計算機網(wǎng)絡(luò)安全實驗報告

計算機網(wǎng)絡(luò)安全實驗報告指導(dǎo)老師：班級：學(xué)號：姓名：

第一次、密碼破解技術(shù)1、Windows本地密碼破解（LC）實驗實驗?zāi)康募耙笳莆召~號口令破解技術(shù)的基本原理、常用方法及相關(guān)工具掌握如何有效防范類似攻擊的方法和措施實驗原理獲取用戶口令的方式一般有如下幾種方法，弱口令掃描，Sniffer密碼嗅探，暴力破解，打探、套取或合成口令等手段。系統(tǒng)用戶賬號口令的破解主要是基于字符串匹配的破解方法。最基本的方法有兩個，窮舉法和字典法。窮舉法是將字符或數(shù)字按照窮舉的規(guī)則生成口令字符串，然后對賬號口令進行遍歷嘗試。在口令組合稍微復(fù)雜的情況下，窮舉法的破解速度很低。相對于窮舉法，字典法相對來說效率較高，它是原理是，用口令字典中實現(xiàn)定義的常用字符去嘗試匹配口令。由此看來，如果你的口令是一個單詞或者是簡單的數(shù)字組合，或者是你的生日等組合那么破解者合一很容易的破解口令。此次試驗使用L0phtCrack工具進行暴力破解（窮舉法和字典法都屬于暴力破解）。實驗環(huán)境操作系統(tǒng)：MicrosoftWindowsXPprofessional軟件：L0phtCrackV6.0.15實驗步驟在主機內(nèi)建立用戶，test1使用快速口令破解（用戶密碼設(shè)置為123123）空密碼和簡單密碼一下就破解出來了，用時3秒普通口令破解（用戶密碼設(shè)置為security1）復(fù)雜一點的密碼用快速破解無效，使用普通口令破解選項破解，用時18秒復(fù)雜口令破解（用戶密碼設(shè)置為security123）復(fù)雜密碼用普通口令破解選項無法破解，使用復(fù)雜口令破解選項用時35秒。實驗總結(jié)暴力破解理論上可以破解任何口令，但如果口令過于復(fù)雜，暴力破解需要的時間會很長，在這段時間內(nèi)，增加了用戶發(fā)現(xiàn)入侵和破解行為的機會，以采取某種措施來阻止破解，所以口令越復(fù)雜越好。一般設(shè)置口令要遵循這幾項原則：①口令長度不小于8個字符；②包含有大寫和小寫的英文字母、數(shù)字和特殊符號的組合；③不包含姓名、用戶名、單詞、日期以及這幾項的組合；④定期修改口令，并且對新口令做較大的改動。2、本地密碼破解（pwdump）實驗實驗?zāi)康募耙笳莆召~號口令破解技術(shù)的基本原理、常用方法及相關(guān)工具掌握如何有效防范類似攻擊的方法和措施實驗原理攻擊原理：獲取用戶口令的方式一般有如下幾種方法，弱口令掃描，Sniffer密碼嗅探，暴力破解，打探、套取或合成口令等手段。系統(tǒng)用戶賬號口令的破解主要是基于字符串匹配的破解方法。最基本的方法有兩個，窮舉法和字典法。窮舉法是將字符或數(shù)字按照窮舉的規(guī)則生成口令字符串，然后對賬號口令進行遍歷嘗試。在口令組合稍微復(fù)雜的情況下，窮舉法的破解速度很低。相對于窮舉法，字典法相對來說效率較高，它是原理是，用口令字典中實現(xiàn)定義的常用字符去嘗試匹配口令。由此看來，如果你的口令是一個單詞或者是簡單的數(shù)字組合，或者是你的生日等組合那么破解者合一很容易的破解口令。本次實驗采用pwdump7.exe工具得到操作系統(tǒng)內(nèi)保存的賬號和hash值，利用ophcrack工具暴力匹配hash所對應(yīng)的密碼。實驗環(huán)境操作系統(tǒng)：MicrosoftWindowsXPprofessional軟件：pwdump7.exe、ophcrack實驗步驟添加新用戶test1,密碼1234運行pwdump7.exe，得到本機上所以用戶的賬號和密碼hash值，并保存在userP_h.txt中運行ophcrack軟件，加載彩虹表xp_free_fast，點擊Load按鈕，選擇Singlehash，將test1用戶的hash值粘貼到彈出的對話框中，點擊Crack進行破解得到破解結(jié)果實驗總結(jié)暴力破解理論上可以破解任何口令，但如果口令過于復(fù)雜，暴力破解需要的時間會很長，在這段時間內(nèi)，增加了用戶發(fā)現(xiàn)入侵和破解行為的機會，以采取某種措施來阻止破解，所以口令越復(fù)雜越好。