网络攻防技术概述与课程_课程5-Windows攻击技术及防御方法-ex4.ppt

进一步问题：哪次攻击导致蜜罐加入僵尸网络? 查看蜜罐主机向外发起的连接 tcpdump -r exercise4 src host 91 and tcp[tcpflags] == 0x2 -nn -tttt | more 2003-03-05 13:24:02-14:17:50: web访问 006的Web探测所引发的 2003-03-06 11:36:42-12:23:18: IRC僵尸网络连接 时间上和8的口令蠕虫感染时间重叠 口令蠕虫感染主机之后inst.exe会连接并加入僵尸网络，接受控制 2003-03-06 13:22:59-13:23:08: 蜜罐主机尝试连接.31337，无应答，Back Orifice后门端口 结论： 3月5日10:39:02 - 10:40:14， 01攻陷蜜罐，上传Radmin，并远程控制了主机 3月6日11:35:34-11:38:29， 8的口令蠕虫传播并感染蜜罐，并让其加入了拥有几K受控主机的僵尸网络 * 网络攻防技术与实践课程 Copyright (c) 2008－2009 诸葛建伟 * You can play more with such a in-the-wild capture 提取并分析场景中知名的样本 Slammer, CodeRed v2, 口令蠕虫 pehunter: 从网络流原始日志中识别并提取PE可执行文件 进阶课程-恶意代码基础知识与分析方法 分析场景中所使用的远程渗透攻击方法 Slammer Exploit, ISAPI .ida exploit, 远程口令猜测 Exploit网络报文分析，深入理解漏洞触发和利用机理 libemu: 从网络流原始日志中识别并模拟执行shellcode nebula: 从网络流会话内容中自动分析提取snort检测特征码 深入理解NetBIOS, SMB等常用应用层协议 未知应用层协议破解: Radmin协议破解 用于测试：攻击场景自动关联方法-我的博士论文《网络入侵检测与行为关联分析技术研究》 * 网络攻防技术与实践课程 Copyright (c) 2008－2009 诸葛建伟 * 博士论文和相关发表论文 博士论文，2006. 基于扩展目标规划图的网络攻击规划识别算法, 计算机学报. Towards High Level Attack Scenario Graph through Honeynet Data Correlation Analysis, West Point Workshop, 2006. 在NIDS报警记录基础上基于攻击知识库进行攻击场景重构 * 网络攻防技术与实践课程 Copyright (c) 2008－2009 诸葛建伟 * * 网络攻防技术与实践课程 Copyright (c) 2008－2009 诸葛建伟 * Thanks 诸葛建伟 zhugejianwei@ * 4课时 hujianbin security5.ppt * 4课时 网络攻防技术与实践课程 Copyright (c) 2008－2009 诸葛建伟 网络攻防技术与实践课程 Copyright (c) 2008－2009 诸葛建伟 * 网络攻防技术与实践课程 Copyright (c) 2008－2009 诸葛建伟 * 北京大学网络攻防技术与实践课程 作业4讲解 * 网络攻防技术与实践课程 Copyright (c) 2008－2009 诸葛建伟 * 作业4: Win2K系统被攻陷并加入僵尸网络 分数: 10分 难度等级: 中级 案例分析挑战内容: ???????? 在2003年3月初，Azusa Pacific大学蜜网项目组部署了一个未打任何补丁的Windows 2000蜜罐主机，并且设置了一个空的管理员密码。在运营的第一个星期内，这台蜜罐主机就频繁地被攻击者和蠕虫通过利用几个不同的安全漏洞攻陷。在一次成功的攻击之后，蜜罐主机加入到了一个庞大的僵尸网络中，在蜜罐主机运营期间，共发现了15,164个不同主机加入了这个僵尸网络。这次案例分析的数据源是用Snort工具收集的该蜜罐主机5天的网络流日志，并通过编辑去除了一些不相关的流量并将其组合到了单独的一个二进制网络日志文件中，同时IP地址和一些其他的特定敏感信息都已经被混淆以隐藏蜜罐主机的实际身份和位置。你的任务是分析这个日志文件并回答以下给出的问题。 * 网络攻防技术与实践课程 Copyright (c) 2008－2009 诸葛建伟 * 问题 1.??IRC是什么？?当IRC客户端申请加入一个IRC网络时将发送哪个消息？ IRC一般使用哪些TCP端口？ 2.??僵尸网络是什么？?僵尸网络通常用于什么？ 3.??蜜罐主机（IP地址：91）与哪些IRC服务器进行了通讯？ 4.??在这段观