第一篇:網絡安全實驗報告
實驗一:網絡掃描實驗
【實驗目的】
了解掃描的基本原理,掌握基本方法,最終鞏固主機安全
【實驗內容】
1、學習使用Nmap的使用方法
2、學習使用漏洞掃描工具
【實驗環境】
1、硬件 PC機一臺。
2、系統配置:操作系統windows XP以上。
【實驗步驟】
1、端口掃描
1)解壓并安裝ipscan15.zip,掃描本局域網內的主機 2)解壓nmap-4.00-win32.zip,安裝WinPcap
運行cmd.exe,熟悉nmap命令(詳見“Nmap詳解.mht”)。3)試圖做以下掃描:
掃描局域網內存活主機,掃描某一臺主機或某一個網段的開放端口 掃描目標主機的操作系統
試圖使用Nmap的其他掃描方式,偽源地址、隱蔽掃描等
2、漏洞掃描
解壓X-Scan-v3.3-cn.rar,運行程序xscan_gui.exe,將所有模塊選擇掃描,掃描本機,或局域網內某一臺主機的漏洞
【實驗背景知識】
1、掃描及漏洞掃描原理見
第四章黑客攻擊技術.ppt
2、NMAP使用方法
掃描器是幫助你了解自己系統的絕佳助手。象Windows 2K/XP這樣復雜的操作系統支持應用軟件打開數百個端口與其他客戶程序或服務器通信,端口掃描是檢測服務器上運行了哪些服務和應用、向Internet或其他網絡開放了哪些聯系通道的一種辦法,不僅速度快,而且效果也很不錯。
Nmap被開發用于允許系統管理員察看一個大的網絡系統有哪些主機以及其上運行何種服務。它支持多種協議的掃描如UDP,TCP connect(),TCP SYN(half open), ftp proxy(bounce attack),Reverse-ident, ICMP(ping sweep), FIN, ACK sweep,Xmas Tree, SYN sweep,1 和Null掃描。可以從SCAN TYPES一節中察看相關細節。Nmap還提供一些實用功能如通過tcp/ip來甄別操作系統類型、秘密掃描、動態延遲和重發、平行掃描、通過并行的PING偵測下屬的主機、欺騙掃描、端口過濾探測、直接的RPC掃描、分布掃描、靈活的目標選擇以及端口的描述。
1)安裝Nmap
Nmap要用到一個稱為―Windows包捕獲庫‖的驅動程序WinPcap——如果你經常從網上下載流媒體電影,可能已經熟悉這個驅動程序——某些流媒體電影的地址是加密的,偵測這些電影的真實地址就要用到WinPcap。WinPcap的作用是幫助調用程序(即這里的Nmap)捕獲通過網卡傳輸的原始數據。WinPcap的最新版本在http://netgroup-serv.polito.it/winpcap,支持XP/2K/Me/9x全系列操作系統,下載得到的是一個執行文件,雙擊安裝,一路確認使用默認設置就可以了,安裝好之后需要重新啟動。
接下來下載Nmap。下載好之后解開壓縮,不需要安裝。除了執行文件nmap.exe之外,它還有下列參考文檔:
㈠ nmap-os-fingerprints:列出了500多種網絡設備和操作系統的堆棧標識信息。
㈡ nmap-protocols:Nmap執行協議掃描的協議清單。
㈢ nmap-rpc:遠程過程調用(RPC)服務清單,Nmap用它來確定在特定端口上監聽的應用類型。
㈣ nmap-services:一個TCP/UDP服務的清單,Nmap用它來匹配服務名稱和端口號。
除了命令行版本之外,www.tmdps.cn還提供了一個帶GUI的Nmap版本。和其他常見的Windows軟件一樣,GUI版本需要安裝,圖一就是GUI版Nmap的運行界面。GUI版的功能基本上和命令行版本一樣,鑒于許多人更喜歡用命令行版本,本文后面的說明就以命令行版本為主。
圖一
2)常用掃描類型
解開Nmap命令行版的壓縮包之后,進入Windows的命令控制臺,再轉到安裝Nmap 2 的目錄(如果經常要用Nmap,最好把它的路徑加入到PATH環境變量)。不帶任何命令行參數運行Nmap,Nmap顯示出命令語法,如圖二所示。
圖二
下面是Nmap支持的四種最基本的掃描方式:
⑴ TCP connect()端口掃描(-sT參數)。
⑵ TCP同步(SYN)端口掃描(-sS參數)。
⑶ UDP端口掃描(-sU參數)。
⑷ Ping掃描(-sP參數)。
如果要勾畫一個網絡的整體情況,Ping掃描和TCP SYN掃描最為實用。Ping掃描通過發送ICMP(Internet Control Message Protocol,Internet控制消息協議)回應請求數據包和TCP應答(Acknowledge,簡寫ACK)數據包,確定主機的狀態,非常適合于檢測指定網段內正在運行的主機數量。
TCP SYN掃描一下子不太好理解,但如果將它與TCP connect()掃描比較,就很容易看出這種掃描方式的特點。在TCP connect()掃描中,掃描器利用操作系統本身的系統調用打開一個完整的TCP連接——也就是說,掃描器打開了兩個主機之間的完整握手過程(SYN,SYN-ACK,和ACK)。一次完整執行的握手過程表明遠程主機端口是打開的。
TCP SYN掃描創建的是半打開的連接,它與TCP connect()掃描的不同之處在于,TCP SYN掃描發送的是復位(RST)標記而不是結束ACK標記(即,SYN,SYN-ACK,或RST):如果遠程主機正在監聽且端口是打開的,遠程主機用SYN-ACK應答,Nmap發送一個RST;如果遠程主機的端口是關閉的,它的應答將是RST,此時Nmap轉入下一個端口。
圖三是一次測試結果,很明顯,TCP SYN掃描速度要超過TCP connect()掃描。采用默認計時選項,在LAN環境下掃描一個主機,Ping掃描耗時不到十秒,TCP SYN掃描需要大約十三秒,而TCP connect()掃描耗時最多,需要大約7分鐘。
圖三
Nmap支持豐富、靈活的命令行參數。例如,如果要掃描192.168.7網絡,可以用192.168.7.x/24或192.168.7.0-255的形式指定IP地址范圍。指定端口范圍使用-p參數,如果不指定要掃描的端口,Nmap默認掃描從1到1024再加上nmap-services列出的端口。
如果要查看Nmap運行的詳細過程,只要啟用verbose模式,即加上-v參數,或者加上-vv參數獲得更加詳細的信息。例如,nmap-sS 192.168.7.1-255-p 20,21,53-110,30000--v命令,表示執行一次TCP SYN掃描,啟用verbose模式,要掃描的網絡是192.168.7,檢測20、21、53到110以及30000以上的端口(指定端口清單時中間不要插入空格)。再舉一個例子,nmap-sS 192.168.7.1/24-p 80掃描192.168.0子網,查找在80端口監聽的服務器(通常是Web服務器)。
有些網絡設備,例如路由器和網絡打印機,可能禁用或過濾某些端口,禁止對該設備或跨越該設備的掃描。初步偵測網絡情況時,-host_timeout<毫秒數>參數很有用,它表示超時時間,例如nmap sS host_timeout 10000 192.168.0.1命令規定超時時間是10000毫秒。
網絡設備上被過濾掉的端口一般會大大延長偵測時間,設置超時參數有時可以顯著降低掃描網絡所需時間。Nmap會顯示出哪些網絡設備響應超時,這時你就可以對這些設備個別處理,保證大范圍網絡掃描的整體速度。當然,host_timeout到底可以節省多少掃描時間,最終還是由網絡上被過濾的端口數量決定。
Nmap的手冊(man文檔)詳細說明了命令行參數的用法(雖然man文檔是針對UNIX版Nmap編寫的,但同樣提供了Win32版本的說明)。
3)注意事項
也許你對其他端口掃描器比較熟悉,但Nmap絕對值得一試。建議先用Nmap掃描一個熟悉的系統,感覺一下Nmap的基本運行模式,熟悉之后,再將掃描范圍擴大到其他系統。首先掃描內部網絡看看Nmap報告的結果,然后從一個外部IP地址掃描,注意防火墻、入侵檢測系統(IDS)以及其他工具對掃描操作的反應。通常,TCP connect()會引起IDS系統的反應,但IDS不一定會記錄俗稱―半連接‖的TCP SYN掃描。最好將Nmap掃描網絡的報告整理存檔,以便隨后參考。
如果你打算熟悉和使用Nmap,下面幾點經驗可能對你有幫助:
㈠ 避免誤解。不要隨意選擇測試Nmap的掃描目標。許多單位把端口掃描視為惡意行為,所以測試Nmap最好在內部網絡進行。如有必要,應該告訴同事你正在試驗端口掃描,因為掃描可能引發IDS警報以及其他網絡問題。
㈡ 關閉不必要的服務。根據Nmap提供的報告(同時考慮網絡的安全要求),關閉不必要的服務,或者調整路由器的訪問控制規則(ACL),禁用網絡開放給外界的某些端口。
㈢ 建立安全基準。在Nmap的幫助下加固網絡、搞清楚哪些系統和服務可能受到攻擊之后,下一步是從這些已知的系統和服務出發建立一個安全基準,以后如果要啟用新的服務或者服務器,就可以方便地根據這個安全基準執行。
【實驗報告】
一、說明程序設計原理。
1.TCP connect掃描
利用TCP連接機制,通過系統提供的connect()調用,可以用來與任何一個感興趣的目標計算機的端口進行連接。如果目標端口開放,則會響應掃描主機的ACK連接請求并建立連接,如果目標端口處于關閉狀態,則目標主機會向掃描主機發送RST的響應。
2.TCP SYN掃描
掃描程序發送一個SYN數據包,好像準備打開一個實際的連接并等待反應一樣。一個SYN/ACK的返回信息表示端口處于偵聽狀態,一個RST返回,表示端口沒有處于偵聽狀態。
3.UDP端口掃描
掃描主機向一個未打開的UDP端口發送一個數據包時,會返回一個ICMP_PORT_UNREACH錯誤,通過這個就能判斷哪個端口是關閉的。
4.Ping掃描
掃描程序向目標主機發送一個ICMP回聲請求報文,若主機存活,則會返回一個ICMP的回聲應答報文。可以判斷主機的存活性。
二、提交運行測試結果。
1.TCP connec掃描結果顯示
2.TCP SYN掃描結果顯示
3.Ping掃描結果顯示
實驗二:計算機病毒及惡意代碼
【實驗目的】
練習木馬程序安裝和攻擊過程,了解木馬攻擊原理,掌握手工查殺木馬的基本方法,提高自己的安全意識。
【實驗內容】
安裝木馬程序NetBus,通過冰刃iceberg、autoruns.exe了解木馬的加載及隱藏技術
【實驗步驟】
1、木馬安裝和使用
1)在菜單運行中輸入cmd打開dos命令編輯器 2)安裝netbus軟件
3)在DOS命令窗口啟動進程并設置密碼
4)打開木馬程序,連接別人主機
5)控制本地電腦打開學院網頁
6)查看自己主機
7)查看任務管理器進程 移除木馬控制程序進程
查看任務管理器(注意:Patch.exe進程已經關閉)
2、木馬防御實驗
在木馬安裝過程可以運行一下軟件查看主機信息變化:
1)使用autoruns.exe軟件,查看windows程序啟動程序的位置,了解木馬的自動加載技術。如自動運行進程(下圖所示)、IE瀏覽器調運插件、任務計劃等:
2)查看當前運行的進程,windows提供的任務管理器可以查看當前運行的進程,但其提供的信息不全面。利用第三方軟件可以更清楚地了解當前運行進程的信息。這里procexp.exe為例
啟動procexp.exe程序,查看當前運行進程所在位置,如圖所示:
