf
21、g文件。修改文件中的IP地址为防火墙的IP地址;修改文件中IP地址后面的端口号为防火墙安全管理界面使用的端口号;修改文件中URL列表后面的资源文件夹为:cgi-bin。(注:如果防火墙的版本为3.X,则此处应修改为:dcfw。)任务1 IDS联动插件安装与使用641.3.3配置神州数码DCNIDS服务管理器配置事件收集服务;任务1 IDS联动插件安装与使用确认处于确认处于选中状态选中状态配置安全事件响应服务;确保处于确保处于选中状态选中状态651.3.4配置神州数码防火墙系统将DCNIDS互动插件所在的主机地址设置为防火墙的管理IP地址。在浏览器的地址栏中输入防火墙的URL,管理员登录后,在主
22、菜单的系统配置中选择端口设置,进入防火墙管理用户配置界面。确保EC主机也是防火墙的管理主机。任务1 IDS联动插件安装与使用661.3.5使用命令测试配置正确与否打开IDS互动插件主机(EC主机)的命令行,在命令行下输入如下命令:C:response sip=*.*.*.*sport=*dip=*.*.*.*dport=*time=*任务1 IDS联动插件安装与使用 防火墙联动策略添加防火墙联动策略添加 测试联动配置测试联动配置 671.3.6配置应用到传感器中的策略,并重新应用。在控制台选择策略,并选中当前应用到传感器中的策略,单击编辑锁定进行修改;选择需要配置的攻击名;在右侧配置窗口配置响
23、应,选中向神州数码DCFW-1800防火墙发送响应;在响应方式右侧,配置响应后的发送参数,包括源IP地址、源端口、目的IP地址、目的端口和过期时间。任务1 IDS联动插件安装与使用681.4 任务思考与练习IDS联动插件的安装是否受到软件版本的影响?有哪些类型的防火墙系统可以与本IDS系统进行联动?任务1 IDS联动插件安装与使用692.1 任务目的在网络内部模拟攻击行为,观察并分析IDS系统和防火墙的响应。2.2 任务设备及要求启动模拟环境中的攻击行为,观察防火墙是否有动态阻止行为发生。任务2 在网络内部模拟攻击行为,观察并分析IDS系统和防火墙的响应702.3 任务步骤2.3.1 在内网一
24、侧启动攻击,察看联动结果在网络内部主机192.168.1.13中启动udpflood的攻击。在IDS控制台发现此入侵行为,出现相应报告的同时,在防火墙的管理界面发现添加了阻止攻击行为的策略条目。任务2 在网络内部模拟攻击行为,观察并分析IDS系统和防火墙的响应712.3.2在外网侧发动攻击,察看联动效果从外网主机131.56.12.61启动udpflood攻击时,控制台发现此入侵之后在防火墙中发现自动增加了阻止外网主机的策略条目。任务2 在网络内部模拟攻击行为,观察并分析IDS系统和防火墙的响应722.4 任务思考与练习为什么IDS系统互动插件必须要安装在EC主机上,IDS互动的过程应该是怎样
25、的?改变UDPflooding的入侵端口号为除7,19之外的任意端口,观察入侵检测系统以及其与防火墙的联动状态,解释其原因。任务2 在网络内部模拟攻击行为,观察并分析IDS系统和防火墙的响应单元4 常见攻击模拟 任务1 安全攻击特洛伊木马 任务2 安全攻击任务网络监听sniffer 任务3 安全攻击任务扫描器+口令探测 任务4 安全攻击任务拒绝服务攻击73741.1 任务目的 认识特洛伊木马的攻击原理并进行防范。1.2 任务设备及要求1netbull 软件2控制主机一台3被控制主机一台4交换机一台任务1 安全攻击特洛伊木马木马攻击模拟受攻击主机木马监控端751.3 任务步骤1.3.1 使用ne
26、tbull软件生成服务器端木马程序netbull.zip解包后会产生以下几个文件:buildserver.exe(用于把autobind.dat,peepshell.dll,peepserver.exe,keycap.dll捆绑成一个单独的可执行文件newserver.exe)peepshell.dll (自动运行二个可执行文件的外壳)autobind.dat (用于在服务器端自动执行一系列动作的外壳)keycap.dll (按键捕捉DLL)peepserver.exe(在服务器端真正执行的EXE文件)peep.exe (客户端EXE文件)任务1 安全攻击特洛伊木马76任务1 安全攻击特洛伊木
27、马运行peep.exe77任务1 安全攻击特洛伊木马配置服务器78任务1 安全攻击特洛伊木马运行buildserver.exe在当前目录下自动生成一个newserver.exe文件,然后E-mail给被攻击者。791.3.2 启动木马程序服务器端,从监控端对感染木马的主机进行监视服务器端运行newserver.exe文件即开始接受木马监控指令。newserver.exe运行后会自动脱壳成checkdll.exe,并设置成开机自动运行。Netbull通过TCP的23444端口对远端程序进行控制。任务1 安全攻击特洛伊木马801.3.3 在控制台控制被攻击主机增加一台受控主机,并设置受控主机IP地
