太原理工大學(xué)信息安全實驗報告

1、實驗由本人當時親自完成僅供參考，希望可以幫助大家本科實驗報告課程名稱：信息安全技術(shù)B實驗項目：信息安全技術(shù)實驗實驗地點：專業(yè)班級：0000學(xué)號： 0000000000學(xué)生姓名：氣宇軒昂指導(dǎo)教師：2013年13月13日實驗一、常用網(wǎng)絡(luò)安全命令一、實驗?zāi)康暮鸵竽康模罕緦嶒灥哪康氖鞘箤W(xué)生通過對常用網(wǎng)絡(luò)安全命令使用，熟練掌握常用網(wǎng)絡(luò)安全命令，加深對常用網(wǎng)絡(luò)安全命令執(zhí)行結(jié)果的理解， 在培養(yǎng)良好的工程素養(yǎng)同時， 為今后工作實踐中能夠運用科學(xué)理論和技術(shù)手段分析并解決工程問題的能力。要求：由于常用網(wǎng)絡(luò)安全命令功能強大、參數(shù)眾多，在有限時間內(nèi)不可能對所有命令參數(shù)進行實驗。但要求每個命令至少選擇兩個參數(shù)進行實驗

2、，命令參數(shù)可以任意選擇。 命令執(zhí)行后將執(zhí)行結(jié)果復(fù)制到實驗報告中，并對命令執(zhí)行結(jié)果進行解釋。二、實驗內(nèi)容和原理1. ipconfig命令主要功能：顯示本地主機IP 地址、子網(wǎng)掩碼、默認網(wǎng)關(guān)、MAC地址等。2. ping命令主要功能：目標主機的可達性、名稱、IP 地址、路由跳數(shù)、往返時間等。3. tracert命令主要功能：路由跟蹤、節(jié)點IP 地址、節(jié)點時延、域名信息等。4. netstat命令主要功能：顯示協(xié)議統(tǒng)計信息和當前TCP/IP 網(wǎng)絡(luò)連接。5. nbtstat命令主要功能：顯示使用 NBT （ NetBIOS over TCP/IP）的協(xié)議統(tǒng)計和當前 TCP/IP 網(wǎng)絡(luò)連接信息，可獲得遠

3、程或本機的組名和機器名。6. net命令主要功能：網(wǎng)絡(luò)查詢、在線主機、 共享資源、磁盤映射、開啟服務(wù)、關(guān)閉服務(wù)、發(fā)送消息、建立用戶等。 net 命令功能十分強大，輸入 net help command 可獲得 command的具體功能及使用方法。三、主要儀器設(shè)備Pc 機一臺四、實驗結(jié)果與分析1. ipconfig命令，在 dos 下輸入 ipconfig/all，如下圖：說明：內(nèi)容很多，只截出一部分。2. ping 命令，在 dos 下輸入 ping ，如下圖：3. tracert命令，在 dos 下輸入 tracert ，如下圖：4. netstat命令，在 dos 下輸入 netstat

4、-a，netstat -n如下圖：5. nbtstat命令，在 dos 下輸入 nbtstat -a 9，如下圖：6. net 命令在 dos 下輸入 net use63/ipc$“” /user:guest(首先確認另一臺計算機打開 guset 用戶，密碼為空，并且設(shè)定在網(wǎng)絡(luò)上可以訪問此用戶，這樣才能順利執(zhí)行)如下圖：在 dos 下輸入 net view得到了局域網(wǎng)中的計算機主機名在 dos 下輸入 net time63在命令提示符下輸出了另一臺計算機的時間五、討論、心得本次試驗主要是熟悉dos 下各種基于網(wǎng)絡(luò)的命令，在做

5、的過程中，除了最后一個費了很長時間外其它實驗進行的還是非常順利，最后一個net 命令由于在實驗指導(dǎo)書中某些關(guān)鍵步驟沒有寫進去，所以導(dǎo)致沒有正確結(jié)果，比如在 win7 下早已取消了 net send 命令，還有在用 net 的其他 / 她命令是得先用 net use ，不過最后通過網(wǎng)上查找各種資料還是完成了，給我最大的收獲還是計算機可以隨意互聯(lián)，雖然計算機互聯(lián)已經(jīng)是很普遍的事情了，但是一般的互聯(lián)都沒有感覺，而這次的互聯(lián)則是物理上的，并且通過本次實驗對tcp/ip協(xié)議又有了一定的了解。實驗二、端口掃描與安全審計一、實驗?zāi)康暮鸵竽康?:本實驗的目的是使學(xué)生通過對Nmap掃描軟件的使用，掌握Nmap

