网络安全实验指导书（免费共享版）

网络安全实验指导手册

适用班级：网络班

前 言

伴随着计算机、通信和网络技术的飞速发展，网络安全问题亦愈演愈烈。政府、银行、企事业单位纷纷将安全问题提到重要日程，密切关注。越来越多的学者、专家和企业投身安全协议、安全技术、安全政策等研究开发行列，众多院校相继开设安全专业或将安全课程作为核心课程，以期进一步促进安全技术的发展，安全意识的培养，呼吁全民参与安全，共同构建安全的网络环境。

通过学习读者应对网络安全问题的产生和现状有所认识，网络底层协议在安全方面的先天性不足，是攻击频频不断发生的主要原因之一。因此本实验手册第一部分实验内容主要是分析网络通信和网络基础协议的原理和实现过程，为后续实验做准备。知己知彼，百战不殆，实验手册第二部分实验内容主要是针对计算机网络存在的主要威胁和漏洞而开设的，以帮助读者了解攻击原理和漏洞对计算机网络的严重威胁。居安思危，做好计算机网络安全预防工作，对于保证安全有着十分重大的意义，实验手册的第三部分实验内容主要讲述的是计算机网络安全预防保障技术。

为有效的利用实验设备，让学生参与实验全过程，本实验手册的部分实验由虚拟机配合完成。实验中所采用的软件版本不是最新版，并且每个实验均还有很多的后续实验内容，希望同学们能够在现有实验的基础上进一步深入学习。

目 录

第一部分 网络安全基础实验 ....................................................................................................... 5

实验一 网络通信分析 ........................................................................................................... 6

一、实验目的 ................................................................................................................... 7 二、实验环境 ................................................................................................................... 7 三、实验任务 ................................................................................................................... 7 四、实验原理及步骤 ....................................................................................................... 7 五．实验报告内容要求 ................................................................................................. 14 实验二 端口扫描实验 ......................................................................................................... 15

一、实验目的 ................................................................................................................. 17 二、实验设备和环境 ..................................................................................................... 17 三、实验任务 ................................................................................................................. 17 四、实验步骤 ................................................................................................................. 17 五、实验报告内容要求 ................................................................................................. 20

第二部分 漏洞和威胁 ................................................................................................................. 21

实验三 密码破解 ................................................................................................................. 22

一、实验目的 ................................................................................................................. 23 二、实验环境 ................................................................................................................. 23 三、实验任务 ................................................................................................................. 23 四、实验原理及步骤 ..................................................................................................... 23 五、实验报告内容要求 ................................................................................................. 30 实验四 Web漏洞攻击 .......................................................................................................... 31

一、实验目的 ................................................................................................................. 32 二、实验环境 ................................................................................................................. 32 三、实验任务 ................................................................................................................. 32 四、实验步骤 ................................................................................................................. 32 五、实验报告内容要求 ................................................................................................. 35 实验五 特洛伊木马攻击 ..................................................................................................... 36

一、实验目的 ................................................................................................................. 37 二、实验环境 ................................................................................................................. 37 三、实验任务 ................................................................................................................. 37 四、实验步骤 ................................................................................................................. 37 五、实验报告内容要求 ................................................................................................. 40 六、附件 ......................................................................................................................... 40

第三部分 网络安全基础实验 ..................................................................................................... 44

实验六 在Windows中使用证书和SSL ............................................................................ 45

一、实验目的 ................................................................................................................. 46 二、实验环境 ................................................................................................................. 46 三、实验步骤 ................................................................................................................. 46 四、实验报告内容要求 ................................................................................................. 54 实验七 防火墙部署配置自主设计实验 ............................................................................. 55

一、实验目的 ................................................................................................................. 56 二、实验设备和环境 ..................................................................................................... 56

三、实验任务 ................................................................................................................. 56 四、实验步骤 ................................................................................................................. 56 五、实验报告内容要求 ................................................................................................. 58 实验八 IDS入侵检测系统（snort） ................................................................................. 60

一、实验目的 ................................................................................................................. 61 二、实验设备和环境 ..................................................................................................... 61 三、实验任务 ................................................................................................................. 61 四、实验步骤 ................................................................................................................. 61 五、实验报告内容要求 ................................................................................................. 66 实验九 端口镜像实验 ......................................................................................................... 67

一、实验目的 ................................................................................................................. 69 二、实验设备和环境 ..................................................................................................... 69 三、实验任务 ................................................................................................................. 69 四、交换机配置示例 ..................................................................................................... 69 五、实验报告内容要求 ................................................................................................. 70

第一部分 网络安全基础实验

保护计算机网络的安全是件棘手的事情，有很多的问题要考虑，因此必须了解已知的弱点、可能的威胁以及检测攻击的方法，并制定相应的方案来处理可能的威胁。然而在能真正保护网络免遭攻击之前，必须首先了解网络，并且应该比攻击者更了解自己的网络。我们必须研究并了解自己的能力和限制、网络的主要应用以及是怎么样实现的。只有这样才能真正地看到弱点并采取必要的措施来保护。

这一部分的实验主要是利用网络分析工具和扫描工具，来了解网络通信的原理和过程，以及网络基础协议的实现过程，在实验中我们应将课堂上学到的理论知识充分的利用起来，特别是协议数据包的结构类型。

90分钟

实验一 网络通信分析

Ethereal 是一个强大的协议分析器和数据包嗅探软件。Ethereal具有设计完美的GUI 界面和众多分类信息及过滤选项。使用Ethereal可以很方便地对截获的数据包进行分析，包括该数据包的源地址、目的地址、所属协议等，以帮助网络人士分析网络流量和检修网络故障，但Ethereal同时也被心怀叵测的人利用来嗅探网络中传输的帐号、密码等有价值的信息。因此，熟悉Ethereal的工作原理和运行方式，能够帮助网络、安全人员有效的抵御黑客的攻击。 1、Ethereal功能：

? 网络管理员用以帮助解决网络问题； ? 网络安全工程师用以测试安全问题； ? 开发人员用以调试协议的实现过程； ? 学习人员用以深入的学习网络协议。 2、Ethereal特性：

? 支持Unix 、Linux和 Windows平台； ? 从网络接口上捕获实时数据包； ? 以非常详细的协议方式显示数据包； ? 可以打开或者存贮捕获的数据包； ? 导入/导出数据包，到其它的捕获程序； ? 按多种方式过滤数据包； ? 按多种方式查找数据包；

? 根据过滤条件，以不同的颜色显示数据包； ? 可以建立多种统计数据； ? ??

