太原理工大學(xué)信息安全實(shí)驗(yàn)報(bào)告

實(shí)驗(yàn)由本人當(dāng)時(shí)親自完成僅供參考，希望可以幫助大家本科實(shí)驗(yàn)報(bào)告課程名稱：信息平安技術(shù)B實(shí)驗(yàn)工程：信息平安技術(shù)實(shí)驗(yàn)實(shí)驗(yàn)地點(diǎn)：專業(yè)班級(jí)：0000學(xué)號(hào)：0000000000學(xué)生姓名：氣宇軒昂指導(dǎo)教師：2023年13月13日實(shí)驗(yàn)一、常用網(wǎng)絡(luò)平安命令實(shí)驗(yàn)?zāi)康暮鸵竽康模罕緦?shí)驗(yàn)的目的是使學(xué)生通過對(duì)常用網(wǎng)絡(luò)平安命令使用，熟練掌握常用網(wǎng)絡(luò)平安命令，加深對(duì)常用網(wǎng)絡(luò)平安命令執(zhí)行結(jié)果的理解，在培養(yǎng)良好的工程素養(yǎng)同時(shí)，為今后工作實(shí)踐中能夠運(yùn)用科學(xué)理論和技術(shù)手段分析并解決工程問題的能力。要求：由于常用網(wǎng)絡(luò)平安命令功能強(qiáng)大、參數(shù)眾多，在有限時(shí)間內(nèi)不可能對(duì)所有命令參數(shù)進(jìn)行實(shí)驗(yàn)。但要求每個(gè)命令至少選擇兩個(gè)參數(shù)進(jìn)行實(shí)驗(yàn)，命令參數(shù)可以任意選擇。命令執(zhí)行后將執(zhí)行結(jié)果復(fù)制到實(shí)驗(yàn)報(bào)告中，并對(duì)命令執(zhí)行結(jié)果進(jìn)行解釋。二、實(shí)驗(yàn)內(nèi)容和原理1.ipconfig命令主要功能：顯示本地主機(jī)IP地址、子網(wǎng)掩碼、默認(rèn)網(wǎng)關(guān)、MAC地址等。2.ping命令 主要功能：目標(biāo)主機(jī)的可達(dá)性、名稱、IP地址、路由跳數(shù)、往返時(shí)間等。3.tracert命令 主要功能：路由跟蹤、節(jié)點(diǎn)IP地址、節(jié)點(diǎn)時(shí)延、域名信息等。4.netstat命令 主要功能：顯示協(xié)議統(tǒng)計(jì)信息和當(dāng)前TCP/IP網(wǎng)絡(luò)連接。5.nbtstat命令 主要功能：顯示使用NBT〔NetBIOSoverTCP/IP〕的協(xié)議統(tǒng)計(jì)和當(dāng)前TCP/IP網(wǎng)絡(luò)連接信息，可獲得遠(yuǎn)程或本機(jī)的組名和機(jī)器名。6.net命令主要功能：網(wǎng)絡(luò)查詢、在線主機(jī)、共享資源、磁盤映射、開啟效勞、關(guān)閉效勞、發(fā)送消息、建立用戶等。net命令功能十分強(qiáng)大，輸入nethelpcommand可獲得command的具體功能及使用方法。主要儀器設(shè)備Pc機(jī)一臺(tái)四、實(shí)驗(yàn)結(jié)果與分析1.ipconfig命令，在dos下輸入ipconfig/all，如以下圖：說明：內(nèi)容很多，只截出一局部。