网络安全技术及应用课 程 实 验 报 告.docxVIP

课 程 实 验 报 告 2020-----2021学年第一学期 课程名称： 网络安全技术及应用 班级名称： 学 号： 撰写时间： 2020-2021学年第一学期 实验名称木马分析（控制分析）实验实验目标通过对木马的练习，使读者理解和掌握木马传播和运行的机制 实验原理木马是隐藏在正常程序中的具有特殊功能恶意代码，是具备破坏，删除和修改文件，发送密码，记录键盘，实施Dos攻击甚至完全可能告知计算机等特殊功能的后门程序。它隐藏在目标计算机里，可以随计算机自动启动并在某一端口监听来自控制端的控制信息。实验环境 冰河木马：V8.4 攻击主机：win7以A代替 受控靶机：win7以B代替 两台主机能互相ping通 攻击步骤： 打开实验的两台虚拟机，使用net use命令进行连接  将主机B的C盘映射在主机A上，名为X  把g_server.exe文件拷贝进主机B的C盘，并设置自启动时间当到达设定时间后，主机B上就会自动运行g_server.exe（运行g_server.exe后）此时主机B的7626端口已经打开，可以对其进行控制。 在主机A上打开g_client.exe，并扫描主机 扫描成功后对其进行控制 （查看、编辑、创建、删除主机文件）（在主机A上给主机B创建文件）（记录键盘）（查看注册表键值） 防御步骤： 冰河木马隐蔽性高，且极为顽固，一旦运行G-server，那么该程序就会C:/Windows/system目录下生成Kernel32.exe和sysexplr.exe，并删除自身。Kernel32.exe在系统启动时自动加载运行，sysexplr.exe和TXT文件关联。即使你删除了Kernel32.exe，只要打开 TXT文件，sysexplr.exe就会被激活，它将再次生成Kernel32.exe，于是冰河又回来了！这就是冰河屡删不止的原因。 因此防御分以下四个步骤： 还原自启动注册表 冰河会在注册表HKEY_LOCAL_MACHINE/software/microsoft/windows/ CurrentVersionRun下扎根，键值为C:/windows/system/Kernel32.exe，用于设置开机自启，找到并删除。 还原txt文件的注册表信息 冰河通过修改txt文件之策表信息的键值对，使得sysexplr.exe和txt文件关联，当编辑txt文件时，就会再次激活冰河，找到该键值对并还原为notepad （正常的txt文件打开路径）（感染冰河）修改为正常数据 总结 本实验通过利用Windows的IPC$漏洞，向目标主机中植入冰河木马，从而实现对目标主机的控制，能够进一步了解木马植入的原理与方法 实验报告二 实验名称 拒绝服务攻击 实验目的通过练习使用DoS/DDoS攻击工具对目标主机进行攻击;理解DoS/DDoS攻击及其实施过程;掌握检测和防范DoS/DDoS攻击的措施。 实验原理绝服务攻击即是攻击者想办法让目标机器停止提供服务，是黑客常用的攻击手段之一。其实对网络带宽进行的消耗性攻击只是拒绝服务攻击的一小部分，只要能够对目标造成麻烦，使某些服务被暂停甚至主机死机，都属于拒绝服务攻击。拒绝服务攻击问题也一直得不到合理的解决，究其原因是因为网络协议本身的安全缺陷，从而拒绝服务攻击也成为了攻击者的终极手法。攻击者进行拒绝服务攻击，实际上让服务器实现两种效果：一是迫使服务器的缓冲区满，不接收新的请求；二是使用IP欺骗，迫使服务器把非法用户的连接复位，影响合法用户的连接。 实验环境 两台预装Windows 2000/XP/2003的主机，通过网络相连。 软件工具: synkiller 、syn、独裁者DDOS攻击工具 实验内容 任务一拒绝服务 攻击工具synkiller、syn 的使用 任务二分布式拒绝服务攻击工具独裁者的使用 SYN-Killer攻击演示实验 SYN-Killer是一个图形界面的攻击工具，首先确定攻击的目标主机开放的端口。本实验中目标主机是169.254.221.188，开放端口是80， Syn.exe攻击演示实验 Syn.exe是命令行的攻击工具，同样可以伪造源IP地址，被攻击的目标主机通过Wireshark同样截取到大量的SYN包，通过任务管理器观察系统性能的变化：CPU的利用率从10%上升到100%，可以看出SYN-Killer攻击的危害程度。这个数据是一对一攻击的结果。如果是多对一攻击，将会使被攻击的目标蓝屏。多对一的攻击方式也就是分布式拒绝服务攻击。