3、下载地址：http://www.ethereal.com/download.html；

一、实验目的

1. 熟悉Ethereal工具界面； 2. 掌握Ethereal的操作方式； 3. 掌握Ethereal的各操作选项； 4. 掌握用Ethereal分析协议过程。 二、实验环境

1. Windows XP Profeesional 2. Windows 2000 Advanced Server 3. ethereal-setup-0.99.0.exe 三、实验任务 1. 安装Ethereal； 2. 清除ARP缓存； 3. 启动并认识Ethereal；

4. 用Ethereal捕获各种协议会话； 5. 检查并分析捕获的会话； 6. 按条件过滤捕获的会话。 四、实验原理及步骤

（一）在XP系统上安装Ethereal

1. 双击ethereal-setup-0.99.0.exe；

2. 安装条例；

3. 选择组件，默认即可。

4．附加选项，默认即可。

5. 安装路径的选择

6. 安装WinPcap，Ethereal可透过WinPcap来劫取网络上的数据包。

7. 点击Install，直至安装完成。 （二）在Windows XP上清除ARP缓存

ARP缓存是一个内存区域，计算机在该区域存储着ARP表中所发现的信息。在启动捕获会话之前清除ARP缓冲可以更好地控制所捕获的数据。 1. 在“开始” 、“运行”里输入CMD进入DOS命令行。

2. 在命令行上，键入arp –a并回车查看。

3. 如果出现任何条目，用arp –d清除。

（三）启动并认识Ethereal

1. 从桌面或开始|程序|Ethereal处启动Ethereal，打开Ethereal主界面。 如图1－1所示。

图1-1 Ethereal主界面

2．在图1-1中选择Capture（捕获）菜单，打开捕获选项对话框，如图1－2所示。

图1－2 捕获菜单 3．在打开的捕获选项窗口中（如图1－3）：

Interface字段用于指定在哪个接口捕获数据。 IP地址字段，用于显示所选接口的IP地址。

Capture packets in promiscuous mode （在混杂模式捕获包），一般

选中该字段，该选项将设置网卡的接收模式为混杂模式。

Capture Filter（捕获过滤）字段，用于设定捕获过滤条件，默认为空。

图1-3 捕获选项窗口

4．选定之后直接单击上图中的Start按钮，开始进行捕获，如图1-4所示。

图1-4 开始从接口处捕获数据

5. 适当的时候单击上图中的Stop按钮，停止数据捕获，并出现捕获结果界面，如图1-5所示。

Ethereal主界面主要主要分成三部分，从这里大家可以详细的检查被捕获数据包。

数据包列表部分-----这部分展示了捕获的数据保概要。单击这部分的任 一数据包就可以在另外两个部分中显示更加详细的信息。其中，

? NO. -----数据包被接收的序号。

? TIME-----数据保被捕获的时间，相对于捕获的起始时间来计算。 ? Source-----源地址。 ? Destination-----目的地址。

? Protocol-----用于捕获数据包的协议。 ? Info-----数据包正在做什么的概要。

数据包列表部分 树型视图部分 数据视图部分

图1-6 在Ethereal中捕获的数据包

树型视图部分-----这一部分以树型格式展示所选数据包的详细信息。 数据视图部分-----该部分以十六进制格式显示捕获的数据。 6．设置过滤条件，进行数据包的过滤。

如果网络环境过于复杂，捕获的数据量将会很大。如果从头到尾分析每一个数据包将会很繁琐，因此学习使用Ethereal的过滤功能可以帮助我们接近正在寻找的信息，减轻工作负担。

在图1－6的Filter框中，输入过滤语句，如arp显示结果见图1－7所示：

注意：当在过滤框中输入的时候，如果语法不正确，背景将变成红色，如果正确则为绿色。

图1-7 过滤显示

（四）用Ethereal捕获FTP、HTTP协议会话。

1. 在Windows 2000 Advanced Server系统中，安装FTP和WEB服务器。 2. 在Windows XP Profeesional中，运行Ethereal并开始捕获数据包。 3. 访问Windows 2000 的FTP，拷贝一个文件。

4. 访问Windows 2000的WEB主页。 5. 停止Ethereal捕获。

（五）分析捕获的数据包，简述FTP和HTTP协议的实现过程。 五．实验报告内容要求 1. 简要的实验操作步骤； 2. 实验完成情况说明； 3. 实验过程中存在的问题； 4. 实验心得。

45分钟

实验二 端口扫描实验

网络服务或应用程序提供的功能由服务器或主机上的某个或多个进程来实现，端口则相当于进程间的大门，可以随便定义，其目的是为了让两台计算机能够找到对方的进程。“端口”在计算机网络领域是非常重要的概念，它是专门为网络通信而设计的，它是由通信协议TCP/IP定义，其中规定由IP地址和端口作为套接字，它代表TCP连接的一个连接端，一般称为SOCKET，具体来说，就是用[IP：端口]来定位主机中的进程。

