Dos攻击和网络防御

1、项目驱动与课程设计网络与信息安全方向题目：Dos攻击和网络防御学生姓名： 范志鹏 学 号： 20134088107 专业年级： 13信本 指导教师： 吴晓刚副教授 信息技术学院二一 五年12 月 28日目录第一章、Dos命令详解3Ping3netstat4net5第二章、Dos攻击示范6说明：7说明：10第三章、防御111.禁止默认共享112. 屏蔽 139 ，445 端口123.安装防火墙进行端口过滤12第四章、设置复杂密码13第五章、概述14第 2 页 共 14 页 Dos攻击和网络防御第一章、Dos命令详解DOS命令，是DOS操作系统的命令，是一种面向磁盘的操作命令，主要包括目录操作类命

2、令、磁盘操作类命令、文件操作类命令和其它命令Ping它是用来检查网络是否通畅或者网络连接速度的命令。它所利用的原理是这样的：网络上的机器都有唯一确定的IP地址，我们给目标IP地址发送一个数据包，对方就要返回一个同样大小的数据包，根据返回的数据包我们可以确定目标主机的存在，可以初步判断目标主机的操作系统等netstat这是一个用来查看网络状态的命令原理：这是一个用来查看网络状态的命令-a 查看本地机器的所有开放端口，可以有效发现和预防木马，可以知道机器所开的服务等信息这里可以看出本地机器开放有FTP服务、Telnet服务、邮件服务、WEB服务等。用法：netstat -a IP。-r 列出当前的

3、路由信息，告诉我们本地机器的网关、子网掩码等信息。用法：netstat -r IP。net这个命令是网络命令中最重要的一个，因为它的功能实在是太强大了在这里，我们重点掌握几个常用的子命令。net view使用此命令查看远程主机的所有共享资源。命令格式为net view IP。net use把远程主机的某个共享资源影射为本地盘符，图形界面方便使用，呵呵。命令格式为net use x: IPsharename。上面一个表示把00IP的共享名为magic的目录影射为本地的Z盘。下面表示和建立IPC$连接（net use $">IPIPC$

4、"password" /user:"name"），建立了IPC$连接后，就可以上传文件了：copy nc.exe $">admin$，表示把本地目录下的nc.exe传到远程主机，结合后面要介绍到的其他DOS命令就可以实现入侵第二章、Dos攻击示范下面简述一个简单的dos攻击步骤，以及在对方电脑上植入一个简单的脚本病毒程序第一步：我这里以虚拟机为例，虚拟机的地址为net use ipc$ "" /use:"administrator"以

5、管理员身份远程登录（适用于没有登录密码的主机）虚拟机的截图如上然后执行：这表示已经成功完成登录第二步：复制脚本文件到远程计算机中：copy 本机目录路径程序 IP地址admin$ 本机文件： 查看远程主机是否复制文件：说明：Js.html程序是一个简单的脚本程序，使用JavaScript编写，部分代码截图如下：执行的结果是主机会利用程序的死循环重复打开浏览器，且用户无法关闭，致使主机因为内存占用过大导致系统加载速度变慢，甚至导致死机第三步：（定时启动某个程序） at IP地址 22：20 js.html 那么远程系统会在22:20启动相应的程序；启动程序后查看执行结果：执行结果.wmv第四步：

6、擦除痕迹：（断开连接） net use IP地址ipc$ /dele说明：无论是自己的操作还是其他用户的操作，电脑都会在磁盘中留下操作的痕迹，我们称之为事件和日志，这种方式的设计原本是为了防止用户由于错误操作引起的不必要的麻烦，但是却能被黑客利用，从而达到入侵却不被发现的目的；攻击原理：IPC$(Internet Process Connection) 是共享 " 命名管道 " 的资源，它是为了让进程间通信而开放的命名管道，通过提供可信任的用户名和口令，连接双方可以建立安全的通道并以此通道进行加密数据的交换，从而实现对远程计算机的访问。 IPC$ 是 NT/2000 的一项

7、新功能，它有一个特点，即在同一时间内，两个 IP 之间只允许建立一个连接。 NT/2000 在提供了 ipc$ 功能的同时，在初次安装系统时还打开了默认共享，即所有的逻辑共享 (c$,d$,e$ ) 和系统目录 winnt 或 windows(admin$) 共享。所有的这些，微软的初衷都是为了方便管理员的管理，但在有意无意中，导致了系统安全性的降低。目标的 ipc$ 不是轻易就能打开的。你需要一个 admin 权限的 shell ，比如 telnet ，木马，然后在 shell 下执行：net share ipc$开放目标的 ipc$ 共享；net share ipc$ /del这就是为什么

8、之前我们要用管理员权限来建立空连接，当夺取管理员权限之后就可以“为所欲为”了第三章、防御那么既然已经攻击成功，我们要说明如何防御：1.禁止默认共享（1）察看本地共享资源运行 -cmd- 输入 net share（2）删除共享（重起后默认共享仍然存在）net share ipc$ /deletenet share admin$ /deletenet share c$ /deletenet share d$ /delete （如果有 e,f, 可以继续删除）（3）停止 server 服务net stop server /y （重新启动后 server 服务会重新开启）（4）禁止自动打开默认共享（此

9、操作并不能关闭 ipc$ 共享）运行 -regedit找到如下主键 HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesLanmanServerParameters 把 AutoShareServer （ DWORD ）的键值改为 :000000002. 屏蔽 139 ，445 端口由于没有以上两个端口的支持，是无法建立 ipc$ 的，因此屏蔽 139 ， 445 端口同样可以阻止 ipc$ 入侵。 139 端口可以通过禁止 NBT 来屏蔽 本地连接 TCP/IT 属性高级 WINS 选禁用 TCP/IT 上的 NETBIOS '一项 44

10、5 端口可以通过修改注册表来屏蔽添加一个键值Hive: HKEY_LOCAL_MACHINEKey: SystemControlsetServicesNetBTParameters Name: SMBDeviceEnabledType: REG_DWORDValue: 0修改完后重启机器3.安装防火墙进行端口过滤第四章、设置复杂密码防止通过 ipc$ 穷举出密码，这是最简单的一种防范措施，同时也是相当有效的防范措施说明：有时建立IPC$连接会发生失败，原因是1.IPC 连接是 Windows NT 及以上系统中特有的功能，由于其需要用到 Windows NT 中很多 DLL 函数，所以不能在

11、Windows 9.x/Me 系统中运行，也就是说只有 nt/2000/xp 才可以相互建立 ipc$ 连接， 98/me 是不能建立 ipc$ 连接的；如果想成功的建立一个 ipc$ 连接，就需要响应方开启 ipc$ 共享，即使是空连接也是这样，如果响应方关闭了 ipc$ 共享，将不能建立连接；2.响应方未启动 Lanmanserver 服务（显示名为： Server ）：它提供了 RPC 支持、文件、打印以及命名管道共享， ipc$ 依赖于此服务，没有它主机将无法响应发起方的连接请求，不过没有它仍可发起 ipc$ 连接第五章、概述本文通过记录一次简单的dos攻击过程，讨论的如何攻击远程电脑，以及如何防范这种攻击的产生；网络安全是网络