实验指导书-2剖析

上传人:jiups****uk12 文档编号:90825868 上传时间:2019-06-19 格式:DOC 页数:9 大小:45.17KB
返回 下载 相关 举报
实验指导书-2剖析_第1页
第1页 / 共9页
实验指导书-2剖析_第2页
第2页 / 共9页
实验指导书-2剖析_第3页
第3页 / 共9页
实验指导书-2剖析_第4页
第4页 / 共9页
实验指导书-2剖析_第5页
第5页 / 共9页
点击查看更多>>
资源描述

《实验指导书-2剖析》由会员分享,可在线阅读,更多相关《实验指导书-2剖析(9页珍藏版)》请在金锄头文库上搜索。

1、实验三 安全远程登录实验【实验目的】通过运用SSH进行数据加密的实验,理解和掌握SSH的加密原理,了解对应用层协议进行安全传输的技术。【实验原理】SSH协议传统的网络服务程序(如FTP、SMTP和Telnet)在传输机制和实现原理上没有在安全机制方面进行太多的考虑,例如他们在网络上用明文传送数据、用户账户和用户口令,这些数据很容易被截获。SSH是Secure Shell的简写,通过使用SSH可以把所有传输的数据进行加密。(1) SSH的安全登录原理SSH支持两种安全登录认证方式。第一种是基于口令的登录认证。SSH客户端登陆服务器时输入服务器端操作系统的账号和口令,就可以登录到远程主机,所有传输

2、的数据都会被加密,因为这种登录方式在登录过程中加密的口令可以被“中间人”截获并“重放”后发给SSH服务器,所以存在受“中间人”攻击的可能性。第二种登录认证需要依靠密钥来进行。客户端实现为自己创建公私密钥对,并把公钥发给需要访问的服务器。当SSH客户端连接SSH服务器时,客户端软件就会向服务器请求用客户端的公钥进行安全认证。服务器收到请求后,先在本机中查找客户端的公钥,然后把它和客户端发过来的公钥进行比较。如果两个密钥一致,服务器就用客户端的公钥加密一个随机数Challenge并把它发送给客户端软件。SSH客户端软件收到Challenge后用私钥解密再把它发送给服务器。服务器收到解密后的Chal

3、lenge值后,通过对客户端的登录验证,允许客户端进行连接。这种登录方式,可以避免“中间人”这种攻击方式,因为不需要在网络上传送登录口令,而私钥只保存在SSH客户端,不会在网上传输。(2)SSH的加密通信原理SSH的加密通信通过以下5个阶段来实现。第一阶段:协商SSH版本。第二阶段:协商产生会话密钥。第三阶段:登录认证。第四阶段:处理会话请求。第五阶段:交互会话。【实验内容】(1) 使用WireShark侦听Telnet服务器与客户端之间的通信数据报文,截获Telnet登录用户名和密码。(2) 使用WireShark侦听SSH服务器与客户端之间的通信数据报文,了解报文加密效果。【实验设备与环境

4、】(1) 学生每人一台PC,安装WindowsXP/2000操作系统。两人一组。(2) 局域网络环境。(3) PC1作为服务器,PC2作为客户端。(4) 客户端PC2安装网络侦听工具软件WireShark。(5) 软件:TELNET 服务器软件TelnetD,SSH服务器WinSSHD,SSH客户端SSHSecureShellClient【实验方法步骤】1Telnet通信(1) 服务器PC1安装TELNET 服务器软件,启动后Telnet远程登录服务随即启动。 对WindowsXP/Windows2000系统,启动Telent服务可通过“控制面板系统管理服务”进行设置和启动。(2) 服务器PC

5、1对现有的管理员账号设置口令,供Telnet客户端登录使用。(3) PC2运行Wireshark,准备侦听Telnet服务器与客户端之间的通信。(4) PC2进入DOS命令窗口,使用Telnet命令连接服务器,按系统返回提示信息输入用户名和密码实现登录。(5) 在Wireshark侦听报文中,查找Telnet登录用户名和密码。2SSH通信(1) PC1安装和配置SSH服务器。(2) PC2安装和配置SSH客户端。(3) PC2运行Wireshark,准备侦听SSH服务器与客户端之间的通信。(4) PC2运行SSH客户端,连接SSH服务器,按系统返回提示信息输入密码实现登录。(5) 在Wires