可见，端口与进程是一一对应的，如果某个进程正在等待连接，称之为该进程正在监听。在计算机[开始]-[运行]里输入cmd进入dos命令行，然后输入netstat-a可以查看本机有哪些进程处于监听状态。根据TCP连接过程（三次握手），入侵者依靠端口扫描可以发现远程计算机上处于监听状态的进程，由此可判断出该计算机提供的服务，端口扫描除了能判断目标计算机上开放了哪些服务外还提供如判断目标计算机上运行的操作系统版本（每种操作系统都开放有不同的端口供系统间通信使用，因此从端口号上也可以大致判断目标主机的操作系统，一般认为开有135、139端口的主机为Windows系统，如果除了135、139外，还开放了5000端口，则该主机为Windows XP操作系统。）等诸多强大的功能。一旦入侵者获得了上述信息，则可以利用系统漏洞或服务漏洞展开对目标的攻击。

由上所述，端口扫描是一帮助入侵的工具，但是安全人员同样可以使用端口扫描工具定期检测网络中关键的网络设备和服务器，以查找系统的薄弱点，并尽快修复，因此理解端口扫描原理和熟练使用端口扫描工具对防治入侵有很大的帮助。

常见的TCP端口号 服务名称 FTP Telnet Http Pop3 Smtp Socks 端口号 21 23 80 110 25 1080 说明 文件传输服务 远程登陆服务 网页浏览服务 邮件服务 简单邮件传输服务 代理服务 常见的UDP端口号

服务名称 Rpc Snmp TFTP 端口号 111 161 69 说明 远程调用 简单网络管理 简单文件传输 常见的端口扫描工具：X-Scan、X-Port、Superscan、PortScanner等。

一、实验目的 1. 理解端口的概念； 2. 了解常用的端口扫描原理；

3. 能够熟练的使用常用的端口扫描工具进行弱点检测和修复。 二、实验设备和环境 1．具备基本的局域网环境； 2. PC机一台；

3. 版本为3.3的X-Scan端口扫描工具。 三、实验任务

1. 学习或听任课老师介绍关于端口扫描的基础知识； 2. 安装X-Scan扫描工具； 3. 使用X-Scan进行扫描； 4. 记录并分析扫描结果；

5. 根据扫描结果采取相应的措施巩固系统。 四、实验步骤

1. X-Scan是免安装软件，解压后直接双击xscan_gui.exe图标，如图8-1所示； 2. 双击xscan_gui.exe图标打开X-Scan主界面，如图8-2所示； 3. 认真学习主界面上的使用说明；

4．选择菜单中的设置选项，打开下拉菜单，选择扫描参数，打开扫描参数对话框，如图8-3所示；在该对话框的左边有三个设置选项①检测范围；②全局设置；③插件设置。使用扫描工具主要是理解扫描参数的作用；

5. 检测范围用以确定要扫描的目标或目标范围，现在检测范围内输入IP地址段192.168.4.2-192.168.4.10,如图8-4所示；

6. 展开全局设置选项，我们在“扫描模块”中可以定义扫描的主要内容，选择 的内容越多，将可能收集到信息越多，但扫描的时间就越长。“并发扫描”中的“最大并发线程数量”切忌不可设置太大，特别是对自己管理的网络设备或服务器扫描的时候，因为设置太大可能会导致扫描对象的异常。对于一般的扫描，我们可以使用XScan的默认设置；

图8-1 X-Scan文件内容

图8-2 X-Scan主界面

图8-3 X-Scan扫描参数对话框

图8-4 X-Scan扫描范围指定

7. “插件设置”中有很多名词术语，如SNMP中的WINS用户列表、NETBIOS等，请自行查找资料了解其涵义；

8. 设置完毕后开始扫描，如图8-5所示；

9. 认真观察扫描过程，待扫描结束后认真阅读自动生成的扫描报告（生成的检测报告可以是HTML、WORD等格式类型，可以打印，有时可以直接作为安全测试报告）。

10. 分析扫描目标存在的问题，并拟定解决措施。

图8-5 检测过程 五、实验报告内容要求 1. 具体的操作步骤； 2. 实验完成情况说明； 3. 实验过程中存在的问题； 4. 实验心得。

一、实验目的

完成本实验，应能够：

1．列举浏览器所配置的受信任的证书颁发机构。 2．安装并配置证书颁发机构服务器。 3．创建证书请求。 4．颁发/签署证书。 5．用SSL安全化Web站点。

6．描述当以SSL连接时Web页面使用的过程。 二、实验环境

1. Windows XP Professional（与2000系统机器能相互访问） 2. Windows 2000 Advanced Server（IP：192.168.174.128） 要求配置了默认Web服务器。

3. Windows 2000 Advanced Server 安装CD或ISO 三、实验步骤

（一）查看受信任的根证书颁发机构

Web浏览器通常配置了许多来自证书颁发机构的证书，先来看一下。 在Windows XP Professional PC机：

1. 打开Internet Explorer； 2. 单击[工具]-[Internet选项]；

3. 选中[内容]选项卡，并在内容窗口中单击[证书]；

4. 在打开的证书窗口中选择[受信任的根证书颁发机构]，出现图6－2。

图6-2 浏览器 中受信 任的根 证书

5. 在打开的证书窗口中任意双击一个证书，查看该证书的有效期和作用。

（二）安装并配置证书颁发机构服务器

将Windows 2000 Advanced Server配置成证书颁发机构服务器。 1. 在控制面板里选择添加/删除程序，再选择安装/删除Windows组件。 2. 在组件对话框中选择“证书服务”选项，打开Windows组件安装向导开始安装证书。

3. 在证书颁发机构类型窗口中选中[独立根 CA(S)] ，如图6－3，单击“下一步”继续。

图 6-3 证书颁发机构类型

4. 在CA标识信息窗口，参照图6－4进行CA名称、组织、部门、城市、省份、国家、邮件等信息的填写。

5. 在数据存储路径窗口，保持默认选项，单击“下一步” ，继续。 6. 指定数据存储位置之后，会出现警告窗口，提示你将停止Internet信息服务，选择“确定”，继续安装证书。

