單元3 網(wǎng)絡(luò)攻擊與防御

單元3

網(wǎng)絡(luò)攻擊與防御

[單元學(xué)習(xí)目標(biāo)]知識(shí)目標(biāo)1．了解網(wǎng)絡(luò)服務(wù)漏洞的基本概念2．掌握端口掃描器掃描網(wǎng)段的方法3．掌握綜合掃描器掃描網(wǎng)段的方法4．了解木馬的工作原理5．了解木馬的入侵方法6．掌握木馬清除和防御的方法7．了解DDoS攻擊的原理8．掌握DDoS攻擊防御的方法

[單元學(xué)習(xí)目標(biāo)]能力目標(biāo)1．具備使用端口掃描器掃描網(wǎng)段的能力

2．具備使用綜合掃描器掃描網(wǎng)段的能力

3．具備使用木馬工具模擬入侵的能力

4．具備判斷木馬入侵的能力

5．具備木馬清除和防御的能力

6．具備DDoS攻擊防御的能力情感態(tài)度價(jià)值觀1．培養(yǎng)認(rèn)真細(xì)致的工作態(tài)度

2．逐步形成網(wǎng)絡(luò)安全的主動(dòng)防御意識(shí)[單元學(xué)習(xí)內(nèi)容]網(wǎng)絡(luò)在帶給人們便利的同時(shí)，也給病毒、木馬的泛濫提供了溫床。網(wǎng)絡(luò)用戶在使用網(wǎng)絡(luò)過程中，除了會(huì)受到病毒感染的威脅外，還有可能遭受一些有特殊目的用戶的有意識(shí)的攻擊，企圖從被攻擊的計(jì)算機(jī)中獲取隱私信息或破壞正常網(wǎng)絡(luò)工作，而這就是網(wǎng)絡(luò)攻擊。通過了解黑客攻擊手段的基本原理，熟悉基本黑客工具的使用，可以掌握常見的攻擊方式（如拒絕服務(wù)攻擊、木馬、網(wǎng)絡(luò)監(jiān)聽、掃描器等）的防御和清除方法。任務(wù)1掃描網(wǎng)絡(luò)漏洞

活動(dòng)1使用端口掃描器掃描網(wǎng)段【任務(wù)描述】為了發(fā)現(xiàn)系統(tǒng)缺陷和漏洞，入侵者和管理員都常常使用掃描的方式來偵測系統(tǒng)和網(wǎng)絡(luò)，不過兩者目的不一致。入侵者是通過掃描技術(shù)來收集信息和檢測漏洞，為入侵做好前期準(zhǔn)備工作；網(wǎng)絡(luò)管理員則是發(fā)現(xiàn)系統(tǒng)漏洞后及時(shí)修補(bǔ)，以提高安全性能。但兩者殊途同歸，都應(yīng)用了掃描功能?！救蝿?wù)分析】工欲善其事，必先利其器。應(yīng)該選擇什么掃描工具呢？這里推薦Nmap。Nmap是一個(gè)免費(fèi)的開源實(shí)用程序，它可以對(duì)網(wǎng)絡(luò)進(jìn)行探查和安全審核。Nmap可以運(yùn)行在所有主要的計(jì)算機(jī)操作系統(tǒng)上，并且支持控制臺(tái)和圖形兩種版本。任務(wù)1掃描網(wǎng)絡(luò)漏洞

活動(dòng)1使用端口掃描器掃描網(wǎng)段【任務(wù)實(shí)戰(zhàn)】1．了解端口掃描器服務(wù)器上所開放的端口就是潛在的通信通道，也就是一個(gè)入侵通道。對(duì)目標(biāo)計(jì)算機(jī)進(jìn)行端口掃描，能得到許多有用的信息。進(jìn)行端口掃描的方法很多，可以是手工進(jìn)行掃描，也可以用端口掃描軟件進(jìn)行。掃描器通過選用遠(yuǎn)程TCP/IP不同端口的服務(wù)，并記錄目標(biāo)給予的回答，通過這種方法可以搜集到很多關(guān)于目標(biāo)主機(jī)的各種有用的信息，如遠(yuǎn)程系統(tǒng)是否支持匿名登錄、是否存在可寫的FTP目錄、是否開放Telnet服務(wù)和HTTPD服務(wù)等。任務(wù)1掃描網(wǎng)絡(luò)漏洞

活動(dòng)1使用端口掃描器掃描網(wǎng)段2．端口掃描器Nmap的安裝及使用步驟1獲得Nmap端口掃描器。Nmap掃描器可以直接從互聯(lián)網(wǎng)下載獲得，從網(wǎng)址/可以下載Windows系統(tǒng)的圖形化版本。步驟2Nmap掃描器的安裝。Nmap掃描器的安裝也非常簡單，只需要按照提示一步步安裝即可，但是在安裝過程中系統(tǒng)會(huì)提示要安裝WinPcap軟件，這是需要安裝的。步驟3運(yùn)行Nmap。安裝好后，選擇“開始”→“程序”→“nmap-

