华中科技大学计算机学院《信息系统应用安全》实验报告
实验名称信息系统安全综合实验
团队成员:
注:团队成员贡献百分比之和为1
教师评语:
目录
第一章实验目的 (1)
第二章实验设计思路 (1)
第三章实验环境及工具 (2)
实验环境 (2)
实验工具 (2)
第四章系统安全评测 (10)
端口扫描 (10)
漏洞扫描 (10)
共享目录扫描 (13)
第五章系统安全解决方案 (14)
关闭一些黑客和木马经常攻击的端口 (14)
135端口 (14)
139端口 (15)
修复漏洞 (16)
修改共享目录 (17)
其他安全策略 (18)
第六章有效性分析 (20)
第七章实验体会 (20)
参考文献 (21)
第一章实验目的
通过自行选择安全工具诊断整个系统的安全性能,撰写安全测评报告.包括系统平台、系统软件、网络、应用程序等的安全评测.
第二章实验设计思路
根据实验的目的和要求,选取对应的测试扫描软件对计算机系统进行全方位的扫描,根据扫描的结果进行分析,得出系统的安全解决方案,检测该方案的有效性。
第三章实验环境及工具实验环境
实验工具
SuperScan功能及使用说明:
1)通过P ing来检验IP是否在线;
2)IP和域名相互转换;
3)检验目标计算机提供的服务类别;
4)检验一定范围目标计算机的是否在线和端口情况;
5)工具自定义列表检验目标计算机是否在线和端口情况;
6)自定义要检验的端口,并可以保存为端口列表文件;
7)软件自带一个木马端口列表t roj ans.ls t,通过这个列表我们可以检测目标计算机是否有木马;同时,我们也可以自己定义修改这个木马端口列表.我们可以看出,这款软件几乎将与IP扫描有关的所有功能全部做到了,而且,每一个功能都很专业。
本实验使用的是SuperScan 3.0的汉化版,其界面如下:
图1 Supe rS can的界面
从界面上可以看到,用户可以配置需要扫描的IP段,扫描类型和扫描的速度。点击配置的【端口配置】以设置需要扫描的端口。具体界面图如图2,需要扫描的端口列表保存在后缀名为lst的文件里,用户可以载入,修改,和添加该端口列表,因此非常适合定期的端口扫描。
图2 端口配置
双击选择需要扫描的端口,端口前面会有一个"√"的标志;选择的时候,这里有关于此端口的详细说明和所使用的程序。我们选择需要扫描的端口,然后,点击【保存】按钮保存选择的端口为端口列表。【确定】回到主界面。在【扫描类型】选择【列表中全部已选端口】,按【开始】开始检测。
使用自定义端口的方式有以下有点:
1)选择端口时可以详细了解端口信息;
2)选择的端口可以自己取名保存,有利于再次使用;
3)可以工具要求有的放矢的检测目标端口,节省时间和资源;
4)根据一些特定端口,我们可以检测目标计算机是否被攻击者利用,
种植木马或者打开不应该打开的服务。
需要注意的是,木马现在很多,没多久就出现一个,因此,有必要时常
注意最新出现的木马和它们使用的端口,随时更新这个木马端口列表。
Supe rSca n功能强大,但是,在扫描的时候,一定要考虑到网络的承受能力和对目标计算机的影响。同时,无论目的任何,扫描的必须在国家法律法规允许的范围进行。
360安全卫士功能及使用说明:
360安全卫士具有许多功能,在本实验中我们仅适用它的漏洞扫描这项功能。其主界面如图3所示。
图3 360安全卫士主界面
当点击【修复漏洞】后可以查看到本机的漏洞,如图4所示,如果用户需要生成漏洞信息报告,可以点击【修复漏洞】界面下的【导出漏洞信息】来导出一个漏洞信息列表的html文件。同时,点击任意一个漏洞项,在软件的右方会显示漏洞的详细信息,包括漏洞名称,安全公告号,以及漏洞影响
和漏洞描述等。
