網(wǎng)絡(luò)安全實(shí)訓(xùn)報(bào)告

實(shí)訓(xùn)一常用網(wǎng)絡(luò)測(cè)試命令的應(yīng)用記錄本機(jī)的主機(jī)名，MAC地址，IP地址，DNS，網(wǎng)關(guān)等信息。描述：顯示當(dāng)前設(shè)備的ip相關(guān)的所有信息2、利用ping工具檢測(cè)網(wǎng)絡(luò)連通性1) 當(dāng)一臺(tái)計(jì)算機(jī)不能和網(wǎng)絡(luò)中其他計(jì)算機(jī)進(jìn)行通信時(shí)，可以按照如下步驟進(jìn)行檢測(cè)。在DOS窗口下輸入“ping”命令，此命令用于檢查本機(jī)的TCP/IP協(xié)議安裝是否正確，注：凡是以127開(kāi)頭的IP地址都代表本機(jī)。2) 在DOS窗口下輸入“ping本機(jī)IP地址”命令，此命令用于檢查本機(jī)的服務(wù)和網(wǎng)絡(luò)適配器的綁定是否正確。注：這里的服務(wù)一般是指“Microsoft網(wǎng)絡(luò)客戶端”和“Microsoft網(wǎng)絡(luò)的文件和打印機(jī)共享”。3) 接下來(lái)在DOS窗口下輸入“ping網(wǎng)關(guān)IP地址”命令，此命令用來(lái)檢查本機(jī)和網(wǎng)關(guān)的連接是否正常。4) 最后在DOS窗口下輸入“ping遠(yuǎn)程主機(jī)IP地址”命令，此命令用來(lái)檢查網(wǎng)關(guān)能否將數(shù)據(jù)包轉(zhuǎn)發(fā)出去。5) 利用ping命令還可以來(lái)檢測(cè)其他的一些配置是否正確。在DOS窗口下輸入“ping主機(jī)名”命令，此命令用來(lái)檢測(cè)DNS服務(wù)器能否進(jìn)行主機(jī)名稱解析。6) 在DOS窗口下輸入“ping遠(yuǎn)程主機(jī)IP地址”命令，如果顯示的信息為“Destinationhostunreachable”（目標(biāo)主機(jī)不可達(dá)），說(shuō)明這臺(tái)計(jì)算機(jī)沒(méi)有配置網(wǎng)關(guān)地址。運(yùn)行“ipconfig/all”命令進(jìn)行查看，網(wǎng)關(guān)地址為空。7) 在配置網(wǎng)關(guān)地址后再次運(yùn)行同樣命令，信息變?yōu)椤癛equesttimedout”（請(qǐng)求時(shí)間超時(shí)）。此信息表示網(wǎng)關(guān)已經(jīng)接到請(qǐng)求，只是找不到IP地址為遠(yuǎn)程主機(jī)的這臺(tái)計(jì)算機(jī)。Ping命令的其它用法8) 連續(xù)發(fā)送ping探測(cè)報(bào)文:如ping-t8（這個(gè)地址需要根據(jù)具體的實(shí)驗(yàn)環(huán)境來(lái)搭配）9）自選數(shù)據(jù)長(zhǎng)度的ping探測(cè)報(bào)文:ping目的主機(jī)IP地址-lsize10）不允許對(duì)ping探測(cè)報(bào)分片：ping目的主機(jī)IP地址-f11）修改“ping”命令的請(qǐng)求超時(shí)時(shí)間：ping目的主機(jī)IP地址-wtime指定等待每個(gè)回送應(yīng)答的超時(shí)時(shí)間，單位為毫秒，默認(rèn)值為1000毫秒3、 利用Arp工具檢驗(yàn)MAC地址解析1)輸入“arp–a”命令，可以查看本機(jī)的arp緩存內(nèi)容2)如本機(jī)的ARP表是空的，則ping本組相鄰機(jī)的IP地址（要能PING通），再查看本機(jī)的arp緩存內(nèi)容，此時(shí)是否還是空的？利用“ping”命令將一個(gè)站點(diǎn)的IP地址與MAC地址的映射關(guān)系加入ARP表3)將相鄰機(jī)在本機(jī)ARP表中的表項(xiàng)刪除。