实验四：木马攻击与防范.docVIP

10计科 罗国民 201030457115 网络安全与维护实验报告 实验四：木马攻击与防范 一、实验目的 通过对木马的练习，使读者理解和掌握木马传播和运行的机制；通过手动删除木马，掌握检查木马和删除木马的技巧，学会防御木马的相关知识，加深对木马的安全防范意识。 二、实验要求 通过实验了解木马攻击的原理，了解如何防范木马的入侵。 三、实验原理及内容 木马是隐藏在正常程序中的具有特殊功能的恶意代码，是具备破坏、删除和修改文件、发送密码、记录键盘、实施DOS攻击甚至完全控制计算机等特殊功能的后门程序。它隐藏在目标的计算机里，可以随计算机自动启动并在某一端口监听来自控制端的控制信息。 木马的特性 木马程序为了实现某特殊功能，一般应该具有以下性质： 伪装性: 程序把自己的服务器端伪装成合法程序，并且诱惑被攻击者执行，使木马代码会在未经授权的情况下装载到系统中并开始运行。 隐藏性：木马程序同病毒一样，不会暴露在系统进程管理器内，也不会让使用者察觉到木马的存在，它的所有动作都是伴随其它程序进行的，因此在一般情况下使用者很难发现系统中有木马的存在。 破坏性：通过远程控制，攻击者可以通过木马程序对系统中的文件进行删除、编辑操作，还可以进行诸如格式化硬盘、改变系统启动参数等个性破坏操作。 窃密性：木马程序最大的特点就是可以窥视被入侵计算机上的所有资料，这不仅包括硬盘上的文件，还包括显示器画面、使用者在操作电脑过程中在硬盘上输入的所有命令等。 木马的入侵途径 木马入侵的主要途径是通过一定的欺骗方法，如更改图标、把木马文件与普通文件合并，欺骗被攻击者下载并执行做了手脚的木马程序，就会把木马安装到被攻击者的计算机中。木马也可以通过Script、ActiveX及ASP、CGI交互脚本的方式入侵，由于微软的浏览器在执行Script脚本上存在一些漏洞，攻击者可以利用这些漏洞又到上网者单击网页，这样IE浏览器就会自动执行脚本，实现木马的下载和安装。木马还可以利用系统的一些漏洞入侵，如微软的IIS 服务存在多种溢出漏洞，通过缓冲区溢出攻击程序造成IIS服务器溢出，获得控制权县，然后在被攻的服务器上安装并运行木马。 木马的种类 按照木马的发展历程，可以分为四个阶段：第一代木马是伪装型病毒，将病毒伪装成一合法的程序让用户运行。第二代木马是网络传播型木马，它具备伪装和传播两种功能，可以近些年歌迷马窃取、远程控制。第三代木马在连接方式上有了改进，利用率端口反弹技术。第四代木马在进程隐藏方面作了较大改动，让木马服务器运行时没有进程，网络操作插入到系统进程或者应用进程完成。 按照功能分类,木马可以分为: 破坏型木马，主要功能是破坏删除文件；密码发送型木马，它可以找到密码并发送到指定的邮箱中；服务型木马，它通过启动FTP服务或者建立共享目录，使黑客可以连接并下载文件；DOS攻击型木马，它可以作为被黑客控制的肉鸡实施DOS攻击；代理型木马，它作为黑客发起攻击的跳板；远程控制型木马，可以使攻击者利用客户端软件完全控制。 木马的工作原理 下面介绍木马的传统连接技术、反弹端口技术和线程插入技术。 木马的传统连接技术 一般木马都采用C/S运行模式，因此它分为两部分，即客户端和服务器端木马程序。其原理是，当服务器端程序在目标计算机上被执行后，一般会打开一个默认的端口进行监听，当客户端向服务器端主动提出连接请求，服务器端的木马程序就会自动运行，来应答客户端的请求，从而建立连接。 第一代和第二代木马都采用的是C/S连接方式，都属于客户端主动连接方式。服务器端的远程主机开放监听端口等待外部的连接，当入侵者需要与远程主机连接时，便主动发出连接请求，从而建立连接。 木马的反弹端口技术 随着防火墙技术的发展，它可以有效拦截采用传统连接方式从外部主动发起连接的木马程序。但防火墙对内部发起的连接请求则认为是正常连接，第三代和第四代“反弹式”木马就是利用这个缺点，其服务器端程序主动放弃对外连接请求，再通过某些方式连接到木马的客户端，就是说“反弹式”木马是服务器端主动发起连接请求，而客户端是被动的连接。 根据客户端IP地址是静态的还是动态的，反弹式端口连接可以有两种方式。 反弹端口连接方式一要求入侵者在设置服务器端的时候，指明客户端的IP地址和待连接端口，也就是远程被入侵的主机预先知道客户端的IP地址和连接端口。所以这种方式只适用于客户端IP地址是静态的情况。 反弹端口连接方式二在连接建立过程中，入侵者利用一个“代理服务器”保存客户端的IP地址和待连接端口，在客户端的IP地址是动态的情况下，只要入侵者更新“代理服务”中存放的IP地址预端口号，远程被入侵主机就可以通过先连接到“代理服务器”。查询最新木马客户端信息，再和入侵者(客户端