3)木馬綜合查殺練習
使用冰刃IceSword查看木馬可能修改的位置: 主要進行以下練習:
1)查看當前通信進程開放的端口。
木馬攻擊
2)查看當前啟動的服務
3)練習其他功能,如強制刪除其他文件,SPI、內核模塊等。
【背景知識】
NetBus由兩部分組成:客戶端程序(netbus.exe)和服務器端程序(通常文件名為:patch.exe)。要想―控制‖遠程機器,必須先將服務器端程序安裝到遠程機器上--這一般是通過遠程機器的主人無意中運行了帶有NetBus的所謂特洛伊木馬程序后完成的。
NetBus服務器端程序是放在Windows的系統目錄中的,它會在Windows啟動時自動啟動。該程序的文件名是patch.exe,如果該程序通過一個名為whackamole.exe的游戲安裝潛伏的話,文件名應為explore.exe(注意:不是explorer.exe!)或者簡單地叫game.exe。同時,你可以檢查Windows系統注冊表,NetBus會在下面路徑中加入其 自身的啟動項:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun NetBus通過該注冊項實現Windows啟動時的自動啟動。但如果你按Ctrl+Alt+Del,在任務列表中是看不到它的存在的。正確的去除方法如下:
1、運行regedit.exe;
2、找到
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun;
3、將patch項刪除(或者explore項);
4、重新啟動機器后刪除Windows系統目錄下的patch.exe(或者explore.exe)即可。
【實驗原理】
1、分析木馬傳播、自啟動、及隱藏的原理。
木馬常用的隱藏技術: 3.1合并端口法
使用特殊的手段,在一個端口上同時綁定兩個TCP 或者UDP 連接(比如80 端口的HTTP),以達到隱藏端口的目的。
3.2修改ICMP 頭法
根據ICMP 協議進行數據的發送,原理是修改ICMP 頭的構造,加入木馬的控制字段。這樣的木馬具備很多新特點,如不占用端口、使用戶難以發覺等。同時,使用ICMP 協議可以穿透一些防火墻,從而增加了防范的難度。
木馬常用的自啟動技術:
為了達到長期控制目標主機的目的,當主機重啟之后必須讓木馬程序再次運行,這樣就需要木馬具有一定的自啟動能力。下面介紹幾種常見的方法。
3.3加載程序到啟動組
我們需要關注“開始” 菜單中的啟動項,對應的文件夾是c:Documents and Settings 用戶名「開始」菜單 程序 啟動。
3.4在注冊表中加載自啟動項
下面僅列舉幾個木馬常用的自啟動注冊表項:
3.4.1 Run 注冊表項
Run 是木馬常用的自啟動注冊表項,位置在:
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
3.4.2RunOnce 注冊表項
RunOnce 也是木馬常用的自啟動注冊表項,位置在:
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurerntVersionRunOnce HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunOnce 在Windows XP 系統中還有:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunOnceEx 此外,木馬的自啟動注冊表項還有RunServices 注冊表項、RunServicesOnce 注冊表項、Winlogon 注冊表項、Load 注冊表項等。
3.5修改文件關聯
以文本文件的“文件關聯”為例,正常情況下,其對應的注冊表項和項值分別為:HKEY_CLASSES_ROOTtxtfileshellopencommand與%SystemRoot%system32NOTEPAD.EXE%1但是某些木馬在安裝階段將項值改為“木馬程序路徑 木馬程序名稱%l”的形式,這樣,當用戶打開任何一個文本文件時,就啟動了木 馬程序。
實驗三:防火墻實驗
【實驗目的】
掌握個人防火墻的使用及規則的設置
【實驗內容】
防火墻設置,規則的設置,檢驗防火墻的使用。
【實驗環境】
1、硬件 PC機一臺。
2、系統配置:操作系統windows XP以上。
【實驗步驟】
(有兩種可選方式,1、以天網防火墻為例,學習防火墻的規則設置,2、通過winroute防火墻學習使用規則設置,兩者均需安裝虛擬機)
1、虛擬機安裝與配置
驗證virtual PC是否安裝在xp操作系統之上,如果沒有安裝,從獲取相關軟件并安裝; 從教師機上獲取windows 2000虛擬機硬盤
2、包過濾防火墻winroute配置(可選)
1)從教師機上獲取winroute安裝軟件并放置在windows 2000上安裝 2)安裝默認方式進行安裝,并按提示重啟系統 3)登陸虛擬機,打開winroute 以管理員的身份登錄,打開開始>WinRoute Pro>WinRoute Administration,輸入IP地址或計算機名,以及WinRoute管理員帳號(默認為Admin)、密碼(默認為空)
4)打開菜單
Setting>Advanced>Packet Filter 5)在Packet Filter對話框中,選中Any interface并展開 雙擊No Rule圖標,打開Add Item對話框
在Protocol下拉列表框中選擇ICMP,開始編輯規則
配置Destination:type為Host,IP Address為192.168.1.1(x為座位號)6)在ICMP Types中,選中All復選項 在Action區域,選擇Drop項
在Log Packet區域選中Log into Window 其他各項均保持默認值,單擊OK 單擊OK,返回主窗口
7)合作伙伴間ping對方IP,應該沒有任何響應
打開菜單View>Logs>Security Log ,詳細查看日志記錄
禁用或刪除規則
8)用WinRoute控制某個特定主機的訪問(選作)
要求學生在虛擬機安裝ftp服務器。
a)打開WinRoute,打開菜單Settings>Advanced>Packet Filter選擇,Outgoing標簽 b)選擇Any Interface并展開,雙擊No Rule,然后選擇TCP協議
c)配置Destination 框:type為 Host,IP Address為192.168.1.2(2為合作伙伴座位號)d、在Source框中:端口范圍選擇Greater than(>),然后輸入1024 e 以21端口作為 Destination Port值 f)在Action區域,選擇Deny選項 g)選擇Log into window選項 h)應用以上設置,返回主窗口
i)合作伙伴間互相建立到對方的FTP連接,觀察失敗信息 j)禁用或刪除FTP過濾
3、三、包過濾天網防火墻配置(可選)
1)安裝
解壓,單擊安裝文件SkynetPFW_Retail_Release_v2.77_Build1228.EXE 安裝按缺省的設置安裝,注:破解
A)將兩個文件[Cr-PFW.exe]和[PFW.bak]一起復制到軟件安裝目錄中
B)運行破解補丁[Cr-PFW.exe],覆蓋原主程序即可 2)熟悉防火墻規則
啟動防火墻并‖單擊自定義規則‖如圖
熟悉規則的設置:
雙擊如下選項:
“允許自己用ping命令探測其他機器 “防止別人用ping命令探測”
“禁止互聯網上的機器使用我的共享資源” “防止互聯網上的機器探測機器名稱”等選項,熟悉其中的IP地址、方向,協議類型、端口號、控制位等項的設置。試總結規則設置的順序,3)增加設置防火墻規則
開放部分自己需要的端口。下圖為對話框,各部分說明:
A)新建IP規則的說明部分,可以取有代表性的名字,如―打開BT6881-6889端口‖,說明詳細點也可以。還有數據包方向的選擇,分為接收,發送,接收和發送三種,可以根據具體情況決定。
B)就是對方IP地址,分為任何地址,局域網內地址,指定地址,指定網絡地址四種。
C)IP規則使用的各種協議,有IP,TCP,UDP,ICMP,IGMP五種協議,可以根據具體情況選用并設置,如開放IP地址的是IP協議,QQ使用的是UDP協議等。D)比較關鍵,就是決定你設置上面規則是允許還是拒絕,在滿足條件時是通行還是攔截還是繼續下一規則,要不要記錄,具體看后面的實例。
試設置如下規則:
A)禁止局域網的某一臺主機和自己通信通信 B)禁止任何大于1023的目標端口于本機連接,C)允許任何新來的TCP與主機192.168.0.1的SMTP連接 4)查看各個程序使用及監聽端口的情況
可以查看什么程序使用了端口,使用哪個端口,是不是有可疑程序在使用網絡資源,如木馬程序,然后可以根據要求再自定義IP規則里封了某些端口以及禁止某些IP訪問自己的機子等等。
【實驗原理】
1、說明包過濾放火墻的工作原理。
包過濾是所有防火墻中最核心的功能,與代理服務器相比,其優勢是傳輸信息是時不占用網絡帶寬。包過濾防火墻根據一組過濾規則集,逐個檢查IP數據包,確定是否允許該數據包通過。
包過濾防火墻使用的過濾方法可分為:
1.簡單包過濾技術
簡單包過濾技術在檢查數據包報頭時,只是根據定以好的過濾規則集來檢查所有進出防火墻的數據包報頭信息,并根據檢查結果允許或拒絕數據包,并不關心服務器和客戶機之間的連接狀態。
2.狀態檢測包過濾技術
狀態檢測包過濾防火墻除了有一個過濾規則集外,還要跟蹤通過自身的每一個連接,提取有關的通信和應用程序的狀態信息,構成當前連接的狀態列表。該列表中至少包括源和目的IP地址、源和目的端口號、TCP序列號信息,以及與該特定會話相關的每條TCP/UDP連接的附加標記。
實驗四:入侵檢測系統安裝和使用
【實驗目的】
通過安裝并運行一個snort系統,了解入侵檢測系統的作用和功能
【實驗內容】
安裝并配置appahe,安裝并配置MySQL,安裝并配置snort;服務器端安裝配置php腳本,通過IE瀏覽器訪問IDS
【實驗環境】
硬件 PC機一臺。
系統配置:操作系統windows XP以上。
【實驗步驟】
1、安裝appache服務器
安裝的時候注意,本機的80 端口是否被占用,如果被占用則關閉占用端口的程序。選擇定制安裝,安裝路徑修改為c:apache 安裝程序會自動建立c:apache2 目錄,繼續以完成安裝。
添加Apache 對PHP 的支持
1)解壓縮php-5.2.6-Win32.zip至c:php 2)拷貝php5ts.dll文件到%systemroot%system32
3)拷貝php.ini-dist(修改文件名)至%systemroot%php.ini 修改php.ini
extension=php_gd2.dll
extension=php_mysql.dll
同時拷貝c:phpextension下的php_gd2.dll與php_mysql.dll 至%systemroot%
4)添加gd庫的支持在C:apacheApache2confhttpd.conf中添加: LoadModule php5_module “c:/php5/php5apache2.dll”