7. 插入系统盘或选择ISO文件路径，完成证书服务的安装。

（三）创建证书请求

Web服务器需要为证书创建一个请求。在这个过程中，Web服务器将创建自

己的密钥对，其中的公钥将是证书请求的一部分。

图 6-4 CA标识信息

1. 在控制面板内打开“管理工具”，选择“Internet服务管理器” 。 2. 在树型窗格中，右击“默认Web站点”并选中属性。

3. 单击“目录安全性”选项卡，单击“服务器证书” ，打开Web服务器证书向导的欢迎界面并单击“下一步”继续。

4. 在服务器证书界面，选中“创建一个新证书”选项，继续。

5. 在稍后或立即请求界面，选中“现在准备请求，但稍后发送”选项，继续。

6. 在命名和安全设置界面，参照图6－5： a) 名称：默认Web站点 b) 位长：1024 c) 单击下一步，继续

7. 在组织信息界面，参照图6－6： d) 对于组织，键入hnsoft e) 对于部门，键入wlab f) 单击下一步，继续

8. 在证书请求文件名界面，接受默认的C:\\certreq.txt，继续。这个文件将是用来从证书服务器请求证书的文件。

9. 默认继续，完成创建证书请求。

图6-5 命名和安全设置

图6-6 组织信息

（四）提交证书请求

此步骤将要从Web服务器把证书请求提交到证书服务器。

1. 在桌面上双击Internet Explorer图标打开浏览器，在地址栏中输入http://192.168.174.128/certsrv/ 并回车确认。

2. 在打开的证书服务欢迎页面上，选择“申请证书” ，如图6－7，继续。

图6-7 申请证书

3. 在选择申请类型页面上，选择“高级申请” ，继续。

4. 在高级证书申请页面上，选中“使用base64编码的??更新证书申请” ，单击“下一步”继续。

5. 打开C:/certreq.txt，复制其中的内容。

6. 将刚复制的内容，粘贴到‘提交一个保存的申请’页面的文本框中，如图 6－8所示，单击“提交”。

7. 这个时候大家可以看到证书被挂起的页面，如图6－9所示，这是因为申请证书需要通过证书服务器验证身份。

（五）颁发证书

服务器在申请证书之后，需通过证书服务器的验证，本步骤将告诉大家如何颁发证书。

第二部分 漏洞和威胁

诸如服务器、工作站、交换机、路由器和防火墙等设备对维护网络有着重要的意义。然而，不管支撑网络系统的设备有多么重要，网络的真正价值都不是在这些设备之上，而是在于其数据。在绝大多数情况下，数据比设备更昂贵。

网络安全的目标是保护数据，保护数据的特性，即数据的机密性、完整性和有效性，对数据特性的损害就可以认为是个漏洞。威胁是任何可能利用某些漏洞的危害。数据损害可能发生在存储、处理或传输的每一种状态下，并且被攻击的方式各种各样，随着技术的发展，还会有更多意想不到的攻击方式诞生。在这一部分的实验中，我们将看到几种常见的攻击模式，虽然其中的某些攻击方式可能已经再行不通，但了解它们的攻击原理和手法，对于我们今后的安全处理将非常有帮助。

50分钟

实验三 密码破解

访问大多数网络都受限于用户帐户和密码的组合。很多攻击者/破坏者进入

网络或主机并不是通过直接获取网络或主机的密码，而是钻了系统或软件服务漏洞的空子，因此，一旦他们进入系统，第一件要做的事情就是获取系统的管理权限，即获取用户名和密码，特别是管理员权限的帐号和密码。

得到密码最直接的办法就是破解它。Microsoft Windows系列操作系统的用户名密码都存储在系统文件中，但是密码不是以明文形式存在，而是通过单向散列函数进行了转换处理——密码哈希。要破解密码的第一步就是要取得系统中的密码哈希。第二步是破解。

由于单向散列函数是不可逆的，所以无法直接通过哈希逆转得到密码。但是破解程序可以采用同样的方式加密字符串得到哈希值，如果破解程序加密某个字符串得到的哈希值与取得的哈希值相等，那么就能判定这个字符串就是系统密码。破解方法一般有三种：一是字典攻击，二是混合攻击，三是暴力攻击。 字典攻击所用的字典文件包含一套通常用作密码的单词，处于字典文件内的密码可以几秒钟被破解。

混合攻击是使用其他的技术与字典攻击相结合的攻击方法。这种类型的攻击可能试图组合字典中的单词，以获得由两个或更多字典单词所组成的密码。

暴力攻击是密码破解的另一种方式，其将会顺序尝试可用字符的每个可能的组合。暴力攻击可以占用几天甚或几个月，破解时间的长短取决于密码的强度以及计算机进行破解的处理能力。攻击者可以通过使用分布式的密码破解程序加速破解过程。

本实验将要用不同类型的密码创建用户账户。然后用pwdump3来获取密码的哈希，并用LC4破解程序尝试破解。

一、实验目的

1. 创建有着不同强度密码的新用户账户； 2. 掌握破解密码的必要步骤； 3. 掌握如何获取密码哈希； 4. 掌握如何执行密码破解过程；

5. 理解密码强度对于保障系统/网络安全的重要性。 二、实验环境

1、Windows XP Professional（与2000系统机器能相互访问）

要求安装有用以获取密码哈希的软件pwdump3和用以破解哈希的软件LC4。 2、Windows 2000 Advanced Server（IP：192.168.174.128） 3、完成此实验必须先获取管理员账号和密码。 三、实验任务