ZenmapGUI”，啟動(dòng)后的界面如圖所示。任務(wù)1掃描網(wǎng)絡(luò)漏洞

活動(dòng)1使用端口掃描器掃描網(wǎng)段步驟4填寫掃描目標(biāo)。Target:要掃描的目標(biāo)IP地址參數(shù)是必須填寫的，可以是單一主機(jī)，也可以是一個(gè)子網(wǎng)，格式如下：一個(gè)具體的網(wǎng)址、一個(gè)網(wǎng)段～25、一個(gè)子網(wǎng)/24。步驟5選擇掃描的方式。單擊“Profile（配置參數(shù)）”下拉列表箭頭，進(jìn)行選擇即可。在這里選擇的是第一項(xiàng)“Intensescan（強(qiáng)力掃描）”。步驟6參數(shù)設(shè)置完成后單擊“Scan”按鈕開始掃描。任務(wù)1掃描網(wǎng)絡(luò)漏洞

活動(dòng)1使用端口掃描器掃描網(wǎng)段步驟7查看掃描結(jié)果。①查看網(wǎng)絡(luò)中有多少存活主機(jī)。通過掃描發(fā)現(xiàn)了網(wǎng)絡(luò)中存在4臺(tái)存活主機(jī)，顯示在窗口的左側(cè)。②查看總體的輸出結(jié)果。選擇“NmapOutput”標(biāo)簽，查看輸出結(jié)果，以主機(jī)為例加以說明。可以看到開發(fā)端口的情況、所提供的服務(wù)和服務(wù)的版本信息，如圖3-5所示，主機(jī)開放了80端口、135端口、139端口、445端口、1025端口、1026端口等，以及它們提供的服務(wù)情況。如80端口提供HTTP服務(wù)是用MicrosoftIIS6.0提供的服務(wù)。我們會(huì)發(fā)現(xiàn)有些端口是不必要開放的，可以關(guān)閉掉，如何關(guān)閉請(qǐng)參看單元1中的有關(guān)內(nèi)容。任務(wù)1掃描網(wǎng)絡(luò)漏洞

活動(dòng)1使用端口掃描器掃描網(wǎng)段輸出結(jié)果中還包括主機(jī)的詳細(xì)信息，主要包括主機(jī)的MAC地址（MACAddress）、硬件類型（DeviceType）、正在運(yùn)行的系統(tǒng)（Runing）、系統(tǒng)的詳細(xì)信息（OSDetails）。③查看端口開放標(biāo)簽。這個(gè)標(biāo)簽顯示的內(nèi)容和第一標(biāo)簽中輸出的結(jié)果一致，只不過這里顯示得更加清晰、明了。④查看主機(jī)的詳細(xì)信息標(biāo)簽。這個(gè)標(biāo)簽顯示的內(nèi)容和第一標(biāo)簽中輸出的結(jié)果一致，只不過這里顯示得更加清晰。任務(wù)1掃描網(wǎng)絡(luò)漏洞

活動(dòng)2使用綜合掃描器掃描網(wǎng)段【任務(wù)描述】掃描器除了能掃描端口外，往往還能發(fā)現(xiàn)系統(tǒng)活動(dòng)情況，以及哪些服務(wù)在運(yùn)行，并且用已知的漏洞測試這些系統(tǒng)。有些掃描器還有進(jìn)一步的功能，包括操作系統(tǒng)識(shí)別、應(yīng)用系統(tǒng)識(shí)別、服務(wù)器系統(tǒng)識(shí)別等?！救蝿?wù)分析】小齊決定采用非常著名的X-Scan對(duì)公司的網(wǎng)站服務(wù)器進(jìn)行一次全面的掃描。任務(wù)1掃描網(wǎng)絡(luò)漏洞

活動(dòng)2使用綜合掃描器掃描網(wǎng)段【任務(wù)實(shí)戰(zhàn)】1．X-Scan功能簡介X-Scan是由安全焦點(diǎn)開發(fā)的一個(gè)功能強(qiáng)大的掃描工具。采用多線程方式對(duì)指定IP地址段（或單機(jī)）進(jìn)行安全漏洞檢測，支持插件功能，提供了圖形界面和命令行兩種操作方式。掃描內(nèi)容包括遠(yuǎn)程服務(wù)類型、操作系統(tǒng)類型及版本、各種弱口令漏洞、后門、應(yīng)用服務(wù)漏洞、網(wǎng)絡(luò)設(shè)備漏洞、拒絕服務(wù)漏洞等二十多個(gè)大類。2．X-Scan的獲得及安裝X-Scan是完全免費(fèi)的軟件，無需注冊，無需安裝（解壓縮即可運(yùn)行，自動(dòng)檢查并安裝WinPcap驅(qū)動(dòng)程序）。任務(wù)1掃描網(wǎng)絡(luò)漏洞

活動(dòng)2使用綜合掃描器掃描網(wǎng)段3．X-Scan的使用使用X-Scan綜合掃描器掃描公司的網(wǎng)站服務(wù)器，看看公司的網(wǎng)站服務(wù)器存在哪些漏洞。步驟1運(yùn)行主程序以后和以前版本的差別不大，上方功能按鈕包括“掃描模塊”、“掃描參數(shù)”、“開始掃描”、“暫停掃描”、“終止掃描”、“檢測報(bào)告”、“使用說明”、“在線升級(jí)”、“退出”，程序運(yùn)行主頁面如圖。任務(wù)1掃描網(wǎng)絡(luò)漏洞

