试验报告信息安全

1、课程实验报告课 程 名 称信息安全班级1204071实验日期2015.6.1姓 名学号120407122实验成绩实 验 名 称网络攻防技术实验目的及要求1、通过密码破解工具L0phtCrack5（简称LC5）的使用，了解账号口令的安全 性，掌握安全口令的设置原则，保护账号口令的安全性。2、通过对木马的练习，理解和掌握木马传播和运行的机制；掌握检查木马 和删除木马的技巧，学会防御木马的相关知识，加深对木马的安全防范 意识。3、通过DoS和DDoS攻击工具对目标主机进行攻击；理解 DoS和DDoS的攻击原理及实施过程；掌握检测和防范DoS和DDoS攻击的方法。实 验 环 境局域网内一台计算机安装L

2、0phtCrack5软件局域网环境，使用冰河、灰鸽子或其它木马作为练习工具 局域网环境，使用Land15、DDoSer或其它软件作为练习工具。实验内容及实验步骤二*%需严r冋MJ快捷I U餐叙f结杲昭单击文件菜单中的“ LC5”向导，设定破解任务。实验3-1任务一：使用L0phtCrack5破解密码。在 Windows操作系统中，用户帐号的安全管理使用了安全帐号管理器SAM ( Security Account Man age)的机制，用户和口令经过加密 Hash变换 后一 Hash列表形式存放在 SAM文件中。LOphtCrack通过破解这个SAM文 件来获取用户名和密码。它的工作方式是通过

3、尝试每个可能的字母数字组合 试图破解密码。粪事囂岳欝辛严察學严备尊悬碧绘芾愿閑龜-好7 &JS 1=3昔禺盂琵&蓉盖翹謝S产适啟职転*曲把*典每人对本地机器进行密码破解。步骤：(1) 在主机内建立若干用户名，将其密码分别设置为空密码、纯数字组合 密码、特定单词字母密码、任意字母组合密码、字母数字混合密码以及特殊符号子母数子混合密码。(2) 通过L0phtCrack5文件菜单中的LCS向导，设定从本地机器导入加密 口令，分别对本地机器进行“快速口令破解”和“普通口令破解”，观察破解结果(要等一段时间直到破解完全结束)。注意：若采用“复杂口令破解” 方式，则需要23小时的时间破解。O7JDSOTI

4、 111111irrr jncrm i 4快速破解事兄-H HIt 1 S.H A*KhillIE-34HDhlllMttXdihwllB*11114JVHKT0RbjlllllOhJ millD勺 14亡rBU；kd hrxl haH nF LJM pa-Kswaed Sar UULJlliwII with tJidiDnxry crachSr I A LiU rac kad Nl IL Ml pna-KWEind far ULJUMmII -wnth Ovcliaruivy crack n I d匚r*c kd ItaMlall I hl pHB.wnrd inrwith vd-ra-nr

5、y c rxch五 IJ NVN*TLMfar UULAb*IHjOftnnwyIE F A尸 bfItvr hr IfI UJI mmruanavl fn r I *11 H RhiHHKn rnr ir rnAr二需盂蔦zrl r!blx 匕；h-iQ s-fi.5.!&ss/rzd 产7 alkCiJbh-c-ij H1T1 Bid FUij-iiatfiad fai LiULJkh wnih OtaciTJhi!y cdck *! *1 心 1 iuM |H*w4rtl Am UkMflBfWIDi-tliehrjiF wl hCinck-B-d NT1_M p-B-nrapdl fo

6、r iJUMJKf 1 with DiEiiHinwFy crackCi*ich B d *rE h aH csF L-M pAAawani em ULHJMhMII wn-h 口uginrY o*Eh NT|_h4MrirliVt、砥 mv 毎 y kjik.任务二：掌握安全的密码设置策略。用户密码应包含英文字母的大小写、数字、可打印字符，甚至是非打印 字符。建议将这些符号排列组合使用，以期达到最好的保密效果。用户密码不要太规则，不要使用用户姓名、生日、电话号码以及常用单 词作为密码。根据Windows系统密码的散列算法原理，密码长度设置应超过7位，最 好为14位。密码不得以明文方式存放在系