ping命令，在dos下輸入pingbaidu，如以下圖：tracert命令，在dos下輸入tracerthao123，如以下圖：netstat命令，在dos下輸入netstat-a，netstat-n如以下圖：5.nbtstat命令，在dos下輸入nbtstat-a101.7.130.39，如以下圖：net命令在dos下輸入netuse\\196.254.31.163/ipc$“〞/user:guest(首先確認(rèn)另一臺(tái)計(jì)算機(jī)翻開guset用戶，密碼為空，并且設(shè)定在網(wǎng)絡(luò)上可以訪問此用戶，這樣才能順利執(zhí)行)如以下圖：在dos下輸入netview得到了局域網(wǎng)中的計(jì)算機(jī)主機(jī)名在dos下輸入nettime在命令提示符下輸出了另一臺(tái)計(jì)算機(jī)的時(shí)間五、討論、心得本次試驗(yàn)主要是熟悉dos下各種基于網(wǎng)絡(luò)的命令，在做的過程中，除了最后一個(gè)費(fèi)了很長(zhǎng)時(shí)間外其它實(shí)驗(yàn)進(jìn)行的還是非常順利，最后一個(gè)net命令由于在實(shí)驗(yàn)指導(dǎo)書中某些關(guān)鍵步驟沒有寫進(jìn)去，所以導(dǎo)致沒有正確結(jié)果，比方在win7下早已取消了netsend命令，還有在用net的其他/她命令是得先用netuse，不過最后通過網(wǎng)上查找各種資料還是完成了，給我最大的收獲還是計(jì)算機(jī)可以隨意互聯(lián)，雖然計(jì)算機(jī)互聯(lián)已經(jīng)是很普遍的事情了，但是一般的互聯(lián)都沒有感覺，而這次的互聯(lián)那么是物理上的，并且通過本次實(shí)驗(yàn)對(duì)tcp/ip協(xié)議又有了一定的了解。實(shí)驗(yàn)二、端口掃描與平安審計(jì)一、實(shí)驗(yàn)?zāi)康暮鸵竽康?本實(shí)驗(yàn)的目的是使學(xué)生通過對(duì)Nmap掃描軟件的使用，掌握Nmap中常用命令方式，在加深理解Nmap端口掃描結(jié)果的根底上，使用Nmap不同掃描方式來分析系統(tǒng)漏洞掃描的根本原理。在培養(yǎng)良好的工程素養(yǎng)同時(shí)，為今后工作實(shí)踐中能夠運(yùn)用科學(xué)理論和技術(shù)手段分析并解決工程問題的能力。要求:由于Nmap掃描功能強(qiáng)大、命令參數(shù)眾多，在有限時(shí)間內(nèi)不可能對(duì)所有命令參數(shù)進(jìn)行實(shí)驗(yàn)。但實(shí)驗(yàn)內(nèi)容中列舉的掃描命令必須完成，也可以任意選擇其他命令參數(shù)進(jìn)行實(shí)驗(yàn)。命令執(zhí)行后將執(zhí)行結(jié)果復(fù)制到實(shí)驗(yàn)報(bào)告中，并對(duì)命令執(zhí)行結(jié)果進(jìn)行解釋。二、實(shí)驗(yàn)內(nèi)容和原理1.安裝軟件考前須知：采用時(shí)將自動(dòng)安裝WinPcap分組捕獲庫，采用解壓縮時(shí)需事先安裝WinPcap分組捕獲庫。2.局域網(wǎng)主機(jī)發(fā)現(xiàn)列表掃描：nmap-sL局域網(wǎng)地址3.掃描目標(biāo)主機(jī)端口 連續(xù)掃描目標(biāo)主機(jī)端口：nmap–r目標(biāo)主機(jī)IP地址或名稱4.效勞和版本檢測(cè) 目標(biāo)主機(jī)效勞和版本檢測(cè)：nmap-sV目標(biāo)主機(jī)IP地址或名稱5.操作系統(tǒng)檢測(cè) 目標(biāo)主機(jī)操作系統(tǒng)檢測(cè)：nmap-O目標(biāo)主機(jī)IP地址或名稱6.端口掃描組合應(yīng)用nmap-v-iR10000-P0-p80三、主要儀器設(shè)備Pc一臺(tái)四、實(shí)驗(yàn)結(jié)果與分析1.安裝軟件，由于安裝很簡(jiǎn)單，所以這里不再表達(dá)。2.