1. 在Windows 2000上创建不同密码的账户。 2. 在Windows XP上运行pwdump3。

3. 使用pwdump3获取Windows 2000密码哈希。 4. 在Windows XP上运行LC4进行密码的破解。 四、实验原理及步骤

（一）在Windows 2000上创建不同密码的账户 用户名 密码 User1 123 User2 happy User3 big

（二）在Windows XP Professional运行pwdump3

1. 解压pwdump3到C盘； 2. 在dos下运行pwdump3；

3. 首先在dos下定位到pwdump3文件所在的位置；

用户名 密码 User4 123happy User5 bighappy User6 hello!@# 4. 输入pwdump3，回车，如图4-1所示；观察pwdump3的用法；

图3-1 运行并使用pwdump3

5. 键入pwdump3 192.168.174.128 pass.txt administrator，回车，如图4-2所示。上述命令中192.168.174.128为目标机器的IP地址，文件pass.txt用以存储获取的密码哈希。Administrator是目标机器上具备管理权限的账户。

图4-2 命令的使用

图3-2 命令的使用

6．接下来在提示符下输入密码（这要求事先知道目标机器上的一个具有管

理员权限的账户和密码，也许读者会觉得这样一来此次密码的破解已经毫无意义。但是很多时候攻击者是通过系统或软件的漏洞进入系统的，进入系统后他们先创建一个管理员账户，然后通过该账户获取系统原有账户，因为新建账户很容易被系统管理员察觉。）

7. 输入密码后，将会得到Completed提示，如图4-3所示。

图 3-3 命令完成提示

8. 在图4-3中键入pass.txt并回车，可以看到获取的用户账户以及密码哈希。

（三）安装并注册LC4

1. 解压LC4.rar，并安装LC4。

2. 将解压出的klc4.exe拷贝至LC4的安装路径下。 3. 双击klc4.exe开始注册LC4，如图4-4所示。 4．在图4-4中直接点击关闭，将出现图4-5所示窗口。 5．在图4-5窗口中点击Rigester，将出现图4-6所示窗口。

6．直接点击OK，将出现图4-7所示窗口。在该窗口中注册码一栏中，K字母前面的字符串即是注册码。

7．将注册码拷贝至图4-6注册界面的解码（unlock code）一栏中，即可完成最后注册。

图3-4 开始运行注册机

图3-5 注册开始界面

图3-6 注册界面 图3-7 注册码

（四）配置LC4并破解密码哈希。

1. 在开始-所有程序中运行LC4，将出现LC4配置向导，如图4-8所示。

图3-8 注册向导

2. 在图4-8中单击下一步，将出现图4-9所示界面（获取哈希密码）。该界

图3-9 获取密码哈希

面中有几个选项，我们选择第二个选项（Retrieve from remote machine，从远程机器获取）。

3. 在图4-9中单击下一步，将出现图4-10所示界面（选择破解模式）。在该界面中，Quick Password Auditing选项表示快速密码破解；Common Password Auditing普通密码破解；Strong Password Auditing复杂密码破解；Custom表示自定义破解方式。我们选择复杂密码破解。

图3-10 选择审核方式

4. 在图4-10中单击下一步，将出现图4-11所示界面（选择报告格式）。在该界面中，几个选项分别是①显示已破解的密码；②显示加密的密码散列；③显示破解密码所用的时间；④显示破解模式；⑤完成后创建可视提示。我们将所有选项均选中。

5. 下一步，完成LC4的配置。将出现图4-11所示界面。点击小窗口中的cancel按钮，进入LC4界面。

6．按图4-12所示界面，选择Inport From PWDUMP File选项，导入前面我们用PWDUMP3获取的哈希文件pass.txt。

7．按图4-13所示界面，选择Begin Audit选项，开始破解。 8．自行观察密码破解过程。从破解时间可以看出强弱密码的区别。

图3-11 LC4主界面

图3-12 导入哈希文件

图3-13 开始破解

五、实验报告内容要求 1．简要的实验操作步骤； 2．实验完成情况说明； 3．实验过程存在着的问题； 4．实验心得。

60分钟

实验五 特洛伊木马攻击

随着网络安全技术的发展，网络直接攻击的困难程度越来越大，因此更多的攻击者乐意采用特洛伊木马作为基本的攻击方式。特洛伊木马，又名“Trojan horse”，其名称取自希腊神话的特洛伊木马记。

它是一种基于远程控制的黑客工具，具有隐蔽性和非授权性的特点。 木马的结构：

(1)硬件部分：建立木马连接所必须的硬件实体。 控制端：对服务端进行远程控制的一方。 服务端：被控制端远程控制的一方。 INTERNET：控制端对服务端进行远程控制，数据传输的网络载体。

(2)软件部分：实现远程控制所必须的软件程序。 控制端程序：控制端用以远程控制服务端的程序。 木马程序：潜入服务端内部，获取其操作权限的程序。 木马配置程序：设置木马程序的端口号，触发条件，木马名称等，使其在服务端藏得更隐蔽的程序。

(3)具体连接部分：通过INTERNET在服务端和控制端之间建立一条木马通道所必须的元素。 控制端IP，服务端IP：即控制端，服务端的网络地址，也是木马进行数据传输的目的地。 控制端端口，木马端口：即控制端，服务端的数据入口，通过这个入口，数据可直达控制端程序或木马程序。 木马入侵的原理： 一.配置木马

这一阶段主要是完成两方面的工作①伪装木马，采用的手段很多，如修改图标、捆绑文件、定制端口等；②设置信息反馈方式，如使用邮件或QQ反馈。 二.传播木马

木马的传播方式很多，但主要通过邮件附件和软件下载进行传播。 三.运行木马

木马自动安装和运行，详细内容请参考附件。 四.信息泄露:

