Download
1 / 61
610 likes | 741 Views
参赛说明. 参赛课程名称:网络信息安全 参赛人姓名:崔炜 参赛人所在学校:天津铁道职业技术学院 课程简介: 本课程力求突出实用、全面、简单、生动的特点,通过本课程的学习,能够使学生对网络信息安全有一个比较清晰的概念,能够配置单机系统的安全,能够防范网络攻击,能够保证信息安全,能够进行网络结构安全的分析和设计。. 工作任务. 学习目标. 实践操作. 检查评价. 知识拓展. 问题探究. 处理校园黑客入侵事件. 学习目标. 学习目标. 1. 知识目标. 2. 能力目标. 返回 . 上页 . 下页 . 学习目标. 1. 知识目标.
E N D
参赛说明 参赛课程名称:网络信息安全 参赛人姓名:崔炜 参赛人所在学校:天津铁道职业技术学院 课程简介: 本课程力求突出实用、全面、简单、生动的特点,通过本课程的学习,能够使学生对网络信息安全有一个比较清晰的概念,能够配置单机系统的安全,能够防范网络攻击,能够保证信息安全,能够进行网络结构安全的分析和设计。
工作任务 学习目标 实践操作 检查评价 知识拓展 问题探究 处理校园黑客入侵事件
学习目标 学习目标 1. 知识目标 2. 能力目标 返回 上页 下页
学习目标 1. 知识目标 认识并了解黑客 1 2 理解黑客的攻击手段 3 了解黑客常用的攻击方法 了解防范黑客入侵的方法 4 返回 上页 下页
学习目标 2. 能力目标 1 扫描要攻击的目标主机 2 入侵并设置目标主机 3 监视并控制目标主机 4 使用入侵型攻击软件 5 防范入侵型攻击 返回 上页 下页
工作任务 工作任务 1. 工作名称 2. 工作任务背景 3. 工作任务分析 4. 条件准备 返回 上页 下页
工作任务 任务名称与背景 任务名称:模拟校园网内主机被黑客入侵攻击 • 任务背景:最近多位老师发现自己计算机中的内容突然丢失或被篡改,有的计算机还出现莫名其妙的重新启动现象。张老师接到报告后,迅速感到现场查看,发现这几台计算机的硬盘均被不同程度的共享了;有的计算机中被植入了木马;有的计算机中正在运行的进程和服务被突然停止;更有甚者,有的计算机的鼠标指针竟然会自行移动,并执行了某些操作。而查看这些计算机的日志却没有任何发现。 返回 上页 下页
工作任务 任务分析 从这几台计算机的现象看,非常明显是被黑客攻击了。张老师进一步深入的查看,发现了这几台出现问题的计算机存在着一些共同点:有的老师为了自己使用方便或其他一些原因,将自己计算机的用户名和密码记录在了计算机旁边,有的老师设置的用户名和密码非常简单,甚至根本没有设置密码;几台计算机的操作系统均为Windows XP Professional而且均默认打开了IPC$共享和默认共享;几台计算机有的未安装任何杀毒软件和防火墙,有的安装了杀毒软件但很久未作升级。另外这几台计算机的本地安全策略的安全选项中,“网络访问:本地帐户的共享和安全模式”的安全设置为“经典-本地用户以自己的身份验证”。 由于老师们所在的办公室经常有外人进出,不排除 返回 上页 下页
工作任务 任务分析 • 他们的用户名和密码等信息被他人获知的可能性。机器机器中未安装杀毒软件和防火墙,导致他人利用黑客工具可以非常轻松的任务分析攻击这些计算机,设置硬盘共享、控制计算机的服务和进程等。另外安全选项中的“网络访问:本地帐户的共享和安全模式”一项的默认设置应为“仅来宾:本地用户以来宾身份验证。”,这样的设置可以使本地帐户的网络登录将自动映射到 Guest 帐户,而“设置为“经典-本地用户以自己的身份验证”,意味着该计算机不论是否禁用“Guest帐户”,只要获知本地用户的密码,那么任何人都可以使用这些用户帐户来访问和共享这些计算机的系统资源了。 返回 上页 下页