6、hark侦听报文中,查看SSH通信报文,了解数据报文的加密情况。【实验报告】(1) 在所侦听的Telnet数据包中查找Telnet登录用户名和密码,并进行说明和分析,以反映Telnet协议的运行特点。(2) 对所侦听的SSH数据包进行说明和分析,通过与Telnet协议报文的对比,说明SSH协议的特点。【相关知识点】(1) Telnet通信原理。(2) SSH加密通信原理。【评分要求】100分(1) 记录完备 60分(2) 数据分析 40分实验四 计算机木马与后门实验【实验目的】通过对木马的练习,使读者理解和掌握木马传播和运行的机制;通过手动删除木马,掌握检查木马和删除木马的技巧,学会防御木马的

7、相关知识,加深对木马的安全防范意识。【实验原理】木马的全称为特洛伊木马,来源于古希腊神话。木马是具有远程控制、信息偷取、隐私传输功能的恶意代码,它通过欺骗或者诱骗的方式安装,并在用户的计算机中隐藏以实现控制用户计算机的目的。1、 木马的特性木马程序为了实现其特殊功能,一般应该具有以下性质。伪装性:木马程序伪装成合法程序,并且诱惑被攻击者执行,使木马代码会在未经授权的情况下装载到系统中并开始运行。 隐藏性:木马程序不被杀毒软件杀掉,会在系统中采用一些隐藏手段,不会让使用者觉察到木马的存在,例如进程在任务管理器中隐藏,文件不会出现在浏览器中等,从而实现长久对目标计算机的控制。 破坏性:通过木马程序

8、的远程控制,攻击者可以对目标计算机中的文件进行删除,修改、远程运行,还可以进行诸如改变系统配置等恶性破坏系统。窃密性:木马程序最大的特点就是可以偷取被入侵计算机上的所有资料,包括硬盘上的文件,以及屏幕信息,键盘输入信息等。2、 木马的入侵途径木马的入侵主要是通过一些欺骗手段实施的。捆绑欺骗:如果把木马文件与普通文件捆绑,并更改捆绑后的文件图标,伪造成与原文件类似。再通过电子邮件、QQ、MSN等手段直接发送给用户,或者通过放在网上或者某个服务器中,欺骗被攻击者下载直接执行。 利用网页脚本入侵:木马也可以通过Script, active, ASP, CGI交互脚本的方式入侵,由于微软的浏览器在执行

9、Script脚本上存在一些漏洞,攻击者可以利用这些漏洞实现木马的下载和安装。 利用漏洞入侵:木马还利用一些系统的漏洞入侵,如微软的IIS服务器存在多种溢出漏洞,通过缓冲区溢出攻击程序造成IIS服务器溢出,获得控制权限,然后在被攻击的服务器上安装并运行木马。和病毒协作入侵:现在的病毒有多种自动感染和传播功能,而木马往往和病毒协同工作,在病毒感染目标计算机后,通过木马对目标计算机进行控制。3、 木马的种类按照发展历程和主流技术的演变,可以将木马分为5个阶段。第一代木马是出现在20世纪80年代,主要是UNIX环境中通过命令行界面实现远程控制。第二代木马出现在20世纪90年代,随着WINDOWS系统的

10、普及木马在WINDOWS环境中大量应用,它具备伪装和传播两种功能,具有图形控制界面,可以进行密码窃取、远程控制,例如BO2000和冰河木马。因为放火墙的普遍应用,第二代木马在进入21世纪之后不再有多少用武之地了,由于它采用黑客主动连接用户的方式,对于这种从外网发来的数据包都将被防火墙阻断。第三代木马在连接方式上比第二代木马有了改进,通过端口反弹技术,可以穿透硬件防火墙,例如灰鸽子木马,但木马进程外联黑客时会被软件防火墙阻挡,经验丰富的网络管理员都可以将其拦截。第四代木马在进程隐藏方面比第三代木马做了教大改动,木马通过线程插入技术隐藏在系统进程或应用进程中,实现木马运行中没有进程,网络连接也隐藏

11、在系统进程或应用进程中,比如广外男生木马。第四代木马可以实现对硬件防火墙的穿透,同时它隐藏在系统或应用进程中,往往网络管理员很难识别,所以被软件防火墙拦截后往往又被放行,从而实现对软件防火墙的穿透。第五代木马在隐藏方面比第四代木马又进行了进一步提升,它普遍采用了ROOTKIT技术,通过ROOTKIT技术实现木马运行时进程、文件、服务、端口等的隐藏,采用系统标准诊断工具难以发现它的踪迹。除了按照技术发展分类之外,从功能上木马又可以分为:破坏型木马,主要功能是破坏并删除文件;密码发送型木马,它可以找到密码并发送到指定的邮箱中;服务型木马,它通过启动FTP服务或者建立共享目录,使黑客可以连接并下载文