AddType application這一行下面加入下面兩行:
AddType application/x-httpd-php.php.phtml.php3.php4 AddType application/x-httpd-php-source.phps
5)添加好后,保存http.conf文件,并重新啟動apache服務器。現在可以測試php腳本:
在c:apache2htdocs 目錄下新建test.php
test.php 文件內容:
〈?phpinfo();?〉
使用http://localhost/test.php 測試php 是否安裝成功
2、安裝配置snort
安裝程序WinPcap_4_0_2.exe;缺省安裝即可 安裝Snort_2_8_1_Installer.exe;缺省安裝即可
將snortrules-snapshot-CURRENT目錄下的所有文件復制(全選)到c:snort目錄下。將文件壓縮包中的snort.conf覆蓋C:Snortetcsnort.conf
3、安裝MySql配置mysql
解壓mysql-5.0.51b-win32.zip,并安裝。采取默認安裝,注意設置root帳號和其密碼 J檢查是否已經啟動mysql服務 在安裝目錄下運行命令:(一般為c:mysqlbin)mysql-u root –p 輸入剛才設置的root密碼
運行以下命令
c:>mysql-D mysql-u root-p < c:snort_mysql(需要將snort_mysql復制到c盤下,當然也可以復制到其他目錄)運行以下命令:
c:mysqlbinmysql-D snort-u root-p < c:snortschemascreate_mysql
c:mysqlbinmysql-D snort_archive-u root-p < c:snortschemascreate_mysql
4、安裝其他工具
1)安裝adodb,解壓縮adodb497.zip到c:phpadodb 目錄下
2)安裝jpgrapg 庫,解壓縮jpgraph-1.22.1.tar.gz到c:phpjpgraph,并且修改C:phpjpgraphsrcjpgraph.php,添加如下一行: DEFINE(“CACHE_DIR”,“/tmp/jpgraph_cache/”);
3)安裝acid,解壓縮acid-0.9.6b23.tar.gz 到c:apachehtdocsacid 目錄下,并將C:Apachehtdocsacidacid_conf.php文件的如下各行內容修改為: $DBlib_path = “c:phpadodb”;$alert_dbname = “snort”;$alert_host = “localhost”;$alert_port = “3306”;$alert_user = “acid”;
$alert_password = “acid”;
$archive_dbname = “snort_archive”;$archive_host = “localhost”;$archive_port = “3306”;$archive_user = “acid”;
$archive_password = “acid”;
$ChartLib_path = “c:phpjpgraphsrc”;
4)、通過瀏覽器訪問http:/127.0.0.1/acid/acid_db_setup.php,在打開頁面中點取―Create ACID AG‖按鈕,讓系統自動在mysql中建立acid 運行必須的數據庫
5、啟動snort 測試snort是否正常:
c:>snort-dev,能看到一只正在奔跑的小豬證明工作正常 查看本地網絡適配器編號: c:>snort-W 正式啟動snort;
snort-c “c:snortetcsnort.conf”-i 2-l “c:snortlogs”-deX(注意其中-i 后的參數為網卡編號,由snort –W 察看得知)這時通過http://localhost/acid/acid_main.php 可以察看入侵檢測的結果
4)利用掃描實驗的要求掃描局域網,查看檢測的結果
【實驗原理】
1、簡單分析網絡入侵檢測snort的分析原理
1、..入侵檢測系統簡介
..入侵檢測系統通過對計算機網絡或計算機系統中的若干關鍵點收集信息并對其進行分析,從中發現網絡或系統中是否有違反安全策略的行為和被攻擊的跡象。入侵檢測被認為是防火墻之后的第二道安全閘門,在不影響網絡性能的情況下能對網絡進行監測,從而提供對內部攻擊、外部攻擊和誤操作的實時保護。
2、..入侵檢測系統的分類
..入侵檢測系統可分為主機型和網絡型..主機型入侵檢測系統往往以系統日志、應用程序日志等作為數據源,當然也可以通過其他手段(如監督系統調用)從所在的主機收集信息進行分析。主機型入侵檢測系統保護的一般是所在的系統。
..網絡型入侵檢測系統的數據源則是網絡上的數據包。往往將一臺機子的網卡設于混雜模式(promiscmode),監聽所有本網段內的數據包并進行判斷。一般網絡型入侵檢測系統擔負著保護整個網段的任務。
3、..入侵檢測的實現技術..可分為兩類:一種基于標志(signature-based),另一種基于異常情況(anomaly-based)。..對于基于標識的檢測技術來說,首先要定義違背安全策略的事件的特征,如網絡數據包的某些頭信息。檢測主要判別這類特征是
否在所收集到的數據中出現。此方法非常類似殺毒軟件。
..而基于異常的檢測技術則是先定義一組系統“正常”情況的數值,如CPU利用率、內存利用率、文件校驗和等,然后將系統運行時的
數值與所定義的“正常”情況比較,得出是否有被攻擊的跡象。這種檢測方式的核心在于如何定義所謂的“正常”情況。
4、..Snort
..Snort是一個免費的、跨平臺的軟件包,用作監視小型TCP/IP網的嗅探器、日志記錄、侵入探測器。
..Snort有三種主要模式:信息包嗅探器、信息包記錄器或成熟的侵入探測系統。..實驗中涉及較多mysql數據庫服務器以及Snort規則的配置。其中mysql數據庫的配置要在Windows命令行方式下進行。默認的用戶 名為root,無密碼。連接命令如下:
mysql–h 主機地址–u 用戶名–p 用戶密碼
可通過數據庫管理命令創建、使用、刪除數據庫,以及創建、使用、刪除表。
..Snort的配置及使用也需在Windows命令行中進行。要啟動snort需要指定配置文件和日志文件;配置文件包含了監測規則、內外網IP 范圍等。
5.Appach啟動動命令:
apache-k install | apache-k start
第二篇:網絡安全實驗報告(定稿)
長江大學
網絡安全實驗報告
實驗名稱:利用PGP實施非對稱加密 院 系: 國際教育學院 班 級: 計專71301 學生姓名: 學 號:
指導老師: 黃艷娟 時 間:
一、實驗目的及要求
1、實驗目的
1)掌握保護文件在通過互聯網傳輸時不被其它人看到,即對機密性保護方法;
2)能對保護文件在通過互聯網傳輸時的不被修改或破壞,即提供完整性保護方法;
3)接收者能確認出發送此文件的人是誰,即為源認證提供保護; 4)能合理選用加密算法,區分對稱與非對稱加密。了解不同加密算法的應用場合。
2、實驗要求
1)對兩種加密算法的理解、分析與對比,能對兩種加密算法的綜合運用提出自己的觀點。學會數據的機密性、完整性與源認證進行保護方法;2)能利用PGP軟件,生成密鑰對,并能導入導出公鑰,正確對文檔進行加密與簽名處理,實現對數據的機密性、完整性與源認證進行保護;3)對文檔加密與簽名的安全防護措施有效并符合標準與規范;4)能夠采用正確的方法對加密措施進行檢查,并能說明查驗過程中的各步驟理論依據。
二、實驗設備(環境)及要求
1、系統:Windows 10 x64
2、加密軟件:PGP
三、實驗內容
加密是指將數據進行編碼,使它成為一種按常規不可理解的形式,這種不可理解的內容叫密文。解密是加密的逆過程,即將密文還原成原來可理解的形式。
數據加密技術的關鍵元素包括加密算法和密鑰。加密算法是一組打亂和恢復數據的指令集或一個數學公式。密鑰則是算法中的可變參數。
對同樣的明文,可使用不同的加密算法。即使使用相同的加密算法,如果使用的密鑰不同也會得出不同的密文。
四、實驗步驟
1、安裝 PGP 選擇英語。
同意,下一步。
等待安裝。
重啟計算機,yes。
2、創建新密鑰
打開PGP后,file-新建PGP密鑰。
下一步
3、加密文字內容
選中加密內容,復制。
選中加密內容后,右鍵右下方任務欄PGP的圖標,選擇如圖。
粘貼如圖,加密后內容。
4、簽名文字內容
選中要簽名的內容,復制。
復制后,右鍵電腦右下角任務欄PGP圖標,操作如圖。
粘貼結果,如圖
五、實驗結果及分析
實驗結果:使用PGP成功加密和簽名了所選文本。成功的進行了解密與驗證,并成功的檢驗了它的有效性。
實驗分析:對稱密鑰加密體制的優點是加密處理簡單,加密解密速度快。通常算法的特點決定對稱加密比非對稱加密算法要簡單,在硬件加密的實現上也較容易,成本也較低。例如思科的VPN集中器低端產品采用的是軟件加密,但對大用戶需求的網絡中,要采用基于硬件加密設計的高端思科的VPN集中器產品。缺點是密鑰管理困難。舉例說明:如果有N個人,要想兩兩間進行加密通信,則每一方至少要有保管N-1個密鑰。當然數量上的差別并不是主要的,最重要的是密鑰的維護與管理上。
非對稱密鑰加密體制的優點是解決了密鑰管理問題,通過特有的密鑰發放體制,使得當用戶數大幅度增加時,密鑰也不會向外擴散;由于密鑰已事先分配,不需要在通信過程中傳輸密鑰,安全性大大提高;具有很高的加密強度。缺點是加密、解密的速度慢。
第三篇:網絡安全實驗報告
中南大學
網絡安全 實驗報告
學生姓名 學 院 信息科學與工程學院 專業班級 完成時間
《網絡安全》實驗
目錄
