实验一、网络信息收集

实验一网络信息收集一、实验目的：网络信息收集是非常重要的，通过获取的数据可以分析网络安全系统，也可以利用它获取被攻击方的漏洞，无论是从网络管理员的安全角度，还是从攻击者角度出发，它是非常重要的、不可缺少的步骤。要求学生掌握信息收集的方法，使用常见扫描器，分析所获取的数据，解释数据与漏洞的关系，掌握网络扫描器的程序设计。二、实验内容和方法：1、SuperScan4.0扫描器掌握常见的扫描器软件使用方法，如：，人丁人1\1、流光、CIS、SuperScan。要求学生在上机时根据自己使用的扫描器软件对实验室网络系统进行漏洞扫描，对扫描的结果作出正确的分析，根据分析评估网络系统安全性，必要时关闭危险端口，合理配置计算机系统。以Windows上运行SuperScan4.0扫描器为例，对目标主机（安装了WWW和FTP服务的IP地址为的WindowsServer2003主机）扫描后得到的信息如图1所示。SuperScan4.0匚叵扫描主机和服罟扫描设置扫描选项工具IP地址主机名/IF一开始IF扫描主机和服罟扫描设置扫描选项工具IP地址主机名/IF一开始IF玉结束IFXWindows枚举关于61.147.3T.1开始IF结束IF清除所选活除所有pGrw』芦从文件读取pGrw』芦Livehoststhishatch:Hostiiaiiie:d.cent-er->±-UI：'Pports(1)53TOC\o"1-5"\h\zTot-allivehust-sdiscovered1TotalopenTCPports0TotalopenUI：'Pports1UI：'Pservicescanpass1□f1(1hostsx88ports}...Pprfurmingl±ustnaiiipresolutionPerfariiiingbannergrab's...TCPhaiitiergratihing(0port-s)UDPbaiaiiergral:>hing(1port三JP.eportingscailresuits...ScaiidoneDiscaveryscanfinished:03/18/1006:10:ZZ►|■|M|查看KTM场果(V)Save>1logtileLive:1TCPopen：0UDFupen:11/1done00:09图1端口扫描单击"查看HTML报告"打开扫描报告，如图2所示。从扫描报告中可以看到扫描出的TCP和UDP端口号及端口服务信息，如FTP服务中的用户名为“anonymous”，允许匿名登录。运行【SuperScan4.0】窗口中的“工具”选项卡，可以用内部集成的测试工具对目标主机进行探测，如图3所示。图2端口扫描详细报告/SuperScan4.0扫描主机和服宓扫描设置扫描选项工具Windows枚举关于PLInou-M主机名APAJRL|默认Whoiw服务器|worksolutions,com活除©|查找主机名/IFFingICMF跟踪路由跟踪批星姓理.••HTTPHEAIi请求HTTPGET话求HTTPSGET话求WhulSCFSHICWhoisAJLENWhoisFLEPEWhoisAPHICWhois工JdJdJdJLJJLJJLJJLJJLJJLJJLJJLJElResolving...61_147.37_1(d_cent&r-i±tis一)Pinging(：■Responsefromin0illsP.espansefrombin16msResponsefromin0msHop01:19Z_168.1_1[Utiknorm]Hop0Z:[Unknoxm]Hop03:ZZl.ZZ9.Z39.57[Unkncam]Hop04:61-147.37.1d-cent-er-diis一jsinf□-netICMPTracerouteto(JEoneTran三feraxi三duiLLaiii@DNS_Server_IPe.g.t-est-.coiii@10.1.Z.3HEADre^.iest"/"to()Unal:>1etocaniiectto(JportS0TryingAPNIClookup...%[t.tIiuis-apnic_netnode-3]%Tilliaisdatacopyright-teriashttp://t.tt.tt.t_/dh./dbcopyriglit.litill1inetmuii：-61.147.Z5-E..Z55netnanie:CHINAI-IET-JSdescr:CHINAIJETjiaiigsuprovineenetT.Tnrk00:09SavedlogfileLive:1TCPopen：0UDPupen：11/1done图3扫描工具运行【SuperScan4.0】窗口中的"Windows枚举"选项卡，可以用内部集成的测试工具对目标主机进行探测，如图4所示。从扫描的信息中可以发现目标主机系统漏洞，如MAC地址、共享资源、空链接、系统运行服务、磁盘分区、注册表信息，等等，通常我们可以在目标主机系统中发现许多可以被利用来进行攻击的漏洞。SuperScan4.0扫描主机和服务扫描设置扫描选项工具Windows枚举关于主机名JIP/URL蛔心择选项廷）...|清除此）|枚举类型QuoPLInQ』M□NetBIOSILdjrieTable|71Nl-FLLSession0MACAdiirheesz枚举类型QuoPLInQ』M□NetBIOSILdjrieTable|71Nl-FLLSession0MACAdiirheesz回W■:>rkstati>:>ntype0Users|71Gruupg回EFCEndpointDuinp回AccuijrLtPulicies叵]Shares|71D■:>mains回RemuteTimeofDay[7]LugunSessionsElDrives回TrustedD■:>rriains|71Services[7]Registry[■Iet-EI0Sinfofillationan192-168.1.3024namesint-at«1e=LIJILIAJ-I-FC0F8000UNIQUETiJorkstationservicenaiae——TiJOPKGP.OUP00GROUPTiJ□rkstationservicenaiaeLIJILIA1-I-FC0F80ZOOTIinUEServerservicesnaiiieTiJOPKGP.OUPIEGROUPGroupnaiiieMACaddress三:0i：:oc:Z9:A3:94:DIAtteii±ptingaNULLsessioncaimectianon13Z.168.1.30MULLsessionsuccessfulto16S.1.SOMPC?[-IACaddressesan19Z-168.1.30TiJorkstation/servertypeon0Entry0Interface:113c47ZSc5-f0al：.-448b-hdal-6ce01ebi：ia6d511ver1.0匚，T.-14_.1■r.-IT-..r.一亍/L1"ZJ00:09SavedlogtileLive:1TCPopen：0UDPupen：11/1done图4漏洞扫描2、WindowsServer2003网络监听Windows系统中本身就带有具有网络监听功能的管理工具一一网络监视器。主机A安装WindowsServer2003、FTP服务器，并在系统中开设一个帐户ftp-user，密码设置为ftp-user-password本实例要实现使用网络监视器对本主机进行监听，捕获主机B访问本主机FTP服务器的用户名和密码。1）添加网络监视器在主机A系统中单击"开始"一"控制面板"一"添加或删除程序"一"添加/删除Windows组件3）",在【Windows组件向导】窗口中选中"管理和监视工具"，然后单击"详细信息（D）...",在【管理和监视工具】窗口中将其他自组件取消，只保留"网络监视工具"一项，如图5所示。单击"确定”按钮，关闭【管理和监视工具】窗口，在Windows组件向导】窗口单击"下一步"按钮，将WindowsServer2003安装光盘放入，完成网络监视工具组件安装。最后关闭所有相关窗口。2）启动网络监视工具在主机A上单击"开始"一"所有程序"一"管理工具"一"网络监视器"，出现提示