12、件;DOS攻击型木马,它将作为被黑客控制的肉鸡实施DOS攻击;代理型木马,可使被入侵的机器作为黑客发起攻击的跳板;远程攻击型木马,可以使攻击者利用客户端软件进行完全控制。4、 木马的连接方式一般的木马都采用C/S运行模式,它分为两部分,即客户端和服务器端木马程序。黑客安装木马的客户端,同时诱骗用户安装木马的服务器端。下面简单介绍木马的传统连接技术、反弹端口技术和线称技术。(1) 木马的传统连接技术第一代木马和第二代木马均采用传统的连接方式,即由木马的客户端程序主动连接服务器端程序。当服务器端程序在目标计算机上被执行后,一般会打开一个默认的端口进行监听,当客户端向服务器主动提出连接请求,服务器端

13、的木马程序就会自动运行,来应答客户端的请求,从而建立连接。(2) 木马的反端口技术随着防火墙技术的发展,它可以与效拦截采用传统连接方式从外部主动发起连接的木马程序。但通常硬件防火墙对内部发起的连接请求则认为是正常连接,第三代之后的“反弹式”木马就是利用这个缺点,其服务器端程序主动发起对外连接请求,连接到木马的客户端,就是说“反弹式”木马是服务器端主动发起连接请求 ,而客户端被动的等待连接。根据客户端的IP地址是静态的还是动态的,反弹端口可以有两种连接方式。反弹端口的第一种连接方式,在设置服务器断时要设置固定的客户端IP地址和待连接端口,所以这种方式只适用于客户端IP地址是公网IP且是静态IP的

14、情况。反弹端口的第二种连接方式,可实现服务端根据配置主动连接变动了IP的客户端。入侵者为了避免暴露自己的身份,往往通过跳板计算机控制被入侵用户的计算机,在跳板计算机中安装木马客户端软件,被入侵用户的计算机安装木马的服务端软件。当然,入侵者的跳板计算机有时可能失去入侵者的控制,这时入侵者就需要找到新的跳板计算机,同时使用户计算机上的木马服务端程序,能够连接到新跳板计算机上的木马客户端程序。为此,入侵者利用了一个“代理服务器”保存改变后的客户端IP地址和待连接的端口,只要跳板主机改变了IP地址,入侵者就可以更新“代理服务器”中存放的IP地址和端口号。远程被入侵主机上的服务端程序每次启动后,被设置为

15、先连接“代理服务器”,查询最新木马客户端的IP和端口信息,再按照新的IP地址和客户端进行连接,因此这种连接方式可以适用于客户端和服务器端都是动态IP地址的情况,而且还可以穿透更加严密的防火墙,当然客户端的IP要求是公网IP才行。5、 木马的隐藏技术木马为了防止被杀毒软件查杀,同时也避免被用户计算机发现,往往采用一些隐藏技术,在系统中实现隐身。(1) 线称插入技术一般一个应用程序在运行之后,都会在系统中产生一个进程,同时,每个进程分别对应了一个不同的PID(progress ID,进程标示符)。系统会分配一个虚拟的内存空间地址段给这个进程,一切相关的程序操作,都会在这个虚拟的空间中进行。一个进程可以对应一个或多个线程,线程之间可以同步执行,一般情况下,线程之间是相互独立的,当一个线程发生错误的时候,并不一定会导致整个线程的崩溃,“线程插入技术”就是运用了线程之间运行的相对独立性,使木马完全溶进了系统的内核。这种技术把木马程序作为一个线程,把自身插入到其他应用程序的地址空间。而这个被插入的应用程序对于系统来说,是一个正常的程序,这样,就达到了彻底的隐藏效果。系统运行时会有许多的进程,而每个进程又有许多的线程,这就导致了查杀利用“线程插入”技术木马程序难度的增加。(2) ROOTKIT技术ROOTKIT是一种隐藏技术,它使得恶意程

展开阅读全文
相关资源
正为您匹配相似的精品文档
相关搜索

最新文档


当前位置:首页 > 中学教育 > 其它中学文档

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号