网络安全实验教案.docx

网络安全课程标准（实验部分）适应专业：计算机科学与技术课程编号：10415107课程名称：网络安全（Network security）课程类型：专业方向课程，必修课程学时学分：16学时（1学分）说明部分：（一）实验教学目标该课程的实验目的在于配合理论教学，进行实验研究和实践操作。要求学生掌握实施网络安全的基本方法和技术手段，树立网络安全的防范意识；将网络安全的实施策略应用到实践中去，在操作过程中深刻理解网络安全体系的建立与维护。为今后有关课程中涉及到的网络规划及网站建设打下一定的实践基础。（二）实验教学任务1学会协议分析技术，能利用协议分析软件定位协议及流量引发的安全问题。2学会VPN技术为数据提供保护，并能设计规划VPN方案。3学会防火墙在网络中的设计、规划与部署，能对网络访问行为加以控制。4学会利用入侵检测技术对网络行为加以控制。（三）实验教学要求1. 实验之前先预习该实验所涉及的计算机网络与网络安全相关知识。2. 学生在实验时，未经实验教师许可，不得修改PC机、交换机、路由器的配置。3. 遵守实验守则及实验室安全制度。4. 记录实验过程及相关数据，写出实验报告。正文部分：（一）实验教学方法采用课前预习及讨论、实验指导、实验总结、计算机辅助教学、仿真实验教学等多种形式相结合。（二）实验项目内容网络安全实验共16学时，大纲列出实验项目数为6个，全为必做项目。实验教学项目表.实验项目名称实验类型实验要求实验学时分组人数备注1常用网络命令与网络监听验证必做2132端口与漏洞扫描设计必做2133协议分析与网络嗅探设计必做4134口令破解与远程控制设计必做2135系统安全与日志分析设计必做2136防火墙的综合部署综合必做413实验项目一 常用网络命令与网络监听1实验目的（1）理解常用网络监测命令的用途。（2）理解网络协议及原理的安全性分析。（3）掌握ARP协议原理及封装。（4）了解网络监听的工作原理以及如何防止监听。2实验内容（1）熟悉ping、tracert、arp等常用网络命令。（2）基于Wireshark的网络监听用法。（3）防止网络监听造成的网络安全。3实验技能要求学会常用网络监测命令、监听软件的使用。4实验操作要求熟悉并掌握Wireshark软件的配置及使用。5实验场所计算机网络实验室6实验课后训练熟悉并练习使用其他的协议分析器。实验内容一：练习常用网络命令场景描述一：登录控制台连接windows server 2003 虚拟机，测试常用网络命令的使用。【实验步骤】1、windows 2003/XP：ipconfig/all对于上面的ipconfig命令，另外有几个常用选项：ipconfig /renew：更新DHCP配置参数。该选项只在运行DHCP客户端服务的系统上可用。ipconfig /release：释放从DHCP服务器获得的IP地址等。该选项只在运行DHCP客户端服务的系统上可用。ipconfig /flushdns：清除DNS缓存。2、检测线路物理连通性Ping命令常用于测试网络的连通性。用其简单的ping命令，如: ping ，可以ping前端的网关IP地址，局域网内其它的电脑IP地址，远程的一个网站IP地址。注：现在多数网络设备都有禁止ping的功能，因此有些网络实际上是通的，而通过ping命令却显示不通。当ping命令返回下面的结果时，说明网络是通畅的：当ping命令返回下面的结果时，说明到目标IP的物理链路阻塞或者断开。Ping命令有几个常用参数，如下：-t连续的对IP地址执行ping命令；按Ctrl+Break可以查看统计信息和继续运行，按Ctrl+C键中断。-a将IP地址解析为计算机名。-n向目标IP发送数据包的次数，默认为4次。-l发送数据包的大小，默认为32字节。例如：ping n 6表示向这个地址发送6个数据包；3、地址解析协议ARParp命令可以显示和修改以太网IP物理地址翻译表。该命令有如下几个参数：-a显示当前ARP表中的所有条目。-d从ARP表中删除所有对应条目。-s为主机创建一个静态的ARP对应条目，如:：arp -s目的主机IP地址目的主机MAC地址。如图，从图中可以看出静态绑定了以后，在arp表中可以看到对应的type（类型）变为static（静态）了。4、netstat命令：验证各端口的网络连接情况Netstat用于显示与IP、TCP、UDP和ICMP等协议相关的统计数据，一般用于检验本机各端口的网络连接情况，只有在安装了TCP/IP协议后才可以使用。该命令有几个常用参数：-a显示所有连接和监听端口。-e显示以太网统计，该参数可以与-s选项结合使用。