入侵检测系统实训教程PPT课件.pptx

入侵检测系统实训教程 1 2020 3 22 2 入侵检测系统实训教程 定义入侵检测系统 IntrusionDetectionSystem IDS 是一种安全设备 它依照一定的安全策略 通过软件 硬件 对网络 系统的运行状况进行监视 尽可能发现各种攻击企图 攻击行为或者攻击结果 以保证网络系统资源的机密性 完整性和可用性 IDS是防火墙之后的第二道安全闸门 必要性传统的防火墙在工作时 存在两方面的不足 一 防火墙完全不能阻止来自内部的攻击 二 由于性能的限制 防火墙通常不能提供主动的 实时的入侵检测能力 入侵检测系统可以弥补防火墙的不足 为网络安全提供实时的入侵检测及采取相应的防护手段 2020 3 22 3 入侵检测系统实训教程 功能任务1 实时检测实时监视 分析网络中所有的数据报文 发现并实时处理所捕获的数据报文 2 安全审计对系统记录的网络事件进行统计分析 发现异常现象 得出系统的安全状态 找出所需要的证据 3 主动响应主动切断连接或与防火墙联动 调用其他程序处理 2020 3 22 4 入侵检测系统实训教程 分类入侵检测系统基本分为2类 1 基于主机的入侵检测系统 HIDS 以操作系统日志 应用程序日志等作为数据源保护所在的系统 一般只能检测该主机上发生的入侵 2 基于网络的入侵检测系统 NIDS 其输入数据来源于网络的信息流 能够检测该网段上发生的网络入侵 2020 3 22 5 入侵检测系统实训教程 工作流程入侵检测系统为了分析 判断特定行为或者事件是否为违反安全策略的异常行为或者攻击行为 需要经过四个过程 1 数据采集阶段 网络入侵检测系统 NIDS 或者主机入侵检测系统 HIDS 都需要采集必要的数据用于入侵分析 2 数据过滤及缩略 根据预定义的设置 进行必要的数据过滤及缩略 从而提高检测 分析的效率 3 检测 分析 根据定义的安全策略 进行检测 分析 4 报警及响应 一旦检测到违反安全策略的行为或者事件 进行报警及响应 2020 3 22 6 入侵检测系统实训教程 2020 3 22 7 入侵检测系统实训教程 网络入侵检测技术模式匹配技术 假定所有入侵行为和手段 及其变种 都能够表达为一种模式或特征 那么所有已知的入侵方法都可以用匹配的方法发现 模式匹配的关键是如何表达入侵的模式 把真正的入侵与正常行为区分开来 模式匹配的优点是误报少 局限是只能发现已知的攻击 对未知的攻击无能为力 异常检测技术 异常检测技术假定所有入侵行为都是与正常行为不同的 如果建立系统正常行为的轨迹 那么理论上可以把所有与正常轨迹不同的系统状态视为可疑企图 对于异常阀值与特征的选择是异常发现技术的关键 比如 通过流量统计分析将异常时间的异常网络流量视为可疑 异常检测技术的局限是并非所有的入侵都表现为异常 而且系统的轨迹难于计算和更新 协议分析技术 协议分析是目前最先进的检测技术 通过对数据包进行结构化协议分析来识别入侵企图和行为 协议分析是根据构造好的算法实现的 这种技术比模式匹配检测效率更高 并能对一些未知的攻击特征进行识别 具有一定的免疫功能 2020 3 22 8 入侵检测系统实训教程 案例拓扑图图标 二层百兆交换机 高端路由交换机 路由器 IDS 服务器 终端 防火墙 2020 3 22 入侵检测系统实训教程 单元1IDS系统部署单元2查询工具的安装与使用单元3安全响应策略的配置及联动单元4常见攻击模拟 9 2020 3 22 单元1IDS系统部署 任务1IDS传感器安装配置任务2IDS软件支持系统安装配置任务3IDS监控与管理环境搭建 10 2020 3 22 11 1 1任务目的1 理解DCNIDS系统构成 2 掌握DCNIDS传感器的配置要点 1 2任务设备及要求设备 DCNIDS 1800系列设备一台 要求 使用串口连接硬件设备的命令行界面 掌握IDS传感器的配置要点 任务1IDS传感器安装配置 2020 3 22 12 1 3任务步骤1 3 1连接硬件设备 进行拓扑环境搭建 1 连接好配置线缆与PC机的COM口后 