网络安全实验指导书

实验1 网络攻防中的常用命令和工具（2课时）

实验目的

1.了解网络攻击的大致步骤和方法。

2.熟练使用PsTools中的相关程序，能够使用该套工具进行基本入侵和日志清除。

3.掌握NET命令组的使用方法，能够使用NET命令组进行基本的入侵。

4.学会使用TFTP进行文件上传和下载。

5.熟练使用Cacls程序进行相关访问权限设置。

6.熟练掌握NC的使用方法。

实验准备

•要求实验室内网络是连通的，组内每台计算机均可以访问另外一台计算机。

•下载相关工具和软件包。

•每台计算机建立一个管理员账号csadmin，密码为testadmin。

网络攻击的大致步骤和思路

•资料收集：寻找目标网络及主机的IP地址与名称，搜集尽可能多的详细信息。

•基本扫描：辨别目标网络或主机所开放和提供的服务，以及操作系统版本等。

•弱点刺探：根据目标提供的服务寻找安全突破点。如服务软件漏洞、操作系统漏洞，甚至是病毒留下来的后门等。

•取得初步权限：利用相关漏洞或获得的用户名和口令取得进入系统的初步权限。

•提升权限：如果之前获得的权限不够，则在已有权限基础上，继续通过其他方法提升权限。

•进行破坏：根据入侵目的对目标进行相关操作，或者继续对网络内其他目标进行渗透和攻击。

•建立后门：完成相关任务后，安装木马、后门或者克隆账号等，以便以后继续对其进行控制。

•毁灭证据：为了避免被发现和追踪，清除或者伪造相关入侵日志和其他入侵痕迹。技术资料

•课程专用网络空间：/kj/netsecurity

•网络相关帮助文档

第一阶段实验要求

–熟悉PsTools工具使用方法。

–熟悉介绍的各种常用DOS命令。

–学会使用TFTP进行文件上传下载。

–熟悉NC工具的使用

/blog/cns!3177c02ff4c1ef86!111.entry

–熟悉Cacls的使用。

第二阶段实验要求

•已知某台Windows操作系统的计算机管理员用户名（csadmin）和密码(testadmin)。

请使用如下方法入侵该计算机（获得Shell，在对方计算机中安装远程控制程序进行屏幕控制）。

–仅使用Windows的自带命令和远程控制程序。

–仅使用PsTools中的相关工具和远程控制程序。

•获得对方每个盘的详细目录结构，并使用tftp传到本地。

•从传回本地的详细目录结构中找到文件security.dat所在位置，并传回到本地。

第三阶段实验要求

•卸载对方系统中的远程控制程序。

•各自对相关文件（如cmd.exe）的访问权限进行修改，使得上述获得Shell的方法失效。

•再次试探侵入对方系统。

•恢复计算机环境（卸载远程控制程序，删除相关账号.....）。

课后思考题

•有哪些方法可以防止受到本实验中提到的类似攻击？

实验2 扫描器使用和分析（2课时）

实验目的

1.熟悉网络数据包捕获工具的使用

2.熟悉扫描程序（漏洞、端口）的使用

3.能够利用抓包工具分析扫描程序的具体原理

实验准备

•要求实验室内网络是连通的，组内每台计算机均可以访问另外一台计算机。

•下载相关工具和软件包。

•在计算机中安装Ethereal和WinPcap包。

第一阶段实验要求

–熟悉Ethereal的基本用法。

–登陆自己的邮箱，利用Ethereal捕获数据包，对捕获到的数据包进行分析，看是否可以得到用户名和密码。

第二阶段实验要求

•熟悉扫描器Xscan的用法。

–利用Xscan扫描新浪邮件服务器()的邮箱弱密码。

–扫描FTP弱密码。

–扫描局域网内某台主机的NT弱密码。

第三阶段实验要求

利用Ethereal对每一次扫描所得到的数据包进行分析，思考每种扫描的具体原理

第四阶段实验要求

•使用nmap进行端口扫描

–采用各种不同的端口扫描技术分别进行

–总结各种端口扫描技术的特点

–通过抓包分析各种扫描的技术原理

课后作业（三选一）

•分析各种拒绝服务攻击方法的具体原理。

–整理出详细分析文档上交。

•分析各种端口扫描技术的具体原理。

–整理出详细技术文档上交。

•分析各类密码探测方法的具体原理。

–整理出详细技术文档上交。

实验3 木马、后门及Rootkit使用与检测（2课时）

实验目的

1.了解虚拟机的概念和使用方法。

2.熟悉各种木马后门程序的使用。

3.熟悉RootKit的特点和各种RootKit的用法，

4.比较深入地了解RootKit的相关原理。

5.熟练使用各种RootKit检测工具，了解各种检测工具的原理。

第一阶段实验内容

•学会使用虚拟机VMWare。

•在虚拟机中安装Windows 2000操作系统。

–或从FTP服务器下载相关操作系统文件夹。

•熟悉相关环境。

第二阶段实验内容

•熟悉“网络神偷”木马程序的大致结构和思路。

–具体用法请参考程序包中的帮助文档。

–理解反向连接的具体思路和原理。

•熟悉WinEggDrop后门程序的使用

–具体用法请参考程序包中的帮助文档。

–理解远程线程注入技术的原理。

第三阶段实验内容

•了解RootKit的概念

•熟悉“RootKit”（这里的RootKit为软件名）的使用方法

–配置“RootKit”程序

–运行并测试实际效果。

•使用pslist工具查看进程列表，是否可以找到相关隐藏进程？并思考其中的原因。第四阶段实验内容

•熟悉RootKit检测工具

–熟悉IceSword的用法

–熟悉RootkitRevealer工具的用法

–熟悉RootkitRevealer工具的检测原理

•比较IceSword和RootkitRevealer的各自特点。

课后练习

•课后参考WinEggDrop的源代码，分析其各种功能的具体实现原理。

•使用byshell后门(byshell067beta2)，分析其独特之处。从其源代码中学习后门的一些编写思路。

•下载hxdef100r.zip，并进行使用和检测测试。

作业

•查找相关资料，并提交RootKit相关的技术文档。内容包括：

–什么是用户态RootKit和内核态RootKit？

–目前有哪些RootKit软件？

–目前RootKit的各种隐藏技术是如何实现的？