-n以数字格式显示地址和端口号。-s显示每个协议的统计。默认情况下，显示TCP、UDP、ICMP和IP的统计。-p protocol显示由protocol指定的协议的连接。-r显示路由表的内容。5、域名系统诊断nslookupNslookup命令用于解析域名，一般用来检测本机的DNS设置是否配置正确。如：nslookup网站域名，即可解析出网站的IP地址。如图，可以看出解析的时候，可以解析出它所有的IP地址。6、net指令利用net user 在宿主主机windows 2007上添加一个用户“jack”,密码为“123456”，并将“jack”添加到管理员组。具体命令如下：net user jack 123456 /addnet localgroup administrators jack /addnet user利用 net 命令在宿主主机windows 2007和虚拟机Windows server 2003建立远程连接net use 1ipc$ bluedon /user:administratornet use i: 1c$利用net share 命令查看宿主主机的共享目录。7、at命令 在宿主主机创建bat文件，在虚拟机windows server 2003指定时间打开记事本文件。net use * /delnet use 1ipc$ bluedon /user:administratornet time 1at 1 8:40 notepad.exe8、tracert命令实验内容二：使用wireshark工具抓包场景描述：在linux虚拟机中运行tcp/ip相关代码（tcpserver.c、tcpclient.c、udp），查看在建立TCP连接和释放TCP连接时，TCP报头里面的相关数据的变化情况，以及查看udp传输数据情况，做两者的对比。 备注：登录控制台连接linux虚拟机，开启抓包软件wireshark查看连接情况，工具（命令行下打开wireshark抓包软件，相关代码在root目录-gongfang-tcp/ip目录）【实验步骤】1、 在网络中抓取TCP数据包进行分析（1） 编译tcp/ip建立连接与释放的代码文件tcpclient.c、tcpserver.c，如下：gcc -o tcpclient tcpclient.c & gcc -o tcpserver tcpserver.c打开“Terminal”（本次实验简称为T1）“ls”“cd gongfang”“cd tcpip”“ls”“gcc o tcpserver tcpserver.c”“gcc o tcpclient tcpclient.c”“ls”（图1）图1 释放代码文件（2） 打开终端，输入wireshark，启动抓包软件，监听lo网卡，也就是，启动过滤，tcp.port=8000，因为我们运行代码时用的端口是8000；打开新的“Terminal”(本次实验简称为T2)“wireshark”（图2，弹出界面如图3）选择“lo”在“Filter：”输入“tcp.port=8000”点击“Apply”（图4）图2 启动软件wireshark图3 wireshark界面图4 监听端口（3） 运行：在终端输入./tcpserver，再打开一个终端，输入“./tcpclient 8000回到“T1”“./tcpserver”（图5）图5 开启等待响应再打开一个“Terminal”（本次实验简称为T3）“cd tcpip”“ls”“./tcplient 8000”（图5-1-6）图6 建立连接响应（4） 此时会看到返回一个hello bluedon！，这就完成了tcp建立连接与释放握手过程。（5） 查看wireshark抓包结果，分析数据 （图7）图7 抓包结果建立连接： 一次握手：C向S发送syn报文请求连接，seq=0 二次握手：收到C的请求后，S向C回应同意请求SYN,ACK，seq=0，ack=0+1=1 三次握手：C收到S的确认后，向S发送确认，ACK=1，seq=1，ack=1释放链接： 一次握手：C向S发送释放报文FIN=1，seq=1，ack=15； 二次握手：S收到C的FIN后即发出确认ACK=1，seq=15，ack=2； 三次握手：S发出释放报文FIN=1，seq=15，ack=2； 四次握手：C收到S的FIN后予以确认ACK=1，seq=2，ack=16。