局域網(wǎng)主機(jī)發(fā)現(xiàn)，在dos下先改變執(zhí)行路徑，改到E:\program\nmap,然后輸入nmap-sL169.254.31.163，結(jié)束之后再輸入nmap-sLbaidu，如以下圖為操作結(jié)果：3.掃描目標(biāo)主機(jī)端口輸入nmap-r169.254.31.163，結(jié)束之后再輸入nmap-rbaidu，如以下圖為操作結(jié)果：不知道和第一個(gè)命令的區(qū)別，感覺都一樣，也許是掃描不到。4.效勞和版本檢測(cè)，輸入nmap-sV169.254.31.163，結(jié)束之后再輸入nmap-sVbaidu，如以下圖為操作結(jié)果：確實(shí)不知道這幾個(gè)命令有什么區(qū)別...5.操作系統(tǒng)檢測(cè)，輸入nmap-O169.254.31.163，結(jié)束之后再輸入nmap-Obaidu，如以下圖為操作結(jié)果：也許沒有什么漏洞，檢測(cè)不出。端口掃描組合應(yīng)用真心不知道這是干嘛的nmap-v-iR10000-P0-p80五、討論、心得說句真實(shí)的感受就是不知道實(shí)在干什么，根本上都掃描不出來，也許自己對(duì)nmap的理解根本不到位，它所提供的功能根本沒有到達(dá)預(yù)期的目的，也許現(xiàn)在的產(chǎn)品做的越來越完善了，漏洞很小了，在本地計(jì)算機(jī)上還是可以掃描出一些東西的。實(shí)驗(yàn)三、網(wǎng)絡(luò)入侵跟蹤與分析一、實(shí)驗(yàn)?zāi)康暮鸵竽康模罕緦?shí)驗(yàn)的目的是使學(xué)生通過使用Ethereal開放源碼的網(wǎng)絡(luò)分組捕獲與協(xié)議分析軟件，分析一個(gè)沖擊波蠕蟲病毒捕獲文件，在加深理解Ethereal協(xié)議分析根底上，掌握Ethereal分組捕獲與協(xié)議分析功能，為今后工作實(shí)踐中能夠運(yùn)用科學(xué)理論和技術(shù)手段分析并解決工程問題的培養(yǎng)工程素養(yǎng)。要求：由于Ethereal分組捕獲與協(xié)議分析功能強(qiáng)大，在一個(gè)實(shí)驗(yàn)單元時(shí)間內(nèi)不可能熟練掌握Ethereal的使用。但至少應(yīng)掌握捕獲菜單和統(tǒng)計(jì)菜單的使用，也可以選擇其他菜單命令進(jìn)行實(shí)驗(yàn)。練習(xí)使用Ethereal分組捕獲與協(xié)議分析的顯示結(jié)果不要復(fù)制到實(shí)驗(yàn)報(bào)告，實(shí)驗(yàn)報(bào)告只答復(fù)沖擊波蠕蟲病毒攻擊過程分析中提出的問題及問題解答過程。二、實(shí)驗(yàn)內(nèi)容和原理1.軟件安裝考前須知：將自動(dòng)安裝WinPcap分組捕獲庫，不必事先安裝WinPcap分組捕獲庫。2.沖擊波蠕蟲病毒攻擊分析沖擊波蠕蟲病毒攻擊原理沖擊波蠕蟲病毒利用Windows2000/XP/2003等操作系統(tǒng)中分布式組件對(duì)象模型DCOM〔DistributedComponentObjectModel〕和遠(yuǎn)程過程調(diào)用(RPC〔RemoteProcedureCall〕通信協(xié)議漏洞進(jìn)行攻擊，感染沖擊波蠕蟲病毒的計(jì)算機(jī)隨機(jī)生成多個(gè)目標(biāo)IP地址掃描TCP/135〔epmap〕、UDP/135〔epmap〕、TCP/139、UDP/139、TCP/445、UDP/445、TCP/593、UDP/593端口尋找存在DCOMRPC漏洞的系統(tǒng)。