活動(dòng)2使用綜合掃描器掃描網(wǎng)段步驟2我們從“掃描參數(shù)”開始。打開“設(shè)置”菜單，選擇“掃描參數(shù)”會(huì)出現(xiàn)一個(gè)“掃描參數(shù)”對(duì)話框。選中“指定IP范圍”輸入要檢測的目標(biāo)主機(jī)的域名或IP如，也可以對(duì)多個(gè)IP進(jìn)行檢測。如輸入“～55”，這樣可以對(duì)這個(gè)網(wǎng)段的主機(jī)進(jìn)行檢測。同時(shí)也可以對(duì)不連續(xù)的IP地址進(jìn)行掃描，只要在“從文件獲取主機(jī)列表”項(xiàng)前面打上對(duì)勾就可以了，公司內(nèi)部網(wǎng)站服務(wù)器的地址為。任務(wù)1掃描網(wǎng)絡(luò)漏洞

活動(dòng)2使用綜合掃描器掃描網(wǎng)段步驟3單擊“全局設(shè)置”前面的那個(gè)“+”號(hào)，展開后會(huì)有4個(gè)模塊，分別是“掃描模塊”、“并發(fā)掃描”、“掃描報(bào)告”、“其他設(shè)置”。首先選擇“掃描模塊”，在右邊的邊框中會(huì)顯示相應(yīng)的參數(shù)選項(xiàng)，如果是掃描少數(shù)幾臺(tái)計(jì)算機(jī)的話可以全選，如果掃描的主機(jī)比較多的話，要有目標(biāo)地去掃描，只掃描主機(jī)開放的特定服務(wù)就可以，這樣會(huì)提高掃描的效率。任務(wù)1掃描網(wǎng)絡(luò)漏洞

活動(dòng)2使用綜合掃描器掃描網(wǎng)段步驟4接著，選擇“并發(fā)掃描”，可以設(shè)置要掃描的最大并發(fā)主機(jī)數(shù)和最大并發(fā)線程數(shù)，也可以單獨(dú)為每個(gè)主機(jī)的各個(gè)插件設(shè)置最大線程數(shù)。步驟5接下來是“掃描報(bào)告”，選擇后會(huì)顯示在右邊的窗格中，它會(huì)生成一個(gè)檢測IP或域名的報(bào)告文件，同時(shí)報(bào)告的文件類型可以有3種選擇，分別是HTML、TXT、XML。任務(wù)1掃描網(wǎng)絡(luò)漏洞

活動(dòng)2使用綜合掃描器掃描網(wǎng)段步驟6“其他設(shè)置”模塊有兩種條件掃描：一是“跳過沒有響應(yīng)的主機(jī)”，二是“無條件掃描”。如果設(shè)置了“跳過沒有響應(yīng)的主機(jī)”，對(duì)方如果禁止了ping或防火墻設(shè)置使對(duì)方?jīng)]有響應(yīng)的話，X-Scan會(huì)自動(dòng)跳過檢測下一臺(tái)主機(jī)。如果用“無條件掃描”的話，X-Scan會(huì)對(duì)目標(biāo)進(jìn)行詳細(xì)檢測，這樣結(jié)果會(huì)比較詳細(xì)也會(huì)更加準(zhǔn)確，但掃描時(shí)間會(huì)延長?！疤^沒有檢測到開放端口的主機(jī)”和“使用Nmap判斷遠(yuǎn)程操作系統(tǒng)”這兩項(xiàng)一般都是需要選上的，下邊的那個(gè)“顯示詳細(xì)進(jìn)度”項(xiàng)可以根據(jù)自己的實(shí)際情況選擇，這個(gè)主要是顯示檢測的詳細(xì)過程。步驟7“插件設(shè)置”模塊。該模塊包含針對(duì)各個(gè)插件的單獨(dú)設(shè)置，如“端口掃描”插件的端口范圍設(shè)置、各弱口令插件的用戶名/密碼字典設(shè)置等。任務(wù)1掃描網(wǎng)絡(luò)漏洞

活動(dòng)2使用綜合掃描器掃描網(wǎng)段各插件包括“端口相關(guān)設(shè)置”、“SNMP相關(guān)設(shè)置”、“NETBIOS相關(guān)設(shè)置”、“漏洞檢測腳本設(shè)置”、“CGI相關(guān)設(shè)置”、“字典文件設(shè)置”。步驟8開始掃描，選擇“文件”→“開始掃描”或者單擊界面的快捷圖標(biāo)開始掃描。在掃描過程中，可從“文件”中選擇“暫停掃描”或者“停止掃描”或單擊界面的快捷圖標(biāo)、來暫停掃描或者停止掃描。任務(wù)1掃描網(wǎng)絡(luò)漏洞

活動(dòng)2使用綜合掃描器掃描網(wǎng)段步驟9查看掃描報(bào)告。掃描完成后，選擇“查看”→“檢測報(bào)告”來打開掃描報(bào)告，以查看掃描報(bào)告。在掃描過程中，如果檢測到了漏洞的話，可以在“漏洞信息”中察看。掃描結(jié)束以后會(huì)自動(dòng)彈出檢測報(bào)告，包括漏洞的風(fēng)險(xiǎn)級(jí)別和詳細(xì)的信息，以便可以對(duì)對(duì)方主機(jī)進(jìn)行詳細(xì)的分析。在類型為“漏洞”的掃描結(jié)果中發(fā)現(xiàn)了嚴(yán)重的系統(tǒng)漏洞，就是NT-server弱口令，用戶名為Administrator、密碼為123456。任務(wù)1掃描網(wǎng)絡(luò)漏洞