图360安全卫士
漏洞信息根据其影响和类别,分为系统及Office高危漏洞,软件安全更新,可选的高危漏洞补丁,其他及功能性更新补丁。图4为导出的漏洞修复扫描结果。
图4导出的漏洞修复扫描结果
SSS功能及使用说明
Sha dow Sec uri ty Sca nner能扫描服务器各种漏洞,包括很多漏洞扫描、账号扫描、DOS扫描...而且漏洞数据可以随时更新.SSS(Sha dow Sec uri ty Sca nne r)在安全扫描市场中享有速度最快,功效最好的盛名,其功能远远超过了其它众多的扫描分析工具.可以对很大范围内的系统漏洞进行安全、高效、可靠的安全检测,对系统全部扫面之后,- 可以对收集的信息进行分析,发现系统设置中容易被攻击的地方和可能的错误,得出对发现问题的可能的解决方法。其用户界面如下图所示。-
图 5 S h a d o w S e cu ri ty S ca n ne r界面
SSS扫描器最强的功能就是扫描主机的漏洞,下面介绍使用它来扫描用户的电脑的过程。具体操作步骤如下:
双击SSS扫描器图标,打开SSS的主窗口,然后单击【Sca nne r】按钮。
随即会弹出【Ne w session】窗口,按照上面介绍的方法对【R ules...】选项进行必要的设置,然后在【D escri ption session】文本框中输入对本次扫描的描述,这里输入【扫描】就可以了,如下图所示
图6 S h a do w Se cu ri ty S ca n ne r界面
3单击【Nex t】按钮弹出添加扫描的主机窗口,在该窗口中用户可以添加需要被扫描的主机。
4单击【Add host】按钮打开【Add hos t】对话框,选中【H ost】单选按钮,然后在【Na me or I P】文本框中输入用户的主机名称或者I P地址。
5单击【Nex t】按钮扫描器即开始扫描,在主界面下方的状态栏中显示了扫描的进度、线程以及总共需要检测的任务数。
6扫描完成,在主界面的右侧窗格中会列出用户的电脑信息、系统信息、共享信息、TC P开放的端口以及UDP开放的端口等信息。
7切换到【V ul ne ra biliti es】”选项卡,在这里列出了用户电脑中的被扫描的所有漏洞。
8单击任意一个漏洞,在窗口的下方显示出对该漏洞的描述、如何修复这样的漏洞以及该漏洞的危险级别等信息
图7 S h a do w Se cu ri ty S ca n ne r界面
Ne tSha re Wa tcher功能及使用说明
Ne tSha re Wa tche r 是一款网络安全增强软件。它可以扫描网络中违背安全策略的共享文件夹。其界面如下
图8 Ne tShare Watche r 界面
使用时也非常简单,双击【ne wwork】会弹出一个Add Ta rget的对话框,填入需要扫描的计算机名和IP地址即可进行扫描。
图9 Add Ta rge t
然后点击确定,可以看到扫描的结果,显示了该用户所有的共享文件。
图10 共享文件扫描结果
第四章系统安全评测
漏洞扫描
打开360安全卫士,点击【修复漏洞】得到本机到目前为止尚未修补的漏洞。扫描结果如图所示。
图漏洞扫描结果
从扫描结果可以看出,本机共有108个漏洞,其中有60个是高危漏洞。为什么会以这么多漏洞,主要是因为本机从装机到现在并没有更新过任何漏洞补丁,因此积累了这么多漏洞,这为接下来的系统安全的解决方案的有效性可以提供更多的对比信息。
打开SSS,对本机【陈学友-PC】进行扫描,扫描截图如下。
图SS S对“陈学友-PC”的扫描
从SSS的扫描结果可以用看到本机的基本信息,还包括MAC Address:
00-50-56-C0-00-08.