感染沖擊波蠕蟲病毒的計(jì)算機(jī)具有系統(tǒng)無故重啟、網(wǎng)絡(luò)速度變慢、Office軟件異常等病癥，有時(shí)還對(duì)Windows自動(dòng)升級(jí)〔〕進(jìn)行拒絕效勞攻擊，防止感染主機(jī)獲得DCOMRPC漏洞補(bǔ)丁。根據(jù)沖擊波蠕蟲病毒攻擊原理可知，計(jì)算機(jī)感染沖擊波蠕蟲病毒需要具備三個(gè)根本條件。一是存在隨機(jī)生成IP地址的主機(jī)；二是Windows2000/XP/2003操作系統(tǒng)開放了RPC調(diào)用的端口效勞；三是操作系統(tǒng)存在沖擊波蠕蟲病毒可以利用的DCOMRPC漏洞。三、主要儀器設(shè)備pc四、實(shí)驗(yàn)結(jié)果與分析沖擊波蠕蟲病毒攻擊過程分析用Ethereal“OpenCaptureFile〞(翻開捕獲文件)對(duì)話框翻開沖擊波蠕蟲病毒捕獲文件，通過協(xié)議分析答復(fù)以下問題〔僅限于所捕獲的沖擊波蠕蟲病毒〕：感染主機(jī)每次隨機(jī)生成多少個(gè)目標(biāo)IP地址？答：感染主機(jī)每次隨機(jī)生成20個(gè)目標(biāo)IP地址。〔b〕掃描多個(gè)端口還是一個(gè)端口？如果掃描一個(gè)端口，是那一個(gè)RPC調(diào)用端口？答：掃描一個(gè)端口，是135端口?！瞔〕分別計(jì)算第二組與第一組掃描、第三組與第二組掃描之間的間隔時(shí)間，掃描間隔時(shí)間有規(guī)律嗎？答：沒有時(shí)間規(guī)律。〔d〕共發(fā)送了多少個(gè)試探攻擊分組？〔提示：端點(diǎn)統(tǒng)計(jì)或規(guī)那么tcp.flags.syn==1顯示SYN=1的分組〕答：共發(fā)送了6008條試探攻擊分組。〔e〕有試探攻擊分組攻擊成功嗎？如攻擊成功，請(qǐng)給出感染主機(jī)的IP地址。如沒有攻擊成功的實(shí)例，說明為什么沒有攻擊成功？〔提示：TCP報(bào)文段SYN=1表示連接請(qǐng)求，SYN=1和ACK=1表示端口在監(jiān)聽，RST=1表示拒絕連接請(qǐng)求。使用顯示過濾規(guī)那么tcp.flags.syn==1&&tcp.flags.ack==1確定是否有端口監(jiān)聽。〕答：沒有試探攻擊分組攻擊成功。五、討論、心得如果說前兩個(gè)實(shí)驗(yàn)是用來連接其它主機(jī)，并且獲得其它主機(jī)的一些相關(guān)信息的話，本次實(shí)驗(yàn)?zāi)敲词瞧渌鳈C(jī)發(fā)送到包到本主機(jī)的檢測(cè)、分析，當(dāng)然我是明白了這一點(diǎn)，并且還利用Ethereal去試探了自己本機(jī)接收包的情況，并且用實(shí)驗(yàn)已掃描的沖擊波蠕蟲病毒進(jìn)行了分析，雖然有很多地方還是很不明確，但是至少明白了這個(gè)工具但第十干什么用的。實(shí)驗(yàn)四、網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)一、實(shí)驗(yàn)?zāi)康暮鸵竽康模罕緦?shí)驗(yàn)的目的是使學(xué)生通過對(duì)基于誤用檢測(cè)的網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)開放源碼Snort軟件的使用，掌握Snort中常用命令方式，在加深理解Snort報(bào)警與日志功能、Snort分組協(xié)議分析、Snort入侵檢測(cè)規(guī)那么的根底上，分析Snort網(wǎng)絡(luò)入侵檢測(cè)的根本原理。在培養(yǎng)良好的工程素養(yǎng)同時(shí)，為今后工作實(shí)踐中培養(yǎng)能夠運(yùn)用科學(xué)理論和技術(shù)手段分析并解決工程問題的能力。