7、统中，确保密码以加密的形式写在硬盘上 并包含密码的文件是只读的。密码应定期修改，应避免重复使用旧密码，应采用多套密码的命名规则。 建立账号锁定机制。一旦同一账号密码校验错误若干次，即断开连接并 锁定该账号，经过一段时间才解锁。在Windows Server 2003系统中，如果在密码策略中启用了 密码必须 符合复杂性要求设置的话，则对用户的密码设置有如下要求：不包含全部或部分的用户账户名。长度至少为7个字符。包含以下4种类型字符中的3种字符。 英文大写字母（从A到Z） 英文小写字母（从a到z） 10个基本数字（从0到9） 非字母字符（如！、$、#、%） 而一般意义上的强密码则具有以下特征： 长

8、度至少有7个字符。不包含用户的生日、电话、用户名、真实姓名或公司名等。 不包含完整的字典词汇。包含全部4种类型的字符。除此之外，管理员账户的密码应当定期修改，尤其是当发现有不良攻击 时，更应及时修改复杂密码，以免被破解。为避免密码因过于复杂而忘记， 可用笔记录下来，并保存在安全的地方，或随身携带避免丢失。实验3-2任务一运行木马文件，生成木马的服务器端，并将其安装在远程主机。1、使用“冰河”对远程计算机进行控制“冰河”一般由两个文件组成： G_Client和G_Server。其中G_Server 是木马的服务器端，即用来植入目标主机的程序，G_Client是木马的客户端， 就是木马的控制端。打

9、开控制端G_Client,弹出“冰河”的主界面，熟悉快捷工具栏。2、在一台目标主机上植入木马并在此主机上运行 G_Serever,作为服务器端； 在另一台主机上运行G_Client作为控制端。打开控制端程序，单击“添加主 机”按钮。弹出如图所示的对话框：确宇砸消“显示名称”：填入显示在主界面的名称。“主机地址”：填入服务器端主机的IP地址。“访问口令”：填入每次访问主机的密码，“空”即可。“监听端口” ：“冰河”默认监听端口是7626,控制端可以修改它以绕过防火 墙。单击“确定”可以看到主机面上添加了 test的主机，如图，就表明连 接成功。WtttEJ 腔硏 轉型【砧*旦塁型单击test主机

10、名，如果连接成功，则会显示服务器端主机上的盘符。 这个时候我们就可以像操作自己的电脑一样远程操作远程目标电脑。“冰河”大部分功能都是在“命令控制台”实现的，单击“命令控制台”弹 出命令控制界面，如图所示：文件 H】M VttjtKJ叠龜县丨QR卿回或仑e半li理援:!*jJ !Nt口 : fraas诗同口寺:厂虫JB 购显JTEf带畀 为白|令-V令百常 禽4囱:*笳 SH 臺 H S期 mRIT注召 兮m3rnt i wic xnfKwsSic 需 Hcwwr wrinFscAbivri、Muiru-xn齐和 2S 21321 10276SI MT CH8&右苗】 亨的 暮Cl逐械*i爭圻蔺

11、卉VI 口书齐口辛墓自口特任务二使用木马对远程计算机进行控制。展开命令控制台，分为“口令类命令”、“注册表读表”、“设置类命令”(1) 口令命令类： “系统信息及口令“：可以查看远程主机的系统信息、开机口令、缓存口 令等。 “历史口令”：可以查看远程主机以往使用的口令。 “击键记录”：启动键盘记录以后，可以记录远程主机用户击键记录，以 此可以分析出远程主机的各种帐号和口令或各种秘密信息。(2) 控制类命令捕获屏幕：这个功能可以使控制端使用者查看远程主机的屏幕，好像远 程主机就在自己面前一样，这样更有利于窃取各种信息。单击“查看屏幕” 弹出远程主机界面。 “发送信息”：这个功能可以使你向远程计算

12、机发送 Windows标准的各种 信息。 “进程管理”：这个功能可以使控制者查看远程主机上所有的进程。 “窗口管理”：这个功能可以使远程主机上的窗口进行刷新、最大化、最 小化、激活、隐藏等操作。 “系统管理”：该功能可以使远程主机进行关机、重启、重新加载冰河、自动卸载冰河。 “其他控制”：该功能可以使远程主机上进行自动拨号禁止、桌面隐藏、 注册表锁定等操作。（3）网络类命令： “创建共享”：在远程主机上创建自己的共享。 “删除共享”：在远程主机上删除某个特定的共享。 “网络信息”：查看远程主机上的共享信息，单击“查看共享”可以看到 远程主机上的IPC$,C$、ADMIN$等共享都存在。文件类命