一般設(shè)置口令要遵循這幾項原則：①口令長度不小于8個字符；②包含有大寫和小寫的英文字母、數(shù)字和特殊符號的組合；③不包含姓名、用戶名、單詞、日期以及這幾項的組合；④定期修改口令，并且對新口令做較大的改動。3、本地密碼直接查看實驗實驗?zāi)康募耙笳莆沼肧AMInside工具破解本地系統(tǒng)賬號口令的基本原理和方法掌握如何有效防范類似攻擊的方法和措施實驗原理攻擊原理：獲取用戶口令的方式一般有如下幾種方法，弱口令掃描，Sniffer密碼嗅探，暴力破解，打探、套取或合成口令等手段。系統(tǒng)用戶賬號口令的破解主要是基于字符串匹配的破解方法。最基本的方法有兩個，窮舉法和字典法。窮舉法是將字符或數(shù)字按照窮舉的規(guī)則生成口令字符串，然后對賬號口令進行遍歷嘗試。在口令組合稍微復(fù)雜的情況下，窮舉法的破解速度很低。相對于窮舉法，字典法相對來說效率較高，它是原理是，用口令字典中實現(xiàn)定義的常用字符去嘗試匹配口令。由此看來，如果你的口令是一個單詞或者是簡單的數(shù)字組合，或者是你的生日等組合那么破解者合一很容易的破解口令。SAMInside能破解經(jīng)Syskey工具對SAM密碼進行加密的密碼。原理是暴力破解。實驗環(huán)境操作系統(tǒng)：MicrosoftWindowsXPprofessional軟件：SAMInsideV、SAMCopyer實驗步驟及結(jié)果使用Syskey工具對本地的SAM密碼文件進行加密使用SAMInside工具破解Syskey加密過的密碼利用小工具復(fù)制SAM和system文件（開機狀態(tài)下無法復(fù)制）到c:/sam生成Syskey文件導(dǎo)入破解文件開始破解、破解成功實驗總結(jié)暴力破解理論上可以破解任何口令，但如果口令過于復(fù)雜，暴力破解需要的時間會很長，在這段時間內(nèi)，增加了用戶發(fā)現(xiàn)入侵和破解行為的機會，以采取某種措施來阻止破解，所以口令越復(fù)雜越好。一般設(shè)置口令要遵循這幾項原則：①口令長度不小于8個字符；②包含有大寫和小寫的英文字母、數(shù)字和特殊符號的組合；③不包含姓名、用戶名、單詞、日期以及這幾項的組合；④定期修改口令，并且對新口令做較大的改動。第二次、網(wǎng)絡(luò)掃描與嗅探1、網(wǎng)絡(luò)連通性探測實驗實驗?zāi)康募耙罅私饩W(wǎng)絡(luò)連通性測試的方法和工作原理掌握ping命令的用法能夠判斷網(wǎng)絡(luò)主機間是否連實驗原理Ping原理：ping程序能夠用來探測兩個主機之間是否連通。它使用ICMP協(xié)議發(fā)送ICMP回送請求消息給目的主機，ICMP協(xié)議規(guī)定，目的主機必須返回ICMP回送應(yīng)答消息給源主機。如果源主機在一定時間內(nèi)收到應(yīng)答，則認為主機可達。源主機在一定時間內(nèi)未收到應(yīng)答，并不肯定這個主機沒有連接在網(wǎng)絡(luò)上或者此IP不存在，因為可能是目的主機中的防火墻作了相應(yīng)設(shè)置。實驗環(huán)境操作系統(tǒng)：MicrosoftWindows7旗艦版軟件：PING.EXE實驗步驟與結(jié)果了解ping命令的詳細參數(shù)說明查看目標主機是否在線實驗結(jié)果顯示，目標主機可能不在線，或者開啟了防火墻。查看主機能否到達網(wǎng)關(guān)從返回結(jié)果顯示，本主機能到達網(wǎng)關(guān)，說明網(wǎng)絡(luò)是通的。