木马收集信息并通过设置的反馈方式将收集到的信息发回客户端。 五.建立连接：

木马的服务端和客户端建立连接。 六.远程控制：

客户端通过木马的服务端程序远程控制受害机。

一、实验目的

完成本实验，应能够：

1．了解特洛伊的基本组成、基本功能以及操作方式。 2．了解特洛伊的破坏能力。

3．根据对特洛伊的了解提出防御方法。 二、实验环境

1. Windows XP Professional（与2000系统机器能相互访问）； 2. Windows 2000 Advanced Server（IP：192.168.174.128）； 3. 实验软件，nbpro210.exe。 三、实验任务

1.学习木马的基本知识； 2.掌握木马的安装与配置；

3.学习如何利用木马来远程控制计算机；

4.通过实验对木马攻击原理的了解，制定木马的防范措施。 四、实验步骤 （一）安装NETBUS

在windows xp上：

1. 双击NB20pro.exe开始安装NETBUS，安装时全部使用默认设置，直至安装完毕。

（二）部署NETBUS并启动服务器

在windows xp上：

1. 打开netbus的安装目录,复制NBSvr.exe；

2. 单击[开始]-[运行]，在运行里键入\\\\192.168.174.128\\c$，回车登陆到 Windows 2000系统；

3. 右键复制NBSvr.exe到C盘；

以上步骤实现的是木马的传播，实验中我们采取的是最简单的直接访问的形 式，在现实当中，这种方式很难凑效，前面我们提到过木马的常见传播方式是邮

件附件和软件捆绑下载；

4. 复制后，双击打开，第一次运行时将弹出NetBus对话框，如图5-1所示。

图5-1 NetBus对话框 图5-2 设置对话框 5. 单击[settings]，弹出如图5-2所示对话框；

① 勾选Accept connection；

② 在Visibility of server下拉菜单中选择 Only in tasklist； ③ 在Access mode下拉菜单中选择Full access； ④ 勾选Autostart every Windows session； ⑤ 单击OK。

（三）运行客户端并控制目标

Netbus提供了搜索网络，查找任何正在运行的netbus服务器的能力。 在windows XP上：

1. 单击[开始]-[程序]-[Netbus Pro]-[Netbus]，打开木马客户端程序； 2. 在Netbus菜单条上，单击[Host]-[Find]，如图5-3所示；

3. 在弹出的对话框中键入搜索IP范围，键入192.168.174.128 -192.168. 174.200如图5-4所示，点击start；

4. 扫描完成时，在弹出的Information上，单击OK；

5. 选择找到的计算机并单击Add，在Destination框中，任意键入一个描 述，如wlab；

6. 从列表中右击wlab并选中connect，如图5-5所示；

可以用netbus获取关于服务器的信息，诸如正在运行的Windows版本是什 么，以及硬盘驱动器有多大等。

7．连接成功后，保持窗口打开着，单击[开始]-[运行]，键入cmd进入命令行。并键入netstat：

查看netbus正在使用哪个端口连接到目标计算机？

8. 自行使用netbus看能够获取目标计算机的哪些信息以及能够对目标计算机采取什么样的操作？

图 5-3 查找目标 图5-4 选择IP搜索范围

图5-5 连接目标计算机

五、实验报告内容要求

1. 实验具体操作步骤； 2. 实验完成情况说明； 3. 实验过程中存在的问题； 4. 实验心得。 六、附件

木马历史：

从木马的发展来看，基本上可以分为两个阶段。 最初网络还处于以UNIX平台为主的时期，木马就产生了，当时的木马程序的功能相对简单，往往是将一段程序嵌入到系统文件中，用跳转指令来执行一些木马的功能，在这个时期木马的设计者和使用者大都是些技术人员，必须具备相当的网络和编程知识。 而后随着WINDOWS平台的日益普及，一些基于图形操作的木马程序出现了，用户界面的改善，使使用者不用懂太多的专业知识就可以熟练的操作木马，相对的木马入侵事件也频繁出现，而且由于这个时期木马的功能已日趋完善，因此对服务端的破坏也更大了。

所以所木马发展到今天，已经无所不用其极，一旦被木马控制，你的电脑将毫无秘密可言。

原 理 篇 一.木马组成

一个完整的木马系统由硬件部分，软件部分和具体连接部分组成。 1硬件部分：建立木马连接所必须的硬件实体。 控制端：对服务端进行远程控制的一方。 服务端：被控制端远程控制的一方。 INTERNET：控制端对服务端进行远程控制，数据传输的网络载体。

2软件部分：实现远程控制所必须的软件程序。 控制端程序：控制端用以远程控制服务端的程序。 木马程序：潜入服务端内部，获取其操作权限的程序。 木马配置程序：设置木马程序的端口号，触发条件，木马名称等，使其在服务端藏得更隐蔽的程序。

3 具体连接部分：通过INTERNET在服务端和控制端之间建立一条木马通道所必须的元素。 控制端IP，服务端IP：即控制端，服务端的网络地址，也是木马进行数据传输的目的地。 控制端端口，木马端口：即控制端，服务端的数据入口，通过这个入口，数据可直达控制端程序或木马 程序。

二.木马原理

用木马这种黑客工具进行网络入侵，从过程上看大致可分为六步，下面我们就按这六步来详细阐述木马的攻击原理。 1.配置木马

一般来说一个设计成熟的木马都有木马配置程序，从具体的配置内容看，主要是为了实现以下两方 面功能：

(1)木马伪装：木马配置程序为了在服务端尽可能的好的隐藏木马，会采用多种伪装手段，如修改图标 ，捆绑文件，定制端口，自我销毁等，我们将在“传播木马”这一节中详细介

绍。

(2)信息反馈：木马配置程序将就信息反馈的方式或地址进行设置，如设置信息反馈的邮件地址，IRC号 ，ICO号等等，具体的我们将在“信息反馈”这一节中详细介绍。

2.传播木马 (1)传播方式:

