网络攻防技术-代理服务器的使用

项目九 跳板与痕迹清除
3
【项目分析】
当攻击者入侵被攻击者时，被攻击者可以根据IP地址追踪攻击者来自哪里。 攻击者为了隐藏自己真正的IP，通常会采用跳板，这样被攻击者进行反向追 踪时就只能追踪到攻击来自跳板。如果攻击者采用多个跳板，且跳板分布在 不同的国家，那么被攻击者就需要依次追踪每一个跳板，追踪将变得非常困 难。了解常见的跳板技术以及攻击者清除入侵痕迹的技术，对于防范网络攻 击、追踪攻击者具有重要意义。
普通匿名代理：目标服务器可以知道用户通过代理IP上网，但是不知道用户 的真实的IP地址。
高级匿名代理：目标服务器根本不知道用户使用了代理IP地址上网，也根本 不可能知道用户的真实IP地址。如果为了隐藏攻击者，需要使用高级匿名代 理。
任务实施 本次任务实施的拓扑示意图如图9-1所示。
项目九 跳板与痕迹清除
图9-6 客户端代理高级设置
项目九 跳板与痕迹清除
15
步骤6 代理服务设置完成后，保证Windows Server 2008能够连接外网，Windows Server 2003与其能够连通，然后在Windows Server 2003中尝试连接外网，如图9-7所示。
图9-7 客户端使用代理访问网络
图9-9 扫描网络中的所有主机
项目九 跳板与痕迹清除
18
步骤2 在代理服务器Windows Server 2003中访问外网，在Windows Server 2008中能够捕 获到上网信息，且显示客户端使用的是代理服务器的地址进行上网，如图9-10所示。
图9-10 代理服务器捕获上网信息
项目九 跳板与痕迹清除
4.防范代理服务器上的窃听。 用户在使用代理服务器、特别是免费的代理服务器时，应该保持高度的警惕。有的所谓的免
费的“翻墙”软件监视使用者的数据、并引导使用者的政治倾向。 防范代理服务器上的窃听的最好措施就是不使用代理。如果非得使用代理上网，也勿输入敏
感的信息。此外，使用代理时尽可能使用加密协议HTTPS上网，增加攻击者窃听信息的难度。
19
除此之外，代理服务器还可以为客户端充当DNS服务器，这样除了HTTP协议的信息之外， 客户端的其他上网信息也会被代理服务器捕获。
注意：Cain & Abel软件能否直接监听到网页的密码，与网页是如何制作的有很大关系，如果 网页加密用户名和密码后才向服务器提交数据，则可能无法直接显示出用户名和密码。
项目九 跳板与痕迹清除
20
THANKS
项目九 跳板与痕迹清除
1
项目九 跳板与痕迹清除
项目九 跳板与痕迹清除
2
【项目概述】
攻击者攻击目标计算机时，为了避免被追踪，会采用各种跳板技术。跳板的实 现有很多种方式，最简单的就是使用代理技术，早期的代理有HTTP代理和 SOCKS代理。如今有更加便于使用的Web在线代理。由于Web在线代理有较大 的局限性和安全隐患，VPN技术也成了很重要的跳板技术。这些技术也常被用 作翻墙，访问因为某种原因而被封锁的网络。除了采用代理、VPN等技术隐藏 攻击者真正的IP外，攻击者也常常在入侵成功后清除入侵的痕迹。本项目将介 绍常见的代理服务器的使用、Windows痕迹清除、Linux痕迹清除。
本项目将通过以下内容讲述跳板与痕迹清除技术：
1.代理服务器的使用；
2.Windows痕迹清除；
3.Linux痕迹清除。
项目九 跳板与痕迹清除
4
项目主要内容： 任务一 代理服务器的使用 任务二 Windows痕迹清除 任务三 Linux痕迹清除
项目九 跳板与痕迹清除
5
任务一 代理服务器的使用
9
图9-1 代理服务器的使用任务拓扑示意图
项目九 跳板与痕迹清除
10
1.代理服务器的使用。 步骤1 在代理服务器上安装代理软件。在Windows Server 2008中安装CCProxy，双击软件，
打开软件安装向导，如图9-2所示。
图9-2 CCProxy软件安装向导
项目九 跳板与痕迹清除
13
步骤4 在Windows Server 2003中，打开IE浏览器，单击工具栏中的“工具”—“Internet选 项”—“连接”—“局域网设置”，勾选使用“代理服务器”，地址和端口号填写Windows Server 2008-2的地址及端口号，如图9-5所示。
图9-5 为客户端设置代理
项目九 跳板与痕迹清除
11
步骤2 一直单击“Next”，即可完成软件安装，打开后界面如图9-3所示。
图9-3 CCProxy软件运行界面
项目九 跳板与痕迹清除
12
步骤3 在图9-3中，单击工具栏“设置”按钮，可以查看到代理服务和支持的协议及其端口号， 如图9-4所示。
图9-4 CCProxy软件设置界面
项目九 跳板与痕迹清除
项目九 跳板与痕迹清除
6
任务描述
代理服务器是常用的一种跳板技术，攻击者通过代理服务器为被攻击者提供 上网、下载等服务，代理网络用户去取得网络信息。正常情况下，代理服务器代理机构，负责转 发合法的网络信息，对转发进行控制和登记。但是，随着Internet的应用越来越 广，代理服务器也成为攻击者获取被攻击者信息、错误转发信息、篡改网络数据 等技术手段。作为信息安全人员，了解其原理、方式、特点，对于加强网络安全 防护具有重要意义。
项目九 跳板与痕迹清除
16
步骤7 在Windows Server 2008中查看代理服务器连接情况，如图9-8所示，可见有计算机通 过代理服务器进行了网络访问。
图9-8 查看代理服务器连接情况
项目九 跳板与痕迹清除
17
3.利用代理服务器窃听信息。
步骤1 在代理服务器Windows Server 2008上安装Cain & Abel软件，安装方法同项目七任务 三。在Cain & Abel中开启sniffer，在空白处单击右键，选择“Scan MAC Address”，可以扫描 到本网络中的所有主机，如图9-9所示。
14
步骤5 如果对HTTP和FTP等协议的端口号设置不同，可以在图9-4中，点击“高级”，然后取 消“对所有协议均使用相同的代理服务器”，分别为不同类型的服务设置代理服务器地址和端 口。如果均使用Windows Server 2008作为代理服务器，注意需要与其IP和CCProxy设置中 的端口保持一致，如图9-6所示。
项目九 跳板与痕迹清除
7
任务分析
代理服务器英文全称为Proxy Server，其功能就是代理网络用户去取得网络 信息。HTTP 代理是最经常用的代理。在一般情况下，用户使用浏览器直接 去连接其他Internet站点取得网络信息时，需要发出Request信号，然后Web 服务器之间再把信息传送回来。代理服务器是介于浏览器和Web服务器之间 的一台服务器，有了它之后，浏览器不是直接到Web服务器去取回网页，而 是向代理服务器发出请求，Request信号会先送到代理服务器，由代理服务 器取回浏览器所需要的信息并传送给用户的浏览器。这样，代理服务器就很 容易窃听被代理计算机的数据，实现他人送上门的、广域网络中的中间人攻 击。
项目九 跳板与痕迹清除
8
有专可以搜索到相关网站。代理服务器的类型一般分为3种：透 明代理、普通匿名代理、高级匿名代理，三种代理服务器的区别如下：
透明代理：目标服务器可以完全识别出来用户的真实IP地址。如果仅仅为了 上网，使用透明代理即可。