實驗總結(jié)通過ping命令能夠查看主機網(wǎng)絡(luò)的連通性是否正常。2、主機信息探測實驗實驗?zāi)康募耙罅私饩W(wǎng)絡(luò)掃描技術(shù)的基本原理掌握nmap工具的使用方法和各項功能通過使用namp工具，對網(wǎng)絡(luò)中的主機信息等進行探測掌握針對網(wǎng)絡(luò)掃描技術(shù)的防御方法實驗原理主機信息探測的原理基于ICMPecho掃描的原理是：利用ICMP協(xié)議的規(guī)定判斷主機是否在線，可以通過設(shè)置（防火墻等）讓目標主機不回應(yīng)。這種掃描方式不能算真正意義上的掃描。高級的ICMP掃描技術(shù)主要是利用ICMP協(xié)議最基本的用途——報錯，若接收到的數(shù)據(jù)包協(xié)議項出現(xiàn)錯誤，那么接收端將產(chǎn)生一個“目標主機不可達”ICMP的錯誤報文，這個錯誤報文是根據(jù)協(xié)議自動產(chǎn)生的。全連接掃描是TCP端口掃描的基礎(chǔ)，現(xiàn)有的全連接掃描有TCPconnect掃描和TCP反向查詢掃描等。TCPconnect掃描的原理是：掃描主機通過TCP/IP協(xié)議的三次握手與目標主機的指定端口建立一次完整的連接。連接有系統(tǒng)調(diào)用connect開始。如果端口開放，則連接將建立成功；否則，返回-1則表示端口關(guān)閉。撿來連接成功：響應(yīng)掃描主機的SYN/ACK連接請求，這一響應(yīng)表明目標端口處于監(jiān)聽（打開）的狀態(tài)。如果目標端口處于關(guān)閉狀態(tài)，則目標主機會向掃描主機發(fā)送RST的響應(yīng)。Nmap掃描工具介紹Nmap是俗稱“掃描器之王”的工具軟件。Nmap能得到被掃描主機端口的列表，給出端口的服務(wù)名（如果可能）、端口號、狀態(tài)和協(xié)議等信息。根據(jù)使用的功能選項，Nmap也可以報告遠程主機，使用的操作系統(tǒng)類型，TCP序列、運行綁定到每個端口上的應(yīng)用程序的用戶名、DNS名、主機地址是否欺騙地址等。實驗環(huán)境操作系統(tǒng)：MicrosoftWindows7旗艦版軟件：nmap實驗步驟及結(jié)果主機信息探測（探測內(nèi)容：主機是否在線。若在線該主機開放的端口和主機的操作系統(tǒng)信息。）查看nmap的命令幫助掃描局域網(wǎng)網(wǎng)段端口掃描（使用TCPSYN掃描探測0的主機信息）指定端口掃描操作系統(tǒng)信息掃描Ident掃描實驗總結(jié)在使用計算機時要加強安全意識，對掃描軟件的基本防范方法是使用防火墻并關(guān)閉不必要的端口。3、路由信息探測實驗實驗?zāi)康募耙罅私饴酚傻母拍詈凸ぷ髟碚莆仗綔y路由的工具的使用方法通過使用tracert工具，對網(wǎng)絡(luò)中的路由信息等進行探測，學(xué)會排查網(wǎng)絡(luò)故障實驗原理Tracert（跟蹤路由）是路由跟蹤實用程序，用于確定IP數(shù)據(jù)包訪問目標所采取的路徑。Tracert命令用IP生存時間(TTL)字段和ICMP錯誤消息來確定從一個主機到網(wǎng)絡(luò)上其他主機的路由。通過向目標發(fā)送不同IP生存時間(TTL)值的“Internet控制消息協(xié)議(ICMP)”回應(yīng)數(shù)據(jù)包，Tracert診斷程序確定到目標所采取的路由。要求路徑上的每個路由器在轉(zhuǎn)發(fā)數(shù)據(jù)包之前至少將數(shù)據(jù)包上的TTL遞減1。數(shù)據(jù)包上的TTL減為0時，路由器應(yīng)該將“ICMP已超時”的消息發(fā)回源系統(tǒng)。