信息窗口，单击"确定"按钮，出现【选择一个网络】窗口，选择本地连接，如图6所图5添加网络监视工具图6选择监听网络单击"确定”后出现【本地连接捕获窗口】，单击工具栏中的图标启动捕获。在主机B中单击"开始"一"运行”，在对话框中输入"cmd"，打开DOS输入窗口，在此窗口中用已经设置好的用户名和密码连接主机A上运行的FTP服务器，浏览站点内容后退出。如图7所示。在主机B对主机A访问的过程中可以看到网络监视器在进行数据捕获，如图8所示。FTP服务断开后，单击主机A[Microsoft网络监视器】窗口菜单中的"捕获"一"停止并查看"，显示【捕获：2（总结）】窗口，如图9所示。

图7远程FTP访问图8数据捕获窗口MWEaotwei心Atn□O1E3LflTiLTCixmjiiJ>]■gS.」即回虹WIF^»TCraudfi.liAF□OLD38LOCU.EEulUiItLliA.lu10CAL,loptufwi50016.，地XHU3&MWEaotwei心Atn□O1E3LflTiLTCixmjiiJ>]■gS.」即回虹WIF^»TCraudfi.liAF□OLD38LOCU.EEulUiItLliA.lu10CAL,loptufwi50016.，地XHU3&LDTALTCnniJrilEi^iJe*10.1：帅tzi5»UMr-L55.ILmqEWHJBWICNMik™uiuflJFTfZtrnct<5LMEEE=TIH性rw-I'lrEls*HIrIiM咨旷人.-inKr.ArR5H_“1|>I、4.*菱J-g.ll-UM-l-r口成mu.u.M.Mmn.MH.^mTft.n..lv.mmmmnn.7r«.ST«Tn-—■:145日p•H1IY#■■♦『1«;1>Tc-勺叮117JUJ111J1111III-■=k-F\-J1■UXHixjiuisj.mgurnME*时】naeurw-PQgIWMDUIJTiaUeal|£i~*LIXIM而ID：ALUXALUTALrwio001UMUCMEguxuUJJJDDflIJU1UMLflCllCH»300顷MLXALnilnW：UKU颂ILffiSKIK皿<L啊顷UMZdWlUKUIUL⑹上如I^0li3KmmWCKLn&^WlUUC4LC0II3WLDCKLLULkL则日皿啊IWJhi|?5El叮"％Ji«*j^iradJ¥1『Cg*.Lti1Hn%.,Icii.Ui«4fmt«i50015,"TiSflir^vivr^iniUTarfH■中HFwt汹吟JXUmf*r^riErJ»Et«4iIl'CnJilFil*i“1.?.|ifl.10t』曲“(\Th*t»lTT1第I闻l。3・用虬TtfC«4邛1择IfA±MJrr白切loti弦ns让h「l9TO15.打hI』"EM[5.$.4幻IE?**II.曜JI-1JllffImFhtIrmlrilfillf"irn.Urilxi.1z『.HU〕！!!.■iFtiiIjilI'mCrriiltnllitAEuN!i■i已:m，jIImirw博皿"惦TNO忤iWT*lmk&4BL5T膊」I「,4X^3i8l~11“虹illfli」认1”幅E)glB5Smq口莒暗沥FTOfllix«y就imuiM?-娩Udi■牝平烦*nSemi.Hit漏•KUni<vii]4乓却£也-4g