1.實驗1:CA證書與SSL連接..................................................................................3 1.1 應用場景.........................................................................................................3 1.2 實驗目標.........................................................................................................3 1.3 實驗過程.........................................................................................................3 2.實驗2.1 :配置和管理主機防火墻.......................................................................18 2.1 應用場景.......................................................................................................18 2.2 實驗目標.......................................................................................................18 2.3 實驗過程.......................................................................................................19 3.實驗2.2 :綜合掃描實驗.......................................................................................27 3.1 應用場景.......................................................................................................27 3.2 實驗目標.......................................................................................................27 3.3 實驗過程.......................................................................................................28 4.實驗4 :WIFI釣魚................................................................................................36 4.1 應用場景.......................................................................................................36 4.2 實驗目標.......................................................................................................36 4.3 實驗過程.......................................................................................................36 5.實驗5 :網絡ARP攻擊........................................................................................39 5.1 應用場景.......................................................................................................39 5.2 實驗目標.......................................................................................................40 5.3 實驗過程.......................................................................................................40 6.總結.........................................................................................................................46
《網絡安全》實驗
網絡安全
1.實驗1:CA證書與SSL連接
1.1 應用場景
在訪問Web 站點時,如果沒有較強的安全措施,用戶訪問的數據是可以使用網絡工具捕獲并分析出來的。在Web 站點的身份驗證中,有一種基本身份驗證,要求用戶訪問輸入用戶名和密碼時,是以明文形式發送密碼的,蓄意破壞安全性的人可以使用協議分析程序破譯出用戶名和密碼。那我們該如果避免呢?可利用SSL 通信協議,在Web 服務器上啟用安全通道以實現高安全性。
SSL 協議位于TCP/IP 協議與各種應用層協議之間,為數據通訊提供安全支持。SSL 協議可分為兩層: SSL 記錄協議(SSL Record Protocol):它建立在可靠的傳輸協議(如TCP)之上,為高層協議提供數據封裝、壓縮、加密等基本功能的支持。SSL 握手協議(SSL Handshake Protocol):它建立在SSL 記錄協議之上,用于在實際的數據傳輸開始前,通訊雙方進行身份認證、協商加密算法、交換加密密鑰等。每一個Windows Server 2003 證書頒發機構都有可供用戶和管理員使用的網頁。
1.2 實驗目標
(1)掌握在Windows Server 2003 下獨立根CA 的安裝和使用;(2)使用WEB 方式申請證書和安裝證書;(3)建立SSL 網站;
(4)分析SSL 網站的數據包特點。
1.3 實驗過程
環境配置:
按照實驗指導書上所示配置實驗拓撲圖。
《網絡安全》實驗
任務一:windows server 2003 環境下獨立根CA 的安裝及使用
1、啟動Windows Server 2003 和Windows XP,配置其IP,使其在同一局域網網段;
《網絡安全》實驗
2、在Windows Server 2003 中,選擇【開始】|【控制面板】|【添加和刪除程序】,在彈出窗口中選擇【添加和刪除windows 組件】,在【組件】列表框中選擇【證書服務】,再單擊【下一步】按鈕,如下圖所示。
3、在彈出的窗口中選擇【獨立根CA】單選按鈕,單擊【下一步】按鈕,在彈出窗口中按要求依次填入CA 所要求的信息,單擊【下一步】按鈕,如下圖所示。
《網絡安全》實驗
4、繼續選擇【證書數據庫】、【數據庫日志】和配置信息的安裝、存放路徑,如下圖所示,單擊【下一步】按鈕。安裝的時候,可能會彈出如下窗口,為了實驗方便,已經把I386 文件夾復制到C:下,選擇【瀏覽】,選擇文件夾“C:I386”,點【確定】,完成安裝。
《網絡安全》實驗
5、選擇【開始】|【程序】|【管理工具】,可以找到【證書頒發機構】,說明CA 的安裝已經完成,如下圖所示。
6、從同一局域網中的另外一臺XP 開啟IE 瀏覽器,輸入http://windows2003 的IP/certsrv/,選中【申請一個證書】,如下圖所示,在彈出的頁面中選擇【web 瀏覽器證書】。
7、在彈出窗口中填寫用戶的身份信息,完成后進行【提交】。此種情況下,IE 瀏覽器采用默認的加密算法生成公鑰對,私鑰保存在本地計算機中,公鑰和用戶身份信息按照標準的格式發給CA 服務器,如圖所示,單擊【是】,進入下一步。CA 服務器響應后,彈出證書申請成功頁面,如下圖所示。
《網絡安全》實驗
8、在根CA 所在的計算機上,選擇【開始】|【程序】|【管理工具】|【證書頒發機構】,上面申請的證書便會出現在窗口右邊,選擇證書單擊右鍵,選擇【所有任務】|【頒發】,進行證書頒發,如下圖所示。證書頒發后將從【掛起的申請】文件夾轉入【頒發的證書】文件夾中,表示證書頒發完成。
9、在申請證書的計算機上打開IE,輸入http://windows2003 的IP/certsrv/,進入證書申請頁面,選擇【查看掛起的證書申請狀態】,彈出的頁面中選擇一個已經提交的證書申請,如下圖所示。選擇安裝此證書。
《網絡安全》實驗
10、現在驗證此CA 系統頒發的新證書是否可信,為此需要安裝CA 系統的根證書,進入證書申請主頁面,選擇當前的CA 證書進行下載,并保存到合適路徑,如下圖所示。
11、下載完畢之后,在證書的保存目錄中查看證書信息,單擊【安裝證書】按鈕,進入證書導入向導,按照默認的配置完成證書的導入,導入成功后,單擊【確定】按鈕,之后完成。
《網絡安全》實驗
任務二:基于Web 的SSL 連接設置
1、在XP 中,左下角【開始】,打開【Wireshark】,并點擊開始抓包的按鈕。打開IE 瀏覽器,輸入網址http://windows2003 的IP/?id=1(比如:http://192.168.1.130/?id=1),然后保存Wireshark的抓包結果1。
2、選擇【開始】|【程序】|【管理工具】|【IIS(Internet 信息服務)管理器】,在彈出窗口右鍵單擊【默認網站】,彈出的快捷菜單中選擇【屬性】選項,如下圖所示。
3、在彈出窗口內選擇【目錄安全性】標簽,單擊【安全通信】中的【服務器證書】按鈕,如下圖所示。
《網絡安全》實驗
4、彈出【IIS 證書向導】窗口,選中【新建證書】復選項,一直單擊【下一步】按鈕,輸入自定義的名稱,如下圖所示。填寫相應的信息后,單擊【下一步】按鈕。
5、彈出【請求文件摘要】窗口,確認后單擊【下一步】按鈕,接著單擊【完成】按鈕,完成服務器端證書配置,如下圖所示。
《網絡安全》實驗
6、打開IE 瀏覽器(windows2003 中的),進入證書申請主界面,如下圖所示。
7、在出現的網頁中選擇【高級證書申請】,如圖所示,在出現的網頁中單擊
《網絡安全》實驗
8、回到首頁,選擇【查看掛起的證書申請狀態】,彈出的頁面中選擇一個已經提交的證書申請,如下圖所示。選擇【Base 64 編碼】,點擊【下載證書】,【保存】certnew.cer 文件到桌面。
《網絡安全》實驗
9、選擇【開始】|【程序】|【管理工具】|【IIS(Internet 信息服務)管理器】,在彈出窗口右鍵單擊【默認網站】,彈出的快捷菜單中選擇【屬性】選項,在彈出窗口內選擇【目錄安全性】標簽,選擇【服務器證書】,選擇【下一步】,【處理掛起的請求并安裝證書】選擇【下一步】,【瀏覽】選擇剛才保存的certnew.cer 文件,如下圖所示。【下一步】【下一步】【完成】。
10、還是在【目錄安全性】下,選擇【安全通信】下的【編輯】,在下如圖所示的彈出窗口中選中【要求安全通道(SSL)】復選項,并在【客戶端證書】欄中選中【接受客戶端證書】復選項,再單擊【確定】按鈕。返回【目錄安全性】面板,單擊【應用】按鈕及【確定】按鈕,完成配置。
《網絡安全》實驗
11、在XP 系統打開瀏覽器,輸入服務器IP 地址,進入證書申請主頁面,此時會顯示錯誤信息頁面,要求采用https 的方式連接服務器,如圖所示。
12、把http 改成https 繼續訪問,此時瀏覽器提示你要安裝證書,安裝完證書后,就可以正常使用了。
《網絡安全》實驗、再次打開Wireshark,并點擊開始抓包的按鈕。打開IE 瀏覽器,輸入網址https://windows2003 的IP/?id=1(比如:https://192.168.1.130/?id=1),然后
《網絡安全》實驗
保存Wireshark 的抓包結果2。