Tracert先發(fā)送TTL為1的回應(yīng)數(shù)據(jù)包，并在隨后的每次發(fā)送過程將TTL遞增1，直到目標響應(yīng)或TTL達到最大值，從而確定路由。通過檢查中間路由器發(fā)回的“ICMP已超時”的消息確定路由。實驗環(huán)境操作系統(tǒng)：MicrosoftWindows7旗艦版軟件：tracert.exe實驗步驟及結(jié)果Tracert命令的詳細參數(shù)說明查看到達目的地所經(jīng)過的路由-d參數(shù)不將地址解析成主機名指定跟蹤的最大跳數(shù)實驗總結(jié)根據(jù)整個實驗的原理和流程，能夠知道tracert工具的用途：能后排除網(wǎng)絡(luò)中的故障。而避免路由信息探測的防范方法是：通過配置路由器，使路由器直接丟棄TTL過期的數(shù)據(jù)包，并屏蔽ICMP報文。4、域名信息探測實驗實驗?zāi)康募耙罅私庥蛎母拍詈凸ぷ髟碚莆仗綔y域名的工具的使用方法和各項功能，如Nslookup等通過使用Nslookup工具，獲得子域名信息實驗原理域名是企業(yè)、政府、非政府組織等機構(gòu)或者個人在域名注冊商那里注冊的名稱，是互聯(lián)網(wǎng)上企業(yè)或機構(gòu)間相互聯(lián)絡(luò)的網(wǎng)絡(luò)地址。它解決了IP在互聯(lián)網(wǎng)中通訊不容易記憶的問題。域名的工作原理簡答敘述為：主機要訪問互聯(lián)網(wǎng)上的某個網(wǎng)址，則它在自己的瀏覽器總輸入網(wǎng)址，瀏覽器自動向DNS服務(wù)器發(fā)出請求，請求返回網(wǎng)址的IP，DNS服務(wù)器將查詢到的IP返回給請求的主機，主機根據(jù)DNS返回的IP找到要訪問的網(wǎng)站，從而實現(xiàn)訪問。本次實驗中使用Nslookup工具完成域名信息的查詢。Nslookup是一個檢測網(wǎng)絡(luò)中DNS服務(wù)器是否能正確實現(xiàn)域名解析的命令行工具。實驗環(huán)境操作系統(tǒng)：MicrosoftWindows7旗艦版軟件：Nslookup.exe實驗步驟查詢域名信息：通過nslookup獲得子域名：實驗總結(jié)Nslookup是一個用于檢測和排錯的命令行工具，我們學(xué)會了對Nslookup的使用，將對我們對網(wǎng)絡(luò)管理有很大的好處。第三次、網(wǎng)絡(luò)欺騙技術(shù)1、ARP_DNS欺騙實驗實驗?zāi)康募耙笤贏RP欺騙技術(shù)的基礎(chǔ)上進行DNS欺騙了解DNS欺騙的基本原理熟悉DNS欺騙的工具的使用，以及完成實驗過程實驗原理DNS欺騙原理：正常DNS請求的過程為：①用戶在瀏覽器中輸入需訪問的網(wǎng)址>②計算機向DNS發(fā)出請求>③DNS經(jīng)處理分析得到該網(wǎng)址對于的IP>④DNS將IP地址返回給請求的計算機>⑤用戶正常登陸到所需要訪問的網(wǎng)址。而DNS欺騙發(fā)生在③④⑤步，攻擊者冒充域名服務(wù)器，然后將自己的網(wǎng)址冒名頂替真實網(wǎng)站。在③④步，攻擊者將偽造DNS回復(fù)報告，返回的將是攻擊者所指定的IP,第⑤步用戶訪問將是“陷阱網(wǎng)站”。 DNS欺騙實現(xiàn)：一般通過DNS服務(wù)器高速緩存中毒或者DNSID欺騙來實現(xiàn)。DNS服務(wù)器高速緩存中毒的原理是：攻擊者通過欺騙的手法，修改了DNS緩存中的正確信息，實際上是對DNS高速緩存進行攻擊，改變高速緩存中的信息，讓DNS提供非正確的IP地址給用戶，已達到攻擊者的目的。DNSID欺騙原理是：攻擊者通過截獲域中DNS服務(wù)器返回給用戶主機請求信息中的隨機數(shù)，然后偽造一個DNS回復(fù)（偽造IP）給用戶，已達到欺騙的目的。 網(wǎng)絡(luò)欺騙軟件Cain，可以實現(xiàn)網(wǎng)絡(luò)嗅探、網(wǎng)絡(luò)欺騙、破解加密口令、分析路由協(xié)議等功能，是本次實驗的重要軟件。