2、 在网络中抓取UDP数据包进行分析（1） 进入root/tcpip/udp目录编译运行udp代码，通过抓包工具wireshark查看udp通讯过程：打开“T3”“cd udp”“ls”“gcc o s server.c”“gcc o c client.c”“ls”（图8）图8 编译运行udp代码回到软件wireshark，在“Filter：”输入“udp”点击“Apply”（图9）图9 抓包回到“T3”“./s”（图10）图10 建立等待响应回到“T1”“ctrl+c”退出“cd udp”“ls”“./c ”“dd”“dd” （图11）图11 建立连接发送信息（2） 回到软件wireshark，可以看到，udp传送数据时没有经过握手，传送了多少就显示多少，我们发送dd字符，收到DD字符，所以抓包显示上图，双方的一组数据来往。（图12）图12 wireshark抓包结果回到“T3”，此时会显示如下（图13）图13 显示收到信息回到“T1”“dd”“wowoow”（图14）图14 再次发送信息此时回到软件wireshark，会看到如下（图15）图15 wireshark抓包结果实验项目二 端口与漏洞扫描1实验目的 （1）理解端口的用途和意义。（2）熟悉常用端口的功能。（3）掌握查找漏洞的方法。2实验内容 （1）掌握查找端口的方法。（2）掌握TCP/IP筛选开放和关闭端口。（3）利用X-SCAN扫描漏洞。3实验技能要求 熟悉TCP/IP的配置，掌握常用端口号的用途。4实验操作要求 掌握netstat、x-scan的用法。5实验场所 计算机网络实验室。6实验课后训练利用工具书和互联网查找基本网络端口有哪些。实验内容一：使用nmap进行主机、端口、服务扫描。场景描述：主机发现实验演示，实验拓扑：拓扑图备注：登录控制台连接linux，在终端使用nmap扫描工具进行扫描。【实验步骤】1、进入扫描机1，打开终端，输入类似以下扫描的方式：nmap v sL /24，点击回车键，等一会儿，即可得到扫描结果图2-1。-sL（列表扫描）列表扫描是主机发现的退化形式，它仅仅列出指定网络上的每台主机，不发送任何报文到目标主机。默认情况下，Namp仍然对主机进行反向域名解析获取它们的名字。简单的主机名能给出的有用信息常常令人惊讶。例如：是花花公子芝加哥办公室的防火墙。Namp最后还会报告IP地址的总数。列表扫描可以很好的确保您拥有正确的目标IP。如果主机的域名出乎您的意料，那么就值得进一步检查以防错误地扫描其它组织的网络。既然只是打印目标主机的列表，像其它一些高级功能如端口扫描、操作系统探测或者Ping扫描的选项就没有了。“nmap -v sL /24”图2-1列表扫描-sP（Ping扫描）该选项告诉Namp仅仅进行ping扫描（主机发现），然后打印出对扫描作出响应的那些主机。没有进一步的测试（如端口扫描或者系统操作、系统探测）。这比列表扫描更积极，常常用于和列表扫描相同的目的。它可以得到些许目标网络的信息而不被特别注意到。对于攻击者来说，了解多少主机正在运行比列表扫描提供的一列IP和主机名往往更有价值。系统管理员往往也很喜欢这个选项。它可以很方便地得出网络上有多少机器正在运行或者监视服务器是否正常运行。常常有人称它为地毯式ping，它俾ping广播地址更可靠，因为许多主机对广播请求不响应。“nmap v sP /24”图2-2 Ping扫描图2-3 Ping扫描结果-PS portlist (TCP SYN Ping)该选项发送一个设置了SYN标志位的空TCP报文。默认目的端口为80（可以通过改变nmap.h）文件中的DEFAULT_TCP_PROBE_PORT值进行配置，但不同的端口也可以作为选项指定。甚至可以指定一个以逗号分隔的端口列表（如 PS22,23,25,80,113,1050,35000），在这种情况下，每个端口会被并发地扫描。SYN标志位告诉对方您正试图建立一个连接。通常目标端口是关闭的，目标主机返回RST（复位）数据报文。如果碰巧端口是开放的，目标会进行TCP三步握手的第二步，回应一个SYN/ACK TCP报文，然后运行Namp的机器则会扼杀这个正在建立的连接，否则，一个完全的连接将会建立。RST报文是运行Nmap的机器而不是Nmap本身响应的，因为它对收到的SYN/ACK感到很意外。Nmap并不关心端口开放还是关闭。无论RST还是AYN/ACK响应都告诉Namp该主机正在运行。在UNIX机器上，通常只有特权用户root能发送和接收原始的TCP报文。因此作为一个变通的方法，对于非特权用户，Namp会为每个目标主机进行系统调用connect()，它也会发送一个SYN报文来尝试建立连接。如果connect()迅速返回成功或者一个ECONNREFUSED失败，下面的TCP堆栈一定已经收到一个SYN/ACK或者RST，该主机将被标志位为正在运行。