网络安全(黑客攻防)_攻击检测与响应.ppt

三、实验步骤 （8）选中“IIS”并单击Edit：此界面允许修改行为，并说明了模拟服务器将会模仿IIS服务器的程度，如图8－20。 图8－20 修改Main Scenario的设置 （9）单击“OK”，关闭“Edit Listen”界面，增加一条规则来检测netbus木马。 （10）在“Edit Scenario”界面中，点击“Add”。在弹出的“Add Listen”界面中： ①“Name”框中，输入netbus。 ②对于“Protocol”，选中TCP。 ③“Port”框中，输入20034（如果此端口已经有规则进行监视，可以换为其它端口）。 ④在“Bind Address”框中，选中All。 ⑤在“Action”部分中，选中Read And Close。 ⑥在“Severity”框中，选中High，如图8－21。 图8－21 增加检测netbus入侵的规则 ⑦单击“Ok”，关闭“Add Listen”界面。 ⑧单击“Ok”，关闭“Edit Scenario”界面。 ⑨单击“Ok”，关闭“Edit Scenarios”界面。 三、实验步骤 3、在Windows XP计算机上发送攻击。 （1）进入DOS窗口。 （2）运行nmap：键入nmap –o -sS 02并按ENTER键（02为Windows 2k Server的IP）。看到许多端口是打开的，尤其注意端口80是打开的。 （3）键入telnet 02 80并按ENTER键。 （4）键入get并按ENTER键两次，获得了服务器的类型标识为IIS。 （5）攻击者进行攻击： ①运行Internet Explorer，在地址栏中键入http：//02/scripts/..%255c../winnt/system32/cmd.exe?/c＋dir+\winnt的命令，并按ENTER键。这样将会得到一条错误消息“The page cannot be found”。这是因为停止了真正的Web服务器。如果蜜罐能够捕获到此攻击，则继续之后的步骤。既然目录遍历攻击不起作用，攻击者就会立刻查看02上是否运行了netbus服务器端的程序。 ②运行netbus：键入02，并单击“Connect”钮，连接并不成功。 三、实验步骤 4、检查日志。在Windows 2k Server上，攻击已经产生了几百个条目，这些中的大部分都源于Nmap扫描。 （1）在树型窗格中，单击80 IIS。 （2）双击自顶部的第三个条目，这是Nmap扫描的一部分。注意：在Received部分中的底部没有请求（那是因为它仅是一个扫描，没有发送请求），这就暗示它是一个扫描。 （3）关闭EventDetails窗口。 （4）双击自顶部的第二个条目，这是旗语（旗语有助于哄骗攻击者相信在目标处有一台真正的服务器）请求。注意：“get”请求被捕获，并留意所给出的响应。 （5）关闭Event Details。 （6）双击顶端的条目，这是目录遍历攻击。注意：在接收框中所发送的完整命令（这是个明显的攻击）。 （7）关闭Event Details。 （8）在树型窗格中，滚动到20034 netbus项并选中它。注意：尽管没有这个特定攻击的条目，但在定义之后仍然能够捕获这个企图。 四、实验小结 完成本实验后可以学到：怎样安装和配置蜜罐、怎样创建自定义警报、怎样查看并分析日志。 实验8－4：备份与恢复 备份数据是能够实施的最重要的安全措施之一。即使熟练地配置了防火墙，更新了病毒特征库、入侵检测系统正在运行，灾难也可能会发生。如果数据被销毁或者被破坏，找回数据的唯一希望来自于恰当地配置了备份。利用Windows自带的功能可以实现正常备份、差异备份、增量备份。正常备份将会复制所有指定文件，备份占用时间长，恢复时间最快。差异备份会复制所有自最后一次完整备份以来更改过的所有文件，备份时间短，恢复时间长。增量备份是备份自最后一次备份以来的所有数据（不管是完整备份，还是差异备份或者增量备份），备份时间较差异备份更短，恢复数据时间更长。恢复文件同样很重要。如果恢复时进行了不正确的配置，会产生灾难发生时一些关键数据尚未保存的可怕后果。处于恢复状态时要对介质进行写保护操作，不应该在此状态时随便删除数据。 实验8－4－1：利用Windows自带的工具实现备份与恢复(选作) 一、实验目的 学会利用Windows自带的工具对某个资源内容进行备份，掌握配置计算机来备份指定的数据，掌握数据丢失后恢复数据的方法。 二、实验设备 1台XP主机，1台Win2k Server主机。 三、实验步骤 1、在Win2k Server主机上登录，创建网络共享并映射网络驱动器。 （1）在C盘上创建一个名为data的文件夹，右击－属性： ①