工作任务 任务分析 • 张老师将计算机被黑客攻击的结论告诉了这几位老师,他们觉得不可思议。他们提出了很多问题:难道我们的身边真的存在校园黑客?黑客究竟使用什么样的方法控制了我们的计算机?今后我们应该如何防范黑客的攻击? • 张老师为了增强老师们的网络安全防范意识,决定利用一些网上下载的黑客攻击软件为老师们模拟操作校园网计算机被攻击的过程,并在操作过程中指出老师应该如何应对和防范黑客的攻击。 • 黑客攻击的手段和方法很多,张老师认真分析了本次发生的校园网黑客入侵事件,推理出本次黑客攻击的过程:首先黑客获得目标主机的用户名和密码, 返回 上页 下页
工作任务 任务分析 • 该内容可能在老师们的办公室中直接获得,也可能是利用黑客扫描软件对某个IP地址段的目标主机进行扫描,获得其中弱口令主机的用户名和密码;然后利用黑客攻击软件对这些目标主机进行攻击,完成设置硬盘共享、控制服务和进程、安装木马等操作;之后清除目标主机中所有日志的内容,做到不留痕迹。另外该黑客还可能对某些目标主机实行了监视甚至控制。张老师决定下载可以完成以上操作的黑客软件。 • 目前网上的黑客攻击软件很多,但是大部分均能被最新的杀毒软件或防火墙检测出来并当作病毒或木马进行隔离或删除处理。为了实现黑客攻击的演示,张老师先将自己计算机中的防火墙和杀毒软件关闭。 返回 上页 下页
工作任务 条件准备 • 张老师下载了三个黑客软件:NTscan变态扫描器、Recton v2.5、DameWare迷你中文版4.5。 • NTscan变态扫描器可以对指定IP地址段的所有主机进行扫描,扫描方式有IPC扫描、SMB扫描、WMI扫描三种,可以扫描打开某个指定端口的主机,通过扫描可以得到其中弱口令主机的管理员用户名和密码。 • Recton v2.5是一个典型的黑客攻击软件,只要拥有某一个远程主机的管理员账号和密码,并且远程主机的135端口和WMI服务(默认启动)都开启,就可以利用该软件完成远程开关telnet,远程运行CMD命令,远程重启和查杀进程,远程查看、启动和停止服务、查看和创建共享、种植木马、远程清除所有日志等操作。 返回 上页 下页
工作任务 条件准备 • DameWare迷你中文版4.5是一款远程控制软件,只要拥有一个远程主机的账号和密码,就可以对该主机实施远程监控,监视远程主机的所有操作甚至达到控制远程主机的目的。 • 另外张老师选择了两台操作系统为Windows XP Professional的主机,其中一台作为实施攻击的主机(以下称“主机A”),另一台作为被攻击的主机(以下称“主机B”),并将两台主机接入局域网中。 返回 上页 下页
实践操作 实践操作 ⒈模拟攻击前的准备 ⒉利用NTscan得到主机B的弱口令 ⒊利用Recton v2.5入侵主机B ⒋利用DameWare监控主机B 返回 上页 下页
实践操作 ⒈模拟攻击前的准备 • 由于本次模拟攻击所用到的黑客软件均可被较新的杀毒软件和防火墙检测出并自动进行隔离或删除的处理,因此,在模拟攻击前要先将两台主机安装的杀毒软件和防火墙全部关闭。然后打开“控制面板”中的“windows安全中心”,执行“windows防火墙”设置,将“windows防火墙”也关闭,如图所示。 返回 上页 下页
实践操作 ⒈模拟攻击前的准备 • 由于在默认的情况下,两台主机的IPC$共享、默认共享、135端口和WMI服务均处于开启状态,因此对共享、端口和服务不做任何调整。 • 设置主机A的IP地址为“172.16.100.1”,主机B的IP地址为“172.16.100.2”(IP地址可以根据实际情况自行设定),两台主机的子网掩码均应为“255.255.0.0”。设置完成后用“ping”命令测试两台主机连接成功。 • 为主机B添加管理员用户“abc”,密码设置为“123”。 • 打开主机B“控制面板”中的“管理工具”,执行“本地安全策略”命令,在“本地策略”的“安全选项”中找到“网络访问:本地帐户的共享和安全模式”策略,并将其修改为“经典-本地用户以自己的身份验证”,如图所示。 返回 上页 下页
实践操作 ⒈模拟攻击前的准备 返回 上页 下页