打开传感器的电源开关 启动设备 任务1IDS传感器安装配置 IDS系统连接拓扑示意 2020 3 22 13 2 启动超级终端 连接Sensor 任务1IDS传感器安装配置 2020 3 22 14 任务1IDS传感器安装配置 2020 3 22 15 1 3 2配置传感器按键盘任意键启动传感器的登录界面 输入出厂默认的传感器密码 admin 即可登录传感器主菜单 任务1IDS传感器安装配置 2020 3 22 16 1 配置管理信息和时间 任务1IDS传感器安装配置 2020 3 22 17 2 配置传感器网络参数 任务1IDS传感器安装配置 本任务设置为 dcids 2020 3 22 18 1 4任务思考与练习IDS硬件设备配置中涉及两类密钥 一个是管理员密钥 一个是管理通道密钥 任务中注意不要修改管理员密钥 否则会因丢失密钥导致设备返厂维修 而管理通道密钥的设置则必须与其未来软件服务平台的相应密钥对应方可正常使用此传感器 因此须记清楚管理通道密钥以备后续配置使用 传感器管理端口在后续硬件版本中可能不仅只有两个端口 可根据实际情况任选一个端口作为管理端口 其余端口均可同时作为监控端口连接到网络中 任务1IDS传感器安装配置 2020 3 22 19 2 1任务目的1 掌握DCNIDS系统软件的安装流程 2 2任务设备及要求1 安装IDS分布式管理系统软件并进行合理配置 2 启动各软件服务 任务2IDS软件支持系统安装配置 2020 3 22 20 2 3任务步骤2 3 1安装数据库 选择 安装SQLServer2000组件 选择 安装数据库服务器 任务2IDS软件支持系统安装配置 2020 3 22 21 任务2IDS软件支持系统安装配置 2020 3 22 22 任务2IDS软件支持系统安装配置 11 13 14 15 2020 3 22 23 2 3 2安装LogServer 双击光盘中的LogServer安装文件 即开始LogServer的安装过程 读取压缩包内容后 系统提示开始进行数据服务器的安装 选择必要的参数 如文件存放位置 输入必要的信息 如用户名和单位即可完成安装过程 安装文件复制完成 系统进入数据服务初始化配置对话框 任务2IDS软件支持系统安装配置 2020 3 22 24 任务2IDS软件支持系统安装配置 D IDS data D IDS LOG 2020 3 22 25 2 3 3安装事件收集器 EC 单击安装光盘中的EC安装文件 系统开始解压缩包 任务2IDS软件支持系统安装配置 2020 3 22 26 输入一系列必要信息 进入文件复制过程 出现安装完成提示框后 单击完成 即完成了EC的安装 完成后 系统提示必须进行许可密钥的安装 否则系统无法运行 任务2IDS软件支持系统安装配置 2020 3 22 27 2 3 4安装许可密钥运行 开始 程序 入侵检测系统 入侵检测系统 网络 安装许可证 安装程序 单击浏览 选择系统的License文件 任务2IDS软件支持系统安装配置 2020 3 22 28 2 4任务思考与练习本任务的安装过程已经简化为一体化安装 需要注意的是在实际工作中 几个软件并非必须安装到同一台设备上 可以根据情况作分布式的部署 未来的控制台也可以安装到网络中的任何地点 需要登陆控制台界面时 通过网络与各个相应的服务器组件建立连接 任务2IDS软件支持系统安装配置 2020 3 22 29 3 1任务目的学会使用IDS主控制台进行基本操作 3 2任务设备及要求安装IDS控制台并登陆 增加新用户并配置加载策略 配置交换机以配合数据包的监测 任务3IDS监控与管理环境搭建 2020 3 22 30 3 3任务步骤3 3 1安装控制台控制台安装过程相对比较简单 输入必要的信息 如安装路径等 单击下一步即可完成安装 任务3IDS监控与管理环境搭建 2020 3 22 31 3 3 2管理账号登陆增加新用户启动DCNIDS管理控制台 登录管理控制台 任务3IDS监控与管理环境搭建 注意大小写用户名 