活動(dòng)2使用綜合掃描器掃描網(wǎng)段【任務(wù)拓展】一、理論題1．簡述端口掃描的原理。2．如何掃描局域網(wǎng)中計(jì)算機(jī)的相關(guān)信息（主機(jī)名、IP地址、MAC地址等）？3．如何發(fā)現(xiàn)服務(wù)器的漏洞？二、實(shí)訓(xùn)1．使用端口掃描器掃描一個(gè)網(wǎng)段，并寫出掃描結(jié)果。2．搜索、下載、安裝一款綜合掃描器，然后使用該掃描器對(duì)端口、系統(tǒng)漏洞進(jìn)行掃描，生成掃描報(bào)告。任務(wù)2木馬的清除與防護(hù)

活動(dòng)1認(rèn)識(shí)木馬【任務(wù)實(shí)戰(zhàn)】步驟1獲得木馬軟件。木馬軟件的獲得非常容易，網(wǎng)上有很多木馬軟件可以下載使用。但是下載此軟件的目的是為了學(xué)習(xí)，本實(shí)例以非常著名的木馬“冰河”為例。步驟2配置木馬?！氨印蹦抉R無需安裝，解壓縮即可，這時(shí)可以看到文件夾下面有兩個(gè)文件，名字分別為“G_Client.exe”和“G_Server.exe”。其中“G_Client.exe”為木馬的控制程序，“G_Server.exe”為木馬的服務(wù)端程序。任務(wù)2木馬的清除與防護(hù)

活動(dòng)1認(rèn)識(shí)木馬（1）啟動(dòng)冰河木馬的控制端。

雙擊文件夾下的文件“G_Client.exe”。（2）配置服務(wù)端程序。

選擇“設(shè)置”菜單中的“配置服務(wù)器程序”進(jìn)行木馬服務(wù)器端的配置。單擊“待配置文件”按鈕，選擇服務(wù)端程序。單擊“確定”按鈕后單擊“關(guān)閉”按鈕。這樣就制作完成了木馬的服務(wù)端程序。任務(wù)2木馬的清除與防護(hù)

活動(dòng)1認(rèn)識(shí)木馬步驟3傳播木馬。

木馬的傳播方式主要有兩種：一種是通過E-mail，控制端將木馬程序以附件的形式夾在郵件中發(fā)送出去，收信人只要打開附件就會(huì)感染木馬；另一種是軟件下載，一些非正規(guī)的網(wǎng)站以提供軟件下載為名義，將木馬捆綁在軟件安裝程序上，下載后，只要一運(yùn)行這些程序，木馬就會(huì)自動(dòng)安裝。本實(shí)例是模擬木馬的入侵，因此只是把服務(wù)端程序G_Server共享，然后在遠(yuǎn)程主機(jī)上單擊執(zhí)行。步驟4建立連接。

要想用控制端連接遠(yuǎn)程的服務(wù)端，雙方必須同時(shí)在線，

選擇“文件”菜單中的“搜索計(jì)算機(jī)”，就會(huì)搜索出

已經(jīng)運(yùn)行服務(wù)端的計(jì)算機(jī)的IP地址。已經(jīng)搜索出遠(yuǎn)程

主機(jī)正在線運(yùn)行服務(wù)端。任務(wù)2木馬的清除與防護(hù)

活動(dòng)1認(rèn)識(shí)木馬步驟5控制計(jì)算機(jī)。（1）左側(cè)的樹形控制臺(tái)中會(huì)出現(xiàn)地址為的那臺(tái)計(jì)算機(jī)的硬盤，可以對(duì)硬盤進(jìn)行完全的讀寫操作。（2）選擇左側(cè)的“命令控制臺(tái)”選項(xiàng)卡。命令控制臺(tái)包括口令類命令、控制類命令、網(wǎng)絡(luò)類命令、文件類命令、注冊表讀寫、設(shè)置類命令。這6大類命令可以實(shí)現(xiàn)對(duì)整個(gè)系統(tǒng)的完全控制，而且是在用戶不知情的情況下完成的。任務(wù)2木馬的清除與防護(hù)

活動(dòng)2木馬的清除與防護(hù)【任務(wù)描述】小齊通過冰河木馬了解了木馬的工作原理，但是會(huì)放置木馬和控制并不是主要目的，那么如何清除木馬呢？【任務(wù)分析】小齊準(zhǔn)備自己動(dòng)手來清除冰河木馬，借此總結(jié)清除木馬的一般步驟。任務(wù)2木馬的清除與防護(hù)

活動(dòng)2木馬的清除與防護(hù)【任務(wù)實(shí)戰(zhàn)】當(dāng)我們發(fā)現(xiàn)機(jī)器無故經(jīng)常重啟、密碼信息泄露、

桌面不正常時(shí)，可能就是中了木馬程序，需要

進(jìn)行殺毒。步驟1查看開機(jī)啟動(dòng)程序的注冊表項(xiàng)。判斷是否存在木馬：一般病毒都需要修改注冊表，我們可以在注冊表中查看到木馬的痕跡。選擇“開始”→“運(yùn)行”，輸入“regedit”，這樣就進(jìn)入了注冊表編輯器，依次打開子鍵目錄“HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft

\Windows\CurrentVersion\Run”，在目錄中我們發(fā)現(xiàn)第一項(xiàng)的數(shù)據(jù)“C：\WINDOWS\system32\Kernel32.exe”，Kernel32.exe就是冰河木馬程序在注冊表中加入的鍵值，將該項(xiàng)刪除。任務(wù)2木馬的清除與防護(hù)