arp-dip地址(刪除由ip地址指定的項(xiàng))利用“arp-d”命令刪除ARP表項(xiàng)4） 給相鄰機(jī)的IP添加一個(gè)靜止的錯(cuò)誤的MAC地址對(duì)應(yīng)項(xiàng)，再PING相鄰機(jī)，此時(shí)是否能PING通？arp-sip地址MAC地址在ARP緩存中添加項(xiàng)，將IP地址和物理地址關(guān)聯(lián)arp-sEC-55-F9-AF-5F-2C添加ip為00與其對(duì)應(yīng)的MAC為EC-55-F9-AF-5F-2C的表項(xiàng)4.ftp命令1) ftp://IP地址2) 輸入用戶名和密碼3) get文件名4) put文件名通過(guò)截圖的形式記錄實(shí)驗(yàn)結(jié)果5.netstat1）netstat–r2）netstat–s3）netstat–n4）netstat–a通過(guò)截圖的形式記錄實(shí)驗(yàn)結(jié)果6.tracert判斷數(shù)據(jù)包到達(dá)目的主機(jī)所經(jīng)過(guò)的路徑，顯示數(shù)據(jù)包經(jīng)過(guò)的中繼節(jié)點(diǎn)的清單和到達(dá)時(shí)間六、實(shí)驗(yàn)結(jié)論我們可以通過(guò)這些DOS命令，實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)狀態(tài)的檢查。利用ipconfig命令可以檢查TCP/IP的相關(guān)配置；利用ping命令測(cè)試網(wǎng)絡(luò)的物理連接是否正確、網(wǎng)卡驅(qū)動(dòng)是否正常等；利用arp命令可以對(duì)本機(jī)上的arp緩存進(jìn)行操作；利用netstat命令可以顯示協(xié)議的統(tǒng)計(jì)信息和當(dāng)前網(wǎng)絡(luò)的連接狀況；tracert命令多用于顯示和跟蹤網(wǎng)關(guān)及路由信息；netstat:讓用戶了解到自己的主機(jī)是怎樣與Internet連接的，顯示當(dāng)前正在活動(dòng)的網(wǎng)絡(luò)連接。實(shí)訓(xùn)二關(guān)閉端口、服務(wù)四、具體步驟三、配置IP安全策略關(guān)閉端口創(chuàng)建IP安全策略來(lái)屏蔽端口IP安全性(InternetProtocolSecurity)是WindowsSever2000/2003中提供的一種安全技術(shù)，它是一種基于點(diǎn)到點(diǎn)的安全模型，可以實(shí)現(xiàn)更高層次的局域網(wǎng)數(shù)據(jù)安全性。在網(wǎng)絡(luò)上傳輸數(shù)據(jù)的時(shí)候，通過(guò)創(chuàng)建IP安全策略，利用點(diǎn)到點(diǎn)的安全模型，能夠安全有效地把源計(jì)算機(jī)的數(shù)據(jù)傳輸?shù)侥繕?biāo)計(jì)算機(jī)。下面就詳細(xì)介紹創(chuàng)建IP安全策略的步驟。（1）單擊“開(kāi)始”—〉“控制面板”—〉“管理工具”（2）在“管理工具”頁(yè)面，選擇“本地安全策略”，雙擊打開(kāi)。（3）在彈出的“本地安全設(shè)置”對(duì)話框中，選擇“IP安全策略，在本地計(jì)算機(jī)”。（4）在右邊窗格的空白位置右擊鼠標(biāo)，彈出快捷菜單，選擇“創(chuàng)建IP安全策略”。（6）在出現(xiàn)的“IP安全策略名稱”界面中，輸入新IP安全策略的名稱，單擊“下一步”按鈕。（7）在出現(xiàn)的“安全通訊請(qǐng)求”界面中，把“激活默認(rèn)相應(yīng)規(guī)則”左邊的勾去掉，點(diǎn)擊“下一步”。（8）在出現(xiàn)的“正在完成IP安全策略向?qū)А苯缑嬷校サ簟熬庉媽傩浴鼻暗墓?，單擊“完成”按鈕。（9）在“本地安全設(shè)置”對(duì)話框，選擇IP安全策略“test”，右鍵單擊，選擇“屬性”。（10）在彈出的“test屬性”對(duì)話框中，把“使用添加向?qū)А弊筮叺墓慈サ?，然后單擊“添加”按鈕添加新的規(guī)則。（11）在彈出的“新規(guī)則屬性”對(duì)話框“IP篩選器列表”選項(xiàng)卡中，單擊“添加”按鈕。