6、中常用命令方式，在加深理解 Nmap端口掃描結(jié)果的基礎(chǔ)上， 使用 Nmap不同掃描方式來分析系統(tǒng)漏洞掃描的基本原理。在培養(yǎng)良好的工程素養(yǎng)同時， 為今后工作實踐中能夠運用科學(xué)理論和技術(shù)手段分析并解決工程問題的能力。要求 :由于 Nmap掃描功能強大、命令參數(shù)眾多，在有限時間內(nèi)不可能對所有命令參數(shù)進行實驗。但實驗內(nèi)容中列舉的掃描命令必須完成， 也可以任意選擇其他命令參數(shù)進行實驗。 命令執(zhí)行后將執(zhí)行結(jié)果復(fù)制到實驗報告中，并對命令執(zhí)行結(jié)果進行解釋。二、實驗內(nèi)容和原理1.安裝 nmap-4.01-setup.exe軟件注意事項：采用 nmap-4.01-setup.exe 時將自動安裝 WinPcap

7、分組捕獲庫，采用解壓縮 nmap-4.01-win32.zip 時需事先安裝 WinPcap 分組捕獲庫。2. 局域網(wǎng)主機發(fā)現(xiàn)列表掃描： nmap -sL 局域網(wǎng)地址3. 掃描目標主機端口連續(xù)掃描目標主機端口：nmap r 目標主機 IP 地址或名稱4. 服務(wù)和版本檢測目標主機服務(wù)和版本檢測：nmap -sV 目標主機 IP 地址或名稱5. 操作系統(tǒng)檢測目標主機操作系統(tǒng)檢測：nmap -O 目標主機 IP 地址或名稱6. 端口掃描組合應(yīng)用nmap -v -A nmap -v -sP /16 /8nmap -v -iR 1000

8、0 -P0 -p 80三、主要儀器設(shè)備Pc 一臺四、實驗結(jié)果與分析1. 安裝 nmap-4.01-setup.exe 軟件，由于安裝很簡單，所以這里不再敘述。2. 局域網(wǎng)主機發(fā)現(xiàn)，在 dos 下先改變執(zhí)行路徑，改到 E:programnmap, 然后輸入 nmap-sL63 ，結(jié)束之后再輸入 nmap -sL ，如下圖為操作結(jié)果：3.掃描 目標 主機 端 口輸 入nmap -r63，結(jié)束之后再輸入nmap -r，如下圖為操作結(jié)果：不知道和第一個命令的區(qū)別，感覺都一樣，也許是掃描不到。4. 服務(wù)和 版本 檢測 ，輸 入 nmap -sV 169.2

9、54.31.163 ，結(jié) 束之后 再輸入 nmap -sV ，如下圖為操作結(jié)果：的確不知道這幾個命令有什么區(qū)別.5. 操作系統(tǒng)檢測，輸入 nmap-O 63 ，結(jié)束之后再輸入 nmap-O ，如下圖為操作結(jié)果：也許沒有什么漏洞，檢測不出。6. 端口掃描組合應(yīng)用nmap -v -A nmap -v -sP /16 /8真心不知道這是干嘛的nmap -v -iR 10000 -P0 -p 80五、討論、心得說句真實的感受就是不知道實在干什么，基本上都掃描不出來，也許自己對nmap的理解根本不到位，它所提供的

10、功能根本沒有達到預(yù)期的目的，也許現(xiàn)在的產(chǎn)品做的越來越完善了，漏洞很小了，在本地計算機上還是可以掃描出一些東西的。實驗三、網(wǎng)絡(luò)入侵跟蹤與分析一、實驗?zāi)康暮鸵竽康模罕緦嶒灥哪康氖鞘箤W(xué)生通過使用Ethereal開放源碼的網(wǎng)絡(luò)分組捕獲與協(xié)議分析軟件，分析一個沖擊波蠕蟲病毒捕獲文件Win2000-blaster.cap，在加深理解Ethereal協(xié)議分析基礎(chǔ)上，掌握 Ethereal分組捕獲與協(xié)議分析功能，為今后工作實踐中能夠運用科學(xué)理論和技術(shù)手段分析并解決工程問題的培養(yǎng)工程素養(yǎng)。要求：由于 Ethereal分組捕獲與協(xié)議分析功能強大，在一個實驗單元時間內(nèi)不可能熟練掌握Ethereal的使用。但至少應(yīng)