活動(dòng)2木馬的清除與防護(hù)步驟2

查看開機(jī)啟動(dòng)服務(wù)的注冊表項(xiàng)。然后再打開“HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Current

Version\RunServices”，在目錄中也發(fā)現(xiàn)了一個(gè)鍵值“C：\WINDOWS\

system32\Kernel32.exe”，將其刪除。刪掉其在注冊表中的啟動(dòng)項(xiàng)后，再刪除病毒原文件。任務(wù)2木馬的清除與防護(hù)

活動(dòng)2木馬的清除與防護(hù)認(rèn)真檢查。步驟3刪除病毒源文件。打開“C:\WINDWOS\system32”，找到Kernel32.exe將其刪除，然后將C:\WINDWOS\system32中sysexplr.exe文件刪除。之后重啟機(jī)器，冰河木馬就徹底被刪除掉了。步驟4連接測試。在控制端再用冰河木馬搜索可連接主機(jī)，圖所示是在遠(yuǎn)程主機(jī)刪除木馬之后搜索的結(jié)果。我們發(fā)現(xiàn)已經(jīng)搜索不到主機(jī)了。任務(wù)2木馬的清除與防護(hù)

活動(dòng)2木馬的清除與防護(hù)步驟5

木馬的防護(hù)。為了避免木馬對(duì)用戶造成不必要的傷害，有必要提前采取一些措施來預(yù)防木馬，即阻止木馬植入系統(tǒng)。

（1）不要隨便下載來歷不明的軟件。為了防止在下載和執(zhí)行軟件時(shí)被植入木馬，最好到正規(guī)網(wǎng)站去下載軟件，這些網(wǎng)站的軟件更新快，且大部分都經(jīng)過測試，可以放心使用。假如需要下載一些非正規(guī)網(wǎng)站上的軟件，注意不要在在線狀態(tài)下安裝軟件，一旦軟件中含有木馬程序，就有可能導(dǎo)致系統(tǒng)信息的泄露。

（2）謹(jǐn)慎使用電子郵件。電子郵件的使用非常廣泛，為了避免木馬通過電子郵件植入計(jì)算機(jī)，在收發(fā)帶附件郵件時(shí)要非常小心。不要輕易地打開來歷不明的郵件，如廣告郵件等，打開附件時(shí)更要格外小心。

（3）安裝木馬防火墻。前面單元2介紹惡意軟件的清除時(shí)已經(jīng)提到了的360安全衛(wèi)士，不但清除惡意插件非常好用，它的另一大特色就是也能清除木馬，關(guān)于如何操作請(qǐng)參看前面章節(jié)，關(guān)于軟件的詳細(xì)介紹可以訪問官方網(wǎng)站獲得更多資料。任務(wù)2木馬的清除與防護(hù)

活動(dòng)3模擬黑客入侵放置木馬【任務(wù)描述】通過對(duì)木馬原理和防御知識(shí)的學(xué)習(xí)，小齊明白了只要不下載來歷不明的軟件、謹(jǐn)慎使用電子郵件就可以讓計(jì)算機(jī)不中木馬了。但是近期公司網(wǎng)站的主頁一打開，立即跳轉(zhuǎn)到其他網(wǎng)站的頁面，公司責(zé)成小齊保證網(wǎng)站運(yùn)行正常?！救蝿?wù)分析】小齊馬上對(duì)網(wǎng)站服務(wù)器進(jìn)行檢查，安裝系統(tǒng)漏洞、軟件漏洞測試工具，進(jìn)行木馬檢測，發(fā)現(xiàn)了木馬程序，有人惡意攻擊網(wǎng)站。這個(gè)黑客是如何把木馬放進(jìn)來的，小齊準(zhǔn)備找臺(tái)備用服務(wù)器自己一探究竟。任務(wù)2木馬的清除與防護(hù)

活動(dòng)3模擬黑客入侵放置木馬【條件準(zhǔn)備】本次模擬攻擊使用兩臺(tái)計(jì)算機(jī)，一臺(tái)計(jì)算機(jī)要求是Windows2003操作系統(tǒng)。另外一臺(tái)可以是WindowsXP或者是Windows2003系統(tǒng)。被攻擊主機(jī)要求139端口開放，默認(rèn)共享沒有關(guān)閉?！救蝿?wù)實(shí)戰(zhàn)】步驟1

使用Namp進(jìn)行主機(jī)和端口掃描。在目標(biāo)區(qū)域輸入要掃描的IP地址區(qū)域?yàn)椤?1，主要是探測這個(gè)IP地址段是否有存活主機(jī)，從圖中可以看出有一臺(tái)主機(jī)1存活，而且開放了80、135、139、445、1025、1027等幾個(gè)端口，運(yùn)行的是WindowsSever2003操作系統(tǒng)。任務(wù)2木馬的清除與防護(hù)

活動(dòng)3模擬黑客入侵放置木馬步驟2

利用X-San綜合掃描器探測系統(tǒng)漏洞。從X-Scan的掃描結(jié)果可以看出遠(yuǎn)程主機(jī)的管理員賬號(hào)和密碼已經(jīng)被我們破解，而且139端口還在開放，那么就可以嘗試?yán)肐PC$漏洞對(duì)主機(jī)進(jìn)行入侵。平時(shí)我們總能聽到有人在說IPC$漏洞，IPC$漏洞，其實(shí)IPC$并不是一個(gè)真正意義上的漏洞，我想之所以有人這么說，一定是指微軟自己安置的那個(gè)“后門”，黑客就是利用了這一個(gè)漏洞。任務(wù)2木馬的清除與防護(hù)

