电子商务安全实务实验三安全软件使用.ppt

1,网络安全实验软件使用,2,网络安全基础（4学时）计算机网络发展 网络安全问题提出 网络安全基础 安全威胁 信息安全基础（4学时）信息安全 安全机制 安全技术 安全设计,目 录,安全实验（4学时）安全安装 系统进程 管理员权限 网络服务安全设置 文件系统的安全 安全日志,理论,实 践,安全软件 fport TCPview Process,3,FPORT系统自带 netstat 查看机器开放的端口，也可以任务管理器来查看当前机器的进程，但是这两个东西都有自身的缺点，netstat 由于设计的原因很多开放的端口无法查出，而使用任务管理器的时候只能查看到进程的名字，如果一个恶意的攻击者把木马命名为svchost.exe、dllhost.exe，这样就能很好麻痹一些管理员，由于这些文件可能在一台web服务器上存在多个进程，然后给这个木马定义一个很象RPC的端口，不仔细查真的很难查找得到，FPORT就弥补了netstat和taskbar的不足该软件可以得到所有端口对应的文件有完整的路径名，可以避免有些木马程序使用系统服务的文件名，而将其放在非系统目录，无法在Task Manager里察觉，这个时候FPort的优势就体现出来了 下载地址：http:/,Windows 系统安全-安全工具1,FPORT运行示例：Pid Process Port Proto Path400 svchost-135 TCP C:WINNTsystem32svchost.exe8 System-139 TCP8 System-445 TCP8 System-1028 TCP872 rsvp-1047 TCP C:WINNTSystem32rsvp.exe624 WinMgmt-1048 TCP C:WINNTSystem32WBEMWinMgmt.exe624 WinMgmt-1049 TCP C:WINNTSystem32WBEMWinMgmt.exe540 inetinfo-1054 TCP C:WINNTSystem32inetsrvinetinfo.exe1616 msdtc-2692 TCP C:WINNTSystem32msdtc.exe1616 msdtc-3372 TCP C:WINNTSystem32msdtc.exe8 System-3778 TCP400 svchost-135 UDP C:WINNTsystem32svchost.exe8 System-137 UDP8 System-138 UDP8 System-445 UDP256 lsass-500 UDP C:WINNTsystem32lsass.exe244 services-1029 UDP C:WINNTsystem32services.exe540 inetinfo-3456 UDP C:WINNTSystem32inetsrvinetinfo.exe,4,查看进程：Pslist下载地址:http:/,杀掉进程：Pskill下载地址:http:/,查看进程详细信息：Process Explorer下载地址:http:/,Windows 系统安全-安全工具2,5,时刻注意安全漏洞和补丁发布 定期分析日志系统，发现潜在攻击 注意账号和口令的安全问题 注意观察系统异常 管理员，才是关键!,Windows 系统安全-长期的系统维护,6,Windows系统日志审核,Windows XP的日志文件通常有应用程序日志，安全日志、系统日志、DNS服务器日志、FTP日志、WWW日志、计划任务日志等等，可能会根据服务器所开启的服务不同。其中，应用程序日志、安全日志、系统日志、FTP日志、WWW日志，这些日志记录的都是与操作系统紧密相关的操作行为，包括帐号登录、帐号变更、服务变更、安全策略变更、应用程序错误、越权访问等等，因此对于追查入侵者，这些日志应该是首要检查的对象。