28、址。单击连接快捷键,监控端开始与受控端连接,此时便可对远端受控主机进行操控了。任务1 安全攻击特洛伊木马81控制台操作系统信息显示任务1 安全攻击特洛伊木马受控主机端弹出的对话框受控主机端弹出的对话框控制台操作消息控制台操作进程管理进程号进程号控制台操作查找控制台操作服务器在线修改82文件管理任务1 安全攻击特洛伊木马83控制屏幕任务1 安全攻击特洛伊木马841.3.4 在远端主机手动杀掉此木马的驻留程序在任务管理器终止当前的checkdll.exe进程;删除系统system32目录下的checkdll.exe文件;在注册表中将checkdll.exe从启动目录中删除;恢复被公牛捆绑的文件:n
29、otepad.exe、regedit.exe、reged32.exe、drwtsn32.exe、winmine.exe重新启动计算机任务1 安全攻击特洛伊木马851.4 任务思考与练习通过如上的手动查杀NETBULL的操作,是否一定可以将公牛完全查杀干净!如果没有成功还应该进一步查杀哪些可能被捆绑的应用程序?如何利用IDS防御NETBULL攻击。任务1 安全攻击特洛伊木马862.1 任务目的1了解sniffer的功能;2了解sniffer监听网络数据的过程和实现原理;3掌握sniffer进行网络监听特定数据的操作。2.2 任务设备及要求设备:1sniffer 软件2交换机(支持流量镜象接口)3
30、监听主机4被监听主机(需进行网络操作,例如上网)任务2 安全攻击任务网络监听sniffer87要求:1使用sniffer捕获局域网特定数据帧2使用sniffer分析可能存在的攻击数据3使用sniffer分析捕获的敏感数据,获取信息4使用sniffer制造特定的数据对网络进行干扰任务2 安全攻击任务网络监听sniffer882.3 任务步骤2.3.1 按照拓扑图搭建网络环境,配置交换机的网络监听接口和主机的网络地址任务2 安全攻击任务网络监听sniffersniffer使用环境Sniffer主机上网客户端镜像目的镜像源892.3.2在主机中安装sniffer,启动,配置安装过程中输入必要的信息,
31、单击下一步即可完成安装。任务2 安全攻击任务网络监听sniffer90任务2 安全攻击任务网络监听sniffer2.3.2在主机中安装sniffer,启动,配置启动sniffer,选择主机的网卡,单击“确定”按钮,进入软件主界面。912.3.3使用sniffer捕获局域网特定数据帧定制过滤器任务2 安全攻击任务网络监听sniffer92选定过滤器任务2 安全攻击任务网络监听sniffer93捕捉过程单击“Start”按钮,系统自动开启“expert”信息框。任务2 安全攻击任务网络监听sniffer94停止并察看当“Stop and Display”按钮变为可操作时,单击并观察界面变化。任务2
32、 安全攻击任务网络监听sniffer952.3.4使用sniffer监听从外网发来的洪泛攻击数据定制过滤器建立名为udpflooding的过滤器,用于过滤udpflooding的数据报。在Advanced标签中选择IP-UDP,选中协议。选择定制的过滤器。任务2 安全攻击任务网络监听sniffer96选定过滤器查看新制定的过滤器,选定后单击“确定”按钮。任务2 安全攻击任务网络监听sniffer97开启sniffer监听启动外网主机对内网主机的洪泛攻击启动PC2中的udp洪泛攻击任务2 安全攻击任务网络监听sniffer98查看并分析sniffer的监听结果任务2 安全攻击任务网络监听snif
33、fer992.3.5 使用sniffer监听内网主机发往外网的重要数据定制过滤器源主机地址为可以上网的主机地址,调整任务拓扑的IP地址设置。选择此过滤器进行过滤。任务2 安全攻击任务网络监听sniffer100开启sniffer的监听功能启动内网主机登录外网主机网站的过程登录sina网站,并登录VIP信箱,进入邮箱界面。此时关闭sniffer的抓包过程,进行查看。查看并分析sniffer的监听结果停止后选择display-find frame。任务2 安全攻击任务网络监听sniffer101任务2 安全攻击任务网络监听sniffer定制查找条件。获取winnyxieml的sina邮箱登录密码。
34、1022.3.6使用sniffer制造特定的数据对网络进行干扰使用数据包生成器,生成数据包并按照特定的发送频率等参数向网络中发送数据。任务2 安全攻击任务网络监听sniffer103任务2 安全攻击任务网络监听sniffer1042.4 任务思考与练习如果希望定制的数据包类型为正确的局域网类型,数据的哪些字段需要进行怎样的调整?使用sniffer捕获特定的ping数据包,使用sniffer防造特定的arp查询报文,利用被查询对象的回复使特定主机添加arp缓存条目。任务2 安全攻击任务网络监听sniffer1053.1 任务目的 1了解扫描器和口令探测攻击过程;2了解常用扫描器的使用方式和功能;