活動(dòng)3模擬黑客入侵放置木馬步驟3

嘗試使用IPC$漏洞入侵并放置木馬。（1）使用netuse命令并運(yùn)用上一步破解的用戶名和密碼探測是否可以建立IPC$遠(yuǎn)程管理連接。顯示“命令成功完成”，表示連接已經(jīng)成功建立了。（2）啟動(dòng)冰河木馬的控制端，配置服務(wù)端程序G_Server.exe，并且把它復(fù)制到C盤根目錄下。（3）上傳木馬的服務(wù)端到主機(jī)。

使用copy命令把C盤根目錄下的木馬服務(wù)端程序G_Server.exe上傳到1這臺(tái)主機(jī)，命令和運(yùn)行結(jié)果如圖。任務(wù)2木馬的清除與防護(hù)

活動(dòng)3模擬黑客入侵放置木馬（4）定時(shí)啟動(dòng)木馬。利用nettime命令先查看遠(yuǎn)程主機(jī)的系統(tǒng)時(shí)間，然后利用at命令讓木馬服務(wù)端在規(guī)定時(shí)間自動(dòng)運(yùn)行。步驟4連接木馬服務(wù)端。啟動(dòng)冰河選擇“文件”→“添加計(jì)算機(jī)”，輸入遠(yuǎn)程主機(jī)的IP地址1，單擊“確定”按鈕，發(fā)現(xiàn)主機(jī)已經(jīng)顯示在左側(cè)欄中。步驟5

防御思考?？磥?，除了注意下載軟件和注意電子郵件外，還要注意關(guān)閉那些不必要的端口。任務(wù)2木馬的清除與防護(hù)

活動(dòng)3模擬黑客入侵放置木馬【任務(wù)拓展】一、理論題1．什么是木馬？

2．簡述木馬的工作原理？

3．簡述木馬的手工清除方法？

4．簡述木馬的防御方法？二、實(shí)訓(xùn)1．下載一種木馬軟件（如灰鴿子等）熟悉配置過程，嘗試植入木馬并控制。

2．對(duì)植入的木馬采用手工清除的方法進(jìn)行清除。

3．使用360安全衛(wèi)士查殺木馬。任務(wù)3拒絕服務(wù)攻擊與防御

活動(dòng)1模擬黑客發(fā)起DDoS攻擊【任務(wù)描述】近期公司的網(wǎng)站被黑客攻擊了，造成了公司的網(wǎng)站長時(shí)間不能訪問，詢問了安全專家，才知道原來遭受了DDoS攻擊?！救蝿?wù)分析】小齊想弄明白DDoS攻擊的組織方法及攻擊過程?！救蝿?wù)環(huán)境】3臺(tái)計(jì)算機(jī)，一臺(tái)Web服務(wù)器，一臺(tái)攻擊主機(jī)，一臺(tái)測試主機(jī)。任務(wù)3拒絕服務(wù)攻擊與防御

活動(dòng)1模擬黑客發(fā)起DDoS攻擊【任務(wù)實(shí)戰(zhàn)】步驟1了解DDoS攻擊的原理。要了解DDoS，首先要了解什么是DoS（DenialofService，DoS）。簡單地說，DoS就是用超出被攻擊目標(biāo)處理能力的海量數(shù)據(jù)包消耗可用系統(tǒng)、帶寬資源，致使網(wǎng)絡(luò)服務(wù)癱瘓的一種攻擊手段。拒絕服務(wù)攻擊自問世以來，衍生了多種形式，現(xiàn)將使用較頻繁的TCP—SYNFlood做簡單介紹。TCP—SYNFlood又稱為半開式連接攻擊。每當(dāng)用戶進(jìn)行一次標(biāo)準(zhǔn)的TCP連接（如WWW瀏覽、下載文件等）時(shí)會(huì)有一個(gè)三次握手的過程：首先是請(qǐng)求方向服務(wù)方發(fā)送一個(gè)SYN消息；服務(wù)方收到SYN后，會(huì)向請(qǐng)求方回送一個(gè)SYN—ACK表示確認(rèn)；當(dāng)請(qǐng)求方收到SYN—ACK后再次向服務(wù)方發(fā)送一個(gè)ACK消息。至此，一次成功的TCP連接建立完成，接下來就可以進(jìn)行后續(xù)工作了。任務(wù)3拒絕服務(wù)攻擊與防御