實驗環(huán)境操作系統(tǒng)：MicrosoftWindowsXPprofessional軟件：Cain實驗拓撲結(jié)構(gòu)實驗步驟將網(wǎng)絡(luò)欺騙工具Cain安裝在筆記本-02（IP：30）上。在筆記本-02上掃描局域網(wǎng)主機。（設(shè)置步驟如下）ARP欺騙偽裝成網(wǎng)關(guān)ARP欺騙成功。ARP-DNS欺騙訪問跳轉(zhuǎn)到(湖北民族學(xué)院)主頁,DNS欺騙成功。實驗總結(jié)針對整個實驗的原理和過程，總結(jié)出如下防范DNS攻擊的幾個觀點：①通過手工修改本地hosts文件能夠避免攻擊；②加密主機對外的數(shù)據(jù)；③及時更新補丁，軟件，采用專殺工具；④使用代理也能避免攻擊；⑤加強管理人員思想上的意識，提高管理技能。本實驗是在ARP欺騙的基礎(chǔ)上進行的，在ARP欺騙的基礎(chǔ)上可以嗅探出局域網(wǎng)內(nèi)的眾多重要信息，故在局域網(wǎng)內(nèi)對ARP欺騙和DNS欺騙的防范很重要。2、ARP欺騙實驗實驗?zāi)康募耙笸ㄟ^ARP欺騙技術(shù)獲取網(wǎng)站用戶名、密碼等信息了解ARP欺騙的基本原理熟悉ARP欺騙的工具的使用，以及完成實驗。實驗原理ARP欺騙原理：局域網(wǎng)內(nèi)主機最終都是通過ARP協(xié)議進行通信的。當(dāng)局域網(wǎng)內(nèi)有ARP應(yīng)答包的時候，局域網(wǎng)內(nèi)主機會更新ARP緩存表。ARP欺騙原理是向局域網(wǎng)內(nèi)主機廣播ARP應(yīng)答包，以冒充局域網(wǎng)內(nèi)其它主機，其它主機收到ARP應(yīng)答包，更新ARP緩存，相信冒充的主機，從而欺騙的主機達到欺騙的目的。若欺騙的主機向主機A冒充自己是主機B，向主機B冒充自己是主機A,主機A,B的通訊數(shù)據(jù)都經(jīng)過欺騙的主機傳輸，這種ARP欺騙叫中間人攻擊。若欺騙的主機欺騙一方，可使一方斷網(wǎng)。實驗拓撲結(jié)構(gòu)實驗環(huán)境操作系統(tǒng)：MicrosoftWindowsXPprofessional軟件：Cain實驗步驟將網(wǎng)絡(luò)欺騙工具Cain安裝在筆記本-02（IP：30）上。在筆記本-02上掃描局域網(wǎng)主機。（設(shè)置步驟如下）ARP欺騙偽裝成網(wǎng)關(guān)ARP欺騙成功。實驗總結(jié)ARP欺騙是局域網(wǎng)內(nèi)常見的攻擊形式，影響力也較大。要防范ARP欺騙，用戶可采用雙向綁定mac地址的方法防止ARP欺騙，局域網(wǎng)內(nèi)主機上面綁定網(wǎng)關(guān)的網(wǎng)卡MAC地址，網(wǎng)關(guān)上也同樣綁定你這臺主機的靜態(tài)MAC地址。或使用ARP防火墻來阻止ARP欺騙，這些都是常用的方法。3、MAC地址欺騙實驗實驗?zāi)康募耙罅私釳AC地址作用掌握查看MAC地址及修改MAC地址的方法實驗原理MAC地址是燒制在網(wǎng)卡里面的一個字符串，一般能在全球范圍內(nèi)能唯一標識網(wǎng)卡本身。主機連接在網(wǎng)絡(luò)中，會在主機網(wǎng)絡(luò)中的路由器中建立一個IP地址與MAC地址的對應(yīng)表，只有IP-MAC地址對應(yīng)的合法注冊主機才能得到正確的ARP應(yīng)答，來控制IP-MAC不匹配的主機與外界通訊，達到防范IP地址的盜用。這能給管理員管理網(wǎng)絡(luò)帶來方便。MAC地址的作用就是最終標識主機，使主機能收發(fā)數(shù)據(jù)。