（12）在彈出的“IP篩選器列表”對(duì)話框中，單擊“添加”按鈕。（13）在出現(xiàn)的“篩選器屬性”對(duì)話框“尋址”選項(xiàng)卡中，把源地址設(shè)為“任何IP地址”，目標(biāo)地址設(shè)為“我的IP地址”(14）在出現(xiàn)的“篩選器屬性”對(duì)話框“協(xié)議”選項(xiàng)卡中，在“選擇協(xié)議類型”的下拉列表中選擇“TCP”，然后在“到此端口”下的文本框中輸入“135”，點(diǎn)擊“確定”按鈕，這樣就添加了一個(gè)屏蔽TCP135（RPC）端口的篩選器（15）依照以上步，添加139、3389、445、137端口篩選器，單擊“確定”按鈕。（16）返回到“新規(guī)則屬性”對(duì)話框，在“IP篩選器列表”選項(xiàng)卡中，單擊“新IP篩選器列表”前的圓點(diǎn)。（17）在“新規(guī)則屬性”對(duì)話框，“篩選器操作”選項(xiàng)卡中，單擊“新篩選器操作”前的圓點(diǎn)，去掉“使用‘添加向?qū)А鼻暗男」?，單擊“添加”按鈕。（18）在出現(xiàn)的“新篩選器操作（1）屬性”對(duì)話框“安全措施”選項(xiàng)卡中，選擇“阻止”，單擊“確定”按鈕。（19）進(jìn)入“新規(guī)則屬性”對(duì)話框，點(diǎn)擊“新篩選器操作（1）”，其左邊的圓圈會(huì)加了一個(gè)點(diǎn)，表示已經(jīng)激活，點(diǎn)擊“關(guān)閉”按鈕，關(guān)閉對(duì)話框。（20）返回到“test屬性”對(duì)話框，在“新IP篩選器列表”左邊打鉤，按“確定”按鈕關(guān)閉對(duì)話框。（21）返回到“本地安全策略”窗口，用右擊新添加的IP安全策略“test”，然后選擇“指派”。（22）設(shè)置完成，重新啟動(dòng)電腦后，電腦中上述網(wǎng)絡(luò)端口就被關(guān)閉了，病毒和黑客再也不能連接這些端口，從而保護(hù)了你的服務(wù)器。指派了剛才創(chuàng)建的IP安全策略后，我們可以在“命令提示符”下使用“gpupdate/force”命令強(qiáng)行刷新IPSec安全策略。驗(yàn)證指派的IPSec安全策略很簡(jiǎn)單，在“命令提示符”下輸入“netshipsecdynamicshowALL”命令（該命令只能在Windows2003系統(tǒng)使用），然后返回命令結(jié)果。這樣，我們就能很清楚地看到該IP安全策略是否生效了。另外需要說(shuō)明的問(wèn)題是Windows系統(tǒng)的IPSec安全策略也存在不足，一臺(tái)機(jī)器同時(shí)只能有一個(gè)策略被指派。實(shí)訓(xùn)三網(wǎng)絡(luò)安全掃描器的使用五、實(shí)訓(xùn)原理X-Scan采用多線程方式對(duì)指定IP地址段（或單機(jī)）進(jìn)行安全漏洞檢測(cè)，支持插件功能。掃描內(nèi)容包括：遠(yuǎn)程服務(wù)類型、操作系統(tǒng)類型及版本，各種弱口令漏洞、后門、應(yīng)用服務(wù)漏洞、網(wǎng)絡(luò)設(shè)備漏洞、拒絕服務(wù)漏洞等20多個(gè)大類。對(duì)于多數(shù)已知漏洞，給出了相應(yīng)的漏洞描述、解決方案及詳細(xì)描述鏈接1．X-Scan圖形界面：2．掃描參數(shù)選擇“設(shè)置（W）”->“掃描參數(shù)（Z）”。選擇“檢測(cè)范圍”模塊，如下圖，在“指定IP范圍”輸入要掃描的IP地址范圍，如：“-255，5-0”。3．設(shè)置“全局設(shè)置”模塊（1）“掃描模塊”項(xiàng)：選擇本次掃描要加載的插件，如下圖。（2）“并發(fā)掃描”項(xiàng)：設(shè)置并發(fā)掃描的主機(jī)和并發(fā)線程數(shù)，也可以單獨(dú)為每個(gè)主機(jī)的各個(gè)插件設(shè)置最大線程數(shù)。如下圖：（3）“掃描報(bào)告”項(xiàng)：在此模塊下可設(shè)置掃描后生成的報(bào)告名和格式，掃描報(bào)告格式有txt、html、xml三種格式。