,7,Windows系统日志审核,应用程序日志、安全日志、系统日志、DNS日志默认位置：%sys temroot%sys tem32config，其中：（1）安全日志文件：%systemroot%system32configSecEvent.EVT（2）系统日志文件：%systemroot%system32configSysEvent.EVT（3）应用程序日志文件：%systemroot%system32configAppEvent.EVT（4）FTP日志默认位置：%systemroot%system32logfilesmsftpsvc1（5）WWW日志默认位置：%systemroot%system32logfilesw3svc1,8,Windows系统日志审核,典型的FTP日志记录：#Software:Microsoft Internet Information Services 5.0（微软IIS5.0）#Version:1.0（版本1.0）#Date:20001023 0315（服务启动时间日期）#Fields:time cip csmethod csuristem scstatus0315 10.1.1.102 1USER administator 331（IP地址为用户名为administator试图登录）0318 10.1.1.102 1PASS 530（登录失败）032:04 10.1.1.102 1USER nt 331（IP地址为用户名为nt的用户试图登录）032:06 10.1.1.102 1PASS 530（登录失败）032:09 10.1.1.102 1USER cyz 331（IP地址为用户名为cyz的用户试图登录）0322 10.1.1.102 1PASS 530（登录失败）0322 10.1.1.102 1USER administrator 331（IP地址为用户名为administrator试图登录）0324 10.1.1.102 1PASS 230（登录成功）0321 10.1.1.102 1MKD nt 550（新建目录失败）0325 10.1.1.102 1QUIT 550（退出FTP程序）,从日志里就能看出IP地址为的用户一直试图登录系统，换了四次用户名和密码才成功，管理员立即就可以得知管理员的入侵时间、IP地址以及探测的用户名，如上例入侵者最终是用administrator用户名进入的，那么就要考虑更换此用户名的密码，或者重命名administrator用户。,9,Windows系统日志审核,下面是一个典型的WWW日志文件：#Software:Microsoft Internet Information Services 5.0#Version:1.0#Date:20001023 03:091#Fields:date time cip csusername sip sport csmethod csuristem csuriquery scstatus cs(UserAgent)20001023 03:091 192.168.1.26 192.168.1.37 80 GET/iisstart.asp 200 Mozilla/4.0+(compatible;+MSIE+5.0;+Windows+98;+DigExt)20001023 03:094 192.168.1.26 192.168.1.37 80 GET/pagerror.gif 200 Mozilla/4.0+(compatible;+MSIE+5.0;+Windows+98;+DigExt),通过分析第六行，可以看出2000年10月23日，IP地址为的用户通过访问IP地址为机器的80端口，查看了一个页面iisstart.asp,这位用户的浏览器为compatible;+MSIE+5.0;+Windows+98+DigExt，有经验的管理员就可通过安全日志、FTP日志和WWW日志来确定入侵者的IP地址以及入侵时间。,10,Windows系统日志审核,事件查看器在 Windows XP 中，事件是在系统或程序中发生的、要求通知用户的任何重要事情，或者是添加到日志中的项。事件日志服务在事件查看器中记录应用程序、安全和系统事件。通过使用事件查看器中的事件日志，您可以获取有关硬件、软件和系统组件的信息，并可以监视本地或远程计算机上的安全事件。事件日志可帮助您确定和诊断当前系统问题的根源，还可以帮助预测潜在的系统问题。,11,Windows系统日志审核,事件日志类型 应用程序日志 应用程序日志包含由程序记录的事件。例如，数据库程序可能在应用程序日志中记录文件错误。写入到应用程序日志中的事件是由软件程序开发人员确定的。安全日志 安全日志记录有效和无效的登录尝试等事件，以及与资源使用有关的事件（如创建、打开或删除文件）。例如，在启用登录审核的情况下，每当用户尝试登录到计算机上时，都会在安全日志中记录一个事件。您必须以 Administrator 或 Administrators 组成员的身份登录，才能打开、使用安全日志以及指定将哪些事件记录在安全日志中。系统日志 系统日志包含系统组件所记录的事件。例如，如果在启动过程中未能加载某个驱动程序，则会在系统日志中记录一个事件。