活動(dòng)1模擬黑客發(fā)起DDoS攻擊而TCP—SYNFlood在它的實(shí)現(xiàn)過程中只有前兩個(gè)步驟。當(dāng)服務(wù)方收到請(qǐng)求方的SYN并回送SYN—ACK確認(rèn)消息后，請(qǐng)求方由于采用源地址欺騙等手段，致使服務(wù)方得不到ACK回應(yīng)，這樣，服務(wù)方會(huì)在一定時(shí)間處于等待接收請(qǐng)求方ACK消息的狀態(tài)。一臺(tái)服務(wù)器可用的TCP連接是有限的，如果惡意攻擊方快速連續(xù)地發(fā)送此類連接請(qǐng)求，則服務(wù)器的可用TCP連接隊(duì)列將會(huì)很快阻塞，系統(tǒng)可用資源、網(wǎng)絡(luò)可用帶寬也會(huì)急劇下降，從而無法向用戶提供正常的網(wǎng)絡(luò)服務(wù)。DDoS攻擊是在傳統(tǒng)的DoS攻擊基礎(chǔ)之上產(chǎn)生的新一類攻擊方式。在早期，拒絕服務(wù)攻擊主要是針對(duì)處理能力比較弱的單機(jī)，如個(gè)人計(jì)算機(jī)（PC）或是窄帶寬連接的網(wǎng)站，對(duì)擁有高帶寬連接、高性能設(shè)備的網(wǎng)站影響不大。但在1999年底，伴隨著DDoS的出現(xiàn)，這種高端網(wǎng)站高枕無憂的局面不復(fù)存在，與早期的DoS攻擊由單臺(tái)攻擊主機(jī)發(fā)起、單兵作戰(zhàn)的攻擊方式相比較，DDoS實(shí)現(xiàn)是借助數(shù)百甚至數(shù)千臺(tái)被植入攻擊守護(hù)進(jìn)程的攻擊主機(jī)同時(shí)發(fā)起的集團(tuán)作戰(zhàn)行為。在這種幾百甚至幾千對(duì)一的較量中，網(wǎng)絡(luò)服務(wù)提供商所面對(duì)的破壞力是空前巨大的。任務(wù)3拒絕服務(wù)攻擊與防御

活動(dòng)1模擬黑客發(fā)起DDoS攻擊步驟2模擬DDoS攻擊。本例模擬的環(huán)境是從一臺(tái)攻擊主機(jī)對(duì)一臺(tái)服務(wù)器發(fā)起的DDoS攻擊。（1）搭建Web服務(wù)器，并運(yùn)行WindowsServer2003，安裝IIS6.0，然后發(fā)布一個(gè)網(wǎng)站。此處制作了一個(gè)測試頁面，用于測試DDoS攻擊的效果，頁面效果如圖所示，IIS的設(shè)置本書不做詳細(xì)說明。

（2）攻擊環(huán)境的配置。操作系統(tǒng)選擇WindowsServer2003，下載DDoS攻擊軟件xdos，解壓縮后將其中的xdos.exe文件復(fù)制到C:\Ddos文件夾中。任務(wù)3拒絕服務(wù)攻擊與防御

活動(dòng)1模擬黑客發(fā)起DDoS攻擊（3）運(yùn)行軟件進(jìn)行攻擊。選擇“開始”→“運(yùn)行”進(jìn)入到命令行窗口，切換到C盤的Ddos目錄下，輸入“xdos”運(yùn)行xdos.exe可執(zhí)行文件，按Enter鍵可以看到此軟件的使用方法。

現(xiàn)在開始進(jìn)行一次DDoS攻擊，在命令行窗口輸入“xdos3780—t10—s”，則說明攻擊正在進(jìn)行。任務(wù)3拒絕服務(wù)攻擊與防御

活動(dòng)1模擬黑客發(fā)起DDoS攻擊在窗口中可以看到，本次攻擊目標(biāo)主機(jī)的37的80端口，即攻擊其Web服務(wù)，攻擊采用10線程同時(shí)進(jìn)行，并且偽造攻擊源地址為。幾秒鐘后，用戶再次訪問一下被攻擊的服務(wù)器，可以看到如圖所示的網(wǎng)站。被攻擊服務(wù)器出現(xiàn)“您正在查找的頁當(dāng)前不可用。網(wǎng)站可能遇到支持問題，或者您需要調(diào)整您的瀏覽器設(shè)置”的提示，此時(shí)無論如何調(diào)整瀏覽器設(shè)置，用戶都無法訪問被攻擊服務(wù)器上發(fā)布的網(wǎng)站，因?yàn)楸还舴?wù)器已經(jīng)無法正常提供Web服務(wù)了。任務(wù)3拒絕服務(wù)攻擊與防御

活動(dòng)1模擬黑客發(fā)起DDoS攻擊雙擊被攻擊服務(wù)器桌面右下角的“本地連接”圖標(biāo)，出現(xiàn)“本地連接狀態(tài)”對(duì)話框，可以看到網(wǎng)絡(luò)流量非常大。打開“Windows任務(wù)管理器”，可以看到“CPU使用”在幾秒鐘內(nèi)由1％升為100％。被攻擊服務(wù)器已處于癱瘓狀態(tài)，至此，一次模擬的DDoS攻擊完成，攻擊成功。任務(wù)3拒絕服務(wù)攻擊與防御

活動(dòng)2DDoS攻擊防御【任務(wù)描述】通過實(shí)驗(yàn)?zāi)M，小齊終于明白了DDoS的原理和攻擊過程，但是不能坐以待斃啊，如何防御呢？【任務(wù)分析】通過原理分析和設(shè)備手冊掌握有效的防范DDoS攻擊的一些具體措施?！救蝿?wù)實(shí)戰(zhàn)】步驟1

采用高性能的網(wǎng)絡(luò)設(shè)備。首先要保證網(wǎng)絡(luò)設(shè)備不能成為瓶頸，因此選擇路由器、交換機(jī)、硬件防火墻等設(shè)備的時(shí)候要盡量選用知名度高、口碑好的產(chǎn)品。任務(wù)3拒絕服務(wù)攻擊與防御