实践操作 2. 利用NTscan变态扫描器得到主机B的弱口令 • 将NTscan变态扫描器安装到主机A中。 • NTscan变态扫描器的文件夹中包含多个文件,其中“NT_user.dic”文件为用户名字典,“NT_pass.dic”文件为密码字典,“NTscan.exe”为主程序文件。 • 打开“NT_user.dic”文件,可以看到当前已有一个用户名“administrator”,这是超级管理员账号。在该账号后面添加几个由“a”、“b”、“c”三个字母随机组合的用户名,如“abc”、“acb”、“bac”等等,注意每个用户名占一行,且不要有空行,保存关闭。 • 打开“NT_pass.dic”文件,可以看到当前已有一个密码“%null%”,其含义为空密码。在该密码后面添加几个由“1”、“2”、“3”三个数字随机组合的密码,如“123”、“321”、“132”等等,注意每个密码占一行,且不要有空行,保存关闭。 返回 上页 下页
实践操作 2. 利用NTscan变态扫描器得到主机B的弱口令 • 由于本次模拟操作只是演示弱口令的测试过程,因此在两个字典中输入的用于猜测的用户名和密码只有不多的几条。在实际黑客攻击过程中,用户名和密码字典中多达几千条甚至上万条记录,用于测试的用户名和密码也不是人工输入,而是由软件自动生成,这些记录可能是3-4位纯数字或纯英文的所有组合,也可能是一些使用频率很高的单词或字符组合。这样的字典可以在几分钟之内测试出弱口令。 • 执行“NTscan.exe”文件,设置起始IP和结束IP均为“172.16.100.2”,只对主机B进行测试(在实际扫描过程中可以设置一个IP地址段,对该地址段中的所有主机进行测试);设置“连接共享$”为“ipc$”;扫描方式为“IPC扫描”;“扫描打开端口的主机”为“139”;其他选项 返回 上页 下页
实践操作 2. 利用NTscan变态扫描器得到主机B的弱口令 • 默认。单击“开始”按钮进行扫描。扫描完成后得到的弱口令会显示在扫描列表中,如图所示。 返回 上页 下页
实践操作 3.利用Recton v2.5入侵主机B • 将Recton v2.5安装到主机A中。 • 执行Recton v2.5文件夹中的“Recton.exe”文件,该软件共有九个功能:远程启动Terminal终端服务;远程启动和停止Telnet服务;在目标主机上执行CMD命令;清除目标主机的日志;将目标主机重新启动;远程查看和关闭目标主机的进程;远程启动和停止目标主机的服务;在目标主机上建立共享;向目标主机种植木马(可执行程序)。其中,远程启动Terminal终端服务的功能由于操作系统为Windows XP而不能执行,其他功能均可执行。 • ⑴远程启动和停止Telnet服务: • 单击“Telnet”选项卡,打开远程启动和停止Telnet服务功能。输入远程主机的IP地址为“172.16.100.2”, 返回 上页 下页
实践操作 3.利用Recton v2.5入侵主机B • 用户名为“abc”,密码为“123”,附加设置默认。单击“开始执行”按钮,即远程启动了主机B的Telnet服务。如图所示。如果再次点击“开始执行”按钮,则会远程停止主机B的Telnet服务。 返回 上页 下页
实践操作 3.利用Recton v2.5入侵主机B • 启动主机B的Telnet服务后,在主机A上点击“开始”菜单执行“运行”命令,并在文本框中输入“cmd”命令后点击“确定”按钮,打开“命令提示符”界面。输入命令“telnet 172.16.100.2”后回车,与主机B建立Telnet连接,如图所示 返回 上页 下页
实践操作 3.利用Recton v2.5入侵主机B • 此时系统询问“是否将本机密码信息送到远程计算机(y/n)”,输入“n”后回车。如图所示。 系统要求输入主机B的login(登陆用户名)和password(密码),这里分别输入“abc”和“123”,密码在输入时没有回显,如图所示。 返回 上页 下页