木马的传播方式主要有两种:一种是通过E-MAIL,控制端将木马程序以附件的形式夹在邮件中发送出 去, 收信人只要打开附件系统就会感染木马;另一种是软件下载，一些非正规的网站以提供软件下载为 名义， 将木马捆绑在软件安装程序上，下载后，只要一运行这些程序，木马就会自动安装。 (2)伪装方式:

鉴于木马的危害性,很多人对木马知识还是有一定了解的,这对木马的传播起了一定的抑制作用,这 是木马设计者所不愿见到的,因此他们开发了多种功能来伪装木马,以达到降低用户警觉,欺骗用户的目 的。 ①修改图标

当你在E-MAIL的附件中看到这个图标时,是否会认为这是个文本文件呢?但是我不得不告 诉你,这也有可能是个木马程序,现在 已经有木马可以将木马服务端程序的图标改成HTML,TXT, ZIP等各种文件的图标,这有相当大的迷 惑性,但是目前提供这种功能的木马还不多见,并且这种 伪装也不是无懈可击的,所以不必整天提 心吊胆,疑神疑鬼的。 ②捆绑文件

这种伪装手段是将木马捆绑到一个安装程序上,当安装程序运行时,木马在用户毫无察觉的 情况下 ,偷偷的进入了系统。至于被捆绑的文件一般是可执行文件(即EXE,COM一类的文件)。

③出错显示

有一定木马知识的人都知道,如果打开一个文件,没有任何反应,这很可能就是个木马程序, 木马的 设计者也意识到了这个缺陷,所以已经有木马提供了一个叫做出错显示的功能。当服务 端用户打开木 马程序时,会弹出一个如下图所示的错误提示框(这当然是假的),错误内容可自由 定义,大多会定制成 一些诸如“文件已破坏，无法打开的！”之类的信息，当服务端用户信以 为真时,木马却悄悄侵入了 系统。 ④定制端口

很多老式的木马端口都是固定的,这给判断是否感染了木马带来了方便,只要查一下特定的 端口就 知道感染了什么木马,所以现在很多新式的木马都加入了定制端口的功能,控制端用户可 以在1024---65535之间任选一个端口作为木马端口(一般不选1024以下的端口)，这样就给判断 所感染木马类型带 来了麻烦。 ⑤自我销毁

这项功能是为了弥补木马的一个缺陷。我们知道当服务端用户打开含有木马的文件后，木马 会将自己拷贝到WINDOWS的系统文件夹中(C:\\WINDOWS或C:\\WINDOWS\\SYSTEM目录下)，一般来说 原木马文件 和系统文件夹中的木马文件的大小是一样的(捆绑文件的木马除外),那么中了木马 的朋友只要在近来 收到的信件和下载的软件中找到原木马文件,然后根据原木马的大小去系统 文件夹找相同大小的文件, 判断一下哪个是木马就行了。而木马的自我销毁功能是指安装完木 马后，原木马文件将自动销毁，这 样服务端用户就很难找到木马的来源，在没有查杀木马的工 具帮助下，就很难删除木马了。 ⑥木马更名

安装到系统文件夹中的木马的文件名一般是固定的，那么只要根据一些查杀木马的文章,按

图索骥在系统文件夹查找特定的文件,就可以断定中了什么木马。所以现在有很多木马都允许控 制端用户自由定制安装后的木马文件名，这样很难判断所感染的木马类型了。

3.运行木马

服务端用户运行木马或捆绑木马的程序后,木马就会自动进行安装。首先将自身拷贝到WINDOWS的 系统文件夹中(C:\\WINDOWS或C:\\WINDOWS\\SYSTEM目录下),然后在注册表,启动组,非启动组中设置好木马 的触发条件 ,这样木马的安装就完成了。安装后就可以启动木马了，具体过程见下图： (1)由触发条件激活木马

触发条件是指启动木马的条件,大致出现在下面八个地方:

①注册表:打开HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\下的五个以Run 和RunServices主键,在其中寻找可能是启动木马的键值。

②WIN.INI:C:\\WINDOWS目录下有一个配置文件win.ini，用文本方式打开，在[windows]字段中有启动 命令 load=和run=,在一般情况下是空白的,如果有启动程序,可能是木马。 ③③SYSTEM.INI:C:\\WINDOWS目录下有个配置文件system.ini，用文本方式打开，在[386Enh],[mic]， [drivers32]中有命令行,在其中寻找木马的启动命令。 ④Autoexec.bat和Config.sys:在C盘根目录下的这两个文件也可以启动木马。但这种加载方式一般都 需要控制端用户与服务端建立连接后，将已添加木马启动命令的同名 文件上传 到服务端覆盖这两个文件才行。 ⑤*.INI:即应用程序的启动配置文件，控制端利用这些文件能启动程序的特点，将制作好的带有木马 启动命令的同名文件上传到服务端覆盖这同名文件，这样就可以达到启动木马的目的了。

⑥注册表:打开HKEY_CLASSES_ROOT\\文件类型\\shell\\open\\command主键,查看其键值。举个例子,国产 木马“冰河”就是修改HKEY_CLASSES_ROOT\\txtfile\\shell\\open\\command下的键值,将“C :\\WINDOWS \\NOTEPAD.EXE %1”该为“C:\\WINDOWS\\SYSTEM\\SYXXXPLR.EXE %1”，这时你双 击一个TXT文件 后，原本应用NOTEPAD打开文件的，现在却变成启动木马程序了。还要说明 的是不光是TXT文件 ，通过修改HTML，EXE，ZIP等文件的启动命令的键值都可以启动木马 ，不同之处只在于“文件类型”这个主键的差别，TXT是txtfile,ZIP是WINZIP，大家可以 试着去找一下。

