网络攻防技术概述与课程_课程5案例演示-分析NT系统破解攻击.pdf

北京大学《网络攻防技术与实践》课程讲义资料 课程5 案例演示：分析NT 系统破解攻击 北京大学《网络攻防技术与实践》课程讲义 课程5 案例演示－分析NT 系统破解攻击 Copyright(c) 诸葛建伟，未经作者许可，请勿公开发布 难度等级：中级 案例分析挑战内容： 2001 年2 月4 日，来自62 的攻击者成功攻陷了蜜罐主机06 （主 机名为： ），这是一次非常典型的针对NT 系统的攻击，而且我们有理由相信 攻击者最终识别了蜜罐主机，因此这将是一个非常有趣的案例分析挑战。你的分析数据源只 有包含整个攻击过程的二进制记录文件，而你的任务就是从这个文件中提取并分析攻击的全 部过程。 问题： 1．攻击者使用了什么破解工具进行攻击？ 2 ．攻击者如何使用这个破解工具进入并控制了系统？ 3 ．当攻击者获得系统的访问权后做了什么？ 4 ．我们如何防止这样的攻击？ 5 ．额外奖励问题：你觉得攻击者是否警觉了他的目标是一台蜜罐主机？如果是，为什么？ 待分析二进制文件位置：0/exercises/course5.zip 。 MD5=aca62e19ba49546d2bfd1fa1c71b5751 提示使用工具： snort nstream wireshark 1 北京大学《网络攻防技术与实践》课程讲义资料 课程5 案例演示：分析NT 系统破解攻击 分析过程： 对待分析的网络日志文件进行完整性检验并解压缩。 # md5sum course5_demo.zip aca62e19ba49546d2bfd1fa1c71b5751 course5_demo.zip # unzip course5_demo.zip 之后我们可以使用 snort 提供的功能在命令行查看网络日志文件中和主机 62 相关的数据包内容，但这3M 多的数据包内容很难逐个分析。 # snort -vdr snort-0204@0117.log host 62 | more 我们建议采用nstreams 工具和snort 提供的 Session 重组功能提取并逐个分析网络流会 话内容。nstreams 工具可以分析网络日志文件，给出识别的网络流会话双方 IP 地址、目标 端口以及已知应用协议，这些结果提供了深入分析网络日志文件的一个高层描述和索引。 # nstreams -f snort-0204@0117.log nstreams.txt 1 netbios-ns (udp) traffic between 05 and 9 2 netbios-ns (udp) traffic between 05 and 6 3 Unknown tcp traffic between 1:1593 and 03:111 4 Unknown tcp traffic between 03:111 and 1:1593 5 Unknown tcp traffic between 1:2910 and 08:111 6 Unknown tcp traffic between 08:111 and 1:2910 7 http traffic between 62 and 06 8 ftp traffic between 06 and 8 9 ident traffic between 8 and 06 10 ftp traffic between 06 and 62 11 Unknown tcp traffic between 62:20 and 06:3143 12 ftp-data traffic betwee