实践操作 3.利用Recton v2.5入侵主机B • 此时与主机B的Telnet连接建立成功。此时的命令提示符变为“C:\Documents and Settings\abc>”。此时在该命令提示符后面输入并执行dos命令,相当于在主机B中执行同样的操作。如输入命令“dir c:\”,可以显示出主机B的C盘根目录中所有文件夹及文件信息,如图所示。 返回 上页 下页
实践操作 3.利用Recton v2.5入侵主机B • 黑客可以利用telnet连接和dos命令,为远程主机建立新的用户,并将新用户升级为超级管理员的权限。如命令“net user user1 123 /add”的功能是为主机B建立新用户“user1”,密码为“123”,命令“net localgroup administrators user1 /add”的功能是将新建立的用户“user1”加入到administrators(超级管理员组)内,如图所示。 返回 上页 下页
实践操作 3.利用Recton v2.5入侵主机B • 此时,在主机B上打开“控制面板”的“管理工具”,执行“计算机管理”命令,查看“本地用户和组”,可以发现增加了“user1”用户,而且该用户位于“administrators”组内,如图所示。 返回 上页 下页
实践操作 3.利用Recton v2.5入侵主机B • 黑客可以将新建立的管理用账号作为后门,以便今后再次入侵该计算机。如果需要远程删除该用户,可以输入命令“net user user1 /del”。 • 如果需要断开本次Telnet连接,可以输入命令“exit”。 返回 上页 下页
实践操作 3.利用Recton v2.5入侵主机B • ⑵在目标主机上执行CMD命令: • 单击“CMD命令”选项卡,打开远程执行CMD命令功能。输入远程主机的IP地址、用户名和密码后,在“CMD”文本框中输入命令“shutdown -s -t 60”,该命令可以将目标主机倒计时60秒后关机,如图所示。 返回 上页 下页
实践操作 3.利用Recton v2.5入侵主机B • 单击“开始执行”按钮后,主机B会出现“系统关机”对话框,并且进行60秒倒计时,60秒后主机B自动关机,如图所示。如果想停止倒计时关机,可以点击主机B的“开始菜单”,执行“运行”命令,输入“shutdown –a” 后点击“确定”按钮。 返回 上页 下页
实践操作 3.利用Recton v2.5入侵主机B • 在“CMD命令”的“CMD”文本框中还可以输入其他命令,如“net share E$=E:\”,此时可以开启远程主机的E盘共享,将该命令“E$”和“E:”中的“E”换成“C”、“D”、“F”等,即可开启C盘,D盘,F盘等的共享,这种共享方式隐蔽性很高,而且是完全共享,在主机B中不会出现一只手托住盘的共享标志。此时若在主机A的浏览器地址栏中输入“\\172.16.100.2\E$”,即可进入主机B的E盘,并可以做任意的复制和删除等操作了。如图所示。 返回 上页 下页
实践操作 3.利用Recton v2.5入侵主机B • “net share”命令的格式为: • net share 共享资源名=需共享的路径 [/delete] • 利用该命令还可以共享指定的文件夹。如“net share csys=C:\windows\system32”命令可以共享目标主机C盘的system32文件夹。 • 在共享后的任务完成之后,需要关闭共享。如在“CMD”文本框中输入“net share E$ /del”命令,可以关闭目标主机的E盘共享。 • ⑶远程清除目标主机的日志: • 单击“日志”选项卡,打开远程清除目标主机所有日志的功能。输入远程主机的IP地址、用户名和密码后,单击“开始执行”按钮,可以完成清除日志的操作,如图下页所示。一般来说,在黑客攻击目标主机之后,都会清除目标主机的所有日志,使得攻击的过程不留任何痕迹。 返回 上页 下页
实践操作 3.利用Recton v2.5入侵主机B 远程清除目标主机的日志 返回 上页 下页