Admin密码 Admin 2020 3 22 32 系统默认的管理用户只具备有限的权利 单击 添加用户 可添加一个新用户并配置其属性及权限 选择已存在的用户可以查看用户属性和权限 任务3IDS监控与管理环境搭建 2020 3 22 32 33 3 3 3新用户重新登陆添加组件使用新创建的用户duwc重新登录控制台进行后续操作 添加 传感器 任务3IDS监控与管理环境搭建 2020 3 22 34 添加 LogServer 组件 任务3IDS监控与管理环境搭建 2020 3 22 35 3 3 4连接硬件线缆 任务3IDS监控与管理环境搭建 2020 3 22 36 3 3 5配置交换机相应端口作镜像目的进入交换机的控制台 作如下配置 dcs config monitorsession1sourceinterfaceethernet0 0 1 2dcs config monitorsession1destinationinterfaceethernet0 0 24 任务3IDS监控与管理环境搭建 2020 3 22 37 3 4任务思考与练习传感器共两个网络接口 配置有IP地址的网络接口主要工作是进行管理数据的传输 它是否也对网络数据进行检测 熟练进行传感器的部署 熟悉控制台默认登录用户和口令 理解控制台用户权限的设置和管理 任务3IDS监控与管理环境搭建 2020 3 22 单元2查询工具的安装与使用 任务1IDS查询工具及报表工具的安装任务2使用报表工具察看模拟攻击 38 2020 3 22 39 1 1任务目的了解并掌握查询工具和报表生成工具的安装使用方法 1 2任务设备及要求启动数据库和IDS的必要服务器 打开控制台界面和事件查询工具和报表生成器 任务1IDS查询工具及报表工具的安装 2020 3 22 40 1 3任务步骤1 3 1IDS系统启动启动数据库和IDS的必要服务器 任务1IDS查询工具及报表工具的安装 2020 3 22 41 1 3 2登录控制台 任务1IDS查询工具及报表工具的安装 2020 3 22 42 1 3 3启动报表生成器安装报表及查询工具 任务1IDS查询工具及报表工具的安装 2020 3 22 43 启动报表生成器 任务1IDS查询工具及报表工具的安装 2020 3 22 44 1 4任务思考与练习报表工具的主要作用在哪里 登陆报表生成器的用户是在哪里创建的 其是否可与IDS系统管理用户合二为一 任务1IDS查询工具及报表工具的安装 2020 3 22 45 2 1任务目的通过综合环境攻击事件 引发IDS数据处理和报警的过程 通过查询工具和报表工具进行全方位察看 2 2任务设备及要求在192 168 1 13中启动UDPflooding攻击器 对外网和内网的主机进行攻击 在安全事件察看和报表生成器中分别进行查看 观察安全事件查询工具中的显示 使用报表生成器进行报表生成 任务2使用报表工具察看模拟攻击 2020 3 22 46 2 3任务步骤2 3 1启动攻击过程在192 168 1 13中启动UDPflooding攻击器 对外网和内网的主机进行攻击 同时在外网主机131 56 12 61中也开启类似的攻击 任务2使用报表工具察看模拟攻击 2020 3 22 47 根据源IP地址查看 任务2使用报表工具察看模拟攻击 从外网131 56 12 61启动的对192 168 1 10的攻击行为 2020 3 22 48 任务2使用报表工具察看模拟攻击 安全事件统计图 2020 3 22 49 任务2使用报表工具察看模拟攻击 IDS系统同时提供根据攻击的目标IP地址 事件 传感器进行分类统计安全事件列表的功能 根据传感器查看 根据事件查看 根据目标IP地址查看 2020 3 22 50 事件详细说明 在安全事件查看器中 我们可以通过双击每个事件列表条目 打开详细的事件说明 任务2使用报表工具察看模拟攻击 中风险smb事件一般信息描述 中风险smb事件详细信息描述 2020 3 22 51 2 3 3使用报表生成器察看攻击事件通过与数据库的通讯 