“nmap v PS 9”图2-4 TCP SYN Ping图2-5 TCP SYN Ping结果实验内容二：使用流光扫描漏洞【实验拓扑】【实验步骤】一、软件安装1、运行安装程序，按照默认步骤完成安装。如下图。二、扫描设置1、运行流光，进入主界面。如下图。2、点击菜单栏中的“探测”“高级扫描工具”，如下图。3、进入高级扫描设置界面，如下图。4、输入扫描的起始地址、结束地址，配置如下图。5、点击“全选”按钮，然后单击“确定”按钮，进入下一界面。6、选择本地主机后，点击“开始”按钮，执行扫描任务，如下图。7、启动扫描任务后，探测结果如下图。8、根据探测的结果，发现主机08 FTP允许匿名登录，验证探测的结果，如下图。9、根据探测的结果。发现检测主机1/index 成功，验证检测的结果，如下图。三、扫描结束1、扫描结束后，如下图。2、单击“是”按钮，查看扫描结果。实验内容三：使用蓝盾扫描系统对本网段进行扫描【实验拓扑】【实验步骤】一、建立连接1、按照实验拓扑图，将管理PC机通过交换机连接到蓝盾安全扫描系统的LAN1口，将扫描系统的LAN2口连接到数据交换的路由器或交换机上。2、设置PC机的IP地址，与扫描系统的LAN1口同一IP段。并进行连接测试。如下图。IP：设成1段除16任何一个数都可以点击开始”-“运行”-“ping命令进行测试连接通断。如下图连接正常二、安装蓝盾安全扫描控制台1、双击运行安装程序，按照默认步骤，完成安装。2、启动系统控制台，输入默认用户名、密码均为bdscan，然后点击“登录”，进入蓝盾安全扫描控制台。如下图。3、首次进入界面后，会自动弹出简单的设置。直接点击确定后会弹出指定的目录不存在，继续点击确定系统会自动寻找目录。如下图三、建立通信连接1、点击菜单栏中的“通信”“连接”，出现连接界面，设置服务器、登录帐号、密码，然后单击“连接”按钮。如下图。2、设置服务器 服务器名为“扫描默认IP”，“账号、密码”为登录密码然后单击“连接”按钮后，出现新的服务证书，点击“接受一次”如下图。3、系统通过验证后，与服务器建立连接，成功连接后显示连接信息，如下图四、创建新用户1、点击“文件”“控制台用户管理”，出现用户管理界面，如下图。2、单击“添加用户”按钮，设置好新建用户的名称、密码、权限，然后单击“确定”。如下图。五、扫描口的设置1、点击“文件”“扫描管理器”，出现配置界面，如下图。2、输入服务器的IP地址，登录“账号”、“密码”然后点击“登录”，进入如下图。3、设置管理口“网关与子网掩码”。设置扫描口“IP网段”。管理口网关为54;扫描口IP：为扫描的网段。如下图：4、扫描端口的IP设置好后，点击 图标，保存配置，系统显 示“更新设置成功！”，点击“确定”即可六、新建会话1、点击“会话”“新建”，创建新会话scan1，如下图。2、在会话属性中，点击“添加”按钮，设置好需要扫描的类型和IP地址，如下图。3、选择“端口扫描”。选中常规服务。点击“插件”，选中“使用专业会话插件设置”，如下图。4、点击上图“选择插件”按钮，弹出插件列表，然后点击“启用所有插件”按钮。单击“是”按钮，完成插件的配置关闭列表。如下图。5、完成以上操作后依次单击“应用”、“确定”按钮，完成scan1的扫描配置。 七、执行扫描1、 选中新建的scan1会话，单击右键，执行。如下图。2、单击“执行”按钮之后，开始执行扫描任务,扫描结束。点击“确定”按钮，如下图。3、扫描完成后，点击“结果”，可以查看主机的检测信息及相关漏洞，其蓝色标志为低级，黄色标志为中级，红色标志为高级。4、点击下面的“报告”选项，选中会话名称scan1，然后单击右侧列表中的“报告”按钮。如下图。5、在“报告选项”中，设置好报告类型、文件名、排序方式、过滤选项，然后单击“确定”按钮。如下图。6、打开生成的HTML报告文件，仔细观察并分析内容，作好安全防护策略。将生成的报告，进行汇总，制定一份安全策略设置方案，加强网络中主机的安全。如下图。【实验结果】自带生成的分析图实验项目三 协议分析与网络嗅探1实验目的 （1）掌握诸如ARP,TELNET,ICMP的概念和作用。（2）了解以太网的工作原理及其产生的安全问题。（3）了解SNIFFER的工作原理，学会使用SNIFFER。2实验内容 （1）SNIFFER的配置。（2）抓包并分析。（3）利用嗅探截获账号和密码。3实验技能要求 （1）培养学生对以太网工作原理的理解。（2）熟悉一些常见协议的工作原理和用途。（3）利用SINFFER抓包和嗅探知道账号和简单密码的不安全性。