⑦捆绑文件:实现这种触发条件首先要控制端和服务端已通过木马建立连接，然后控制端用户用工具 软件将木马文件和某一应用程序捆绑在一起，然后上传到服务端覆盖原文件，这样即使 木马被删 除了，只要运行捆绑了木马的应用程序，木马又会被安装上去了。 ⑧启动菜单:在“开始---程序---启动”选项下也可能有木马的触发条件。 (2)木马运行过程

木马被激活后，进入内存，并开启事先定义的木马端口，准备与控制端建立连接。这时服务端用 户可以在MS-DOS方式下，键入NETSTAT -AN查看端口状态，一般个人电脑在脱机状态下是不会有端口 开放的，如果有端口开放，你就要注意是否感染木马了。下面是电脑感染木马后，用NETSTAT命令查 看端口的两个实例： 其中①是服务端与控制端建立连接时的显示状态，②是服务端与控制端还未建立连接时的显示状态。

在上网过程中要下载软件，发送信件，网上聊天等必然打开一些端口，下面是一些常用的端口：

※1---1024之间的端口：这些端口叫保留端口，是专给一些对外通讯的程序用的，如FTP使用21， SMTP使用25，POP3使用110等。只有很少木马会用保留端口作为木马端口 的。

※1025以上的连续端口：在上网浏览网站时，浏览器会打开多个连续的端口下载文字，图片到本地 硬盘上，这些端口都是1025以上的连续端口。 ※4000端口：这是OICQ的通讯端口。

※6667端口：这是IRC的通讯端口。 除上述的端口基本可以排除在外，如发现还有其它端口打开，尤其是数值比较大的端口，那就要怀疑 是否感染了木马，当然如果木马有定制端口的功能，那任何端口都有可能是木马端口。

4.信息泄露: 一般来说，设计成熟的木马都有一个信息反馈机制。所谓信息反馈机制是指木马成功安装后会收集 一些服务端的软硬件信息，并通过E-MAIL，IRC或ICO的方式告知控制端用户。

5.建立连接：

这一节我们讲解一下木马连接是怎样建立的 。一个木马连接的建立首先必须满足两个条件：一是 服务端已安装了木马程序；二是控制端，服务端都要在线 。在此基础上控制端可以通过木马端口与服务端建立连接。

6.远程控制：

木马连接建立后，控制端端口和木马端口之间将会出现一条通道， 控制端上的控制端程序可藉这条通道与服务端上的木马程序取得联系,并通过木马程序对服务端进行远 程控制。下面我们就介绍一下控制端具体能享有哪些控制权限，这远比你想象的要大。

(1)窃取密码：一切以明文的形式，*形式或缓存在CACHE中的密码都能被木马侦测到，此外很多木马还 提供有击键记录功能，它将会记录服务端每次敲击键盘的动作，所以一旦有木马入侵， 密码将很容易被窃取。

(2)文件操作：控制端可藉由远程控制对服务端上的文件进行删除,新建,修改,上传,下载,运行,更改属 性等一系列操作,基本涵盖了WINDOWS平台上所有的文件操作功能。

(3)修改注册表：控制端可任意修改服务端注册表，包括删除，新建或修改主键，子键，键值。有了这 项功能控制端就可以禁止服务端软驱，光驱的使用，锁住服务端的注册表，将服务端 上木马的触发条件设置得更隐蔽的一系列高级操作。

(4)系统操作：这项内容包括重启或关闭服务端操作系统，断开服务端网络连接，控制服务端的鼠标，键盘，监视服务端桌面操作，查看服务端进程等，控制端甚至可以随时给服务端发送信息。

第三部分 预防与检测

对于网络安全工作而言，亡羊补牢虽是势在必行，但是做好足够的预防入侵工作，防患于未然才是最重要的。

通过前两部分的实验，我们基本上知道了网络的运行过程，网络系统存在的主要漏洞和威胁，那么我们可以在此基础上通过监控、检测等一系列的手段来发现入侵并及时的阻止入侵，如我们可以采用加密的信道进行数据传输，我们可以安装防火墙来检查出入网络的数据包，还可以通过IDS来监控必要的流量，以发现入侵等。这一部分的实验就是为实现上述目标而展开的。

60分钟

实验六 在Windows中使用证书和SSL

超文本传输协议（HTTP）以明文传输信息，这样很容易造成信息泄漏或遭受攻击，特别是在电子商务领域，使用HTTP更是危险致极。为安全个人或金融信息的传输，Netscape开发了安全套接字层（SSL）协议来管理信息的加密。它在电子商务中已经无处不在，并且流行的浏览器和服务器都支持它。

当使用SSL连接到Web服务器时，地址栏中的URL将显示https。SSL在传输层使用TCP端口443。

证书颁发机构是受信任的机构，它通过为实体创建一个电子文档（称为数字证书）来证明实体的身份，该数字证书将身份与公钥之间建立一种关联。证书颁发机构有公共证书机构和内部证书机构，其中：

公共证书颁发机构是在世界范围内颇具权威的组织，它负责验证实体的身份并为其创建和维护证书。公共CA的一些组织如VeriSign、Entrust和Baltimore。

内部证书颁发机构由实体自行执行、维护并控制。这通常用于内部员工的雇员和设备，也用于客户和合伙人。

为了在Web服务器上使用证书进行身份认证，需要采取下图（图1－1）若干步骤。

1.创建证书请求5.配置Web服务器来认证用户2.提交证书请求4.下载证书3.发布证书证书服务器WEB服务器6.安全地访问Web服务器客户端计算机

图6-1 使用证书进行身份认证

本实验中将首先看看默认情况下什么证书颁发机构被配置来与浏览器合作。然后将创建一个证书颁发机构服务器，设置一个Web服务器来使用SSL，并测试新的配置。

本文来源：https://www.bwwdw.com/article/q39d.html