《电子商务安全实务实验三安全软件使用》由会员分享,可在线阅读,更多相关《电子商务安全实务实验三安全软件使用(24页珍藏版)》请在金锄头文库上搜索。
1、1网络安全实验软件使用2 网络安全基础(网络安全基础(网络安全基础(网络安全基础(4 4 4 4学时)学时)学时)学时) 计算机网络发展计算机网络发展计算机网络发展计算机网络发展 网络安全问题提出网络安全问题提出网络安全问题提出网络安全问题提出 网络安全基础网络安全基础网络安全基础网络安全基础 安全威胁安全威胁安全威胁安全威胁 信息安全基础(信息安全基础(信息安全基础(信息安全基础(4 4 4 4学时)学时)学时)学时) 信息安全信息安全信息安全信息安全 安全机制安全机制安全机制安全机制 安全技术安全技术安全技术安全技术 安全设计安全设计安全设计安全设计目目目目 录录录录 安全实验(安全实验(
2、安全实验(安全实验(4 4 4 4学时)学时)学时)学时) 安全安装安全安装安全安装安全安装 系统进程系统进程系统进程系统进程 管理员权限管理员权限管理员权限管理员权限 网络服务安全设置网络服务安全设置网络服务安全设置网络服务安全设置 文件系统的安全文件系统的安全文件系统的安全文件系统的安全 安全日志安全日志安全日志安全日志理论理论理论理论 实实实实 践践践践 安全软件安全软件安全软件安全软件 fport fport fport fport TCPview TCPview TCPview TCPview Process Process Process Process3 FPORTFPORTFP
3、ORTFPORT 系统自带系统自带系统自带系统自带 netstat netstat 查看机器开放的端口,也可以任务管理器来查看当前机器的进程,但是这两个东西都有自身查看机器开放的端口,也可以任务管理器来查看当前机器的进程,但是这两个东西都有自身查看机器开放的端口,也可以任务管理器来查看当前机器的进程,但是这两个东西都有自身查看机器开放的端口,也可以任务管理器来查看当前机器的进程,但是这两个东西都有自身的缺点,的缺点,的缺点,的缺点,netstat netstat 由于设计的原因很多开放的端口无法查出,而使用任务管理器的时候只能查看到进程的名字,由于设计的原因很多开放的端口无法查出,而使用任务管
4、理器的时候只能查看到进程的名字,由于设计的原因很多开放的端口无法查出,而使用任务管理器的时候只能查看到进程的名字,由于设计的原因很多开放的端口无法查出,而使用任务管理器的时候只能查看到进程的名字,如果一个恶意的攻击者把木马命名为、,这样就能很好麻痹一些管理员,由于这些文件可能在一台如果一个恶意的攻击者把木马命名为、,这样就能很好麻痹一些管理员,由于这些文件可能在一台如果一个恶意的攻击者把木马命名为、,这样就能很好麻痹一些管理员,由于这些文件可能在一台如果一个恶意的攻击者把木马命名为、,这样就能很好麻痹一些管理员,由于这些文件可能在一台webweb服务器服务器服务器服务器上存在多个进程,然后给这
5、个木马定义一个很象上存在多个进程,然后给这个木马定义一个很象上存在多个进程,然后给这个木马定义一个很象上存在多个进程,然后给这个木马定义一个很象RPCRPC的端口,不仔细查真的很难查找得到,的端口,不仔细查真的很难查找得到,的端口,不仔细查真的很难查找得到,的端口,不仔细查真的很难查找得到,FPORTFPORT就弥补了就弥补了就弥补了就弥补了netstatnetstat和和和和taskbartaskbar的不足的不足的不足的不足 该软件可以得到所有端口对应的文件有完整的路径名,可以避免有些木马程序使用系统服务的文件名,而将其该软件可以得到所有端口对应的文件有完整的路径名,可以避免有些木马程序使
6、用系统服务的文件名,而将其该软件可以得到所有端口对应的文件有完整的路径名,可以避免有些木马程序使用系统服务的文件名,而将其该软件可以得到所有端口对应的文件有完整的路径名,可以避免有些木马程序使用系统服务的文件名,而将其放在非系统目录,无法在放在非系统目录,无法在放在非系统目录,无法在放在非系统目录,无法在Task ManagerTask Manager里察觉,这个时候里察觉,这个时候里察觉,这个时候里察觉,这个时候FPortFPort的优势就体现出来了的优势就体现出来了的优势就体现出来了的优势就体现出来了 下载地址:下载地址:下载地址:下载地址: Windows Windows 系统安全系统安
7、全系统安全系统安全 - - 安全工具安全工具安全工具安全工具1 1 FPORTFPORT运行示例:运行示例:运行示例:运行示例:Pid Process Port Proto Path8 System - 139 TCP8 System - 445 TCP8 System - 1028 TCP8 System - 3778 TCP8 System - 137 UDP8 System - 138 UDP8 System - 445 UDP4查看进程:查看进程:查看进程:查看进程:PslistPslist下载地址下载地址下载地址下载地址: : 杀掉进程:杀掉进程:杀掉进程:杀掉进程:PskillPs