活動(dòng)2DDoS攻擊防御步驟2

盡量避免NAT的使用。NAT（網(wǎng)絡(luò)地址轉(zhuǎn)換），是通過將專用網(wǎng)絡(luò)地址（如企業(yè)內(nèi)部網(wǎng)Intranet）轉(zhuǎn)換為公用地址（如互聯(lián)網(wǎng)Internet），從而對(duì)外隱藏了內(nèi)部管理的IP地址。這樣，通過在內(nèi)部使用非注冊的IP地址，并將它們轉(zhuǎn)換為一小部分外部注冊的IP地址，從而減少了IP地址注冊的費(fèi)用以及節(jié)省了目前越來越缺乏的地址空間（即IPv4）。同時(shí)，這也隱藏了內(nèi)部網(wǎng)絡(luò)結(jié)構(gòu)，從而降低了內(nèi)部網(wǎng)絡(luò)受到攻擊的風(fēng)險(xiǎn)。NAT功能通常被集成到路由器、防火墻、單獨(dú)的NAT設(shè)備中，NAT設(shè)備（或軟件）維護(hù)一個(gè)狀態(tài)表，用來把內(nèi)部網(wǎng)絡(luò)的私有IP地址映射到外部網(wǎng)絡(luò)的合法IP地址上去。每個(gè)包在NAT設(shè)備（或軟件）中都被翻譯成正確的IP地址發(fā)往下一級(jí)。與普通路由器不同的是，NAT設(shè)備實(shí)際上對(duì)包頭進(jìn)行修改，將內(nèi)部網(wǎng)絡(luò)的源地址變?yōu)镹AT設(shè)備自己的外部網(wǎng)絡(luò)地址，而普通路由器僅在將數(shù)據(jù)包轉(zhuǎn)發(fā)到目的地前讀取源地址和目的地址。任務(wù)3拒絕服務(wù)攻擊與防御

活動(dòng)2DDoS攻擊防御雖然使用NAT可以使得外部網(wǎng)絡(luò)對(duì)內(nèi)部網(wǎng)絡(luò)的不可視，降低了外部網(wǎng)絡(luò)對(duì)內(nèi)部網(wǎng)絡(luò)攻擊的風(fēng)險(xiǎn)性。但是，無論是路由器還是硬件防護(hù)墻設(shè)備都要盡量避免NAT的使用，因?yàn)镹AT需要對(duì)地址來回轉(zhuǎn)換，轉(zhuǎn)換過程中需要對(duì)網(wǎng)絡(luò)包進(jìn)行校驗(yàn)和計(jì)算，所以浪費(fèi)了很多CPU的時(shí)間，降低了網(wǎng)絡(luò)通信能力，因而一旦受到DDoS攻擊，本來就有限的網(wǎng)絡(luò)通信能力就更不夠使用了。步驟3保證充足的網(wǎng)絡(luò)帶寬。網(wǎng)絡(luò)帶寬直接決定了抵抗DDoS攻擊的能力。假若僅有10MB帶寬，采取任何措施都很難對(duì)抗現(xiàn)在的SYNFlood攻擊，至少要選擇100MB的共享帶寬，如果能有1000MB的主干帶寬更好。需要注意的是，主機(jī)上的網(wǎng)卡是1000MB并不意味著它的網(wǎng)絡(luò)帶寬就是千兆的，若把它接在100MB的交換機(jī)上，它的實(shí)際帶寬不會(huì)超過100MB，另外一點(diǎn)是接在100MB的帶寬上也不等于就有了百兆的帶寬，因?yàn)榫W(wǎng)絡(luò)服務(wù)商很可能在交換機(jī)上限制實(shí)際帶寬為10MB。任務(wù)3拒絕服務(wù)攻擊與防御

活動(dòng)2DDoS攻擊防御步驟4

升級(jí)主機(jī)服務(wù)器硬件。在有網(wǎng)絡(luò)帶寬保證的前提下，盡量提升服務(wù)器的硬件配置。在對(duì)抗DDoS攻擊時(shí)，起關(guān)鍵作用的主要是服務(wù)器的CPU、內(nèi)存及硬盤。CPU建議選擇英特爾公司的至強(qiáng)（Xeon）處理器。Xeon是英特爾公司生產(chǎn)的400MHz的奔騰微處理器，它用于“中間范圍”的企業(yè)服務(wù)器和工作站。在英特爾的服務(wù)器主板上，多達(dá)8個(gè)Xeon處理器能夠共用100MHz的總線而進(jìn)行多路處理。Xeon正在取代PentiumPro而成為英特爾的主要企業(yè)微芯片。Xeon設(shè)計(jì)用于互聯(lián)網(wǎng)以及大量的數(shù)據(jù)處理服務(wù)，如工程、圖像和多媒體等需要快速傳送大量數(shù)據(jù)的應(yīng)用。Xeon是奔騰生產(chǎn)線的高端產(chǎn)品。任務(wù)3拒絕服務(wù)攻擊與防御

活動(dòng)2DDoS攻擊防御目前，英特爾公司推出了新的處理器技術(shù)“酷睿”技術(shù)，“酷?！笔且豢铑I(lǐng)先節(jié)能的新型微架構(gòu)，設(shè)計(jì)的出發(fā)點(diǎn)是提供卓然出眾的性能和能效，