4实验操作要求 （1）开启TELNET,FTP服务并设置账号和密码。（2）开启SINFFER监视和嗅探，抓取数据并获取账号和密码。5实验场所 计算机网络实验室6实验课后训练对比SNIFFER和Wireshark。实验内容一：使用sniffit进行嗅探场景描述：实验拓扑如下：拓扑图备注：登录控制台开启linux靶机，在终端使用工具：sniffit进行嗅探。【实验步骤】一、 进行账号密码的嗅探1. 开启xampp中的ftp(filezilla)服务，ftp账号为bluedon，密码为123456进入windows虚拟机运行“XAMPP”选择“FileZilla”项“Start”“admin”（图8-1-4）“OK”（较高版本的XAMPP会自动登录，跳过这个过程）（图8-1-5）登录成功后（图8-1-6），点击打开“Users”参数设置（也可以点击菜单栏“Edit”下拉项“Users”打开）在“General”项选择“bluedon”（如果没有，可以按下述提示自己去创建）“OK”（图8-1-7）图8-1-4图8-1-5 图8-1-6图8-1-7提示：如果没有，可以自己创建，方法：在“General”项“Users”框下点击“Add”按键输入账号“bluedon”“OK” 选中新建的bluedon把“Account settings”下的“Password”前的空格勾上并输入密码：“123456”“OK” 自动跳到“Shared folders”项并弹出对话框，点击弹出对话框的“确定” 点击“Shared folder”下“Add”按键选择一个ftp的目录（提供下载的目录）后点击“确定”“OK”2. 进入Linux虚拟机，对用户进行嗅探：打开“Terminal”“cd gongfang”“sniffit -a -t 1(ftp服务器的地址）”图8-1-8 开始嗅探3. 回到本机，在控制台中登录ftp服务器，telnet服务器：ftp服务器：ftp 82 Name：bluedon pass：123456 “ftp 82”“bluedon”“123456”图8-1-9 登录ftp 此时可以看到嗅探结果，如下图8-1-10，账号和密码都嗅探出来了：图8-1-10telnet服务器：telnet 82 login：administrator pass：123456“exit”（如果无效可以用“quit”试试）“telnet 82”可以看到一边输入账号一边可以看到输入的账号被嗅探出来了，如下图8-1-11：图8-1-11 嗅探账号结果 输入密码123456也被嗅探出来了，如下图8-1-12：图8-1-12实验内容二：使用sniffer进行嗅探场景描述：备注：登录控制台开启并连接linux靶机，编译dos.c并运行，对windows靶机进行攻击，windows靶机上使用sniffer进行监控（dos.c在linux-root-原始套接字；sniffer在windows靶机上）。【实验步骤】1、进入baji-linux，查看root目录下dos.c文件，分析原始套接字攻击程序源代码。打开“Terminal”“ls”（图8-2-1）图8-2-1 查看root目录2、编译源代码，对baji 58进行攻击测试。“gcc -o dos dos.c”（图8-2-2）：图8-2-2 编译3、用Sniffer在受攻击机（baji）抓包，查看分析攻击效果，数据包很大很多，以此理解DOS攻击原理。远程进入Windows虚拟机运行“Sniffer”点击打开仪表板（图8-2-3）点击“Detail”点击“Set Thresholds”“确定”（图8-2-4）点击“Reset”，可以看到表单中“Packets”变化速度比较慢.图8-2-3图8-2-4 抓包结果回到baji-linux，在终端“Terminal”输入“./dos 58”（图8-2-5）图8-2-5 运行攻击程序回到windows虚拟机“Sniffer”软件查看，可以发现“Packets”项数据变化速度比原来快了很多（图8-2-6）图8-2-6 抓包结果回到baji-linux，在终端“Terminal”按下“ctrl+c”，停止运行（图8-2-7）图8-2-7回到windows虚拟机“Sniffer”软件查看（为了效果较明显，可以先点击“Reset”），可以发现“Packets”项数据变化速度比刚刚慢了，又回到刚开始的变化速率。（图8-2-8）图8-2-8实验项目四 口令破解与远程控制1实验目的（1）通过破解工具，采用暴力破解，弱口令扫描来了解口令破解方法。（2）掌握强口令的设置方法和规则。