实践操作 3.利用Recton v2.5入侵主机B • ⑷远程将目标主机重新启动: • 单击“重启”选项卡,打开远程重启目标主机的功能。输入远程主机的IP地址、用户名和密码后,单击“开始执行”按钮,即可完成在远程将目标主机重新启动的操作。 • ⑸远程控制目标主机进程: • 单击“进程”选项卡,打开远程控制目标主机进程的功能。输入远程主机的IP地址、用户名和密码后,在进程列表处单击鼠标右键,选择“获取进程信息”命令,可以显示主机B目前正在运行的所有进程,如图所示。如要关闭其中的某个进程,可以用鼠标右键单击该进程,选择“关闭进程”命令。 返回 上页 下页
实践操作 3.利用Recton v2.5入侵主机B 返回 远程控制目标主机的进程图 上页 下页
实践操作 3.利用Recton v2.5入侵主机B • 可以选择关闭进程“explorer.exe”,这个进程主要负责显示操作系统桌面上的图标以及任务栏,关闭该进程后,主机B的桌面上除了壁纸(活动桌面Active Desktop的壁纸除外),所有图标和任务栏都消失了。 • 如要恢复主机B的原有状态,可在主机B按下Ctrl+Alt+Del组合键,打开“Windows任务管理器”,选择“应用程序”选项卡,点击“新任务”按钮,在“创建新任务”对话框中点击“浏览”按钮,选择系统盘C盘Windows文件夹中的“explorer.exe”文件,点击“确定”按钮,重新建立 “explorer.exe” 进程,如图所示 返回 上页 下页
实践操作 3.利用Recton v2.5入侵主机B 重新执行“explorer.exe”进程 返回 上页 下页
实践操作 3.利用Recton v2.5入侵主机B • ⑹远程控制目标主机的服务: • 单击“服务”选项卡,打开远程查看、启动和停止目标主机服务的功能。输入远程主机的IP地址、用户名和密码后,在服务列表处单击鼠标右键,选择“获取服务信息”命令,可以显示主机B的所有服务名、当前状态和启动类型等信息,如图下页图所示。其中“状态”列中,“Running”表示该服务已经启动,“Stopped”表示该服务已经停止。“启动类型”列中,“Auto”表示自动启动,“Manual”表示手动启动,“Disabled”表示已禁用。 • 可以用鼠标右键选择某个服务,选择“启动/停止服务”命令,改变所选服务的当前状态。 返回 上页 下页
实践操作 3.利用Recton v2.5入侵主机B 返回 远程控制目标主机的服务 上页 下页
实践操作 3.利用Recton v2.5入侵主机B • ⑺控制目标主机共享: • 单击“共享”选项卡,打开远程控制目标主机共享的功能。输入远程主机的IP地址、用户名和密码后,在共享列表中单击鼠标右键,选择“获取共享信息”命令,可以查看目标主机当前所有的共享信息,如图所示。 返回 上页 下页
实践操作 3.利用Recton v2.5入侵主机B • ⑻向目标主机种植木马: • 单击“种植者”选项卡,打开向目标主机种植木马(可执行程序)的功能。输入远程主机的IP地址、用户名和密码。选择“IPC上传”模式,点击“本地文件”文本框后的按钮,选择要种植的木马程序,该程序必须为可执行文件。选择已经在目标主机上建立的共享目录名和其相对应共享路径,在“启动参数”文本框中设置木马程序启动时需要的参数,如图所示。单击“开始种植”按钮后,所选择的木马程序文件被复制到目标主机的共享目录中,Recton程序还将进行倒计时,60秒后启动已经种植在目标主机中的木马程序。 返回 上页 下页
实践操作 3.利用Recton v2.5入侵主机B 向目标主机种植木马 返回 上页 下页
实践操作 4.利用DameWare监控主机B • 将DameWare迷你中文版4.5安装到主机A中。安装结束后,执行新安装的“DameWare Mini Remote Control”程序,打开DameWare迷你中文版4.5。 • 启动DameWare迷你远程控制软件后,首先会弹出“远程连接”对话框,如图所示。在“主机”文本框中填写主机B的IP地址,“类型”选择“加密的Windows登录”,“用户”和“口令”文本框中输入主机B的用户名和口令。 返回 上页 下页