14、分析比較抓包結果1 和抓包結果2 中,對IP/?id=1 請求處理的差異。
《網絡安全》實驗
2.實驗2.1 :配置和管理主機防火墻
2.1 應用場景
對于 Internet 上的系統,不管是什么情況首先我們要明確一點:網絡安全是不安全的。因此,雖然創建一個防火墻并不能保證系統 因此,雖然創建一個防火墻并不能保證系統 因此,雖然創建一個防火墻并不能保證系統100% 安全,但卻是絕對必要的。和社會上其它任何事物一樣,Internet經常會受到一些無聊的或者別有用心的人的干擾,防火墻目的就是將這類人擋在你的網絡之外,同時使你仍然可以完成自己工作。
那么構筑怎樣的Linux 防火墻系統才算是足夠安全呢?這一個很難回答的問題,因為不同的應用環境對安全要求不一樣。用一句比較恰當而且簡單話來回答這個問題:用戶了解自己的Linux系統和設置,并且可以很好地保護自己的數據機密文件安全系統和設置,并且可以很好地保護自己的數據和機密文件的安全,這對于該計算機用戶來說就可以稱之為他的有足夠的安全性。
那么到底什么是防火墻呢?防火墻是一個或一組系統,它在網絡之間執行訪問控制策略。實現防火墻的實際方式各不相同,但是在原則上,防火墻可以被認為是這樣一對機制:一種機制是阻攔傳輸流通行,另一種機制是允許傳輸流通過。一些防火墻偏重阻攔傳輸流的通行,而另一些防火墻則偏重允許傳輸流通過。了解有關防火墻的最重要的概念就是它實現了一種訪問控制策略。
一般來說,防火墻在配置上是防止來自“外部”世界未經授權的交互式登錄的。這大大有助于防止破壞者登錄到你網絡中的計算機上。一些設計更為精巧的防火墻可以防止來自外部的傳輸流進入內部,但又允許用戶可以自由地與外部通信。如果你切斷防火墻的話部的傳輸流進入內,但又允許用戶可以自由地與外通信。如果你切斷防火墻的話,它可以保護你免受網絡上任何類型的攻擊。防火墻另一個非常重要特性是可以提供單獨的“攔阻點”,在“攔阻點”上設置安全和審計檢查。與算機系統正受到某些人利用調制解器撥入攻擊的情況不同,防火墻可以發揮一種有效“電話監聽”和跟蹤工具的作用。防火墻提供了一種重要的記錄和審計功能;它們經常可以向管理員些情況概要,提供有關通過防火墻的傳輸流的類型和數量,以及有多少次試圖闖入防火墻的企圖等信息。
因此本實驗將介紹如何配置Linux防火墻。
2.2 實驗目標
1.掌握linux下基本的 iptables iptables知識; 2.學會配置iptables。
《網絡安全》實驗
2.3 實驗過程
環境配置:
按照實驗指導書上所示配置實驗拓撲圖。
一.Iptables的規則表、鏈結構
1.規則表(iptables管理 4個不同的規則表,其功能由獨立內核模塊實現)
filter表:包含三個鏈INPUT、OUTPUT、FORWARD; nat表:PREROUTING、POSTROTING、OUTPUT; mangle表:PREROUTING、POSTROUTING、INPUT、OUTPUT、FORWARD; raw表:OUTPUT、PREROUTING。2.規則鏈
INPUT鏈:當收到訪問防火墻本機的數據包(入站)時,應用此鏈; OUTPUT鏈:當防火墻本機向外發送數據包(出站)時,應用此鏈;
FORWARD鏈 收到需要通過防火墻發送給其他地址的數據包,應用此鏈; PREROUTING鏈:做路由選擇之前,應用此鏈;
POSTROUTING鏈:對數據包做出路由選擇之后,應用此鏈。二.數據包的匹配流程 1.規則表之間的優先級
raw mangle nat filter 2.規則鏈之間的優先級
入站數據流向:來自外界的包到達防火墻,首先PREROUTING規則鏈處理(是否被修改地址),之后會進行路由選擇(判斷該數據包應發往何處),如果數據包的目標地址是防火墻本機,那么內核將其傳遞給 址是防火墻本機,那么內核將其傳遞給INPUT鏈進行處理,通過以后再交給上次的應用程序進行響應。
轉發數據流向:來自外界的包到達防火墻后,首先被 PREROUTING規則鏈處理,之后進行路由選擇,如果數據包的目標地址是其他外部地址,則內核將傳
《網絡安全》實驗
遞給FPRWARD鏈進行處理,然后再交給POSTROUTIING規則鏈(是否修改數據包的地址等)進行處理。
出站數據流向:防火墻本身向外部地址發送包,首先被 OUTPUT規則鏈處理,之后進行路由選擇,然后交給POSTROUTING規則鏈(是否修改數據包的地址等)進行處 規則鏈(是否修改數據包的地址等)進行處 規則鏈(是否修改數據包的地址等)進行處理。
3.規則鏈內部各防火墻之間的優先順序
依次按
《網絡安全》實驗
3.設置規則鏈的默認策略
# iptables-t filter-P FORWARD DROP //將filter表中FORWARD規則的默認策略設為DROP # iptables-P OUTPUT ACCEPT //將filter表中OUTPUT規則的默認策略設為ACCEPT
《網絡安全》實驗
四.條件匹配
1.通用(general)條件匹配(直接使用,而不依賴于其他的條件匹配及擴展)協議匹配(允許使用的名包含在/etc/protocols文件中)
# iptables-A INPUT-p icmp-j REJECT //拒絕進入防火墻的所有icmp數據包
地址匹配
拒絕轉發來自192.168.1.11主機的數據,允許轉發來自192.168.0./24網段的數據 # iptables-A FORWARD-s 192.168.1.11-j REJECT
《網絡安全》實驗
2.隱含(implicit)條件匹配(需要指定的協議為前提,其對應功能由iptables自動(隱含)的裝載入內核),如果無匹配條件,默認為 動REJECT。端口匹配
僅允許系統管理員從 202.13.0.0/16網段使用SSH方式遠程登錄防火墻主機 # iptables-A INPUT-p tcp--dport 22-s 202.13.0.0/16-j ACCEPT # iptables-A INPUT-p tcp--dport 22-j DROP
《網絡安全》實驗
五.在進行了上述規則講解與熟悉后,接下來的步驟進行防火墻規則配置與測試
禁止Windows主機ping防火墻linux主機,但是允許從防火墻上ping其他主機(允許接受ICMP回應數據)
1.配置linux防火墻主機ip地址,如下圖所示 :
《網絡安全》實驗
2.配置windows主機ip地址,如下圖所示:
3.配置linux主機防火墻規則,如下圖所示:
4.在此在windows主機和linux主機上進行相互ping測試,結果如下圖所示:
《網絡安全》實驗
windows主機無法ping通linux防火墻主機,但是linux主機可以ping通 windows主機。
《網絡安全》實驗
3.實驗2.2 :綜合掃描實驗
3.1 應用場景
隨著計算機網絡的普及和發展,人們利用網絡可以方便快捷地進行各種信息處理,例如,網上辦公、電子商務、分布式數據處理等。但網絡也存在不容忽視的問題,例如,用戶的數據被篡改、合法用戶被冒充、通信被中斷等。面臨著大量的網絡入侵事件,就必須要求在一個開放式的計算機網絡物理環境中構造一個封閉的邏輯環境來保障敏感信息和密數據不受到攻擊。為此迫切需要對網絡安全作分類研究,把各種問題清楚有序地組織起來,從而構建一個合理、安全高效的網絡防御體系。
網絡安全保護的核心是如何在網絡環境下保證數據本身的秘密性、完整與操作的正確性、合法性與不可否認性。而網絡攻擊的目正相反,其立足于以各種方式通過破壞數據的秘密性和完整性或進行某些非法操作。
網絡及其應用的廣泛發展,安全威脅呈現出攻擊種類、方法和總體數量越來多、破壞性和系統恢復難度也越來大。這就要求我們對攻擊方法有更進一步的研究;對安全策略 有更完善的發展,建立起一個全面的、可靠的、高效的安全體系。
漏洞掃描程序對于每個都有自己的探測并以插件形式來調用,用戶可根據需要掃描的漏洞來調度相應探測程序。探測程序的來源有兩種:首先是提煉漏洞的特征碼構造發送數據包,其次是直接采用一些安全站點公布的漏洞試探程序。其本質就是模擬黑客的入侵過程,但是在程度上加以限制,防止侵害到目標主機。可看出要恰好處的控探入侵程度是非常關鍵并具有較大難度的。因為程度太淺就無法保證探測的準確性,程度太深就會變成黑客入侵工具。有效的探測程序不僅取決于漏洞特征碼提煉是否精確而且受到漏洞本身特性的影響。例如對緩沖區溢出漏探測,黑客攻擊通常是發送精心構造一串字符串到目標主機沒有加以邊界判別的緩沖區,作為探測程序,為了模擬這個過程,我們可以同樣發送一串很長但沒有任何意義的字符串,查看目標主機有沒有報錯應答。如果有,說明對該緩沖區的邊界長度越作出了判斷,但是如果沒有回應,作為探測程序無法再繼續發送精心構造的字符串來查看對方應答,因為這樣可能導致入侵的發生。其后處理式一種是認定對方存在這漏洞,一種是交給用戶去判斷,因為可能盡管目標主機沒有報錯但是實際上已經進行了處理。
3.2 實驗目標
(1)掌握漏洞掃描技術原理;
(2)了解常見的系統漏洞及防范方法;(3)掌握典型的綜合掃描工具。
《網絡安全》實驗
3.3 實驗過程
環境配置:
按照實驗指導書上所示配置實驗拓撲圖。
啟動虛擬機,并設置虛擬機的IP地址,以綜合掃描服務端為目標主機進行攻防試驗。個別實驗學生可以以2人一組的形式,互為攻擊方和被攻擊方來做實驗。
一. 設置X-Scan 參數。
1.打開綜合掃描客戶端運行界面進行設置,點擊菜單欄“設置”中的參數設置進入參數設置界面如下:
《網絡安全》實驗
“地址簿”可將預先添加好的各個地址直接加入到ip地址內。
2.全局設置:此模塊包含所有性掃描選項。
(1)掃描模塊:主要包含一些服務和協議弱口令等信息的掃描,根據字典探測機各種服務的開啟情況及相應弱口令,對應到每一項都有相應的說明,如圖所示的遠程操作系統。
《網絡安全》實驗
(2)并發掃描:主要是對掃描的并發數量進行設置,包括最大并發主機數、最大并發線程數和各插件最大并發量的設置。
(3)掃描報告:對主機進行掃描完成后的報告生成情況進行設定。
《網絡安全》實驗
(4)其它設置:主要是對掃描過程中進度的顯示和附加一些設置,可根據教學需要進行設置。
3.插件設置:此模塊包含各掃描插件的相關設置。
(1)端口相關設置:主要設置想要掃描的各個端口、檢測方式和預設的各個服務協議的端口等內容:
《網絡安全》實驗
(2)SNMP相關設置:主要檢測SNMP 的相關信息:
(3)NETBIOS相關設置:主要設置檢測NETBIOS的相關信息:
《網絡安全》實驗
(4)漏洞檢測腳本設置:主要是針對于各個漏洞編寫的檢測腳本進行篩選,選擇需要利用的腳本,為方便起見一般設置為全選,也可格局自己需要選擇:
(5)CGI相關設置:對CGI的一些參數進行設置:
《網絡安全》實驗
(6)字典文件設置:主要是對掃描過程中所需用到的進行選取,也可自己手動進行添加數據字典:
二. 進行掃描:
設置完成后點擊綠色按鈕或菜單中文件->開始掃描進行探測,此的掃描速度
《網絡安全》實驗
與網絡環境情況和本機配置等有關,不盡相同:
1.報告生成:
掃描完成后會根據報告設置中自動生成報告項生成報告:
2.根據探測掃描報告取得的信息進行漏洞測試:
由掃描結果可知,該計算機無漏洞。
