网络防御实验报告.doc

网 络 防 御 实 验 报 告 学 院 计算机学 专 业 网络工程 班 级 1班 姓 名 刘小芳 学 号 41009040127 - 2013年 12月 30日 实验题目 网络防御实验 二．实验环境 PC 机一台； 操作系统：win7 物理地址：EO-E9-A5-81-A5-1D IP地址：02 三．实验目的 掌握有关网络防御的基本原理和方法； 四．常见网络防御方法 10.1物理层 10.2网络层 路由交换策略 VLAN划分 防火墙、隔离网闸 入侵检测 抗拒绝服务 传输加密 10.3系统层 漏洞扫描 系统安全加固 10.4应用层 防病毒 安全功能增强 10.5管理层 独立的管理队伍 统一的管理策略 实验方法概述 前面设计了网络攻击实验，现在在前面的基础上完成网络攻击的防御，主要模仿现在常用的网络防御手段，如防火墙等。 概述： 1.恶意代码及黑客攻击手段的三大特点 ： 传播速度惊人:“大型推土机”技术(Mass rooter)，是新一代规模性恶意代码具备的显著功能。 这些恶意代码不仅能实现自我复制，还能自动攻击内外网上的其它主机，并以受害者为攻击源继续攻击其它网络和主机。 以这些代码设计的多线程和繁殖速度，一个新蠕虫在一夜之间就可以传播到互联网的各个角落。 2.受害面惊人:许多国家的能源、交通、金融、化工、军事、科技和政府部门等关键领域的信息化程度逐年提高，这些领域的用户单位的计算机网络，直接或间接地与Internet有所联系。 各种病毒、蠕虫等恶意代码，和各种黑客攻击，通过Internet为主线，对全球各行业的计算机网络用户都造成了严重的影响。 3穿透深度:蠕虫和黑客越来越不满足于攻击在线的网站，各种致力于突破各种边界防线的攻击方式层出不穷。 一个新的攻击手段，第一批受害对象是那些24小时在线的网站主机和各种网络的边界主机； 第二批受害对象是与Internet联网的，经常收发邮件的个人用户； 第三批受害对象是OA网或其它二线内网的工作站； 终极的受害对象可能会波及到生产网络和关键资产主机。 4.网络攻击的动机 偷取国家机密 商业竞争行为 内部员工对单位的不满 对企业核心机密的企望 网络接入帐号、信用卡号等金钱利益的诱惑 利用攻击网络站点而出名 对网络安全技术的挑战 对网络的好奇心 5.攻击的过程 预攻击 攻击 后攻击 防御 1.1远程控制技术：远程控制实际上是包含有服务器端和客户端的一套程序 服务器端程序驻留在目标计算机里，随着系统启动而自行启动。此外，使用传统技术的程序会在某端口进行监听，若接收到数据就对其进行识别，然后按照识别后的命令在目标计算机上执行一些操作（比如窃取口令，拷贝或删除文件，或重启计算机等） 攻击者一般在入侵成功后，将服务端程序拷贝到目标计算机中，并设法使其运行，从而留下后门。日后，攻击者就能够通过运行客户端程序，来对目标计算机进行操作 1.2远程控制技术的发展历程 第一代 功能简单、技术单一，如简单的密码窃取和发送等 第二代 在技术上有了很大的进步，如国外的BO2000，国内的冰河等 第三代 为了躲避防火墙而在数据传递技术上做了不小的改进，比如利用ICMP协议以及采用反弹端口的连接模式 第四代 研究操作系统底层，在进程隐藏方面有了很大的突破 1.3远程受控端程序的自启动 A. Windows启动目录 B. 注册表启动 Run(RunOnce/RunOnceEx/RunServices） KnownDLLs C. 修改文件关联方式 D. 系统配置文件启动 Win.ini System.ini E. 服务启动 F. 其他启动 1.4远程受控端程序的隐藏 A. 在任务栏（包括任务管理器）中隐藏自己 初步隐藏 B. 注册为系统服务 不适用于Win2k/NT C. 启动时会先通过窗口名来确定是否已经在运行，如果是则不再启动防止过多的占用资源 D. 进程隐藏 远程线程插入其他进程（不适用于Win9X） Hook技术 1.5远程控制数据传输方式 ICMP协议传送 反弹端口 + HTTP隧道技术 1.6远程控制的防御 A. 远程端口扫描 B. 本地进程—端口察看 Fport / Vision AntiyPorts APorts C. 本地进程察看 Pslist Listdlls D. 注册表监控 Regmon E. 文件监控 Filemon F. 使用专用的查杀工具 G. 加强使用者的安全意识 2.1 DoS与