（3）利用冰河木马了解远程控制方法并加以防范。2实验内容（1）利用XSCAN进行弱口令扫描。（2）利用Cain破解本地口令。（3）利用冰河进行局域网远程控制。3实验技能要求在管理员状态下密码设置方法；利用冰河木马进行远程控制。4实验操作要求学会强口令的设置方法，关闭IPC$的方法。5实验场所计算机网络实验室。6实验课后训练利用互联网搜索相关知识。实验内容一：Windows弱口令破解及远程控制场景描述：同组两个同学，各自登录控制台，连接windows靶机，使用A-D工具包对对方进行扫描，获得弱口令；然后通过$IPC弱共享把客户端9394.exe传到对方机器，最后利用redmin进行远程控制。备注：需要两个同学完成，两个同学连接windows虚拟机，互相攻击，所用工具（D盘攻防工具包windows口令破解：A-D工具包、9394.exe、redmin.exe）【实验步骤】1、 打开运行，输入cmd,在弹出框中，输入 “net use”，得到如图2-1-1所示。图2-1-1 查看当前网络连接可以查看网络上相关的服务。2、 下载A-D.rar,并且打开文件夹DTools2.02里的DTools.exe，得到如图2-1-2所示。图2-1-2 A-D工具包软件界面选择IP：，点击左下角“设置”项，浏览密码文件，关闭设置框以后，点击“开始查找”，查找结果如图2-1-3所示。图2-1-3 扫描出来的结果获取到用户名和密码。3、 命令框中，查看网址为的计算机是否开启IPC$服务，如果没有开启，可以通过查找到的用户名和密码进行设置开启，也可通过如下命令方式开启IPC$服务：Net use 目标计算机IPC$ “目标用户的密码” /user:“目标计算机上用户”最后查看是否成功，如图2-1-4和图2-1-5所示。图2-1-4 与远程计算机建立空链接图2-1-5 查看命令结果接下来向网址为的用户的复制木马程序 9394.exe,并且查看远程计算机的当前时间，如图2-1-6所示。图2-1-6 把木马文件拷贝到远程计算机并查询远程计算机的时间然后可以指定用户在计算机上10:45执行行木马程序9394.exe，如图2-1-7。图2-1-7 设置执行时间4、 启用对方的telnet服务，如图2-1-8和图2-1-9所示。图2-1-8 在下拉菜单中选择打开对方的telnet项图2-1-9 启动远程计算机的telnet服务成功通过导入密码文件，即可以通过telnet服务查看相关服务。如图2-1-10所示。图2-1-10 通过telnet与远程计算机连接5、 对靶机进行远程控制。打开 radmin.exe程序，得到如图2-1-11所示。图2-1-11 radmin.exe程序主界面点击“连接”，在IP地址或DNS名称里输入 ，设置端口为9394，如图2-1-12。图2-1-12 设置远程计算机的IP地址与服务开放端口点击“确定”，进入远程用户页面，如图2-1-13所示。图2-1-13 成功连接至远程计算机实验项目五 系统安全与日志分析1实验目的（1）了解系统安全设置和日志分析的重要性。（2）掌握基于Windows server 2003的基本安全设置和日志分析的方法。2实验内容（1）Windows server 2003的基本安全设置。（2）Windows server 2003日志筛选。（3）Windows server 2003日志分析。3实验技能要求学会对Windows server 2003基本安全设置并能通过日志筛选和分析查看安全隐患。4实验操作要求注册表的设置、IIS的安全设置、关闭不必要的端口和服务、关闭默认共享链接、磁盘权限设置、账户和口令设置；日志查看、筛选和分析。5实验场所计算机网络实验室。6实验课后训练利用Internet搜索Windows server 2003的相关安全配置。实验内容一 ：Windows 2003安全配置【实验步骤】1、 通过控制台配置计算机安全（1）在“开始”“运行”输入“mmc”（图1-1-1）弹出控制台（图1-1-2）图1-1-1图1-1-2弹出控制台（2）点击“文件”“添加/删除管理单元”(图1-1-3)“添加”添加“安全配置和分析”(图1-1-4)“关闭”添加独立管理单元“确定”（图1-1-5）成功添加后显示如图1-1-5图1-1-3 打开“添加/删除管理单元”图1-1-4添加“安全配置和分析”图1-1-5 