趋势科技网络安全

趋势科技（中国）授权教育中心。

试验手册补充说明。

2024年11月24日。

编者说明。此前由于印刷排版错误，导致实验手册出现部分低级错误，从而使实验无法完成。同时由于部分实验工具在传输过程，没有告之恰当的处理方法，导致部分实验工具不可用。

就有关失误和错误，趋势科技授权教育中心组织相关人员，对实验手册涉及相关实验，重新进行了整理、简化，便于各位老师用于教学之需。

由此给您造成的不便，趋势科技授权教育中心深表歉意。

一、准备工作。

1.在准备解压缩试验工具包之前，请暂时将您机器上的杀毒软件退出，服务禁止，防止杀毒软件将部分工具作为恶意**进行删除。

服务禁止办法，在控制面板->管理工具->服务，打开服务，看到杀毒软件相关服务项，点属性，选择常规，将正在启用的服务先停止，后选择启动类型，选择禁用。

2.如希望试验工具不被杀毒软件无意查杀，可以将相关试验工具用winrar设置密码进行压缩。有密码的压缩文件，杀毒软件将不在过问。

如需试验工具，在解压缩之前，参考前款部分。试验完毕后，可删除解压缩的试验工具，保留带密码的试验工具压缩包以备下次使用。

3.考虑到各种漏洞的补丁的更新等原因，演示建议使用win2000没有打补丁的系统作为测试攻击对象。为考虑试验环境，建议可在xp系统平台上先安装虚拟机，如先装virtual pc 2007，然后在虚拟机里选择win2000中文sp0版。

iso文件，将win2000作为测试环境安装到虚拟机里。虚拟机以及win2000的在试验工具光盘的实验环境目录里。虚拟机安装完成后，如想对虚拟机进行网络测试，请确保机器有网线连在交换及机或hub上，保证网卡激活，然后给xp系统和虚拟机上的win2000配备ip地址，并且保证ip地址在同一网段内。

如xp的地址为192.168.1.

99;虚拟机里win2000为192.168.1.

101.

4.实验部分工具来自互联网，不排除原作者可能会有功能之外的恶意动机，请不要在生产网络里的机器上进行测试。

实验手册实验三简易步骤说明。

在windows2000/2003下关闭端口（说明免）

plisten

1．假设给虚拟机win2000,配置的ip地址是192.168.1.101,先切换到虚拟机win2000环境，在c盘下新建一文件夹并设置成共享。

2．然后在xp环境下，在地址栏输入\\192.168.1.101,输入虚拟机的帐户和密码，就可以连接到刚才的共享文件夹。

3．将实验光盘里的工具（在光盘目录实验工具二里），拷贝到共享文件夹。并切换到虚拟机win2000环境，打开输入1200端口，确定窗口打开。

4．切换到xp系统下，打开cmd，输入telnet 192.168.1.

101 1200，回车后会见到hello窗口，输入任意英文或者汉字，然后切换到虚拟机win2000环境，会发现刚才输入的文字均明文显示在刚才的窗口里。

使用nc开放后门端口。

1．假设给虚拟机win2000,配置的ip地址是192.168.1.101,先切换到虚拟机win2000环境，在c盘下新建一文件夹名为user并设置成共享。

2．然后在xp环境下，在地址栏输入\\192.168.1.101,输入虚拟机的帐户和密码，就可以连接到刚才的共享文件夹user。

3．将实验光盘里的工具（在光盘目录实验工具二里），拷贝到共享文件夹user下。并切换到虚拟机win2000环境，运行cmd,输入cd c:\user,切换到user目录，然后在c:

\user>后输入 nc –v –l –e –p 2008 –s 192.168.1.