Windows XP 预先确定由系统组件记录的事件。,12,Windows系统日志审核,事件日志查看方法要打开事件查看器，请按照下列步骤操作：单击“开始”，然后单击“控制面板”。单击“性能和维护”，再单击“管理工具”，然后双击“计算机管理”。或者，打开包含事件查看器管理单元的 MMC。在控制台树中，单击“事件查看器”。应用程序日志、安全日志和系统日志显示在“事件查看器”窗口中。如何查看事件详细信息要查看事件的详细信息，请按照下列步骤操作：单击“开始”，然后单击“控制面板”。单击“性能和维护”，再单击“管理工具”，然后双击“计算机管理”。或者，打开包含事件查看器管理单元的 MMC。在控制台树中，展开“事件查看器”，然后单击包含您要查看的事件的日志。在详细信息窗格中，双击您要查看的事件。会显示“事件属性”对话框，其中包含事件的标题信息和描述。要复制事件的详细信息，请单击“复制”按钮，使用要在其中粘贴事件的程序（例如 Microsoft Word）打开一个新文档，然后单击“编辑”菜单上的“粘贴”。要查看上一个或下一个事件的描述，请单击上箭头或下箭头。,13,Windows系统运行状态查看,在进行系统是否受到攻击的检查时，除了需要详细查看系统的日志审计外，还要全面审查系统的运行状态，其中重点需要检查的内容包括：检查TCP/UDP 监听端口检查系统运行进程检查系统服务检查自动启动项,14,Windows系统运行状态查看,检查TCP/UDP 监听端口 系统在遭受入侵攻击时通常都会产生一些非法的监听端口和网络连接，具体表现为：后门/木马程序在目标主机开启监听端口，以方便攻击者远程控制管理；系统在遭受DOS/DDOS攻击时会产生大量网络连接响应；感染蠕虫并对外传播时会产生大量的向外网络连接，从而向其它主机传播病毒体。可以使用windows系统自带的Netstat命令来监视在服务器上哪些端口是打开的，可以显示 TCP 和 UDP 的所有打开的端口。,15,Windows系统运行状态查看,Netstat 命令 NETSTAT-a-e-n-s-p proto-r interval-a：显示所有的连接和监听端口。-e：显示以太网统计信息。它可以与-s 选项结合使用。-n：以数字形式显示地址和端口号。-p proto：显示由 proto 指定的协议的连接；proto 可以是 TCP 或 UDP。如果与-s 选项一起使用以显示每个协议的统计信息，则 proto 可以是 TCP、UDP 或 IP。-r：显示路由表。-s：显示每个协议的统计信息。默认情况下，将会显示 TCP、UDP 和 IP 的统计信息，可以使用-p 选项以指定默认值的子集。Interval：重新显示所选择的统计信息，在每次显示之间按间隔秒数暂停。按 CTRL+C 组合键可停止重新显示统计信息。如果省略此参数，netstat 将会只打印一次当前配置信息。,16,Windows系统运行状态查看,检查系统运行进程基本系统进程smss.exe：这是一个会话管理子系统，负责启动用户会话。这个进程是通过系统进程初始化的并对许多活动的进程和设定的系统变量作出反映，例如它负责启动和结束Winlogon、Win32（Csrss.exe）进程，如果这些进程在运行期间发生了什么不可预料的事情，smss.exe就会让系统停止响应（就是挂起）。csrss.exe：这个是用户模式Win32子系统的一部分。csrss代表客户/服务器运行子系统而且是一个基本的子系统必须一直运行。csrss负责控制windows，创建或者删除线程和一些16位的虚拟MS-DOS环境。winlogon.exe：这个进程是管理用户登录和退出的，而且winlogon在用户按下CTRL+ALT+DEL时就激活了，显示安全对话框。services.exe：该进程是多个Windows系统服务的宿主。包括：EventLog，启用在事件查看器查看基于Windows的程序和组件颁发的事件日志消息。PlugandPlay，使计算机在极少或没有用户输入的情况下能识别并适应硬件的更改。lsass.exe：这是一个本地的安全授权服务，并且它会为使用winlogon服务的授权用户生成一个进程。这个进程是通过使用授权的包，例如默认的msgina.dll来执行的。如果授权是成功的，lsass就会产生用户的进入令牌，令牌别使用启动初始的shell。其他的由用户初始化的进程会继承这个令牌的。svchost.exe：用以启动其它服务以及执行该服务所对应的dll文件。在启动的时候，Svchost.exe检查注册表中的位置来构建需要加载的服务列表。