可获得安全事件的报表形式显示 根据入侵的数据 我们可以看到如下的报表类 任务2使用报表工具察看模拟攻击 星期N告警类别统计 周告警类别统计 月告警类别统计 季度告警类别统计 2020 3 22 52 系统同时也提供了风险状况统计 数据统计 交叉统计报表等安全事件报表 任务2使用报表工具察看模拟攻击 2020 3 22 53 按照前面的步骤将当前的统计数据调出 单击 工具栏 上的 导出报表 按钮 弹出 ExportReport 对话框 选择导出文件格式 此处选择 rtf格式 然后使用word将其打开 任务2使用报表工具察看模拟攻击 2020 3 22 53 54 2 3 4使用安全事件查询工具察看单击 IDS管理控制台 的 工具栏 中的 查询 按钮 打开登录界面 输入正确的信息 登录进入安全事件查询工具界面 任务2使用报表工具察看模拟攻击 2020 3 22 54 55 任务2使用报表工具察看模拟攻击 添加数据库 选中 日志服务器 单击 添加 按钮 或右击 日志服务器 选择 添加数据库 打开 添加日志服务器 窗口 输入当前日志服务器的IP地址 确保服务正在运行 单击 确定 按钮添加一台日志服务器 2020 3 22 56 任务2使用报表工具察看模拟攻击 新建查询 在新增的日志服务器192 168 1 10下新建一个查询 在弹出的 设置查询条件 对话框中设置查询的条件 2020 3 22 57 任务2使用报表工具察看模拟攻击 查看2006 9 22日来自192 168 1 13的入侵事件 单击任何一个条目 可在下方列出此攻击的详细信息 利用 导出文本 或 导出Excel 按钮可以将查询结果以不同文件格式导出 2020 3 22 58 2 4任务思考与练习怎样察看IDS系统策略对某攻击行为的具体定义 组合各种事件查询条件对系统安全事件进行查询 并进行导出和保存操作 任务2使用报表工具察看模拟攻击 2020 3 22 单元3安全响应策略的配置及联动 任务1IDS联动插件安装与使用任务2在网络内部模拟攻击行为 观察并分析IDS系统和防火墙的响应 59 2020 3 22 60 1 1任务目的1 理解IDS系统与防火墙联动的优越性 2 学会配置IDS系统与神州数码防火墙进行联动 1 2任务设备及要求1 在安装EC的主机上安装IDS与DCFW 1800防火墙联动插件 2 配置IDS系统与防火墙的联动 任务1IDS联动插件安装与使用 2020 3 22 61 联动原理防火墙 只能基于策略被动防御攻击 无法自动调整策略设置以阻断攻击 IDS 只能及时主动发现攻击信号 缺乏有效的响应处理机制 安全防护体系 防火墙 IDS 任务1IDS联动插件安装与使用 2020 3 22 62 1 3任务步骤1 3 1正确部署IDS软硬件后 安装联动插件在安装EC的主机上安装IDS与DCFW 1800防火墙联动插件 输入必要的信息 单击下一步即可完成安装 任务1IDS联动插件安装与使用 2020 3 22 63 1 3 2配置IDS软件系统 Response cfg文件用记事本程序打开操作系统的系统目录下的Response cfg文件 修改文件中的IP地址为防火墙的IP地址 修改文件中IP地址后面的端口号为防火墙安全管理界面使用的端口号 修改文件中URL列表后面的资源文件夹为 cgi bin 注 如果防火墙的版本为3 X 则此处应修改为 dcfw 任务1IDS联动插件安装与使用 2020 3 22 64 1 3 3配置神州数码DCNIDS服务管理器配置事件收集服务 任务1IDS联动插件安装与使用 确认处于选中状态 配置安全事件响应服务 确保处于选中状态 2020 3 22 65 1 3 4配置神州数码防火墙系统将DCNIDS互动插件所在的主机地址设置为防火墙的管理IP地址 在浏览器的地址栏中输入防火墙的URL 管理员登录后 在主菜单的系统配置中选择端口设置 进入防火墙管理用户配置界面 确保EC主机也是防火墙的管理主机 任务1IDS联动插件安装与使用 2020 3 22 66 