实践操作 4.利用DameWare监控主机B • 在远程连接之前应先进行设置。单击“设置”按钮,打开“172.16.100.2属性”对话框,选择其中的“服务安装选项”选项卡,如图所示。 返回 上页 下页
实践操作 4.利用DameWare监控主机B • 单击该选项卡中的“编辑”按钮,打开“DameWare Mini Remote Control Properties”对话框,在其中的“通知对话框”中去除“连接时通知”的勾选,在“附加设置”中的所有选项都不选择,这样设置的目的是在连接并监控目标主机时不被其使用者发现。 • 所有设置结束之后,点击“确定”按钮完成,回到“远程连接”对话框,单击“连接”按钮进行远程连接。 • 在第一次连接主机B时,DameWare迷你远程控制软件会打开“服务端安装”对话框,提示启动主机B的相关服务,并向主机B复制配置文件,如图所示 返回 上页 下页
实践操作 4.利用DameWare监控主机B • 在“计算机名”列表中选择主机B的IP地址,并选中“设置服务启动类型为手动”和“复制配置文件DWRCS.INI”两个复选框后,点击“确定”按钮,完成服务配置和文件复制的过程。 • 此时,在DameWare迷你远程控制软件窗口中,会显示出主机B的当前桌面,并且同步显示主机B的所有操作,实现监视目标主机B的目的。 • 如果想控制主机B,可以点击DameWare迷你远程控制软件的“视图查看”菜单,勾选掉“仅监控”命令前面的“√”,此时在主机A上可以实现控制主机B的功能,黑客可以像控制自己的计算机一样在远程主机上执行任何操作。“服务端安装”对话框 返回 上页 下页
问题探究 问题探究 1.什么是黑客 2.黑客常用的攻击方法 3.黑客实施网络攻击的一般步骤则 4.如何防范黑客攻击 返回 上页 下页
问题探究 1.什么是黑客 • 提起黑客,总是那么神秘莫测。在人们眼中,黑客是一群聪明绝顶,精力旺盛的年轻人,一门心思地破译各种密码,以便偷偷地、未经允许地打入政府、企业或他人的计算机系统,窥视他人的隐私。 • 黑客一词,源于英文Hacker,原指热心于电脑技术,水平高超的电脑专家,尤其是程序设计人员。在日本《新黑客词典》中,对黑客的定义是“喜欢探索软件程序奥秘,并从中增长了其个人才干的人。他们不象绝大多数电脑使用者那样,只规规矩矩地了解别人指定了解的狭小部分知识。”由这些定义中,我们还看不出太贬义的意味。他们通常具有硬件和软件的高级知识,并有能力通过创新的方法剖析系统。“黑客”能使更多的网络趋于完善和安全,他们以保护网络为目的,而以不正当侵入为手段找出网络漏洞。 返回 上页 下页
问题探究 1.什么是黑客 • 另一种入侵者是那些利用网络漏洞破坏网络的人。他们往往做一些重复的工作(如用暴力法破解口令),他们也具备广泛的电脑知识,但与黑客不同的是他们以破坏为目的。这些群体被称为“骇客”。 • 黑客起源于50年代麻省理工学院的实验室中,他们精力充沛,热衷于解决难题。60、70年代,“黑客”一词极富褒义,用于指代那些独立思考、奉公守法的计算机迷,他们智力超群,对电脑全身心投入,从事黑客活动意味着对计算机的最大潜力进行智力上的自由探索,为电脑技术的发展做出了巨大贡献。正是这些黑客,倡导了一场个人计算机革命,倡导了现行的计算机开放式体系结构,打破了以往计算机技术只掌握在少数人手里的局面,开了个人计算机的先河,提出了“计算机为人民所用”的观点,他们是电脑发展史上的英雄。现在黑客使用 返回 上页 下页
问题探究 1.什么是黑客 • 的侵入计算机系统的基本技巧,例如破解口令(password cracking),开天窗(trapdoor),走后门(backdoor),安放特洛伊木马(Trojan horse)等,都是在这一时期发明的。从事黑客活动的经历,成为后来许多计算机业巨子简历上不可或缺的一部分。例如,苹果公司创始人之一乔布斯就是一个典型的例子。 返回 上页 下页
