系统安全与入侵检测实习报告.docx
- 文档编号:229055
- 上传时间:2022-10-07
- 格式:DOCX
- 页数:17
- 大小:449.69KB
系统安全与入侵检测实习报告.docx
《系统安全与入侵检测实习报告.docx》由会员分享,可在线阅读,更多相关《系统安全与入侵检测实习报告.docx(17页珍藏版)》请在冰豆网上搜索。
一.Windows2000server……………………………………………………4
1.ARP欺骗……………………………………………………………………………………..4
2.注册表安全………………………………………………………………………………….4
3.IP安全策略………………………………………………………………………………….4
4.EFS加密文件破解………………………………………………………………………..4
二.Linux系统平台部分…………………………………………………….5
1.Samba服务器的缓冲区溢出………………………………………………….5
2.系统安全加固……………………………………………………………………..6
3.内核升级…………………………………………………………………………….7
4.Apache用户存取认证……………………………………………………………….7
三.系统入侵检测………………………………………………………………9
1.Snort-acid的安装及应用……………………………………………………………..9
2.Snortcenter安装及应用……………………………………………………………….11
3.Snort-inline安装及应用……………………………………………………………….13
4.Guardian的安装及配置……………………………………………………………….15
四.实习总结………………………………………………………………………17
1.实习总结……………………………………………………………………………………….17
任务一:
win2000Server
1.ARP欺骗:
目标主机:
172.17.2.99,利用arp监听该主机正在通讯的TCP协议21端口,要求获得该主机通讯的FTP帐号与密码,保存在嗅探软件的日志文件中。
(1)在正规的网站下载ARPsniffer软件,解压到指定的盘符。
(2)在运行中输入cmd命令打开字符操作界面,在运行软件之前要先查看一下这台机子的ARP表,里面有记录就运行arpsniffer软件。
(3):
按照正确的格式输入被欺骗的主机的ip地址,现在的目标主机是172.17.2.99,再输入服务器的ip地址,必须要在指定的盘符里建一个文本文件存放已获取的信息。
2.注册表安全:
任务:
winnt的默认共享关闭,IPC$的空连接关闭,本地安全策约密码最短期限2天;密码最长期限30天;启用密码必须符合复杂性要求;账户锁定时间20分钟;账户锁定阀值5次无效登陆;复位账户锁定计数器15分钟。
(1)开始”→“运行”输入“regedit”确定后,打开注册表编辑器,找到“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters”项,双击右侧窗口中的“AutoShareServer”项将键值由1改为0,这样就能关闭硬盘各分区的共享。
如果没有AutoShareServer项,可自己新建一个再改键值。
然后还是在这一窗口下再找到“AutoShareWks”项,也把键值由1改为0,关闭admin$共享。
最后到“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa”项处找到“restrictanonymous”,将键值设为1,关闭IPC$共享。
(2)打开控制面板的本地安全策略,分别在账户策略,账户锁定策略,审核策略,安全选项,去设置。
3.IP安全策约
任务:
利用IP安全策略关闭135,139,445端口,阻止ICMP包对本机进行的ping指令。
(1)打开控制面板的安全策略再在选中最后一项IP安全策略里面新建一个我的安全策略
(2)我的安全策略→添加(取消动态IP筛选器)→其它复选框都默认,直到安全规则向导,选择所有ICMP通讯量→添加→添加(源地址:
任何IP地址→目标地址:
我的IP地址→协议类型:
ICMP→确定)→关闭IP筛选器列表→下一步→编辑(下一步→筛选器操作名称:
阻止→筛选器操作常规选项:
阻止→下一步→完成)→筛选器操作:
阻止→下一步→完成(这是阻止ICMP包)。
(3)我的安全策略→添加→下一步→其它复选框默认,直到安全规则向导;点开所有ICMP通讯量→IP筛选器列表(名称:
135)→确定→选择135IP筛选器→编辑→添加(下一步→源地址:
任何IP地址→目标地址:
我的IP地址→选择协议类型:
TCP→IP协议端口:
到此端口:
135→下一步→完成)→关闭IP筛选器列表→在IP筛选器列表中选择135→下一步→筛选器操作:
阻止→下一步→完成(这个做的是利用IP完全策略关闭135端口;在关闭139和445端口时也是采用同样的办法,只需将“到此端口”改为你所想关闭的端口号就可以了,在涉及到输入名称时,只要不与前面的重复就可以了)。
4.EFS加密文件破解
任务:
用3389的终端登陆到172.17.2.99的计算机,用户名为iusr_1,密码77169,去
解d:
\esf\esf.txt的加密文件,把破解后的文件下载到自己的本地盘。
(1)连接到计算机:
首先在本机上正确安装EFS(在安装的过程当中需要注册,不注册有一些高级功能用不起),然后将安装好了的EFS软件共享出来,然后我们通过3389端口利用iuser_1登录到计算机上;由于d:
\esf\esf.txt这个文件是一个加密文件,所以我们普通用户进去之后无法查看这个文件,所以也就需要EFS软件来破解这个加密文件。
(2)EFS的使用:
通过特权进入到软件操作界面后,先扫描你需要破解文件的磁盘(例:
d:
\esf\esf.txt,我们就去扫描D:
就可以了);当文件被扫描出来了之后,我们就会看到加密后的文件,我们在选择我们需要破解的文件就可以了;当文件破解完毕之后,我们在通过共享的方式下载到我们的本地磁盘;这样我们EFS破解加密文件就算完成了。
Windows2000系统安全拓展:
局域网ARP欺骗的应对
一、故障现象及原因分析
情况一、当局域网内某台主机感染了ARP病毒时,会向本局域网内(指某一网段,比如:
10.10.75.0这一段)所有主机发送ARP欺骗攻击谎称自己是这个网端的网关设备,让原本流向网关的流量改道流向病毒主机,造成受害者不能正常上网。
情况二、局域网内有某些用户使用了ARP欺骗程序(如:
网络执法官,QQ盗号软件等)发送ARP欺骗数据包,致使被攻击的电脑出现突然不能上网,过一段时间又能上网,反复掉线的现象。
关于APR欺骗的具体原理请看我收集的资料ARP欺骗的原理
二、故障诊断
如果用户发现以上疑似情况,可以通过如下操作进行诊断:
点击“开始”按钮->选择“运行”->输入“arp–d”->点击“确定”按钮,然后重新尝试上网,如果能恢复正常,则说明此次掉线可能是受ARP欺骗所致。
注:
arp-d命令用于清除并重建本机arp表。
arp–d命令并不能抵御ARP欺骗,执行后仍有可能再次遭受ARP攻击。
三、故障处理
1、中毒者:
建议使用趋势科技SysClean工具或其他杀毒软件清除病毒。
2、被害者:
(1)绑定网关mac地址。
具体方法如下:
1)首先,获得路由器的内网的MAC地址(例如网关地址10.10.75.254的MAC地址为0022aa0022aa)。
2)编写一个批处理文件AntiArp.bat内容如下:
@echooffarp-darp-s10.10.75.25400-22-aa-00-22-aa 将文件中的网关IP地址和MAC地址更改为您自己的网关IP地址和MAC地址即可,计算机重新启动后需要重新进行绑定,因此我们可以将该批处理文件AntiArp.bat文件拖到“windows--开始--程序--启动”中。
这样开机时这个批处理就被执行了。
(2)使用ARP防火墙(例如AntiArp)软件抵御ARP攻击。
AntiArp软件会在提示框内出现病毒主机的MAC地址
任务二:
Linux平台部分
1.samba服务的缓冲区溢出
我们做这个samba溢出的时候是在windows2000的平台通过framework-3.4.1软件来实现的。
(1)先安装好framework-3.4.1软件
(2)在到开始→所有程序→附件→metaspoitFramework→Msfweb
(3)当弹出上面这个界面时,不要关闭这个对话框,在到IE当中输入
HTTP:
//127.0.0.1:
5555
(4)进入到了IE这个界面时,我们选择OS:
:
Linux→Sambatrans2openOverflow→linuxX86→Linuxia32bind→ADDR(我们需要攻击服务器的IP地址),PORT(我们需要自定义一个端口);其它选项都默认→Check→LaunchExploit→session1;到了这一步之后我们就可以进行相关的操作来破解ROOT用户的密码和给自己留一个后门,方便下一次进入。
(5)进行Root用户密码文件的下载:
uname–a→pwd→ls/usr/sbin/user*→cat/etc/passwd→/usr/sbin/useraddiusr_4→fingeriusr_4→passwdiusr_4(修改iusr_4用户的密码,在修改密码的过程当中需要重复输入两次新的密码);用iusr_4在SSH上登录进行相关操作:
whoami→w(当我们查看/etc/shadow我们会发现权限不够,我们就把密码文件下载到我们的本地磁盘在用John软件来对这个密码文件进行破解就可以了)
(6)生成字典:
在运用字典工具时,我们先要运行一下注册补丁,对这个字典工具进行注册;进入到了字典生成器我们在基本字符→数字(全选,由于我们已知密码的位数,到时再实际的运用当中还是需要参考实际情况)→生成字典(这里可以选择字典的生成位子与密码的位数,这里我们选择5位和8位)→生成字典
(7)John破解软件的使用:
先到运行→CMD→在转到我们John软件所存放的位置,如:
D:
\系统安全\linux\John171W\John1701\run→John-mmx(查看John破解软件的使用方法)→在再这个路径下去执行John-mmx–wordlist=c:
\dic.txt(字典的位置)D:
\系统安全\LINUX\11.txt(密码文件,当我们在运用John破解时可以只需要破解ROOT用户的密码文件,这样可以缩短破解);
运用D:
\系统安全\linux\John171W\John1701\run>john-mmxD:
\系统安全\Linux\11.txt可以查看你所破解密码的结果。
如图所示:
图2-1
2.系统安全加固:
(1):
首先去修改/etc/sshd/sshd_config文件(在文件37行的地方把permitrootloginyes前面加个#号屏蔽掉),root就不能通过ssh登录了。
(2):
需要修改/etc/login.defs文件(在文件19行的地方把pass_min_len5改为8)。
(3)修改/etc/host.conf文件用vi编辑进入后在文件的第2.3行处添加mution和nospooton两行。
(4):
禁止Ctrl+Alt+delete重新启动机器命令,首先要编辑/etc/inittab在32行处将Ca:
:
ctrlaltdel:
/sbin/shutdown–t3–rnow注释掉。
(5)编辑/etc/pam.d/su进入vim后把语句authrequried/lib/security/$isa/pam_wheel.souse.uid添加到第6行
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 系统安全 入侵 检测 实习 报告