1 3 5使用命令测试配置正确与否打开IDS互动插件主机 EC主机 的命令行 在命令行下输入如下命令 C responsesip sport dip dport time 任务1IDS联动插件安装与使用 防火墙联动策略添加 测试联动配置 2020 3 22 67 1 3 6配置应用到传感器中的策略 并重新应用 在控制台选择策略 并选中当前应用到传感器中的策略 单击编辑锁定进行修改 选择需要配置的攻击名 在右侧配置窗口配置响应 选中向神州数码DCFW 1800防火墙发送响应 在响应方式右侧 配置响应后的发送参数 包括源IP地址 源端口 目的IP地址 目的端口和过期时间 任务1IDS联动插件安装与使用 2020 3 22 68 1 4任务思考与练习IDS联动插件的安装是否受到软件版本的影响 有哪些类型的防火墙系统可以与本IDS系统进行联动 任务1IDS联动插件安装与使用 2020 3 22 69 2 1任务目的在网络内部模拟攻击行为 观察并分析IDS系统和防火墙的响应 2 2任务设备及要求启动模拟环境中的攻击行为 观察防火墙是否有动态阻止行为发生 任务2在网络内部模拟攻击行为 观察并分析IDS系统和防火墙的响应 2020 3 22 70 2 3任务步骤2 3 1在内网一侧启动攻击 察看联动结果在网络内部主机192 168 1 13中启动udpflood的攻击 在IDS控制台发现此入侵行为 出现相应报告的同时 在防火墙的管理界面发现添加了阻止攻击行为的策略条目 任务2在网络内部模拟攻击行为 观察并分析IDS系统和防火墙的响应 2020 3 22 71 2 3 2在外网侧发动攻击 察看联动效果从外网主机131 56 12 61启动udpflood攻击时 控制台发现此入侵之后在防火墙中发现自动增加了阻止外网主机的策略条目 任务2在网络内部模拟攻击行为 观察并分析IDS系统和防火墙的响应 2020 3 22 72 2 4任务思考与练习为什么IDS系统互动插件必须要安装在EC主机上 IDS互动的过程应该是怎样的 改变UDPflooding的入侵端口号为除7 19之外的任意端口 观察入侵检测系统以及其与防火墙的联动状态 解释其原因 任务2在网络内部模拟攻击行为 观察并分析IDS系统和防火墙的响应 2020 3 22 单元4常见攻击模拟 任务1安全攻击 特洛伊木马任务2安全攻击任务网络监听sniffer任务3安全攻击任务 扫描器 口令探测任务4安全攻击任务 拒绝服务攻击 73 2020 3 22 74 1 1任务目的认识特洛伊木马的攻击原理并进行防范 1 2任务设备及要求1 netbull软件2 控制主机一台3 被控制主机一台4 交换机一台 任务1安全攻击 特洛伊木马 木马攻击模拟 2020 3 22 75 1 3任务步骤1 3 1使用netbull软件生成服务器端木马程序netbull zip解包后会产生以下几个文件 buildserver exe 用于把autobind dat peepshell dll peepserver exe keycap dll捆绑成一个单独的可执行文件newserver exe peepshell dll 自动运行二个可执行文件的外壳 autobind dat 用于在服务器端自动执行一系列动作的外壳 keycap dll 按键捕捉DLL peepserver exe 在服务器端真正执行的EXE文件 peep exe 客户端EXE文件 任务1安全攻击 特洛伊木马 2020 3 22 76 任务1安全攻击 特洛伊木马 运行peep exe 2020 3 22 77 任务1安全攻击 特洛伊木马 配置服务器 2020 3 22 78 任务1安全攻击 特洛伊木马 运行buildserver exe在当前目录下自动生成一个newserver exe文件 然后E mail给被攻击者 2020 3 22 79 1 3 2启动木马程序服务器端 从监控端对感染木马的主机进行监视服务器端运行newserver exe文件即开始接受木马监控指令 newserver