4）“其他設(shè)置”項(xiàng)：使用默認(rèn)選項(xiàng)4．設(shè)置“插件設(shè)置”模塊在“插件設(shè)置”模塊中使用默認(rèn)設(shè)置。（1）端口相關(guān)設(shè)置：此模塊中默認(rèn)檢測(cè)方式為TCP，也可選用SYN（2）SNMP相關(guān)設(shè)置（3）NETBIOS相關(guān)設(shè)置4）漏洞檢測(cè)腳本設(shè)置（5）CGI相關(guān)設(shè)置（6）字典文件設(shè)置設(shè)置完成后，點(diǎn)擊確定5．開(kāi)始掃描。選擇“文件（V）”->“開(kāi)始掃描（W）6．查看掃描報(bào)告：選擇“查看（X）”->“檢測(cè)報(bào)告（V）”。六、實(shí)訓(xùn)步驟步驟1掃描遠(yuǎn)程主機(jī)是否存在NT弱口令（獲取管理員權(quán)限）1．打開(kāi)X-Scan，在“設(shè)置”下拉菜單中選擇“掃描參數(shù)”選項(xiàng)，打開(kāi)掃描參數(shù)設(shè)置窗口。在指定IP范圍的輸入框輸入希望掃描的IP地址段。本例中將對(duì)局域網(wǎng)進(jìn)行掃描，輸入的IP段為至54。如圖所示：2．打開(kāi)全局設(shè)置菜單，在掃描模塊中選擇NT-Server弱口令。3．單擊確定按鈕后，回到主界面，單擊開(kāi)始圖標(biāo)進(jìn)行掃描。掃描結(jié)果如下圖所示：IP地址為192.168.*.*的主機(jī)存在NT-Server弱口令。實(shí)訓(xùn)五數(shù)據(jù)備份與恢復(fù)四、實(shí)訓(xùn)過(guò)程安裝EasyRecovery步驟省略EasyRecovery的數(shù)據(jù)修復(fù)功能：界面1）2）單擊高級(jí)恢復(fù)3）單擊確定，選擇要恢復(fù)的刪除分區(qū)、下一步4）選擇要?jiǎng)h除的文件5）單擊確定，在彈出的對(duì)話框上根據(jù)需要選擇恢復(fù)目的地這里選擇桌面，還可生成報(bào)告6）單擊確定7）單擊保存8）保存，回到9）選擇完成，單擊是10）確定，完成文件實(shí)訓(xùn)六遠(yuǎn)程桌面和遠(yuǎn)程控制軟件PCAnywhere的使用2、在windowsxp跟windows2003下，開(kāi)啟遠(yuǎn)程桌面連接右擊我的電腦—屬性—遠(yuǎn)程，進(jìn)行相關(guān)的設(shè)置、進(jìn)行遠(yuǎn)程桌面連接測(cè)試（程序—附件—通訊—遠(yuǎn)程桌面連接）1）XP連接到Win20034、遠(yuǎn)程桌面與終端服務(wù)的區(qū)別和聯(lián)系（1）遠(yuǎn)程終端服務(wù)允許多個(gè)客戶端同時(shí)登錄服務(wù)器，不管是設(shè)備授權(quán)還是用戶授權(quán)都需要CAL客戶訪問(wèn)授權(quán)證書，這個(gè)證書是需要向微軟公司購(gòu)買的；而遠(yuǎn)程桌面管理只是提供給操作員和管理員一個(gè)圖形化遠(yuǎn)程進(jìn)入服務(wù)器進(jìn)行管理的界面（從界面上看和遠(yuǎn)程終端服務(wù)一樣的），遠(yuǎn)程桌面是不需要CAL許可證書的。（2）遠(yuǎn)程桌面是完全免費(fèi)的，而終端服務(wù)只有120天的使用期，超過(guò)這個(gè)免費(fèi)使用期就需要購(gòu)買許可證了。（3）遠(yuǎn)程桌面最多只允許兩個(gè)管理員登陸的進(jìn)程，而終端服務(wù)沒(méi)有限制，只要你購(gòu)買了足夠的許可證想多少個(gè)用戶同時(shí)登錄一臺(tái)服務(wù)器都是可以的。（4）遠(yuǎn)程桌面只能容許管理員權(quán)限的用戶登錄，而終端服務(wù)則沒(méi)有這個(gè)限制，什么樣權(quán)限的用戶都可以通過(guò)終端服務(wù)遠(yuǎn)程控制服務(wù)器，只不過(guò)登錄后權(quán)限還是和自己的權(quán)限一致而已。