Oi5"a,t«it砌迎ftiAjg.Ivii

jr%.L,:邮瀚,ZQ»响叶囱汕m哗InftriWlft■2?«Tf^fii5眄X*gIL…tMWlMrV-lD-lfertl5M15,FUTT■■邛1«fnrl5CHJ$3|rratiTiJfiI■aT，T.听左岫155664^^1-155,C«mn»1tilt4Cahxrtlfl11虹11-^11-rEIIIET!*-一1^-TJ-l皿骚澄潘睬皿皿噩IKS蚤Fitf，iiL#^tl——wr(i/3TIrlf登IFIr_Z1£n-TTilZTITIFIrun-IPnlfIrTfJTTiTTTF，、尽旧］.」喝』回［Wj言忘商土］钊司旬姓g|岫旦j*J|1«■nHuaniirI国存由―iraJiftJt..~-13«一I■■图9显示捕获数据可以看到远程主机B访问主机A上的FTP服务时输入的用户名"ftp-user"，密码"ftp-user-password",登录成功后做的操作"NLST",以及退出操作"QUIT"。图10表达式筛选如果监听的数据量很大，则可单击【Windows网络监视器】窗口菜单"显示"一"筛选器(F)...",选中左侧对话框中的“Protocol==Any”，单击"编辑表达式(P)..."一"全部禁用"；在右侧"被禁用的协议"对话框中选择"FTP”协议，单击"启用(E)”按钮，运行结果如图10所示。♦nis.-■si里单击"确定”按钮回到【显示筛选器】窗口，再单击"确定”按钮，出现筛选后的FTP访问信息，可以清楚地看到完整的远程访问FTP♦nis.-■si里迎霓隹些宣也曲侧.母UP量童5邮JiMfruiiMcF而Rl*仇|州l曰衬_L萱项！JJt§Jt*,_JhliLSit四U._L萱项！JJt§Jt*,_JhliLSit四U.i214151跆LOthLfi.i410it&miir^ofM.sMKJ伽嘲UCALFS4V31虾也ilt»F际岫unoaiKBUKdrSSENI1L3S0r际即[Lg.Ml"tLKALr虹qH<□LXjkLQtrLk^Q.ttin弗峭10：AL他1fEHM'<变iMM偷i皿ir后叩a>1伽*聘UMKLfm里初ccm#rm£rnfcr!'lr^E£ftjf—iltin'Hjniru.il.rII・M讶Ht=fftft£f-d*fra-i5WCS1'iUS(uf-»Jii*r-pti!■«irilw“fthl」「必U-|»rJtji--Uiiiirt升网Fzg%mir1财加：」尊m外JirtJOTFtEftT-iMuidimccwiifqj.Ejmtut^XQSflLST■、J--I15d£E&lkJSt1处EBU£JLSZtl»-£iJl.li-TrkfixirrT*dJuni.'Ti-rP~WE，niv'BlI*frtrt5tH£N*iiTpMisrirrD«|ilrlp'<ce»hrt4«B9rflHTmWCS9KI,:•-r-.=IXttIStMIK1成1-?r.湖促函LIK}成1迥VIsZJuIrTTrIfMjTlrLJ-nn由此可见，用网络监听技术可以捕获多数明文数据的敏感信息。3、系统服务入侵与防范基于认证的网络服务攻击主要有针对IPC$、Telnet和计算机管理三种入侵技术，攻击的前提是，使用这些服务的用户名和密码过于简单，已经被入侵者掌握。常用的DOS网络入侵命令如下：netuser:系统帐号类操作；netlocalgroup:用来管理工作组；netuse:远程连接、映射操作；netsend:信使命令；»nettime:查看目标计算机的系统时间；>at:用来建立计划任务；netstat-n:查看本机网络连接状态；nbtstat-aIP:查看指定IP主机的NetBIOS信息。可以参照Windows系统F1帮助文件中的"命令行"来了解这些命令的详细描述和参数。4、木马实例入侵实例灰鸽子是国内第三代木马的标准软件，也是国内首次成功地使用反弹端口技术中第二种方式创建的木马，同时也支持传统方式连接，具有强大的远程控制功能，并且能够方便地控制动态IP地址和局域网内的远程主机。灰鸽子的主界面如图12所示。图12灰鸽子主界面灰鸽子可以控制系统为Windows9X/me/NT/2000/XP/2003的远程主机，当服务端设置成自动上线型时，可以有外网控制外网、夕卜网控制内网及同在一局域网三种控制方式；当服务端配置为主动连接型时，可以有外网控制外网、内网控制外网及同在一局域网三种控制方式。其中外网为有互联网IP地址的计算机，内网为在局域网内部可以上网的计算机，如网吧中的普通计算机。使用灰鸽子"反弹端口"进行连接的一般思路为：设置中间代理，配置服务程序，种植木马