13、令：展开文件类命令、文件浏览、文件查找、文件压缩、文件删 除、文件打开等菜单可以查看、查找、压缩、删除、打开远程主机上的某个 文件。目录增删、目录复制、主键增删、主键复制的功能。注册表读写：提供了键值读取，键值写入，键值重命名、主键浏览、主键 删除、主键复制的功能。设置类命令：提供了更换墙纸、更改计算机名、服务器端配置的功能。任务三 检测并删除木马文件。删除冰河木马主要有以下几种方法： 客户端的自动卸载功能，而实际情况中木马客户端不可能为木马服务器自 动卸载木马。 手动卸载：查看注册表，在“开始”中运行 regedit,打开Windows注册表 编辑器。在目录中发现一个默认的键值： C:WIN

14、NTSystem32kernel32.exe,这个 就是冰河木马在注册表中加入的键值，将它删除。然后依次打开子键目录Run services在目录中也发现一个默认键值：C:WINNTSystem32kernel32.exe，这个也是冰河木马在注册表中加入的键值，删除。进入C:WINNTSystem32目录，找到冰河的两个可执行文件Kernel32.exe和Susexplr.exe 删除。修改文件关联时木马常用的手段，冰河木马将txt文件的缺省打开方式由notepad.exe改为木马的启动程序，此外 html、exe zip、com等都是木马 的目标。所以还需要恢复注册表中的txt文件关联功能。

15、将注册表中HKEY_CLASSES_ROOTtxtfileshellope ncomma nd 下的默认值，由中木马后的C:Win dowsSSystemSusex-plr.exe%1改为正常情况下的 C:Windowsnotepad.exe%1。任务四木马的方法措施。木马的防范木马的危害显而易见，防范木马的方法主要有：提高防范意识，不要打开陌生人传来的可疑邮件和附件。确认来信的源地址是否合法。 如果网速变慢，往往是因为入侵者使用的木马抢占带宽。双击任务栏右下 角连接图标，仔细观察发送“已发送字节”项，如果数字比较大，可以确认 有人在下在你的硬盘文件，除非你正使用 FTP等协议进行文件传输。

16、察看本机的连接，在本机上通过 netstat-an (或第二方程序)查看所有的 TCP/UDP连接，当有些IP地址的连接使用不常见的端口与主机通信时，这 个连接九需要进一步分析。 木马可以通过注册表启动，所以通过检查注册表来发现木马在注册表里留 下的痕迹。 使用杀毒软件和防火墙。实验内容及实验步骤实验3-3任务一 Land攻击练习目标机端口对目标主机的 80端口进行攻击：步骤：1在DOS中使用格式：Iand15目标IP2在目标主机中打开任务管理器，对联网性能和系统资源使用情况进行观察： 3在目标主机打开Sniffer pro工具，捕捉由攻击者计算机发送本地计算机的 TCP包任务二DDoSer的

17、使用1软件简介DDoSer软件是一个DDOS攻击工具，程序运行后，程序运行后自动装 入系统，并在以后随系统启动，自动对事先设定好的目标机进行攻击。本软件分为生成器(DDOSMaker.exe)与DDOS攻击者程序(DDOSer.exe) 两部分。软件在下载安装后是没有DDOS攻击者程序的(只有生成器DDOSMAKER.exe),DDOS攻击者程序要通过生成器生成。 生成时可以自定 义一些设置，如攻击目标的域名或 IP地址、端口等。DDOS攻击者程序默 认的文件名DDOSer.exe可以在生成或生成后任意改名。DDOS攻击者程序 类似于木马软件的服务端程序，程序运行后不会显示任何界面，看上去好像 没有任何反应，其实它已经将自己复制到系统里面了，并且会在每次开机时 自动运行，此时可以将拷贝过去的安装程序删除。它运行时唯一会做的就是 不断对事先设定好的目标进行攻击。DDOSer使用的攻击手段是SYN Flood。2生成攻击程序打开DDOSMAKER.exe程序，出面主界面，对其设置如下：输入目标主机IP，端口设置为80，并发线程为10个，最大TCP连接数为 1000，自启动设置默认，生成的DDOS攻击者程序名称为 ddos_attack.exe 3 DDoS