采用多線程方式對指定IP地址段(或單機)進行安全漏洞檢測,支持插件功能。掃描內容包括:遠程服務類型、操作系統及版本,各種弱口令漏洞、后門、應用服務漏洞、網絡設備漏洞、拒絕服務漏洞等。
《網絡安全》實驗
4.實驗4 :WIFI釣魚
4.1 應用場景
用智能手機上網,手機可以自動搜索到附近的Wi-Fi網絡賬號,有時甚至有多個賬號供選擇登錄上網,多數WiFi網絡賬號需要登錄密碼,而在機場咖啡店等公共場所,WiFi網絡一般是不需要密碼的,部分商家把免費WiFi網絡作為招攬人氣的手段,但也給“釣魚WiFi”竊取賬號、密碼的機會,無論使用電腦、iPad,還是手機,通過WiFi上網時,只要用戶正確操作,黑客都無法獲取網銀和支付寶。
用戶通過手機客戶端程序使用手機銀行時,通過WAP(為無線應用協議,是一項全球性的網絡通信協議)方式與銀行系統建立聯系,并進行賬戶查詢、轉賬、繳費付款、消費支付等金融服務。與一般上網方式不同,WAP方式中手機銀行的賬戶信息是經過靜態加密處理的,更加安全。
手機銀行的認證手段也能有效防范他人冒用賬號和密碼。認證手段是審查接收數據的人是否為授權用戶、數據是否篡改,用來保證數據是真實可靠的,使用者是被授權的。
當通過工商銀行進行涉及賬戶資金變動的操作時,輸入賬號和密碼后,銀行會提示輸入特定的電子口令,這些方法都能有效杜絕賬號被盜后的使用。
個人網上銀行則會采用https的加密協議來保障交易安全。當用戶在電腦上使用個人網上銀行時,頁面跳轉到賬戶信息輸入,網址欄就由http變為https,而且在最后還多了一只“小掛鎖”,這表示只有銀行方面才能正確解密。同樣的用電腦通過https方式訪問個人網上銀行時,也有認證手段的保護,例如口令卡和U盾。
4.2 實驗目標
了解WiFi釣魚的步驟,學會防范WiFi釣魚。
4.3 實驗過程
步驟一 共享WIFI
工具:電腦、WIN7 系統、無線網卡 步驟:
1.開始菜單-->命令提示符(cmd)-->右鍵,以管理員身份運行 2.運行以下命令啟用虛擬網卡
netsh wlan set hostednetwork mode=allow ssid=(這里寫無線網名字)key=(這里是密碼)
《網絡安全》實驗
3.網絡共享中心-->更改高級適配器設置-->右鍵已連接到Internet 的網絡連接-->屬性-->切換到“共享”選項卡,選中其中的復選框,并選擇允許其共享Internet 的網絡連接,這里即我們的虛擬WIFI 網卡
4.開啟無線網絡,繼續在命令提示符中運行以下命令: netsh wlan start hostednetwork 即可開啟我們之前設置好的無線網絡(相當于打開路由器的無線功能)
步驟二WIFI 釣魚
工具:其他筆記本或手機、Wareshark 步驟
1.搜索到剛剛設置的WIFI,連接上(密碼為剛剛設置的key:12345678)
《網絡安全》實驗
2.在筆記本上打開wareshark,選擇capture-->interfaces
3.選擇Packets 最多的項,點擊start 按鈕
《網絡安全》實驗
4.在手機或筆記本上打開中南大學郵箱網站:http://mail.csu.edu.cn/,在主機上用wareshark 捕捉http 的包(這里大家可以自由實驗,能監控到連接到該WIFI 的機器的所有包的情況)
5.在手機或筆記本上輸入用戶名和密碼,點擊登錄
6.在主機上用wareshark 捕捉到剛剛post 提交的http 包,右鍵選擇Follow tcp stream 7.可以看到剛剛提交的用戶名和密碼,且是未經過加密的
5.實驗5 :網絡ARP攻擊
5.1 應用場景
由于局域網的絡流通不是根據IP地址進行,而是按照MAC地址進行傳輸。所以,那個偽造出來的MAC地址主機上被改變成一個不存在的MAC地址,這樣就會造成網絡不通,這就是一個簡單的ARP欺騙,在該ARP欺騙中,我們實
《網絡安全》實驗
施的過程包括包捕獲,包修改,包植入三個階段;通過該過程理解ARP欺騙的過程及原理。
5.2 實驗目標
(1)能夠通過包編輯器構造虛假ARP數據包;(2)能夠向目標主機發起ARP欺騙攻擊;(3)了解ARP欺騙的原理;
(4)能夠根據原理思考并設計實驗內容。
5.3 實驗過程
環境配置:
按照實驗指導書上所示配置實驗拓撲圖。啟動Windows Server 2003為服務器角色 在客戶端通過ping命令對服務器ip進行檢測 在客戶端運行arp-a查看arp緩存,獲得服務器的MAC地址
《網絡安全》實驗 在客戶端的C:Program FilesProgramIris中啟動Iris,運行DAMN_Iris3809文件生成Iris所需要信息。
《網絡安全》實驗 在Iris中進行網卡配置。選擇左側的Adapters。在右側選擇要進行捕獲的網卡。點擊確定。點擊Iris左側的Filters設置過濾器 選擇ARP和反向ARP,從而對網絡中的ARP數據包進行監聽
《網絡安全》實驗 確定之后點擊開始,開始捕獲網絡中的數據包 禁用服務器端網卡。再啟用服務器端網卡,使之產生ARP報文。
會捕獲到網卡狀態變化引起的arp消息 在其中隨意選擇右邊一個ARP請求的數據包,左側的包編輯器中打開展開細項。
《網絡安全》實驗 點擊MAC頭中的Destination選項,將該數據包MAC頭信息中目的MAC改為欲攻擊服務器的MAC(服務器MAC地址通過在客戶端運行arp –a查看)并且將ARP頭部的發送MAC修改為虛假MAC(虛假MAC隨意指定,建議改變真MAC的后兩位)發送IP與欲攻擊的服務器IP一致(這里服務器ip 是10.1.1.90)
《網絡安全》實驗 目標MAC和目標MAC需要按被攻擊的服務器進行設定。目標地址改為被攻擊服務端的mac。目標ip改成被攻擊服務端ip地址 設定后,將該數據包保存
《網絡安全》實驗 在網絡上連續不斷發送此數據包 19 如下圖所示選擇持續發送。服務端報錯,并且該對話框不間斷彈出無法正常提供服務。
6.總結
實驗課讓我對網絡安全的認識進一步加深,理論結合實際使我明白了很多課本上學不到的東西,不僅進一步學會了網絡安全知識的概念,以及初步掌握了防范和攻擊的技能,懂得了軟件的運用和原理,為了以后計算機安全方面多了一分經驗和能力。積累網絡安全實踐經驗具有非常重要的意義。
我想學習的目的不在于考試獲得學分,而是為了獲取知識,獲取工作技能,為了能適應社會的需求,通過學習保證完成將來的工作。通過本課程,我明白了“細節決定成敗”“一份耕耘,一份收獲”的道理。
第四篇:網絡安全實驗報告
絡 信 息 安 全》實 驗 報 告
學 校:江蘇科技大學
專 業:12級計算機科學與技術(中法)導 師:李永忠 學 號: 學員姓名: 2014-6-4
《網
實驗一 DES算法應用
一、實驗目的
1.學會并實現DES 算法
2.理解對稱密碼體制的基本思想 3.掌握數據加密和解密的基本過程
二、實驗內容
根據DES 加密標準,用C++設計編寫符合DES 算法思想的加、解密程序,能夠實現
對字符串和數組的加密和解密。
三、實驗的原理
美國IBM 公司W.Tuchman 和 C.Meyer 1971-1972 年研制成功。1967 年美國Horst Feistel 提出的理論。美國國家標準局(NBS)1973 年5 月到1974 年8 月兩次發布通告,公開征求用于電子
計算機的加密算法。經評選從一大批算法中采納了IBM 的LUCIFER 方案。DES 算法1975 年3 月公開發表,1977 年1 月15 日由美國國家標準局頒布為聯邦數
據加密標準(Data Encryption Standard),于1977 年7 月15 日生效。為二進制編碼數據設計的,可以對計算機數據進行密碼保護的數學運算。DES 的保密
性僅取決于對密鑰的保密,而算法是公開的。64 位明文變換到64 位密文,密鑰64 位,實際可用密鑰長度為56 位。
運行結果是:
四、思考
1.影響DES密碼體制安全的因素主要是密鑰的健壯性。
2.DES密碼體制中加密算法和解密算法流程相同,區別在于解密使用的子密鑰和加密的子密鑰相反
實驗
二、操作系統安全配置
一. 實驗目的
1.熟悉Windows NT/XP/2000系統的安全配置 2.理解可信計算機評價準則
二. 實驗內容 1.Windows系統注冊表的配置
點擊“開始運行”選項,鍵入“regedit”命令打開注冊表編輯器,學習并修改有關網絡及安全的一些表項
2.Windows系統的安全服務
a.打開“控制面板管理工具本地安全策略”,查閱并修改有效項目的設置。
b.打開“控制面板管理工具事件查看器”,查閱并理解系統日志,選幾例,分析并說明不同類型的事件含義。3.IE瀏覽器安全設置
打開Internet Explorer菜單欄上的“工具Internet選項”,調整或修改“安全”、“隱私”、“內容”等欄目的設置,分析、觀察并驗證你的修改。4.Internet 信息服務安全設置
打開“控制面板管理工具Internet 信息服務”,修改有關網絡及安全的一些設置,并啟動www.tmdps.cn 遇到錯誤“無法啟動服務,原因可能是已被禁用或與其相關聯的設備沒有啟動。”,試圖以參數“”啟動服務 wuauserv 以運行服務器: {9B1F122C-2982-4E91-AA8B-E071D54F2A4D}
3.IE瀏覽器安全設計
打開Internet Explorer菜單欄上的“工具Internet選項”,調整或修改“安全”、“隱私”、“內容”等欄目的設置,分析、觀察并驗證你的修改。
首先打開internet選項,看安全項:
在這一項中可以設計受信任站點和不信任站點,選項中可以設定,你在上網瀏覽網頁的安全級別,對應的安全級別它可以控制你在網上,獲取內容的范圍,很多的惡意站點可以用這個種基礎的辦法來屏蔽,假設將www.tmdps.cn(202.117.216.94):(The 1657 ports scanned but not shown below are in state: closed)PORT
STATE SERVICE 135/tcp open msrpc 139/tcp open netbios-ssn 445/tcp open microsoft-ds 1025/tcp open NFS-or-IIS 3306/tcp open mysql 5000/tcp open UPnP MAC Address: 00:0A:E6:EC:16:DF(Elitegroup Computer System Co.(EC
Nmap finished: 1 IP address(1 host up)scanned in 0.774 seconds 可見202.117.216.94這臺機器的135、139、445、1025、3306、5000端口是開放狀態,提供的服務從Service列表中可以讀出,而且都是支持TCP協議的。(2)、windump抓包
運行參數為:windump [-aAdDeflnNOpqRStuvxX] [-B size] [-c count] [-C file_size ] [-F file ] [-i interface ] [-r file ] [-s snaplen ] [-T type ] [-w file ] [-E algo:secret ] [ expression ] 實驗用windump來監聽三次握手,結果如下:
看第二幅圖的第五和六行。其中18:07:40.606784表示時間;202.117.216.94為源IP地址,端口1525,就是我自己的這臺電腦;202.117.216.148是目的地址,端口23,S2352945221:2352945221(0)表示我的電腦主動發起了一個SYN請求,這是第一步握手,2352945221是請求端的初始序列號;win 16384表示發端通告的窗口大小;mss 1460表示由發端指明的最大報文段長度。這兩行所表示的含義是IP地址為202.117.216.94的電腦向IP地址為202.117.216.148的電腦發起一個TCP的連接請求。
然后看第第七和八行,源IP地址為202.117.216.148,而目的IP地址變為202.117.216.94;后面是S2987805145:2987805145(0)ack 2352945222,這是第二步握手,2987805145是服務器端所給的初始序列號,ack 2352945222是確認序號,是對第五行中客戶端發起請求的初始序列號加1。該行表示服務器端接受客戶端發起的TCP連接請求,并發出自己的初始序列號。
看第九和十行,這是三步握手的最后一步,客戶端發送ack 1,表示三步握手已經正常結束,下面就可以傳送數據了。
使用了-n的參數,表示源地址和目的地址不采用主機名的形式顯示而采用IP地址的形式。
從上圖可以看到數據包的頭部是DLC層協議的內容:標明了第一個FRAME到達的時間、FRAME的大小、源的數據鏈路層的號(例如我可以看到我自己的數據鏈路層號為:000AE6EC16DF,目的主機的數據鏈路層號為:000A8A99BB80,www.tmdps.cn)、Ethertype=0800(IP)。
可見IP頭部的內容中包含了協議的版本(我們現在用的版本一般都是IPV4)、包總長度為48bytes,源地址的IP(202.117.55.94)、目的端的IP(202.117.1.13)、FRAME的總長度、頭校驗和(8B88(CORRECT))等內容。
上圖是TCP協議的頭信息,其中包含了源端口號(1058)、目的端的端口號(80)、初始序列號(4236954999)、下一個希望得到的包的序列號(4236955000)、校驗和(Checksum=0654(correct))、標志位Flags=02、數據offset=28bytes等信息。
最后是詳細的http協議的內容,其中包含了HTTP版本號(1.1)等信息。
三、實驗結論:
掃描網絡可以知道別人的一舉一動,可以提高自己的安全意識,在以后的學習中更加注意加強安全意識。通過這次實驗熟悉了windump操作及sniffer軟件的使用,實驗最后結果符合要求,達到了這次實驗的目的。
實驗
四、PGP軟件應用
一、實驗目的
1.熟悉并掌握PGP軟件的使用
2.進一步理解加密與數字簽名的過程和作用
二、實驗內容
1.GP軟件的相關資料:
PGP(Pretty Good Privacy)是一個可以讓您的電子郵件(E-Mail)擁有保密功能的程式。藉此您可以將您的郵件加密(Encrypt),除了您希望的人看得到以外,沒有其它人可以解讀。一旦加密后,訊息看起來是一堆無意義的亂碼(Random Characters)。PGP 提供了極強的保護功能,即使是最先進的解碼分析技術也無法解讀(Decrypt)加密后的文字。2.PGP軟件界面:
3.生成鑰匙的詳細信息:
4.對文件加密:
加密后文件圖象:
解密:
5.數字簽名
結果:
Validity燈是綠色的,說明已經添加了對我的公鑰的信任,并且被簽名文件沒有被修改。
5.我的公鑰:
第五篇:網絡安全實驗報告
網絡安全實驗
學生:張守軍
實驗目的
1、一、:我要搭建網絡安全實驗環境。
配置良好的實驗環境時進行網絡安全實驗的基礎工作。1.VMware虛擬機的安裝和配置。
首先在一臺計算機上安裝一套操作系統,然后安裝虛擬軟件VMware。分別在虛擬機下安裝3套操作系統:Vista ,windows Server 2003 和ubntu 9.04。windows server 2003操作系統主要作為網絡安全的攻擊對象。虛擬機上操作系統可以通過虛擬網卡和實際主機的操作系統進行通信
2.安裝虛擬機的操作系統。
注意的是安裝完vista、window server 2003、Ubuntu 9.04后要使用 ping命令來測試主機和虛擬機能否通信。如主機和虛擬機已經連通,這樣一個虛擬的網絡環境就配置好了。
二、操作系統的安全配置實驗
1、操作系統的安全是整個操作系統安全策略的核心,其目的是從系統根源構筑安全防護體系,通過用戶和密碼管理、共享設置、端口管理和過濾、系統服務管理、本地安全策略、外部工具使用等手段,形成一套有效的系統安全策略。【我認為系統安全不安全,主要是看使用者的使用方法,同樣的操作系統不同的人使用會有不同的安全效果。】
2、我以windows操作系統安全配置實驗為例。實驗目的
1、掌握安全策略設置方法,了解安全策略的制訂準則。
2、掌握利用管理工具管理本地用戶的方法,了解windows帳戶的命名規則和口令要求。
3、掌握windows下審核策略的設置方法,了解審核策略的制訂準則。
4、Windows server 2003操作系統環境網絡服務和端口的安全管理技術。安全設備及環境
1、windows xp 操作系統。
2、windows server 2003操作系統(虛擬機)實驗任務及內容
1、安全策略配置
2、訪問計算機的用戶、授權用戶使用計算機上的那些資源,是否在事件日志中記錄用戶或組的操作。
3、Windows 用戶管理
4、系統安全審核
5、網絡服務和端口管理
實驗報告:我通過本次實驗詳細記錄了加入本地用戶的過程,并且使用該用戶登錄系統進行權限測試。根據實際需要找出了本系統不需要的服務,把這些服務端口關閉。
分析討論:了解了各個密碼安全策略的主要作用,審核,密碼策略和帳戶策略的含義,系統審核在系統安全中的作用。
網絡偵察
所謂網絡偵察就是對網絡資源的探測、掃描與監聽。網絡掃描時一種網絡安全攻擊技術,目的是利用各種工具對攻擊目標的IP地址或地址段的主機查找漏洞。掃描采取模擬攻擊的形式對目標可能存在的已知安全漏洞逐項進行檢查,目標可以使PC、服務器、交換機、路由器和數據庫應用等。根據掃描結果向掃描者或管理員提供周密可靠的分析報告。網絡監聽的目的是截獲通信的內容,監聽的手段主要是通過嗅探器捕獲數據包對協議進行分析。常見的嗅探器除了著名的Sniffer Pro以外,還有一些常用的監聽軟件,如協議分析器、嗅探經典、密碼監聽工具和非交換環境局域網的fssniffer等。實驗目的:
1)了解網絡掃描的原理,掌握使用端口掃描器的技術。2)掌握Windows下口令攻擊技術、方法,以及防御措施 3)熟練利用網絡掃描工具掃描目標計算機安全漏洞 4)熟練利用網絡嗅探工具進行網絡監聽 實驗設備及環境 1)Windows XP操作系統
2)Windows Server 2003操作系統
3)工具軟件:L0phtCrack、PortScan、Shed、X-Scan、Sniffer Pro、pswmonitor.實驗任務及內容:
本實驗的主要內容是利用常見的網絡掃描工具、嗅探工具,掃描系統賬號、開放端口、共享目錄,探測網絡系統的安全漏洞。1.網絡掃描
(1)系統賬號掃描及口令破解
L0phtCrack簡稱LC,是一款網絡管理員必備的工具,可以用來檢測Windows NT/2003/XP/UNIX管理員賬號密碼破解工具。事實證明,簡單的或容易遭受破解的管理員密碼是最大的安全威脅之一,因為攻擊者往往以合法的身份登錄計算機系統而不被察覺。L0phtCrack能直接從注冊表、文件系統、備份磁盤,或是在網絡傳輸的過程中找到的口令。L0phtCrack卡是破解的第一步是精簡操作系統存儲加密口令的哈希列表。之后才開始口令的破解,這個過程稱為是cracking。它采用以下3中不同的方法來實現。
1)字典攻擊。LophtCrack將字典中的詞逐個與口令哈希表中的詞作比較。當發現匹配的詞時,顯示結果,即用戶口令。LophtCrack自帶一個小型詞庫。如果需要其他字典資源可以從互聯網上獲得。這種破解方法,使用的字典容量越大,破解效果越好。
2)Hybrid方法。這是建立在字典破解基礎上的。現在血多用戶選擇口令不再單單只是由字母組成的,常會使用諸如“mytest11”或“abcddd!”等添加了符號和數字的字符串作為口令。這類口令復雜了一些,但通過口令過濾器和一些方法,破解也不是很困難,Hybird就能快速地對這類口令進行破解。
3)最后一種也是最有效地方法就是“暴力破解”。現在所謂復雜的口令一般都能被破解,只是時間長短問題,且破解口令時間遠遠小于管理員設置的口令有效期。使用這種方法也能了解一個口令的安全使用期限。
LophtCrack5的主界面,利用該工具可以對計算機上用戶進行賬號掃描和破解。
首先選擇【Session】--【Import】,選擇右邊的【Add】,輸入虛擬機的IP地址(172.18.25.98),單擊【OK】。然后,選擇【Session】--【Bein Audit】,開始掃描用戶和破解密碼。在掃描結果中有Administrator權限的賬號YJ和密碼1234567,這樣就得到了系統的權限。這種方法的缺點是,如果對方用戶密碼設置比較長而且怪,需要破解很長時間。
(2)開放端口掃描
獲得對方開放了那些端口也是掃描的重要內容。使用工具軟件PortScan可以到得到對方計算機開放了哪些端口。
對Windows Server 2003系統進行端口掃描,在Scan文本中輸入IP地址,單擊按鈕【START】。
利用網絡端口掃描工具軟件可以將所有端口的開放情況做一探測,獲知對方開放了哪些網絡服務,進而對某些服務的漏洞進行攻擊。(3)漏洞掃描
漏洞掃描時主動式防御策略的網絡掃描,它通過執行一些腳本文件模擬對系統進行攻擊的行為并記錄系統的反應,從而發現其中的漏洞。X-S慘。3是一款適用于Windows NT/2003/XP/2000系統的常見漏洞掃描軟件。該軟件采用多線程方式對制定IP地址段進行安全漏洞檢測,支持插件功能,提供了圖形界面和命令行兩種操作方式。掃描內容包括:遠程操作系統類型以及版本;標準端口狀態及端口Banner信息;SNMP信息,CGI漏洞,IIS漏洞,RPC漏洞,SSL漏洞;SQL-SERVER、FTP-SERVER、POP3-SERRVER;NT-SERVER弱口令用戶,NT服務器NETBIOS信息;注冊表信息等。掃描結果保存在/log/目錄中,index_*.htm為掃描結果索引文件。1)選擇菜單欄設置下的菜單項【掃描模塊】。
2)利用X-Scan3.3可以對常用的網絡以及系統的漏洞進行全面的掃描,選中復選框后,單擊【確定】即可。3)確定要掃描主機的IP地址或者IP地址段。選擇菜單欄設置下的菜單項【掃描參數】,若掃描一臺主機,在指定IP范圍框中輸入:172.18.25.97。
4)設置完畢后,進行漏洞掃描,單擊工具欄上的圖標【開始】,開始對目標主機進行掃描。
結果顯示發現了血多系統漏洞,利用這些漏洞可以試試系統入侵。選擇【查看】--【掃描報告】,可以看到前面掃描的詳細報告。
除了這些掃描工具外,比較著名的工具軟件還有:活動主機探測程序QckPing、掃描全才scanlock、掃描經典工具【流光】及其他的一些掃描工具。