11、掌握捕獲菜單和統(tǒng)計菜單的使用，也可以選擇其他菜單命令進行實驗。練習(xí)使用Ethereal分組捕獲與協(xié)議分析的顯示結(jié)果不要復(fù)制到實驗報告，實驗報告只回答沖擊波蠕蟲病毒攻擊過程分析中提出的問題及問題解答過程。二、實驗內(nèi)容和原理1. ethereal-setup-0.10.14.exe軟件安裝注意事項： ethereal-setup-0.10.14.exe將自動安裝 WinPcap分組捕獲庫， 不必事先安裝WinPcap 分組捕獲庫。2. 沖擊波蠕蟲病毒攻擊分析沖擊波蠕蟲病毒攻擊原理沖擊波蠕蟲病毒W(wǎng)32.Blaster.Worm 利用 Windows 2000/XP/2003 等操作系統(tǒng)中分布式組件對

12、象模型DCOM（ Distributed Component Object Model）和遠程過程調(diào)用(RPC （ RemoteProcedure Call）通信協(xié)議漏洞進行攻擊，感染沖擊波蠕蟲病毒的計算機隨機生成多個目標IP 地址掃描 TCP/135（ epmap）、UDP/135（ epmap）、TCP/139、UDP/139、TCP/445、 UDP/445、TCP/593、UDP/593端口尋找存在 DCOMRPC漏洞的系統(tǒng)。感染沖擊波蠕蟲病毒的計算機具有系統(tǒng)無故重啟 、網(wǎng)絡(luò)速 度變慢、 Office 軟件異常等癥狀，有時 還對 Windows 自動升 級（ ）進行拒絕服務(wù)攻擊，防止感

13、染主機獲得DCOM RPC漏洞補丁。根據(jù)沖擊波蠕蟲病毒攻擊原理可知，計算機感染沖擊波蠕蟲病毒需要具備三個基本條件。一是存在隨機生成IP 地址的主機；二是 Windows2000/XP/2003 操作系統(tǒng)開放了 RPC調(diào)用的端口服務(wù)；三是操作系統(tǒng)存在沖擊波蠕蟲病毒可以利用的DCOM RPC漏洞。三、主要儀器設(shè)備pc四、實驗結(jié)果與分析沖擊波蠕蟲病毒攻擊過程分析用 Ethereal “Open Capture File ”( 打開捕獲文件 ) 對話框打開沖擊波蠕蟲病毒捕獲文件Win2000-blaster.cap，通過協(xié)議分析回答下列問題（僅限于所捕獲的沖擊波蠕蟲病毒）：（a）感染主機每次隨機生成多

14、少個目標IP 地址？答：感染主機每次隨機生成20 個目標 IP 地址。（b）掃描多個端口還是一個端口？如果掃描一個端口，是那一個RPC調(diào)用端口？答：掃描一個端口，是135 端口。（c ）分別計算第二組與第一組掃描、第三組與第二組掃描之間的間隔時間，掃描間隔時間有規(guī)律嗎？答：沒有時間規(guī)律。（d）共發(fā)送了多少個試探攻擊分組？（提示：端點統(tǒng)計或規(guī)則tcp.flags.syn=1顯示SYN=1的分組）答：共發(fā)送了 6008 條試探攻擊分組。（e）有試探攻擊分組攻擊成功嗎？如攻擊成功，請給出感染主機的IP 地址。如沒有攻擊成功的實例，說明為什么沒有攻擊成功？（提示：TCP報文段 SYN=1表示連接請求，

