还剩4页未读,继续阅读
文本内容:
《计算机网络安全》实验报告实验序号4 实验项目名称账号口令破解实验学号20070721101姓名周鹏专业、班08网络工程2班实验地点实1-411指导教师林开标实验时间2011-10-18
一、实验目的及要求本实验旨在掌握帐号口令破解技术的基本原理、常用方法及相关工具,并在此基础上掌握如何有效防范类似攻击的方法和措施
二、实验设备(环境)及要求Windows2000server,虚拟机本实验需要一台__了Windows2000/XP的PC机,__L0phtCrack
5.02和Cain__破解工具实验环境图见图1,#0;������#0;������#0;#0;#0;����#0;������#0;������#0;��������������P
1192.
168.
20.248#0;��������
1192.
168.
3.3#0;��������
2192.
168.
3.4#0;#0;��������
10192.
168.
3.108#0;����������P
3192.
168.
20.245#0;������#0;������#0;#0;������������#0;��������n
192.
168.
3.150#0;����#0;
192.
168.
20.254#0;
192.
168.
3.254#0;����#0;��������������#0;
三、实验内容与步骤实验任务一使用L0phtCrack
5.02破解口令L0phtCrack5是L0phtCrack____的Windows平台口令审核程序的最新版本,它提供了审核Windows用户账号的功能,以提高系统的安全性另外,LC5也被一些非法入侵者用来破解Windows用户口令,给用户的网络安全造成很大的威胁所以,了解LC5的使用方法,可以避免使用不安全的口令,从而提高用户本身系统的安全性在本实验中,我们事先在主机内建立用户名test,口令分别陆续设置为空、
123123、security、security123进行测试添加用户启动软件后就可看见破解内容test用户的口令“123123”,也很快就破解出来了用户口令为空,软件很快就破解出来了如果用复杂口令破解方法破解结果,虽然速度较慢,但是最终还是可以破解我们可以设置更加复杂的口令,采用更加复杂的自定义口令破解模式,选择“自定义”,设置界面图24所示“字典攻击”中我们可以选择字典列表的字典文件进行破解,LC5本身带有简单的字典文件,也可以自己创建或者利用字典工具生成字典文件;“混合字典”破解口令把单词、数字或符号进行混合组合破解;“预定散列”攻击是利用预先生成的口令散列值和SAM中的散列值进行匹配,这种方法由于不用在线计算Hash,所以速度很快;利用“__破解”中的字符设置选项,可以设置为“字母+数字”、“字母+数字+普通符号”、“字母+数字+全部符号”,这样我们就从理论上把大部分口令组合采用__方式遍历所有字符组合而破解出来,只是破解时间可能很长实验任务二使用Cain破解口令Cain软件是一个可以破解屏保、PWL__、共享__、缓存口令、远程共享口令、__B口令、支持VNC口令解码、CiscoType-7口令解码、Base64口令解码、SQLServer
7.0/2000口令解码、RemoteDesktop口令解码、Ac__ssDatabase口令解码、CiscoPIXFirewall口令解码、CiscoMD5解码、NTLMSessionSecurity口令解码、IKEAggressiveModePre-SharedKeys口令解码、Dialup口令解码、远程桌面口令解码等综合工具,还可以远程破解,可以挂字典以及__破解,其嗅探功能极其强大,可以捕获几乎所有的明文帐号口令,包括FTP、HTTP、I__P、POP
3、__B、TELNET、VNC、TDS、__TP、MSKERB5-PREAUTH、___、RADIUS-KEYS、RADIUS-USERS、ICQ、IKEAggressiveModePre-SharedKeysauthentications等等本实验需要用Cain工具对本机上所有的帐号和口令进行破解,其中包括邮箱帐号和口令等等其得到破译结果如下实验任务三掌握安全的口令设置策略__破解理论上可以破解任何口令但如果口令过于复杂,__破解需要的时间会很长,在这段时间内,增加了用户发现入侵和破解行为的机会,以采取某种措施来阻止破解,所以口令越复杂越好一般设置口令要遵循以下原则
(1)口令长度不小于8个字符;
(2)包含有大写和小写的英文字母、数字和特殊符号的组合;
(3)不包含姓名、用户名、单词、日期以及这几项的组合;
(4)定期修改口令,并且对新口令做较大的改动学会采取以下一些步骤来消除口令漏洞,预防弱口令攻击第一步删除所有没有口令的账号或为没有口令的用户加上一个口令特别是系统内置或是缺省账号第二步制定管理制度,规范增加账号的操作,及时移走不再使用的账号经常检查确认有没有增加新的账号,不使用的账号是否已被删除当职员或合作人离开公司时,或当账号不再需要时,应有严格的制度保证删除这些账号第三步加强所有的弱口令,并且设置为不易猜测的口令,为了保证口令的强壮性,我们可以利用Unix系统保证口令强壮性的功能或是采用一些专门的程序来拒绝任何不符合你安全策略的口令这样就保证了修改的口令长度和组成使得破解非常困难如在口令中加入一些特殊符号使口令更难破解第四步使用口令控制程序,以保证口令经常更改,而且旧口令不可重用第五步对所有的账号运行口令破解工具,以寻找弱口令或没有口令的账号用户名hello__hello@xmutTEST123注具体实验步骤请参见实验指导书“实验4账号口令破解实验指导书”
四、实验结果与数据处理如上分析
五、分析与讨论通过本次实验了解了一下L0phtCrack
5.02,Cain这两款软件如何破解计算机账户__,同时认识到了这两款软件各自的优缺点在实验过程中发现如果使用较为复杂的__是有时未必能破解出来只要足够的时间,都是可以破解出来的__破解是一件很有趣的事情
六、教师评语签名日期成绩。