图SS S对“陈学友-PC”的扫描
端口扫描
选择扫描IP从【192.168.0.100】到【192.168.0.100】,即本机的I P地址,选择扫描类型为【所有端口】从【1】到【65535】,Supe rScan扫描得到的结果如下图所示。总共有20的打开的端口。而且可以看到,其中902和912号端口还有具体详细的信息。
图3 端口扫描结果图
一些端口常常会被黑客利用,还会被一些木马病毒利用,对计算机系统进行攻击,在上面扫描到打开的端口中就有可能被利用的端口。
端口:135
服务:Location Service
说明:Microsoft在这个端口运行DCE RPC end-point mapper为它的DCOM服务。这与UNIX 111端口的功能很相似。使用DCOM和RPC的服务利用计算机上的end-point mappe r注册它们的位置。远端客户连接到计算机时,它们查找
end-point mapper找到服务的位置。HACKER扫描计算机的这个端口是为了找到这个计算机上运行Exchange Server吗?什么版本?还有些DOS攻击直接针对这个端口。
端口:137、138、139
服务:NETBIOS Name Service
说明:其中137、138是UDP端口,当通过网上邻居传输文件时用这个端口。而139端口:通过这个端口进入的连接试图获得NetBIOS/SMB服务。这个协议被用于windows文件和打印机共享和SAMBA。还有WINS Regisrtation也用它。
一般来说,我们采用一些功能强大的反黑软件和防火墙来保证我们的系统安全,我们也可以采用一种简易的办法——通过限制端口来帮助大家防止非法入侵。
共享目录扫描
打开NetShareWatcher,对本机【陈学友-PC】,I P地址为119.97.96.15进行扫描,得到具体的共享文件列表,如下图所示。
图共享文件列表
第五章系统安全解决方案
关闭一些黑客和木马经常攻击的端口
本次试验中,我们检测到的打开的端口中,其中135和139端口进程被一些黑客和木马攻击利用,如果我们不使用这两个端口的服务,可以将它们关闭。
135端口
端口说明c-serv MS RPC end-point mapper Microsoft在这个端口运行DCERPC end-point mapper为它的DCOM服务。这与UNIX 111 端口的功能很相似。使用DCOM和/或RPC的服务利用机器上的end-point mapper注册它们的位置。远端客户连接到机器时,它们查询end-pointmapper找到服务的位置。同样Hacker
扫描机器的这个端口是为了找到诸如:这个机器上运行ExchangeServer吗?是什么版本?
关闭方法:
1)HKEY_LOCAL_MACHINE→SOFTWARE→Microsoft→Ole→EnableDCOM的值改为“N”
HKEY_LOCAL_MACHINE→SOFTWARE→Microsoft→Rpc→DCOM Protocols键值中删除“ncacn_ip_tcp”
(2)、此外,还需要确认是否停用了“Distributed Transaction Coordinator”此项服务。
(3)、重新启动一下输入CMD ,然后直接打入netstat -an这个命令,看,135端口没有了。
图修改注册表键值
139端口
端口说明: File and Print Sharing 通过这个端口进入的连接试图获
NetBIOS/SMB服务。这个协议被用于Windows“文件和打印机共享”和SAMBA。在Internet上共享自己的硬盘是可能是最常见的问题。Ipc$就是要依赖这个端口的.
关闭方法:鼠标右击“网络邻居”,选择“属性”,再鼠标右击“本地连接”,选择“属性”。选择“TCP/IP协议/属性/高级”,进入“高级TCP/IP设置”对话框,选择“WINS”
标签,勾选“禁用TCP/IP上的NETBIOS”一项,关闭NETBIOS.
修复漏洞
使用360下载更新和漏洞补丁.
360会自动安装这些补丁
最后安装成功后【重新扫描】结果如下图所示。
修改共享目录
由于系统默认打开默认共享,而C$,对于不需要共享的目录,最好将其关闭,在NetShareWatcher软件中,取消共享非常简单,只需要选中要取消共享的目录项,点击右键弹出浮动菜单,然后选择【Disable Share】选项即可。
在上一章测试中我们看到很多盘符都被共享了,因此需要将它们一一关闭。最后结果如下。