101然后回车，正常的话会显示下图（下图的ip地址和端口请根据实际需要填写）。

4．切换到xp系统下，打开cmd，输入telnet 192.168.1.101 2008，回车后会见到一个shell窗口如下。

5．在c:\user>后输入cd c:\inetpub,回车后输入cd wwwroot进入wwwroot目录，然后使用echo命令写入默认站点文件即可。

如 ….示例如下表示将just a tesh写入文件。

我们这个时候通过xp系统访问虚拟机win2000的web服务，发现默认页文件已经被篡改。

实验手册实验四删除和卸载不必要的服务。

1. sc命令可以在xp系统里直接输入，sc delete 某个服务名称。

2. 注意delete后删除的某个服务名称，服务名称可在某个服务上点属性，查看服务名称，如windows的自动更新，服务名称为wuauserv

如不希望windows自动更新（删除后可能使你的系统处于风险之中）进行盗版验证，可以在cmd里输入。

sc delete wuauserv,删除自动更新服务。

删除clipbook服务，注意其服务名称是clipsrv,删除后你将在服务窗口里clipbook已经被删除。

实验手册实验五略。

实验手册实验六

部分键值项在win2000下没有，属于win2003 server下。）

实验手册实验七。

按照顺序做完，然后通过ping来检查）

实验手册实验八。

1．先安装winpcap，然后再到cmd下运行arpfree工具。

2．说明：该arpfree可能在部分网卡下无法使用，先介绍两款局域局域网内通过arp欺骗实现对局域网其他上网用户的攻击。

一、 zarp

zarp是一款通过局域网arp欺骗，向局域网内所有机器访问的网页的**里插入任意**，实现开天窗、打开任意**，投放任意广告，乃至实现网页挂马的结果。

1) 试验环境：机器a和机器b在同在局域网内（在同一个交换机下）。

2) 将zarp、winpcap拷贝到机器a的c盘test文件夹下。先安装winpcap，然后在cmd下输入cd c:\test，再次输入zarp,将看到你机器的网卡索引号以及该软件的用法说明。

3) 如图所示，0，1，2就是网卡的序号，请确认哪个索引号是你正在局域网内使用的网卡，图中为2。

4) 知道网卡索引号后，可以输入以下形式命令回车。

-idx 2 -ip 192.168.1.2-192.168.1.100 -port 80 -insert ""

特别提醒：-idx后面的2根据你的实际网卡序号填写，默认是0;-ip后面是你局域网所需要攻击的网段地址；-insert里插入的是一个框架网页（示范里面**写错了：-）多加了一个com,大家实验时可改成实际需要的网页地址）

5) 回车后，zarp工具会向所有的-ip范围内的机器访问网页里强行插入框架**，zarp也会显示插入**结果。

此时受攻击ip范围内的机器访问任何**，左上角都会显示框架网页天窗。（如插入的**的**窗口的长、宽都是0,则网页上就无法显示了。）

但查看网页源文件时，我们都会看到网页被强行插入的**。""

二、 arpspoof

arpspoof是一款通过arp欺骗，向局域网内特定的某台机器访问的网页的数据包里插入或修改任意**，实现开天窗、打开任意**，投放任意广告，乃至实现网页挂马的结果。

1) 试验环境：机器a和机器b在同在局域网内（在同一个交换机下）。

2) 将arpspoof、winpcap拷贝到机器a的c盘test文件夹下。先安装winpcap，然后在cmd下输入cd c:\test，再输入arpspoof /l,将看到你机器的网卡索引号(识别索引号方法如上例)。

再输入arpspoof /n,将会在test目录下出现一个文件，打开后出现以下内容。

hack by cooldiyer

表达的意思是，如果被攻击的机器b正常收到的数据包里包含再发送给a；如果是大写的。（这里选择的标记信息，这样的话，确保b用户一打开网页，就可能被劫持。

当然，hack by cooldiyer 可以修改成任何文字信息，或html标记，实现定向推送的广告、天窗、网页木马等。

3) 将修改成自己所需要的信息后，cmd输入以下命令。

192.168.1.1 192.168.1.200 80 0 0 /r

第一个ip为网关，第二个ip为被攻击的机器ip,80是数据包端口类型，后面第一个0是网卡的序号（根据实际需要填写），后一个0表示单向欺骗类型。运行后如下。

4) caught表示抓包，遇到80端口过来包，进行替换（applying rul）后再**（forwarding）到被攻击机器，非80端口过来的包，直接**到被攻击机器如下图。

5) 当被攻击的b机器访问baidu时，由于html里面有实验9 拒绝式服务攻击防范演示。

补充的试验光盘里有三个拒绝式服务工具（均是在命令行下使用），可以分别测试一下效果。

针对synflood防范攻击，注册相关设置如下，注意适当修改注册表相关值进行对比试验。

windows registry editor version 5.00

启动syn攻击保护。缺省项值为0，表示不开启攻击保护，项值为1和2表示启动syn攻击保护，设成2之后，安全级别更高，对何种状况下认为是攻击，则需要根据下面的tcpmaxhalfopen和tcpmaxhalfopenretried值，设定的条件来触发启动了。这里需要注意的是，nt4.

0必须设为1，设为2后在某种特殊数据包下会导致系统重启。

趋势科技网络安全

网络安全与网络安全文化及网络安全防范

网络安全与网络安全文化

趋势科技“云安全”

其他用户还读了