8、kill下载地址下载地址下载地址下载地址: : 查看进程详细信息:查看进程详细信息:查看进程详细信息:查看进程详细信息:Process ExplorerProcess Explorer下载地址下载地址下载地址下载地址: : Windows Windows 系统安全系统安全系统安全系统安全 - - 安全工具安全工具安全工具安全工具2 251. 时刻注意安全漏洞和补丁发布时刻注意安全漏洞和补丁发布2. 定期分析日志系统,发现潜在攻击定期分析日志系统,发现潜在攻击3. 注意账号和口令的安全问题注意账号和口令的安全问题4. 注意观察系统异常注意观察系统异常5. 管理员,才是关键管理员,才是关键! Wi
9、ndows Windows 系统安全系统安全系统安全系统安全 - - 长期的系统维护长期的系统维护长期的系统维护长期的系统维护6Windows系统日志审核Windows XP的日志文件通常有应用程序日志,安全日志、系统日志、DNS服务器日志、FTP日志、WWW日志、计划任务日志等等,可能会根据服务器所开启的服务不同。其中,应用程序日志、安全日志、系统日志、FTP日志、WWW日志,这些日志记录的都是与操作系统紧密相关的操作行为,包括帐号登录、帐号变更、服务变更、安全策略变更、应用程序错误、越权访问等等,因此对于追查入侵者,这些日志应该是首要检查的对象。 7Windows系统日志审核应用程序日志、
10、安全日志、系统日志、DNS日志默认位置:%sys temroot%sys tem32config ,其中:(1)安全日志文件:(2)系统日志文件:(3)应用程序日志文件:(4)FTP日志默认位置:%systemroot%system32logfilesmsftpsvc1(5)WWW日志默认位置:%systemroot%system32logfilesw3svc18Windows系统日志审核典型的FTP日志记录:(微软)#Version: 1.0 (版本)#Date: 20001023 0315 (服务启动时间日期)#Fields: time cip csmethod csuristem scs
11、tatus0315 10.1.1.102 1USER administator 331(IP地址为用户名为administator试图登录)0318 10.1.1.102 1PASS 530(登录失败)032:04 10.1.1.102 1USER nt 331(IP地址为用户名为nt的用户试图登录)032:06 10.1.1.102 1PASS 530(登录失败)032:09 10.1.1.102 1USER cyz 331(IP地址为用户名为cyz的用户试图登录)0322 10.1.1.102 1PASS 530(登录失败)0322 10.1.1.102 1USER administrat
12、or 331(IP地址为用户名为administrator试图登录)0324 10.1.1.102 1PASS 230(登录成功)0321 10.1.1.102 1MKD nt 550(新建目录失败)0325 10.1.1.102 1QUIT 550(退出FTP程序) 从日志里就能看出IP地址为的用户一直试图登录系统,换了四次用户名和密码才成功,管理员立即就可以得知管理员的入侵时间、IP地址以及探测的用户名,如上例入侵者最终是用administrator用户名进入的,那么就要考虑更换此用户名的密码,或者重命名administrator用户。 9Windows系统日志审核下面是一个典型的WWW日
13、志文件:#Date: 20001023 03:091#Fields: date time cip csusername sip sport csmethod csuristem csuriquery scstatus cs(UserAgent)20001023 03:091 192.168.1.26 192.168.1.37 80 GET /iisstart.asp 200 Mozilla/4.0+(compatible;+MSIE+5.0;+Windows+98;+DigExt)20001023 03:094 192.168.1.26 192.168.1.37 80 GET /pagerro
14、r.gif 200 Mozilla/4.0+(compatible;+MSIE+5.0;+Windows+98;+DigExt)通过分析第六行,可以看出2000年10月23日,IP地址为的用户通过访问IP地址为机器的80端口,查看了一个页面iisstart.asp,这位用户的浏览器为compatible;+MSIE+5.0;+Windows+98+DigExt,有经验的管理员就可通过安全日志、FTP日志和WWW日志来确定入侵者的IP地址以及入侵时间。10Windows系统日志审核事件查看器在 Windows XP 中,事件是在系统或程序中发生的、要求通知用户的任何重要事情,或者是添加到日志中的