exe运行后会自动脱壳成checkdll exe 并设置成开机自动运行 Netbull通过TCP的23444端口对远端程序进行控制 任务1安全攻击 特洛伊木马 2020 3 22 80 1 3 3在控制台控制被攻击主机增加一台受控主机 并设置受控主机IP地址 单击连接快捷键 监控端开始与受控端连接 此时便可对远端受控主机进行操控了 任务1安全攻击 特洛伊木马 2020 3 22 81 控制台操作 系统信息显示 任务1安全攻击 特洛伊木马 受控主机端弹出的对话框 控制台操作 消息 控制台操作 进程管理 进程号 控制台操作 查找 控制台操作 服务器在线修改 2020 3 22 82 文件管理 任务1安全攻击 特洛伊木马 2020 3 22 83 控制屏幕 任务1安全攻击 特洛伊木马 2020 3 22 84 1 3 4在远端主机手动杀掉此木马的驻留程序在任务管理器终止当前的checkdll exe进程 删除系统system32目录下的checkdll exe文件 在注册表中将checkdll exe从启动目录中删除 恢复被公牛捆绑的文件 notepad exe regedit exe reged32 exe drwtsn32 exe winmine exe重新启动计算机 任务1安全攻击 特洛伊木马 2020 3 22 85 1 4任务思考与练习通过如上的手动查杀NETBULL的操作 是否一定可以将公牛完全查杀干净 如果没有成功还应该进一步查杀哪些可能被捆绑的应用程序 如何利用IDS防御NETBULL攻击 任务1安全攻击 特洛伊木马 2020 3 22 86 2 1任务目的1 了解sniffer的功能 2 了解sniffer监听网络数据的过程和实现原理 3 掌握sniffer进行网络监听特定数据的操作 2 2任务设备及要求设备 1 sniffer软件2 交换机 支持流量镜象接口 3 监听主机4 被监听主机 需进行网络操作 例如上网 任务2安全攻击任务网络监听sniffer 2020 3 22 87 要求 1 使用sniffer捕获局域网特定数据帧2 使用sniffer分析可能存在的攻击数据3 使用sniffer分析捕获的敏感数据 获取信息4 使用sniffer制造特定的数据对网络进行干扰 任务2安全攻击任务网络监听sniffer 2020 3 22 88 2 3任务步骤2 3 1按照拓扑图搭建网络环境 配置交换机的网络监听接口和主机的网络地址 任务2安全攻击任务网络监听sniffer sniffer使用环境 2020 3 22 89 2 3 2在主机中安装sniffer 启动 配置安装过程中输入必要的信息 单击下一步即可完成安装 任务2安全攻击任务网络监听sniffer 2020 3 22 90 任务2安全攻击任务网络监听sniffer 2 3 2在主机中安装sniffer 启动 配置启动sniffer 选择主机的网卡 单击 确定 按钮 进入软件主界面 2020 3 22 91 2 3 3使用sniffer捕获局域网特定数据帧定制过滤器 任务2安全攻击任务网络监听sniffer 2020 3 22 92 选定过滤器 任务2安全攻击任务网络监听sniffer 2020 3 22 93 捕捉过程 单击 Start 按钮 系统自动开启 expert 信息框 任务2安全攻击任务网络监听sniffer 2020 3 22 94 停止并察看 当 StopandDisplay 按钮变为可操作时 单击并观察界面变化 任务2安全攻击任务网络监听sniffer 2020 3 22 95 2 3 4使用sniffer监听从外网发来的洪泛攻击数据定制过滤器 建立名为udpflooding的过滤器 用于过滤udpflooding的数据报 在Advanced标签中选择IP UDP 选中协议 选择定制的过滤器 任务2安全攻击任务网络监听sniffer 2020 3 22 96 选定过滤器 查看新制定的过滤器 选定后单击 确定 按钮 任务2安全攻击任务网络监听sniffer 2020 3 