35、3掌握使用扫描器扫描网络安全薄弱点和口令探测的方法。3.2 任务设备及要求设备:1X-Scan及SSS软件2具备IIS服务的目标服务器3客户端主机一台4交换机一台任务3 安全攻击任务扫描器+口令探测扫描拓扑具备IIS服务的服务器客户端主机106要求:1在客户端主机中安装扫描器和口令探测工具2客户端主机中启动扫描器扫描服务器中的端口弱口令用户列表3分析探测器探测结果4改进系统的网络安全性任务3 安全攻击任务扫描器+口令探测1073.3 任务步骤3.3.1在客户端主机中安装扫描器和口令探测工具运行文件x-scan_gui.exe启动x-scan的图形化界面。任务3 安全攻击任务扫描器+口令探测10
36、83.3.2安装SSS启动安装文件、完成安装过程。注册后,运行SSS进入其主界面。任务3 安全攻击任务扫描器+口令探测1093.3.3 在客户端主机中配置扫描器参数配置x-scan对服务器主机进行端口扫描的参数。任务3 安全攻击任务扫描器+口令探测1103.3.4在客户端主机中使用扫描器,分析扫描结果任务3 安全攻击任务扫描器+口令探测此主机目前开启了FTP,SMTP,NNTP和 HTTP服务 不必要的端口 13、17、19处于开放状态1113.3.4在客户端主机中使用扫描器,分析扫描结果如下图是利用扫描器探测出的此主机的FTP用户名口令和密码以及系统用户甚至是管理员的口令(空)。任务3 安全
37、攻击任务扫描器+口令探测112任务3 安全攻击任务扫描器+口令探测此主机已开启了此主机已开启了http服务,且所有服务,且所有的的http服务文件全服务文件全部使用默认的配置。部使用默认的配置。113任务3 安全攻击任务扫描器+口令探测SSS扫描器对同一台机器的扫描属性配置和结果。1143.3.5 改进系统的网络安全性1关闭简单tcp/ip服务打开开始程序管理工具服务。任务3 安全攻击任务扫描器+口令探测1152关闭http、smtp、nntp、ftp等服务任务3 安全攻击任务扫描器+口令探测1163更新管理员用户名和密码任务3 安全攻击任务扫描器+口令探测1173.3.6 再次进行扫描对x-
38、scan再进行一次扫描,查看扫描结果,观察是否还可以得到有关用户及口令的信息,并根据需要对主机进行进一步的安全性调整。任务3 安全攻击任务扫描器+口令探测1183.4 任务思考与练习如果关闭了windows系统的139端口,操作系统的哪些操作会受到影响?本任务主要使用了x-scan进行演示说明,SSS扫描的结果及分析可在课后练习获得。任务3 安全攻击任务扫描器+口令探测1194.1 任务目的 了解DOS攻击原理并进行UDP Flood攻击目标主机。4.2 任务设备及要求设备:1UDP Flooding/ping Flood 软件2目标主机一台3客户端主机一台4交换机一台任务4 安全攻击任务拒绝
39、服务攻击PC2PC1120要求:1启动攻击过程,观察并分析攻击对主机和网络造成的损害;2使用抓包过程分析攻击数据包的特点;3在受攻击主机中安装防攻击软件;4再次观察攻击和反攻击的过程。任务4 安全攻击任务拒绝服务攻击1214.3 任务步骤4.3.1按照任务拓扑连接主机并配置好网络属性PC1地址:192.168.1.10;PC2地址:192.168.1.11。在PC2中安装UDPflooding工具。任务4 安全攻击任务拒绝服务攻击1224.3.2启动PC1到PC2的持续连通性测试在CMD命令提示窗口中输入命令ping 192.168.1.11 t,测试PC1和PC2之间是否建立了连接。任务4
40、安全攻击任务拒绝服务攻击1234.3.3在PC1中启动sniffer抓UDP数据包在sniffer中定义一个过滤器。选择使用该过滤器。启动抓包过程。任务4 安全攻击任务拒绝服务攻击1244.3.3在PC1中启动sniffer抓UDP数据包在PC2中启动UDPflooding攻击平台对PC1进行攻击。任务4 安全攻击任务拒绝服务攻击1254.3.4观察PC1到PC2的持续连通性测试结果再次使用命令ping 192.168.1.11 t测试PC1到PC2的持续连通性:网络响应变慢,PC1的整体性能也受到很大的影响。任务4 安全攻击任务拒绝服务攻击1264.3.5 停止抓包,观察测试结果停止sniffer抓包过程,打开结果编码进行分析。任务4 安全攻击任务拒绝服务攻击1274.3.5 停止抓包,观察测试结果任务4 安全攻击任务拒绝服务攻击伪装数据包伪装数据包1284.4 任务思考与练习拒绝服务攻击的原理是什么?怎样使用sniffer制作SYN flooding攻击数据包?在客户端安装防攻击软件,再次启动攻击过程,观察受攻击主机状态和连通性测试状态。任务3 安全攻击任务扫描器+口令探测