成功添加“安全配置和分析”后显示（3）右键点击“安全配置与分析”选择“打开数据库”（图1-1-6）选择数据库“qt.sdb”（图1-1-7）提示：如果没有数据库“qt.sdb”，就如图1-1-8，输入文件名“qt”，然后点“打开”选择securews.inf模板（图1-1-10）；图1-1-6打开数据库图1-1-7选择数据库图1-1-8（4）右键“安全配置与分析”“导入模板”“securews.inf”（图1-11）图1-1-9导入模板图1-1-10 选择模板（5）右键点击“安全配置与分析”“立即分析计算机”（图1-1-11）确定错误日志保存路径后进行分析（图1-1-12） 得出分析结果（图1-1-13）（自己可以从安全配置和分析目录树点开查看）；图1-1-11 分析计算机图1-1-12 错误日志保存路径图1-1-13 查看分析结果（6）右键点击“安全配置与分析”“立配置计算机”，得出分析结果；（图1-1-14）图1-1-14（7）根据结果分析，配置计算机安全（图1-1-15、1-1-16）重新进行一次“立即分析计算机”查看账户策略，根据安全需要配置；图1-1-15密码策略图1-1-16（8）查看本地策略，有审核、用户权限分配、安全选项等策略，根据用户需要进行配置；（图1-1-17、1-1-18、1-1-19）图1-1-17 审核策略图1-1-18 用户权利指派图1-1-19 安全选项2、 通过组策略配置计算机安全（1）在“开始”“运行”输入“gpedit.msc”（图1-1-20），弹出组策略编辑器（图1-1-21）图1-1-20图1-1-21 组策略编辑器（2）点击“计算机配置”（图1-1-22），配置相关安全选项图1-1-22（3）点击“用户配置”-“管理模板”，配置任务栏、桌面、共享、系统等安全选项（图1-1-23）图1-1-23（4）选中要配置选项，按需要进行配置（例：图1-1-24、1-1-25）图1-1-24图1-1-253、 通过关闭相关服务配置计算机安全（1）禁止At命令Cracker往往给你个木马然后让它运行，这时他就需要at命令了。打开管理工具-服务，禁用task scheduler服务即可。（这个在windows口令破解实验用到的命令，这里先不关闭）“开始”“管理工具”“服务”（图1-1-26）从服务列表中选到“task scheduler服务”（图1-1-27）图1-1-26 打开“服务”图1-1-27 “task scheduler服务”禁止“task scheduler服务”（图1-1-28）启动类型选择“禁用”“应用”图1-1-28 禁止“task scheduler服务”实验内容二：计算机权限管理【实验步骤】1、 用户管理（1）右键点击“我的电脑”“管理”“系统工具”“本地用户和组”（图1-1-29）图1-1-29 本地用户“本地用户和组”双击“Administrator”，可以查看用户Administrator的属性如下图1-1-30图1-1-30 查看用户账号的属性“本地用户和组”“组”如下图1-1-31图1-1-31 （2）新建一个用户：（图1-1-32）右键点击“用户”“新用户”，创建一个新用户例：用户名：aaa 密码：123456图1-1-32 创建用户界面因为密码长度不符合密码策略要求，所以弹出提示框图1-1-33图1-1-33 错误提示（3）查找错误原因“开始”“管理工具”“本地安全策略”“账户策略”“密码策略”（图1-1-34）图1-1-34 密码策略所以创建新的用户密码改为：ABC123456abc，创建成功（图1-1-35）图1-1-35 创建aaa用户成功提示：在设置密码的时候特别注意注意“密码必须符合复杂性要求”这一项（图1-1-36）图1-1-36 密码必须符合复杂性要求（4）控制用户组（图1-1-37）创建的新用户默认是属于users组，在这个组的用户权限是受限制的，根据需要可以把用户改为别的组，只要双击用户名，选择“隶属于”,可以改变用户所属组，通过这样来控制用户权限；图1-1-37关闭打开窗口后，“开始”“注销”重新远程连接（1），用新创建用户登录（即用户名：aaa，密码：ABC123456abc），弹出登录信息如下图1-1-38图1-1-38 登录信息用超级用户登录（即用户名：administrator，密码：123456）右键“我的电脑”“管理”“系统工具”“本地用户和组”“用户”“aaa”如下图1-2-11图1-1-39双击用户“aaa”“隶属于”“添加”在“输入对象名称来选择”输入：administrators“确定”，（图1-1-40）图1-1-40 创建administrators这时“隶属于”里就添加“administrators”这一项，选择“administrators”“确定”如下图1-1-41图1-1-41 成功添加组administrators查看一下用户“administrator”的属性如下图1-1-42图1-1-42 用户“administrator”的属性2、 共享管理实验前先新建一个可共享的文件夹：在桌面右键“新建”“文件夹”，右键“新建文件夹”“属性”“共享”“共享此文件夹”“确定”（1）点击“共享文件夹”“共享”，可以设置共享的权限，以及建立共享文件夹。