这就会使多个Svchost.exe在同一时间运行。每个Svchost.exe的回话期间都包含一组服务，以至于单独的服务怎样和在哪里启动都必须依靠Svchost.exe才行，这样就更加容易控制和查找错误。,17,Windows系统运行状态查看,附加的系统进程（这些进程不是必要的，可以根据需要通过服务管理器来增加或减少）：explorer.exe：这是一个用户的shell，在我们看起来就像任务条，桌面等等。这个进程并不是像想象的那样是作为一个重要的进程运行在windows中，你可以从任务管理器中停掉它，或者重新启动，通常不会对系统产生什么负面影响。mstask.exe允许程序在指定时间运行。regsvc.exe允许远程注册表操作。winmgmt.exe提供系统管理信息。inetinfo.exe：允许通过Internet信息服务的管理单元管理Web和FTP服务。tlntsvr.exe允许远程用户登录到系统并且使用命令行运行控制台程序。tftpd.exe实现TFTPInternet标准。termsrv.exe提供多会话环境允许客户端设备访问虚拟的Windows2000Professional桌面会话以及运行在服务器上的基于Windows的程序。dns.exe应答对域名系统(DNS)名称的查询和更新请求。,18,Windows系统运行状态查看,检查系统服务木马或病毒程序通常还会将自身文件注册成系统服务，以便达到更加隐蔽和随系统自行启动的目的，在进行系统入侵审查时，系统服务也是不应忽视的地方。系统默认的服务1.Alerter（错误警报器）说明：通知所选用户和计算机有关系统管理级警报。参考：如果电脑是单独的平台（未联网使用），可以关闭此项服务。2.Application Management（应用程序管理）说明：Windows2000引入了一种基于MSI（应用程序安装信息程序包文件）文件格式的软件管理方案-应用程序管理组件服务，它不仅管理软件的安装、删除，而且可以使用此项服务修改、修复现有应用程序，监视文件复原并通过复原排除基本故障等。参考：当设置为“已禁用”时其实并不影响单机上软件的安装与卸载，而且基于MSI格式安装、修复与删除的行为也属正常。3.Automatic Updates（自动更新）说明：自动联网下载Windows的更新组件参考：宽带用户如果需要Windows自动更新，可让此服务随机启动，驻留后台。.,19,Windows系统运行状态查看,检查自动启动项木马或病毒程序为了达到随系统自行启动的目的，通常情况下，除了将自身文件注册成系统服务以外，还会修改系统自启动项的配置，其中最常见的系统启动项加载点：启动菜单：C:Documents and Settingsadministrator开始菜单程序启动C:Documents and SettingsAll Users开始菜单程序启动注册表：HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun、RunOnce、RunOnceEx以及RunServicesHEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunHKEY_CURRENT_USERSoftwareMicrosoftWindows NTCurrentVersionWindows：loadHKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogonShell系统文件：C:AUTOEXEC.BATC:WINNTsystem.ini：shell=Explorer.exeC:WINNTwin.ini：load=run=,20,Windows常用安全管理方法实例,检查TCP/UDP 监听端口实例(1)使用radmin程序连接目标主机。(2)在目标主机上使用netstat an 命令查看端口开放以及网络连接情况，检查和识别radmin木马程序所开启的监听端口，以及木马通讯的连接。显示结果如图2-1-2所示。,21,Windows常用安全管理方法实例,要想进一步查看监听端口是由哪个进程引发的，可以借用其它工具，例如TCPView等,22,Windows常用安全管理方法实例,检查系统运行进程 启动任务管理器，检查任何可疑的进程，在本例中，应该可以发现R_Server.exe 木马进程在运行。任务管理器显示如图,23,Windows常用安全管理方法实例,检查系统运行进程 Process Explorer,24,