15、 SYN=1和ACK=1表示端口在監(jiān)聽，RST=1表示拒絕連接請求。使用顯示過濾規(guī)則tcp.flags.syn=1&tcp.flags.ack=1確定是否有端口監(jiān)聽。）答：沒有試探攻擊分組攻擊成功。五、討論、心得如果說前兩個實驗是用來連接其它主機，并且獲得其它主機的一些相關(guān)信息的話，本次實驗則是其它主機發(fā)送到包到本主機的檢測、分析，當然我是明白了這一點，并且還利用Ethereal去試探了自己本機接收包的情況，并且用實驗已掃描的沖擊波蠕蟲病毒進行了分析，雖然有很多地方還是很不明確，但是至少明白了這個工具但第十干什么用的。實驗四、網(wǎng)絡(luò)入侵檢測系統(tǒng)一、實驗?zāi)康暮鸵竽康模罕緦嶒灥哪康氖鞘箤W(xué)生通過對基

16、于誤用檢測的網(wǎng)絡(luò)入侵檢測系統(tǒng)開放源碼Snort軟件的使用，掌握 Snort 中常用命令方式，在加深理解 Snort 報警與日志功能、 Snort 分組協(xié)議分析、 Snort 入侵檢測規(guī)則的基礎(chǔ)上，分析 Snort 網(wǎng)絡(luò)入侵檢測的基本原理。在培養(yǎng)良好的工程素養(yǎng)同時，為今后工作實踐中培養(yǎng)能夠運用科學(xué)理論和技術(shù)手段分析并解決工程問題的能力。要求：由于 Snort 入侵檢測系統(tǒng)功能強大、 命令參數(shù)眾多， 在有限時間內(nèi)不可能對所有命令參數(shù)進行實驗?？筛鶕?jù)自己對 Snort 的熟悉程度，從實驗內(nèi)容中選擇部分實驗， 但至少應(yīng)完成 Snort 報警與日志功能測試、 ping 檢測、 TCP connect()

17、 掃描檢測實驗內(nèi)容。也容許選擇其他命令參數(shù)或檢測規(guī)則進行實驗， 命令執(zhí)行后將一條完整的記錄或顯示結(jié)果復(fù)制到實驗報告中， 并對檢測結(jié)果進行解釋。請不要復(fù)制重復(fù)的記錄或顯示結(jié)果！二、實驗內(nèi)容和原理1. snort-2_0_0.exe的安裝與配置2. Snort 報警與日志功能測試3. 分組協(xié)議分析4. 網(wǎng)絡(luò)入侵檢測三、主要儀器設(shè)備pc四、實驗結(jié)果與分析1. snort-2_0_0.exe的安裝與配置本實驗除安裝 snort-2_0_0.exe之外，還要求安裝 nmap-4.01-setup.exe網(wǎng)絡(luò)探測和端口掃描軟件。 Nmap用于掃描實驗合作伙伴的主機，Snort 用于檢測實驗合作伙伴對本機的

18、攻擊。用寫字板打開 Snortetcsnort.conf文件對 Snort 進行配置。將 var HOME_NET any中的any 配 置 成 本 機 所 在 子 網(wǎng) 的 CIDR地址；將規(guī)則路徑變量 RULE_PATH定義為E:programsnortrules； 將 分 類配 置 文 件 路 徑 修 改 為includeE:programsnortetcclassification.config； 將 引 用配 置文 件 路徑 修改 為 includeE:programsnortetcreference.config。其余使用 Snort 配置文件中的默認設(shè)置，這里假設(shè)所有 Snort

19、命令都在 C盤根目錄下執(zhí)行。我的 snort 在 E:program 中安裝的，配置以修改完畢，如下圖：2.Snort 報警與日志功能測試用寫字板打開 E:programSnortruleslocal.rules規(guī)則文件，添加功能測試規(guī)則： alert tcp any any - any any (msg:TCP traffic;)。Snort報警與日志執(zhí)行命令： E:snortbinsnort -c snortetcsnort.conf -l snortlog -i 2在 E:progranSnortlog目錄中存在alert.ds3. 分組協(xié)議分析1）TCP/UDP/ICMP/IP首部信息輸出到屏幕上：E:programsnortbinsnortv -i 2；E: programsnortbinsnort -vd -i 2或 E: programsnortbinsnort -vd -i 2；（命令選項可以任意結(jié)合，也可以分開（3）將捕獲的首部信息記錄到指定的Snortlog目錄，在 log 目錄下將自動生成以主機IP 地址命名的目錄；E:programsnortbinsnort -v -l snortlog -i 2；（ 4）采用 Tcpdump二進制格式將捕獲的首部信息和應(yīng)用