2.網絡監聽
利用監聽工具Sniffer Pro進行網絡監聽。
1)進入Sniffer主界面,捕獲數據包之前必須首先設置所要捕獲的數據包類型。選擇主菜單【Capture】下的【Define Filter】菜單。2)在捕獲數據包的過濾器窗口中,選擇【Address】選項卡,窗口中需要修改兩個地方:在Address下拉列表中,選擇數據包的類型為IP,在Station 1下面輸入主機的IP地址,主機的IP 地址是172.18.25.99;在與之對應的Station 2下面輸入虛擬機的IP 地址,虛擬機的IP地址是172.18.25.98.3)設置完畢后,單擊該窗口的【Advanced】選項卡,拖動滾動條找到IP項,將IP和ICMP選中。4)這樣的Sniffer的過濾器就設置完畢了。選擇菜單欄【Capture】下【start】菜單項,啟動捕獲數據包;然后,在主機的DOS窗口中ping虛擬機。5)Ping指令執行完畢后,單擊工具欄上的【停止并分析】按鈕,在出現的窗口選擇【Decode】選項卡,可以看到數據包在兩臺計算機間的傳遞過程。
實驗報告:
1)描述使用網絡掃描工具對系統進行系統賬號掃描、網絡端口掃描、共享目錄掃描以及漏洞掃描的過程,分析掃描結果;并分析各自的技術原理和優缺點。
實驗5 ARP欺騙攻擊
ARP協議的基本功能就是通過目標設備的IP地址,查詢目標設備的MAC地址,以保證通信的順利進行。ARP協議并不只發送了ARP請求才接受ARP應答。當計算機接受到ARP應答數據包時,就會對本地的ARP緩存進行更新,將鷹大廈中IP和MAC地址存儲在ARP混村中。因此,當局域網中的某臺機器B向A發送一個自己偽造的ARP應答,而如果這個應答時B冒充C而偽造的,即IP地址為C的IP,而MAC地址是偽造的,則當A接受到B偽造的ARP應答后,就會更新本地的ARP緩存,這樣在A看來C的IP地址沒有變,而它的MAC地址已經不是原來的那個了。由于局域網的數據流并不是根據IP地址進行,而是按照MAC地址進行傳輸的。所以,那個偽造出來的MAC地址在A上唄改變成一個不存在的MAC地址,這樣就會造成網絡不通,導致A不能ping通C!這就是一個簡單的ARP欺騙。實驗目的:
1)了解欺騙攻擊的原理和防范措施
2)理解ARP協議的工作原理,了解ARP欺騙攻擊的實現過程。3)掌握利用工具軟件實現ARP欺騙的方法 實驗設備及環境: 1)Windows XP操作系統
2)Windows Server 2003操作系統 3)工具軟件:NefFuke 實驗任務及內容:
本實驗使用NetFuke實現,并需要Winpap的支持。NetFuke是一款ARP欺騙工具,它的主要功能有:ARP欺騙、支持單向和雙向欺騙、支持MAC指定、ICMP欺騙等。1.主機的ARP欺騙
1)首先配置NetFucke。選擇【設置】--【嗅探設置】,打開【嗅探設置】對話框,選擇網卡,并選擇【啟用ARP欺騙】和【主動轉發】。
2)選擇【設置】--【ARP欺騙】,打開【ARP欺騙設置】對話框,在其中設置各項參數
目標IP就是被欺騙主機的IP;來源IP指的就是NetFuke主機所偽裝成的主機IP。在雙向欺騙模式下,目標IP和來源IP沒有區別,它們是通信的雙方,被NetFuke主機進行中間人欺騙。中間人IP默認就是NetFuke主機的IP。3)在欺騙開始之前,先在來源主機分別ping目標IP和中間IP,然后通過arp命令獲取目標機和中間人的IP地址。4)單擊【開始】按鈕,這時,程序的左側將會出現已經設置好的配置信息,并且開始ARP欺騙。在欺騙開始之后,再在來源主機分別ping目標IP和中間IP,然后通過arp命令獲取目標機和中間人的IP地址。
5)單擊【停止】按鈕,然后單擊操作菜單中的【回顯緩沖區】按鈕。這是,程序右側的列表當中就會顯示出NetFuke主機向受騙雙方發送的ARP數據包。
2.防范ARP欺騙
對于ARP欺騙攻擊,有效地防范方法就是將IP地址與MAC地址進行靜態綁定。
(1)將內網主機的IP與MAC地址進行綁定。
先進行靜態綁定,然后再查看ARP欺騙的結果。在來源主機的命令行模式下,執行以下命令: 1)arp –d//清空arp緩存表
2)arp –s 172.18.25.98 00-1b-b9-70-40-73//將IP地址與MAC地址綁定 3)arp –a 這時,目標主機的MAC地址將又會變回00-1b-b9-70-40-73,并且狀態變為靜態。再重新開始一次相同的攻擊,觀察目標主機的MAC地址是否會再次因為ARP欺騙攻擊而改變。
(2)對內網網關的IP與MAC地址進行綁定
1)在命令行下運行“ipconfig/all”命令,獲取網關的IP地址;
2)運行“arp –a網關IP”,獲取網關的MAC地址; 3)運行“arp –d”“arp –s 網關IP網關MAC”; 4)將第三部中的兩個命令編輯保存到一個批處理文件中,文件類型為.bat文件; 5)打開注冊表編輯器,找到【HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCirremtVersopmRun】,在其中使用郵件添加“字符串值”,命令后雙擊該鍵,在【數值數據】框中添加該bat文件的全路徑,就可實現開機時網關IP和網關MAC的自動綁定。
實驗報告:
1)利用NetFuke對虛擬機進行ARP欺騙,然后通過Sniffer捕獲數據包分析通信過程和ARP的欺騙過程。
在主機上編輯批處理文件,實現開機啟動時自動實現IP和MAC的靜態綁定,防范ARP欺騙攻擊。入侵檢測系統的搭建與配置 入侵檢測系統是一種對網絡傳輸進行及時監視,在發現可以傳輸時發出警報或者采取主動反應措施的挽留過安全設施。與其他網絡安全設施不同,IDS是一種積極主動的安全防護措施。一個合格的入侵檢測系統能大大地簡化管理員的工作,保證網絡安全運行。目前,IDS發展迅速,已有人宣稱IDS可以完全取代防火墻。笨實驗主要介紹在Ubuntu平臺上,如何部署入侵檢測工具OSSEC HIDS來實現入侵檢測系統的方法。實驗目的:
1)了解入侵檢測系統的定義、功能、必要性和局限性 2)了解常見的入侵檢測系統
3)掌握利用工具軟件搭建和配置入侵檢測系統的方法 實驗設備及環境:
1)Ubuntu9.04 操作系統 2)Windows XP操作系統 3)OSSEC HIDS入侵檢測系統 實驗任務及內容:
笨實驗通過在Ubuntu平臺上部署入侵檢測工具OSSEC HIDS來實現入侵檢測。OSSEC是一款開源的入侵檢測系統,包括了日志分析、全面檢測、rook-kit檢測。作為一款HIDS,OSSEC應該被安裝在一臺實施監控的系統中。如果有多臺計算機都安裝了OSSEC,那么久可以采用客戶機/服務器模式來運行。客戶機通過客戶端程序將數據發回到服務器端進行分析。
OSSEC最大的有事在于它幾乎可以運行在任何一種操作系統上,比如Windows、Linux、OpenBSD/FreeNSD以及MacOS。不過運行在Windows上的客戶機無法實現root-kit檢測,而其他系統上的客戶機則沒問題。1)首先,暫時獲取root權限,在終端運行命令:#sudo su 2)下載最新版本的OSSEC源文件,在終端運行命令:#wget http://www.tmdps.cnand yes to using my SMTP server;Yes to integrity check daemon;Yes to rootcheck;Active response enabled;Firewall-drop response enabled;No additions to the whitelist。設定好之后,OSSEC的編譯就可以順利進行了。安裝腳本會自動檢測到Ubuntu并建立正確的初始化腳本,下面測試OSSEC。6)首先建立新的系統用戶user2,這個操作可以被立即檢測到,打開OSSEC下的報警日志
7)輸入錯誤的密碼來測試SSHD檢測功能:用su命令從用戶yj切換到user1,輸入錯誤的密碼,這個操作也立刻檢測到,并記錄到報警日志去 實驗報告:
從主機對虛擬機進行開放端口掃描的結果,觀察OSSEC HIDS系統的反應,并做記錄。
實驗6 防火墻的安裝與配置
防火墻是設置在唄保護網絡與外部網絡之間的一道屏障,實現網絡的安全保護,以防止發生不可預測的、潛在的破壞性入侵。防火墻本身具有較強的抗攻擊能力,它是提供網絡安全服務、實現網絡安全的基礎設施。嚴峻的網絡安全形勢,促進了防火墻技術的不斷發展,防火墻安全產品非常多。該實驗主要講解利用工具軟件例如天網防火墻,搭建和配置防火墻安全策略的方法。實驗目的:
1)了解防火墻的定義、功能、必要性和局限性 2)掌握利用工具軟件搭建和配置防火墻安全策略的方法 實驗設備及環境: 1)Windows XP操作系統
2)Windows Server 2003操作系統 3)天網防火墻軟件 實驗任務及內容:
天網防火墻個人版是由天網安全實驗室面向個人計算機用戶研究的網絡安全工具。它根據系統管理者設定的安全規則把守網絡,提供強大得訪問控制、信息過濾等功能,抵擋網絡入侵和攻擊。天網防火墻把網絡分為本地網和互聯網,可以針對來自不同網絡的信息,設置不同的安全方案,適合于任何方式連接上網的個人用戶。1.對應用程序的安全設置
1)在Windows Server 2003 操作系統中安裝天網防火墻。通過【應用程序】按鈕可以設定與外網進行連接的應用程序。2)單擊工具欄中的【應用程序】按鈕,出現【應用程序訪問網絡權限設置】界面,在界面中添加的應用程序,防火墻允許其與外網的連接,未添加的應用程序,不允許與外網連接。如果通過防火墻阻斷了木馬程序的外連請求,則計算機腫了木馬也不會被遠程控制。
3)對應用程序訪問網絡的規則做具體設置。2.包過濾規則的設置
包過濾規則作用在網絡層和傳輸層,根據數據包報頭源地址、目的地址和端口號、協議類型等標志確定是否允許數據包通過,只有滿足過濾規則的數據包才被轉發到相應的目的地端口,其余的數據包則從數據流中丟棄。
1)單擊工具欄中的【IP規則管理】按鈕,出現【自定義IP規則】界面,在此界面中有大量安裝時默認設置的IP規則。此處有【修改IP規則】和【添加IP規則】按鈕
2)新建一條規則,用來禁止外部主機用ping命令連接本機。3)在虛擬機上安裝一個FTP軟件并啟用FTP,然后修改原規則中的【禁止所有連接】,將其改為【禁止所有人訪問本機FTP】,設置FTP相關的端口。確定之后,從主機嘗試登陸虛擬機的FTP服務,將被拒絕。
4)最后,新建一條規則,禁止所有人連接其他程序的端口。它將與前兩條規則聯合作用,禁止外部計算機連接本機未經授權程序打開的端口。
以上三條規則在防火墻中必須按照上述順序配置,才能發揮應有的作用;如果順序不對,則不能實現上述的正常安全需求。
實驗報告:
1)根據實驗過程,描述配置天網防火墻的安全規則
2)配置一實驗訪問規則:允許本機訪問外網的某一臺FTP服務器,但不允許本機訪問此計算機其他服務,以及不允許本機訪問外網Web服務器。
![下載網絡安全實驗報告[共五篇]word格式文檔](http://static.xiexiebang.com/skin/default/images/icon_word.png){kind=icon}
點擊咨詢 