（图1-1-43）图1-1-43双击文件夹，我们就可以查看文件夹的属性：常规、共享权限、安全（图1-1-44）图1-1-44 文件夹属性（2）另外可以在文件夹右键点击“属性”来配置文件夹的共享与权限。（图1-1-45）图1-1-45 文件夹属性“属性”“共享”“权限”（图1-1-46、1-1-47）图1-1-46 文件夹属性图1-1-47 权限设置3、 文件权限管理（1）磁盘权限打开“我的电脑”右键点击磁盘“属性”“安全”（ntfs格式的磁盘才有安全选项），可以配置磁盘的权限，选择让哪些用户或者哪些组具有读写或者控制的权限。（图1-1-48）图1-1-48 磁盘安全属性（2）文件的权限与磁盘权限配置一样，根据需要，配置相关用户或者组 拥有相关权限。 右键新建文件夹“属性”“安全”，在这里按需求配置（图1-1-49）图1-1-49实验内容三：注册表安全配置【实验步骤】点击“开始”-“运行”，输入“regedit”打开注册表修改界面，按以下方法进行修改（图1-1-50、1-1-51）图1-1-50图1-1-51 注册表编辑器界面（1）禁止IPC空连接Cracker可以利用net use命令建立空连接，进而入侵，还有net view，nbtstat这些都是基于空连接的，禁止空连接就好了。打开注册表，找到HKEY_LOCAL_MACHINE/System/CurrentControlSet/Control/LSA/restrictAnonymous把这个值改成”1”即可（图1-1-52）图1-1-52双击“restrictAnonymous”把“数值数据”设为1（图1-1-53）图1-1-53（2）禁止响应ICMP路由通告报文HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters Interfaces 新建DWORD值，名为PerformRouterDiscovery 值为0由于在注册表按地址查找不到，所以我们在所示地址自己创建一个方法：在空白处右键“新建”“DWORD值”（图1-1-54）把新建值命名为“PerformRouterDiscovery”双击打开“PerformRouterDiscovery”并把“数值数据”改为“0”（图1-1-55）图1-1-54 新建DWORD值图1-1-55（3）防止ICMP重定向报文的攻击HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters将EnableICMPRedirects 值设为0（图1-1-56、1-1-57）图1-1-56图1-1-57（4）修改终端服务端口第一处 HKEY_LOCAL_MACHINE SYSTEM CurrentControlSet Control Terminal Server Wds rdpwd Tds tcp，看到右边的PortNumber了吗？在十进制状态下改成你想要的端口号吧，比如7126之类的，只要不与其它冲突即可（图1-1-58、1-1-59） 第二处HKEY_LOCAL_MACHINE SYSTEM CurrentControlSet Control Terminal Server WwinStations RDP-Tcp，方法同上，记得改的端口号和上面改的一样就行了。（图1-1-60） 图1-1-58图1-1-59图1-1-60（5）更改TTL值cracker可以根据ping回的TTL值来大致判断你的操作系统。“开始”“运行”“cmd”输入“ping 1”（图1-1-61）图1-1-61 ping通资料：TTL值帮助我们大致的识别主机的操作系统类型。UNIX 及类 UNIX 操作系统 ICMP 回显应答的 TTL 字段值为 255Compaq Tru64 5.0 ICMP 回显应答的 TTL 字段值为 64微软 Windows NT/2K操作系统 ICMP 回显应答的 TTL 字段值为 128微软 Windows 95 操作系统 ICMP 回显应答的 TTL 字段值为 32特殊情况:LINUX Kernel 2.2.x & 2.4.x ICMP 回显应答的 TTL 字段