要求：由于Snort入侵檢測(cè)系統(tǒng)功能強(qiáng)大、命令參數(shù)眾多，在有限時(shí)間內(nèi)不可能對(duì)所有命令參數(shù)進(jìn)行實(shí)驗(yàn)?？筛鶕?jù)自己對(duì)Snort的熟悉程度，從實(shí)驗(yàn)內(nèi)容中選擇局部實(shí)驗(yàn)，但至少應(yīng)完成Snort報(bào)警與日志功能測(cè)試、ping檢測(cè)、TCPconnect()掃描檢測(cè)實(shí)驗(yàn)內(nèi)容。也容許選擇其他命令參數(shù)或檢測(cè)規(guī)那么進(jìn)行實(shí)驗(yàn)，命令執(zhí)行后將一條完整的記錄或顯示結(jié)果復(fù)制到實(shí)驗(yàn)報(bào)告中，并對(duì)檢測(cè)結(jié)果進(jìn)行解釋。請(qǐng)不要復(fù)制重復(fù)的記錄或顯示結(jié)果！二、實(shí)驗(yàn)內(nèi)容和原理1.的安裝與配置2.Snort報(bào)警與日志功能測(cè)試3.分組協(xié)議分析4.網(wǎng)絡(luò)入侵檢測(cè)三、主要儀器設(shè)備pc四、實(shí)驗(yàn)結(jié)果與分析本實(shí)驗(yàn)除安裝之外，還要求安裝網(wǎng)絡(luò)探測(cè)和端口掃描軟件。Nmap用于掃描實(shí)驗(yàn)合作伙伴的主機(jī)，Snort用于檢測(cè)實(shí)驗(yàn)合作伙伴對(duì)本機(jī)的攻擊。用寫字板翻開Snort\etc\文件對(duì)Snort進(jìn)行配置。將varHOME_NETany中的any配置本錢機(jī)所在子網(wǎng)的CIDR地址；將規(guī)那么路徑變量RULE_PATH定義為E:\program\snort\rules；將分類配置文件路徑修改為includeE:\program；將引用配置文件路徑修改為includeE:\program。其余使用Snort配置文件中的默認(rèn)設(shè)置，這里假設(shè)所有Snort命令都在C盤根目錄下執(zhí)行。我的snort在E:\program中安裝的，配置以修改完畢，如以下圖：2.Snort報(bào)警與日志功能測(cè)試用寫字板翻開E:\>\programSnort\rules\local.rules規(guī)那么文件，添加Snort報(bào)警與日志功能測(cè)試規(guī)那么：alerttcpanyany->anyany(msg:"TCPtraffic";)。執(zhí)行命令：E:\>snort\bin\snort-csnort\etc\snort.conf-lsnort\log-i2在E:\progran\Snort\log目錄中存在alert..ds3.分組協(xié)議分析1〕TCP/UDP/ICMP/IP首部信息輸出到屏幕上：E:\>\program\snort\bin\snort–v-i2；E:\>program\snort\bin\snort-vd-i2或E:\>program\snort\bin\snort-v–d-i2；〔命令選項(xiàng)可以任意結(jié)合，也可以分開〔3〕將捕獲的首部信息記錄到指定的Snort\log目錄，在log目錄下將自動(dòng)生成以主機(jī)IP地址命名的目錄；E:\>program\snort\bin\snort-v-l\snort\log-i2；〔4〕采用Tcpdump二進(jìn)制格式將捕獲的首部信息和應(yīng)用數(shù)據(jù)記錄到指定的Snort\log目錄，在log目錄下將自動(dòng)生