實驗環(huán)境操作系統(tǒng)：MicrosoftWindowsXPprofessional軟件：ipconfig.exe實驗步驟查看網(wǎng)卡的MAC地址修改MAC地址MAC地址發(fā)生變化，修改成功。實驗總結(jié)通過以上方法可以完成MAC地址的修改，從而可以在某些進行了IP、MAC地址綁定的場景中，突破綁定。4、DOS攻擊實驗實驗?zāi)康募耙笳莆站芙^法務(wù)攻擊軟件的使用了解SQL注入的基本原理掌握拒絕服務(wù)攻擊原理了解工具的各項功能能舉一反三，使用其他類似工具完成注入實驗原理拒絕服務(wù)攻擊的目的是使計算機或網(wǎng)絡(luò)無法提供正常的服務(wù)。最常見的DoS攻擊有計算機網(wǎng)絡(luò)帶寬攻擊和連通性攻擊。帶寬攻擊指以極大的通信量沖擊網(wǎng)絡(luò)，是得所有可用網(wǎng)絡(luò)資源都被消耗殆盡，最終導(dǎo)致合法的用戶請求就無法通過。連通性攻擊指用大量的連接請求沖擊計算機，使得所有可用的操作系統(tǒng)資源都被消耗殆盡，最終計算機無法再處理合法用戶的請求。Ping攻擊原理：利用ping命令向目標主機發(fā)送大量的ICMPEcho請求，從而導(dǎo)致對方內(nèi)存分配錯誤，造成tcp/ip堆棧崩潰，致使對方當(dāng)機。實驗環(huán)境操作系統(tǒng)：Web服務(wù)器(被攻擊服務(wù)器):MicrosoftWindowsXPprofessional攻擊端：MicrosoftWindows7旗艦版軟件：藍天CC攻擊器（2.0）實驗拓撲結(jié)構(gòu)實驗步驟搭建被攻擊服務(wù)器服務(wù)器端設(shè)置的部分截圖攻擊端測試Web服務(wù)器搭建是否成功攻擊Web服務(wù)器在攻擊端進行攻擊參數(shù)設(shè)置點擊【開始攻擊】后在Web服務(wù)器端查看服務(wù)器資源消耗情況攻擊前Web服務(wù)器CPU占用為10%,網(wǎng)絡(luò)基本上空閑攻擊后Web服務(wù)器CPU占用為100%,網(wǎng)絡(luò)開始繁忙實驗總結(jié)DOS及DDOS攻擊是一種常見的攻擊方式，危害較大。我們可以采用加固操作系統(tǒng)，配置操作系統(tǒng)各種參數(shù)以及加固系統(tǒng)穩(wěn)定性。同時利用防火墻技術(shù)，啟動防DoS/DDOS屬性，降低DOS攻擊的可能，通過對報文種類、來源等各項特性設(shè)置閥值參數(shù)，保證主要服務(wù)穩(wěn)定可靠的資源供給，同時優(yōu)化路由和網(wǎng)絡(luò)結(jié)構(gòu)并對路由器進行正確的配置，也可以起到防范拒絕服務(wù)攻擊的效果。第四次、日志清除技術(shù)1、Windows日志工具清除實驗實驗?zāi)康募耙罅私釯IS日志文件清除的基本原理。掌握CleanIISLog.exe工具的使用方法和各項功能。通過使用CleanIISLog.exe工具清除本機上的IIS日志。掌握針對日志清除攻擊的防御方法。實驗原理Windows日志原理：日志文件是一類文件系統(tǒng)的集合，通過對日志進行統(tǒng)計、分析、綜合，可有效的掌握系統(tǒng)的運行狀況。因此，無論是系統(tǒng)管理員還是黑客都極其重視日志文件。Windows的日志文件通常有應(yīng)用程序日志，安全日志、系統(tǒng)日志、IIS日志等等，可能會根據(jù)服務(wù)器所開啟的服務(wù)不同，日志的種類有所不同。應(yīng)用程序日志主要跟蹤應(yīng)用程序關(guān)聯(lián)的事件，比如應(yīng)用程序產(chǎn)生的像裝載DLL（動態(tài)鏈接庫）失敗的信息將出現(xiàn)在日志中。系統(tǒng)日志主要跟蹤各種各樣的系統(tǒng)事件，包括Windows系統(tǒng)組件出現(xiàn)的問題，比如跟蹤系統(tǒng)啟動過程中的事件、硬件和控制器的故障、啟動時某個驅(qū)動程序加載失敗等。