22 97 开启sniffer监听启动外网主机对内网主机的洪泛攻击 启动PC2中的udp洪泛攻击 任务2安全攻击任务网络监听sniffer 2020 3 22 98 查看并分析sniffer的监听结果 任务2安全攻击任务网络监听sniffer 2020 3 22 99 2 3 5使用sniffer监听内网主机发往外网的重要数据定制过滤器 源主机地址为可以上网的主机地址 调整任务拓扑的IP地址设置 选择此过滤器进行过滤 任务2安全攻击任务网络监听sniffer 2020 3 22 100 开启sniffer的监听功能启动内网主机登录外网主机网站的过程 登录sina网站 并登录VIP信箱 进入邮箱界面 此时关闭sniffer的抓包过程 进行查看 查看并分析sniffer的监听结果 停止后选择display findframe 任务2安全攻击任务网络监听sniffer 2020 3 22 101 任务2安全攻击任务网络监听sniffer 定制查找条件 获取winnyxieml的sina邮箱登录密码 2020 3 22 102 2 3 6使用sniffer制造特定的数据对网络进行干扰使用数据包生成器 生成数据包并按照特定的发送频率等参数向网络中发送数据 任务2安全攻击任务网络监听sniffer 2020 3 22 103 任务2安全攻击任务网络监听sniffer 2020 3 22 104 2 4任务思考与练习如果希望定制的数据包类型为正确的局域网类型 数据的哪些字段需要进行怎样的调整 使用sniffer捕获特定的ping数据包 使用sniffer防造特定的arp查询报文 利用被查询对象的回复使特定主机添加arp缓存条目 任务2安全攻击任务网络监听sniffer 2020 3 22 105 3 1任务目的1 了解扫描器和口令探测攻击过程 2 了解常用扫描器的使用方式和功能 3 掌握使用扫描器扫描网络安全薄弱点和口令探测的方法 3 2任务设备及要求设备 1 X Scan及SSS软件2 具备IIS服务的目标服务器3 客户端主机一台4 交换机一台 任务3安全攻击任务 扫描器 口令探测 扫描拓扑 2020 3 22 106 要求 1 在客户端主机中安装扫描器和口令探测工具2 客户端主机中启动扫描器扫描服务器中的端口弱口令用户列表3 分析探测器探测结果4 改进系统的网络安全性 任务3安全攻击任务 扫描器 口令探测 2020 3 22 107 3 3任务步骤3 3 1在客户端主机中安装扫描器和口令探测工具运行文件x scan gui exe启动x scan的图形化界面 任务3安全攻击任务 扫描器 口令探测 2020 3 22 108 3 3 2安装SSS启动安装文件 完成安装过程 注册后 运行SSS进入其主界面 任务3安全攻击任务 扫描器 口令探测 2020 3 22 109 3 3 3在客户端主机中配置扫描器参数配置x scan对服务器主机进行端口扫描的参数 任务3安全攻击任务 扫描器 口令探测 2020 3 22 110 3 3 4在客户端主机中使用扫描器 分析扫描结果 任务3安全攻击任务 扫描器 口令探测 此主机目前开启了FTP SMTP NNTP和HTTP服务 不必要的端口13 17 19处于开放状态 2020 3 22 111 3 3 4在客户端主机中使用扫描器 分析扫描结果如下图是利用扫描器探测出的此主机的FTP用户名口令和密码以及系统用户甚至是管理员的口令 空 任务3安全攻击任务 扫描器 口令探测 2020 3 22 112 任务3安全攻击任务 扫描器 口令探测 此主机已开启了http服务 且所有的http服务文件全部使用默认的配置 2020 3 22 113 任务3安全攻击任务 扫描器 口令探测 SSS扫描器对同一台机器的扫描属性配置和结果 2020 3 22 114 3 3 5改进系统的网络安全性1 关闭简单tcp ip服务 打开开始 程序 管理工具 服务 任务3安全攻击任务 扫描器 口令探测 2020 3 22 115 2 关闭http smtp nnt