[网络安全防火墙.ppt

第3章 木马攻击 实验3－1：传统连接技术木马之一─Netbus木马 一、实验目的 二、实验设备 三、实验步骤 四、实验小结 五、防御措施 实验3－1：传统连接技术木马之一──Netbus木马 木马分为客户端与服务器端。按照这两端的连接方式分可以分为传统连接技术木马和反弹式木马。 传统连接技术木马（即采用正向端口连接技术的木马），是采用C/S运行模式，分为客户端程序（控制端）和服务器端程序（受害端）。服务器端程序在目标主机上被执行后，打开一个默认的端口进行监听，当客户端（黑客机）向服务器端（受害主机）主动提出连接请示时，服务器端程序便会应答连接请求，从而建立连接。常见的有Netbus、冰河等。 一、实验目的 了解传统木马的攻击原理，掌握传统木马攻击的方法和防御传统木马攻击的措施。 二、实验设备 2台XP/2000 Server/2003 Server的主机，Netbus1.70，均要关闭防火墙和杀毒软件。 三、实验步骤(1) 1、受害主机B运行黑客机A上Netbus压缩包中的Patch.exe，受害主机B的任务管理器中多了名为Patch.exe的进程，(图3-1 受害主机的任务管理器)。 三、实验步骤(2) 2、黑客机A上运行Netbus，在Netbus界面中输入受害主机IP，点击“Connet”钮，(图3-2 netbus木马的主界面)。 三、实验步骤(3) 3、黑客机A在Netbus界面可以对受害主机B进行弹出光驱、交换鼠标左右键等控制操作。 三、实验步骤(4) 4、黑客机A在Netbus界面可运行受害主机B上的%Systemroot%\System32\Calc.exe或者Notepad.exe，(图3-3 远程运行受害主机上的计算器程序)。 三、实验步骤(5) 5、黑客机A可在此界面进行端口重定向。 （1）使用应用程序重定向将对方的Cmd.exe程序重新映射至对方100端口（Netbus的默认设置），(图3-4 端口重定向)。 （2）使用端口重定向功能，在(图3-5 端口重定向)的界面中再用端口重定向打开23口。 监听（Listen）口：23。 主机：50（运行Netbus的受害主机IP）。 重定向TCP端口：100。 （3）测试：在受害主机B上，点击开始任务栏―运行―Cmd并回车。黑客机A可以成功地利用Telnet拨入至受害主机B，而受害主机B上根本没启动Telnet服务，黑客机A通过端口重定向与应用程序重定向将Cmd.exe指派到23端口，又将23端口重定向至100端口，再Telnet至受害主机B，从而接管受害主机B系统的命令提示符窗口。 三、实验步骤(6) 6、浏览受害主机B的网页或者网站（黑客机A在IE的地址栏中输入50：100）。 三、实验步骤(7) 7、在黑客机A上点击Netbus界面中的“Listen”钮，受害主机B在键盘输入的内容全部显示到黑客机A。(图3-6 受害机上的键盘输入情况)是受害机上的输入情况，(图3-7 黑客机上监听的情况)。 三、实验步骤(8) 8、键盘管理器（即Key Manager钮）：控制对方几个键或者主键盘区的全部键无法输入（但小键盘区不受控制），(图3-8 禁用受害主机的键盘)。 三、实验步骤(9) 9、远程关机，(图3-9 对受害主机进行关机)。 三、实验步骤(10) 10、查看受害主机窗口。在Netbus界面中点击“Active Wnds”钮，(图3-10 查看受害主机窗口)。 三、实验步骤(11) 11、让受害主机屏幕崩溃（类似死机状态）。在Netbus界面中点击“Screendump”钮，(图3-11 屏幕崩溃)。 三、实验步骤(12) 12、用File Manager上传、下载文件：点击“File Manager”钮即可完成。 思考：受害机如何摆脱黑客机的控制？ 回答：受害机任务管理器中有Patch程序，将它结束掉，则受害机不再受控制。 补充：现在的木马采用的技术比Netbus更为先进，任务管理器中无法观察出新加的任务（或者发现了新增加的进程但无法结束该进程），只能通过Icesword之类的进（线）程查看器进行观察，发现危险进程或线程时禁用它。 四、实验小结 采用正向连接技术的木马的黑客机主动与受害主机相连，即木马的客户端程序主动连接服务器端程序。一旦受害主机开启防火墙，客户端与服务器端之间的通讯将被阻止。 五、防御措施 同时开启防火墙、杀毒软件的实时监控。 实验3-2：传统连接技术木马之二──冰河木马 一、