安全日志主要跟蹤事件如登錄上網(wǎng)、下網(wǎng)、改變訪問權(quán)限以及系統(tǒng)啟動和關(guān)閉。黑客入侵系統(tǒng)成功后第一件事便是清除日志，但是由于日志文件通常有某項服務(wù)在后臺保護，因此在清除這些日志之前需要先停止他們的保護程序。守護系統(tǒng)日志、安全日志、應(yīng)用程序日志的服務(wù)是EventLog，是Windows的關(guān)鍵進程，而且與注冊表文件在一塊，當(dāng)Windows啟動后，自動啟動服務(wù)來保護這些文件。而在命令行下用netstopeventlog來停止EventLog是不能停止的，我們只有借助第三方工具，如elsave.exe來遠程清除系統(tǒng)日志、安全日志和應(yīng)用程序日志。守護iis日志的服務(wù)是w3svc。因此在刪除iis日志之前要先通過命令：netstopw3svc停止w3svc服務(wù)。實驗環(huán)境操作系統(tǒng)：MicrosoftWindows7旗艦版軟件：CleanIISLog.exe實驗拓撲實驗步驟獲取IIS日志文件的存放路徑和文件名查看日志文件查看CleanIISLog軟件幫助信息在17的主機上訪問IIS中的網(wǎng)頁使用CleanIISLog.exe清除IIS日志實驗總結(jié)本實驗通過CleanIISLog軟件來修改日志文件中的內(nèi)容，尤其是清除IP地址以及文件名稱尤為有用，清除后，日志文件依然存在。2、Windows日志工具清除實驗實驗?zāi)康募耙笫煜じ鞣N日志存放的默認位置，查看方式掌握aio清除日志的方法掌握針對工具日志清除的防御方法實驗原理Windows日志原理：日志文件是一類文件系統(tǒng)的集合，通過對日志進行統(tǒng)計、分析、綜合，可有效的掌握系統(tǒng)的運行狀況。因此，無論是系統(tǒng)管理員還是黑客都極其重視日志文件。Windows的日志文件通常有應(yīng)用程序日志，安全日志、系統(tǒng)日志、IIS日志等等，可能會根據(jù)服務(wù)器所開啟的服務(wù)不同，日志的種類有所不同。應(yīng)用程序日志主要跟蹤應(yīng)用程序關(guān)聯(lián)的事件，比如應(yīng)用程序產(chǎn)生的像裝載DLL（動態(tài)鏈接庫）失敗的信息將出現(xiàn)在日志中。系統(tǒng)日志主要跟蹤各種各樣的系統(tǒng)事件，包括Windows系統(tǒng)組件出現(xiàn)的問題，比如跟蹤系統(tǒng)啟動過程中的事件、硬件和控制器的故障、啟動時某個驅(qū)動程序加載失敗等。安全日志主要跟蹤事件如登錄上網(wǎng)、下網(wǎng)、改變訪問權(quán)限以及系統(tǒng)啟動和關(guān)閉。黑客入侵系統(tǒng)成功后第一件事便是清除日志，但是由于日志文件通常有某項服務(wù)在后臺保護，因此在清除這些日志之前需要先停止他們的保護程序。守護系統(tǒng)日志、安全日志、應(yīng)用程序日志的服務(wù)是EventLog，是Windows的關(guān)鍵進程，而且與注冊表文件在一塊，當(dāng)Windows啟動后，自動啟動服務(wù)來保護這些文件。而在命令行下用netstopeventlog來停止EventLog是不能停止的，我們只有借助第三方工具，如elsave.exe來遠程清除系統(tǒng)日志、安全日志和應(yīng)用程序日志。守護iis日志的服務(wù)是w3svc。因此在刪除iis日志之前要先通過命令：netstopw3svc停止w3svc服務(wù)。此次實驗利用aio軟件刪除日志。aio軟件功能強大，除了日志刪除外，還可以用于賬戶拷貝、服務(wù)創(chuàng)建等。實驗環(huán)境操作系統(tǒng)：MicrosoftWindows7旗艦版軟件：aio.exe實驗步驟查看Windows日志找到系統(tǒng)日志、應(yīng)用程序日