15、项。事件日志服务在事件查看器中记录应用程序、安全和系统事件。通过使用事件查看器中的事件日志,您可以获取有关硬件、软件和系统组件的信息,并可以监视本地或远程计算机上的安全事件。事件日志可帮助您确定和诊断当前系统问题的根源,还可以帮助预测潜在的系统问题。 11Windows系统日志审核事件日志类型 应用程序日志 应用程序日志包含由程序记录的事件。例如,数据库程序可能在应用程序日志中记录文件错误。写入到应用程序日志中的事件是由软件程序开发人员确定的。 安全日志 安全日志记录有效和无效的登录尝试等事件,以及与资源使用有关的事件(如创建、打开或删除文件)。例如,在启用登录审核的情况下,每当用户尝试登录到
16、计算机上时,都会在安全日志中记录一个事件。您必须以 Administrator 或 Administrators 组成员的身份登录,才能打开、使用安全日志以及指定将哪些事件记录在安全日志中。 系统日志 系统日志包含系统组件所记录的事件。例如,如果在启动过程中未能加载某个驱动程序,则会在系统日志中记录一个事件。Windows XP 预先确定由系统组件记录的事件。 12Windows系统日志审核事件日志查看方法要打开事件查看器,请按照下列步骤操作: 单击“开始”,然后单击“控制面板”。单击“性能和维护”,再单击“管理工具”,然后双击“计算机管理”。或者,打开包含事件查看器管理单元的 MMC。 在控
17、制台树中,单击“事件查看器”。 应用程序日志、安全日志和系统日志显示在“事件查看器”窗口中。如何查看事件详细信息如何查看事件详细信息要查看事件的详细信息,请按照下列步骤操作: 单击“开始”,然后单击“控制面板”。单击“性能和维护”,再单击“管理工具”,然后双击“计算机管理”。或者,打开包含事件查看器管理单元的 MMC。 在控制台树中,展开“事件查看器”,然后单击包含您要查看的事件的日志。 在详细信息窗格中,双击您要查看的事件。 会显示“事件属性”对话框,其中包含事件的标题信息和描述。 要复制事件的详细信息,请单击“复制”按钮,使用要在其中粘贴事件的程序(例如 Microsoft Word)打开
18、一个新文档,然后单击“编辑”菜单上的“粘贴”。 要查看上一个或下一个事件的描述,请单击上箭头或下箭头。 13Windows系统运行状态查看在进行系统是否受到攻击的检查时,除了需要详细查看系统的日志审计外,还要全面审查系统的运行状态,其中重点需要检查的内容包括:检查TCP/UDP 监听端口检查系统运行进程检查系统服务检查自动启动项14Windows系统运行状态查看检查TCP/UDP 监听端口 系统在遭受入侵攻击时通常都会产生一些非法的监听端口和网络连接,具体表现为:后门/木马程序在目标主机开启监听端口,以方便攻击者远程控制管理;系统在遭受DOS/DDOS攻击时会产生大量网络连接响应;感染蠕虫并对
19、外传播时会产生大量的向外网络连接,从而向其它主机传播病毒体。 可以使用windows系统自带的Netstat命令来监视在服务器上哪些端口是打开的,可以显示 TCP 和 UDP 的所有打开的端口。 15Windows系统运行状态查看Netstat 命令 NETSTAT -a -e -n -s -p proto -r interval -a:显示所有的连接和监听端口。 -e:显示以太网统计信息。它可以与 -s 选项结合使用。 -n:以数字形式显示地址和端口号。 -p proto:显示由 proto 指定的协议的连接;proto 可以是 TCP 或 UDP。如果与 -s 选项一起使用以显示每个协议的
20、统计信息,则 proto 可以是 TCP、UDP 或 IP。 -r:显示路由表。 -s:显示每个协议的统计信息。默认情况下,将会显示 TCP、UDP 和 IP 的统计信息,可以使用 -p 选项以指定默认值的子集。 Interval:重新显示所选择的统计信息,在每次显示之间按间隔秒数暂停。按 CTRL+C 组合键可停止重新显示统计信息。如果省略此参数,netstat 将会只打印一次当前配置信息。 16Windows系统运行状态查看检查系统运行进程基本系统进程:这是一个会话管理子系统,负责启动用户会话。这个进程是通过系统进程初始化的并对许多活动的进程和设定的系统变量作出反映,例如它负责启动和结束W
21、inlogon、Win32()进程,如果这些进程在运行期间发生了什么不可预料的事情,就会让系统停止响应(就是挂起)。:这个是用户模式Win32子系统的一部分。csrss代表客户/服务器运行子系统而且是一个基本的子系统必须一直运行。csrss负责控制windows,创建或者删除线程和一些16位的虚拟MS-DOS环境。:这个进程是管理用户登录和退出的,而且winlogon在用户按下CTRL+ALT+DEL时就激活了,显示安全对话框。:该进程是多个Windows系统服务的宿主。包括:EventLog,启用在事件查看器查看基于Windows的程序和组件颁发的事件日志消息。PlugandPlay,使计算
