实验一、网络信息收集

实验一网络信息收集

一、实验目的：

网络信息收集是非常重要的，通过获取的数据可以分析网络安全系统，也可以利用它获取被攻击方的漏洞，无论是从网络管理员的安全角度，还是从攻击者角度出发，它是非常重要的、不可缺少的步骤。要求学生掌握信息收集的方法，使用常见扫描器，分析所获取的数据，解释数据与漏洞的关系，掌握网络扫描器的程序设计。

二、实验内容和方法：

1、SuperScan 4.0扫描器

掌握常见的扫描器软件使用方法，如：SATAN、流光、CIS、SuperScan。要求学生在上机时根据自己使用的扫描器软件对实验室网络系统进行漏洞扫描，对扫描的结果作出正确的分析，根据分析评估网络系统安全性，必要时关闭危险端口，合理配置计算机系统。

以Windows上运行SuperScan 4.0扫描器为例，对目标主机(安装了WWW和FTP 服务的IP地址为192.168.0.3的Windows Server 2003主机)扫描后得到的信息如图1所示。

图1 端口扫描

单击“查看HTML报告”打开扫描报告，如图2所示。

从扫描报告中可以看到扫描出的TCP和UDP端口号及端口服务信息，如FTP服务中的用户名为“ano nymous”，允许匿名登录。

运行【SuperScan 4.0】窗口中的“工具”选项卡，可以用内部集成的测试工具对目标

主机进行探测，如图3所示。

图2 端口扫描详细报告

图3 扫描工具

运行【SuperScan 4.0】窗口中的“Windows枚举”选项卡，可以用内部集成的测试工具对目标主机进行探测，如图4所示。

从扫描的信息中可以发现目标主机系统漏洞，如MAC地址、共享资源、空链接、系统运行服务、磁盘分区、注册表信息，等等，通常我们可以在目标主机系统中发现许多可以被

利用来进行攻击的漏洞。

图4 漏洞扫描

2、Windows Server 2003网络监听

Windows 系统中本身就带有具有网络监听功能的管理工具——网络监视器。主机A 安装Windows Server 2003、FTP服务器，并在系统中开设一个帐户ftp-user，密码设置为ftp-user-password。本实例要实现使用网络监视器对本主机进行监听，捕获主机B访问本主机FTP服务器的用户名和密码。

1) 添加网络监视器

在主机A系统中单击“开始”→“控制面板”→“添加或删除程序”→“添加/删除Windows组件(A)”，在【Windows组件向导】窗口中选中“管理和监视工具”，然后单击“详细信息(D)…”，在【管理和监视工具】窗口中将其他自组件取消，只保留“网络监视工具”一项，如图5所示。

单击“确定”按钮，关闭【管理和监视工具】窗口，在【Windows 组件向导】窗口单击“下一步”按钮，将Windows Server 2003安装光盘放入，完成网络监视工具组件安装。最后关闭所有相关窗口。

2) 启动网络监视工具

在主机A上单击“开始”→“所有程序”→“管理工具”→“网络监视器”，出现提示

信息窗口，单击“确定”按钮，出现【选择一个网络】窗口，选择本地连接，如图6所

图5 添加网络监视工具

图6 选择监听网络

单击“确定”后出现【本地连接捕获窗口】，单击工具栏中的图标启动捕获。

在主机B中单击“开始”→“运行”，在对话框中输入“cmd”，打开DOS输入窗口，在此窗口中用已经设置好的用户名和密码连接主机A上运行的FTP服务器，浏览站点内容后退出。如图7所示。

在主机B对主机A访问的过程中可以看到网络监视器在进行数据捕获，如图8所示。FTP服务断开后，单击主机A【Microsoft 网络监视器】窗口菜单中的“捕获”→“停止并查看”，显示【捕获：2(总结)】窗口，如图9所示。

图7 远程FTP访问

图8 数据捕获窗口

图9 显示捕获数据

可以看到远程主机B访问主机A上的FTP服务时输入的用户名“ftp-user”，密码“ftp-user-password”，登录成功后做的操作“NLST”，以及退出操作“QUIT”。

图10 表达式筛选

如果监听的数据量很大，则可单击【Windows网络监视器】窗口菜单“显示”→“筛选器(F)…”，选中左侧对话框中的“Protocol = = A ny”，单击“编辑表达式(P)…”→“全部禁用”；在右侧“被禁用的协议”对话框中选择“FTP”协议，单击“启用(E)”按钮，运行结果如图10所示。

单击“确定”按钮回到【显示筛选器】窗口，再单击“确定”按钮，出现筛选后的FTP 访问信息，可以清楚地看到完整的远程访问FTP服务过程，如图11所示。

图11 筛选后的数据

由此可见，用网络监听技术可以捕获多数明文数据的敏感信息。

3、系统服务入侵与防范

基于认证的网络服务攻击主要有针对IPC$、T elnet和计算机管理三种入侵技术，攻击的前提是，使用这些服务的用户名和密码过于简单，已经被入侵者掌握。常用的DOS网络入侵命令如下：

net user：系统帐号类操作；

net localgroup：用来管理工作组；

net use：远程连接、映射操作；

net send：信使命令；

net time：查看目标计算机的系统时间；

at：用来建立计划任务；

netstat -n：查看本机网络连接状态；

nbtstat -a IP：查看指定IP主机的NetBIOS信息。

可以参照Windows系统F1帮助文件中的“命令行”来了解这些命令的详细描述和参数。

4、木马实例入侵实例

灰鸽子是国内第三代木马的标准软件，也是国内首次成功地使用反弹端口技术中第二种方式创建的木马，同时也支持传统方式连接，具有强大的远程控制功能，并且能够方便地控制动态IP地址和局域网内的远程主机。灰鸽子的主界面如图12所示。