(5此過(guò)程需要用戶名與密碼二使用軟件界面如圖1）單擊編輯主機(jī)設(shè)置2）下一步3）下一步如果沒(méi)有帳戶就新建一個(gè)，有的話就不要了4）下一步5）下一步5）完成使用方法在另一臺(tái)計(jì)算機(jī)上按裝使用1)2）單擊遠(yuǎn)程控制3）下一步輸入要控制的ip地址4)下一步5）下一步完成6）出現(xiàn)7)連接成功單Thumbnails（T）出現(xiàn)另外一些常用功能：遠(yuǎn)程管理操作：在控制界面中，可在右邊的控制窗口對(duì)遠(yuǎn)程主機(jī)進(jìn)行直接操作。還可以在左邊的"會(huì)話管理器"中選擇相應(yīng)的功能，例如文件傳送、命令隊(duì)列、進(jìn)行對(duì)話等，以及在"遠(yuǎn)程控制"面板選擇"屏幕大小調(diào)整"、"傳送剪貼板"等操作。四、總結(jié)WINDOWS2000引入遠(yuǎn)程桌面連接功能后受到了廣大用戶的好評(píng)。PCAnywhere11.5是賽門鐵克公司的著名產(chǎn)品，在跨平臺(tái)方面，pcAnywhere較之windows系統(tǒng)自帶的遠(yuǎn)程桌面連接有著非常大的優(yōu)勢(shì)。PCAnywhere在遠(yuǎn)程控制中有一些特色功能。如文件傳輸。連接速率優(yōu)化。傳輸剪貼板等實(shí)驗(yàn)七冰河木馬軟件使用實(shí)驗(yàn)四、實(shí)驗(yàn)步驟1) 在DOS狀態(tài)下采用netstat-an觀察木馬服務(wù)器運(yùn)行前服務(wù)器端計(jì)算機(jī)上網(wǎng)絡(luò)連接情況?？梢钥吹?626端口沒(méi)有開(kāi)放；2) 關(guān)閉兩臺(tái)計(jì)算機(jī)上的防火墻和殺毒軟件；（冰河木馬是比較早出現(xiàn)的木馬軟件，一般的殺毒軟件都可以清除它）3) 在服務(wù)器計(jì)算機(jī)上運(yùn)行服務(wù)器程序G?_Server.exe；4) 觀察木馬服務(wù)器端的網(wǎng)絡(luò)連接情況，可以看到7626端口已經(jīng)開(kāi)放，說(shuō)明已經(jīng)成功在服務(wù)器端安裝了木馬；5) 在客戶端打開(kāi)G_Client.exe；6) 單擊控制端工具欄中的“添加主機(jī)”，填寫顯示名稱和服務(wù)器端IP地址；7)單擊控制端工具欄中的“冰河信使”，向服務(wù)器端發(fā)送消息；8)單擊“命令控制臺(tái)”標(biāo)簽，對(duì)服務(wù)器端進(jìn)行控制9) “文件”-“自動(dòng)搜索”輸入“起始域”開(kāi)始收索10）單擊“命令控制臺(tái)”標(biāo)簽，可在其內(nèi)進(jìn)行設(shè)置1) 卸載冰河木馬： 方法一：通過(guò)殺毒軟件進(jìn)行卸載； 方法二：采用冰河的客戶端進(jìn)行卸載：控制類命令—系統(tǒng)控制—自動(dòng)卸載冰河；方法三：手動(dòng)卸載。（1）對(duì)系統(tǒng)注冊(cè)表進(jìn)行操作，刪除開(kāi)機(jī)要運(yùn)行的木馬項(xiàng)“kernel.exe”。開(kāi)始—運(yùn)行—regedit:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run，刪除“C:\WINDOWS\SYSTEM\KERNEL32.EXE”和"C:\WINDOWS\SYSTEM\SYSEXPLR.EXE"兩項(xiàng)。（2）如果有進(jìn)程軟件，就用進(jìn)程軟件把KERNEL32.EXE和SYSEXPLR.EXE終止；刪除C:\WINDOWS\SYSTEM\KERNEL32.EXE和C:\WINDOWS\SYSTEM\SYSTEM\SYSEXPLR.EXE（因?yàn)槌绦蛘谶\(yùn)行，無(wú)法刪除，所以先要終止）。如果沒(méi)有進(jìn)程軟件，就重新啟動(dòng)到DOS窗口，刪除（DEL）C:\WINDOWS\SYSTEM\KERNEL32.EXE和C:\WINDOWS\SYSTEM\SY