22、机在极少或没有用户输入的情况下能识别并适应硬件的更改。:这是一个本地的安全授权服务,并且它会为使用winlogon服务的授权用户生成一个进程。这个进程是通过使用授权的包,例如默认的来执行的。如果授权是成功的,lsass就会产生用户的进入令牌,令牌别使用启动初始的shell。其他的由用户初始化的进程会继承这个令牌的。:用以启动其它服务以及执行该服务所对应的dll文件。在启动的时候,检查注册表中的位置来构建需要加载的服务列表。这就会使多个在同一时间运行。每个的回话期间都包含一组服务,以至于单独的服务怎样和在哪里启动都必须依靠才行,这样就更加容易控制和查找错误。 17Windows系统运行状态查看附
23、加的系统进程(这些进程不是必要的,可以根据需要通过服务管理器来增加或减少):这是一个用户的shell,在我们看起来就像任务条,桌面等等。这个进程并不是像想象的那样是作为一个重要的进程运行在windows中,你可以从任务管理器中停掉它,或者重新启动,通常不会对系统产生什么负面影响。允许程序在指定时间运行。允许远程注册表操作。提供系统管理信息。:允许通过Internet信息服务的管理单元管理Web和FTP服务。允许远程用户登录到系统并且使用命令行运行控制台程序。实现TFTPInternet标准。提供多会话环境允许客户端设备访问虚拟的Windows2000Professional桌面会话以及运行在服
24、务器上的基于Windows的程序。应答对域名系统(DNS)名称的查询和更新请求。 18Windows系统运行状态查看检查系统服务木马或病毒程序通常还会将自身文件注册成系统服务,以便达到更加隐蔽和随系统自行启动的目的,在进行系统入侵审查时,系统服务也是不应忽视的地方。 系统默认的服务1. Alerter(错误警报器)说明:通知所选用户和计算机有关系统管理级警报。参考:如果电脑是单独的平台(未联网使用),可以关闭此项服务。2. Application Management(应用程序管理)说明:Windows2000引入了一种基于MSI(应用程序安装信息程序包文件)文件格式的软件管理方案-应用程序管
25、理组件服务,它不仅管理软件的安装、删除,而且可以使用此项服务修改、修复现有应用程序,监视文件复原并通过复原排除基本故障等。参考:当设置为“已禁用”时其实并不影响单机上软件的安装与卸载,而且基于MSI格式安装、修复与删除的行为也属正常。3. Automatic Updates(自动更新)说明:自动联网下载Windows的更新组件参考:宽带用户如果需要Windows自动更新,可让此服务随机启动,驻留后台。 .19Windows系统运行状态查看检查自动启动项木马或病毒程序为了达到随系统自行启动的目的,通常情况下,除了将自身文件注册成系统服务以外,还会修改系统自启动项的配置,其中最常见的系统启动项加载
26、点: 启动菜单:C:Documents and Settingsadministrator开始菜单程序启动C:Documents and SettingsAll Users开始菜单程序启动注册表:HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun、RunOnce、RunOnceEx以及RunServicesHEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunHKEY_CURRENT_USERSoftwareMicrosoftWindows NTCurrentVers
27、ionWindows:loadHKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogonShell系统文件:load = run = 20Windows常用安全管理方法实例检查TCP/UDP 监听端口实例(1) 使用radmin程序程序连接目标主机。(2) 在目标主机上使用netstat an 命令查看端口开放以及网络连接情况,检查和识别radmin木马程序所开启的监听端口,以及木马通讯的连接。显示结果如图2-1-2所示。 21Windows常用安全管理方法实例要想进一步查看监听端口是由哪个进程引发的,可以借用其它工具,例如TCPView等 22Windows常用安全管理方法实例检查系统运行进程 启动任务管理器,检查任何可疑的进程,在本例中,应该可以发现R_Server.exe 木马进程在运行。任务管理器显示如图 23Windows常用安全管理方法实例检查系统运行进程 Process Explorer 24